CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

APTs se apoiam em vulnerabilidades conhecidas, e não em zero-days, revela pesquisa

Maioria das campanhas de APTs explora vulnerabilidades conhecidas publicamente, para as quais já existem patches

Pesquisadores de segurança sugerem que as organizações devem priorizar a correção de falhas existentes para mitigar o risco de um ataque de APTs

Os grupos de ameaças persistentes avançadas (Advanced Persistent Threats, ou APTs) preferem explorar vulnerabilidades conhecidas em seus ataques contra as organizações, o que indica que é mais eficaz priorizar patches do que perseguir vulnerabilidades zero-day, descobriu uma nova pesquisa de segurança conduzida pela Universidade de Trento, na Itália.

Os pesquisadores fizeram uma avaliação de como as organizações podem se defender melhor contra os APTs em um relatório publicado online recentemente. O que eles descobriram vai contra algumas crenças comuns de segurança, que, porém, muitos profissionais e organizações têm implementado, alertam eles.

Os pesquisadores fizeram uma avaliação que cobriu um longo período de ataques, começando em 2008 e indo até 2020. Para estabelecer os parâmetros de priorização dos grupos de ameaças persistentes avançadas, eles estudaram vetores de ataque, vulnerabilidades exploradas e softwares afetados, bem como as versões desses softwares.

É mais importante cuidar do que já é conhecido

Uma crença que a pesquisa desmascarou é a de que todos os APTs são altamente sofisticados e preferem atacar falhas zero-day em vez de vulnerabilidades comuns de sistemas.

“Ao contrário da crença comum, a maioria das campanhas de APTs explorava vulnerabilidades conhecidas publicamente, para as quais já existem patches”, informa o relatório.

De fato, dos 86 APTs que os pesquisadores investigaram, apenas 8 – Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus e Rancor – exploravam vulnerabilidades que os demais 78 não exploraram, descobriram os pesquisadores.

Isso mostra que nem todos os APTs são tão sofisticados quanto a maioria pensa, pois os grupos “muitas vezes utilizam as mesmas ferramentas, malwares e vulnerabilidades que os demais”.

Atualizações mais rápidas reduzem o risco de ameaças

A descoberta também passa à frente atualizações mais rápidas, focadas em corrigir falhas conhecidas nos sistemas das organizações, em vez de se gastar tempo “correndo atrás” de novas falhas de segurança – o que parece ser uma prática comum em muitas organizações.

Normalmente, leva mais de 200 dias para uma empresa alinhar 90% de suas máquinas com os patches de software mais recentes, devido ao teste de regressão, que garante que os sistemas atualizados funcionem corretamente após a atualização, descobriram os pesquisadores.

“Esse comportamento é racional porque nem todas as vulnerabilidades são sempre exploradas por aí”, disseram, no relatório. No entanto, para combater os APTs, “atualizações lentas não parecem apropriadas”.

Na verdade, uma atualização mais rápida pode reduzir significativamente as chances de comprometimento se as organizações puderem “agir assim que uma atualização for lançada”, escreveram eles.

Além disso, o estudo descobriu que, se uma organização espera um mês para atualizar seus sistemas e softwares, ela tem quase 5 vezes mais chances de ser comprometida.

Se esperar três meses, ela se torna 9 vezes mais vulnerável.

Ainda assim, a correção imediata não garante que as organizações não se tornem vítimas, descobriram os pesquisadores. Elas ainda correm riscos “de 14% a 33%”, disseram.

Qual é a melhor estratégia para se proteger de APTs?

De modo geral, os pesquisadores reconhecem que os APTs apresentam um desafio único para as organizações, “pois é difícil prever se e quando um ataque ocorrerá e, portanto, está basicamente fora do controle das equipes de segurança”, disseram.

E acrescentam: “infelizmente, uma empresa não pode decidir com antecedência a configuração de resposta caso seja atingida por um ataque, pois dependerá da escolha do cibercriminoso”.

O que uma empresa pode controlar, no entanto, é sua estratégia de atualização de software, com as organizações geralmente empregando uma das três opções a seguir:

  1. atualizar imediatamente seus sistemas, quando novas atualizações de software estiverem disponíveis
  2. aguarde um tempo para atualizar para realizar o teste de regressão
  3. não atualizar seus sistemas até que seja absolutamente necessário

A sugestão do relatório é: em vez de atualizar todos os softwares para as últimas versões, a princípio é melhor se concentrar na correção de vulnerabilidades conhecidas.

Isso parece ter algum impacto no risco de sofrer um ataque de APTs.

“Nossa análise mostra que uma estratégia de atualização puramente reativa (esperar até que uma vulnerabilidade se torne conhecida) apresenta resultados muito semelhante a uma estratégia planejada (sempre atualizar os softwares para a versão mais recente), mas isso só até 12% das atualizações. No mais, a estratégia de correção focada em zero-days não traz vantagens significativas em relação à primeira estratégia”, conclui o relatório.

Você pode ler a análise completa aqui.

A Compugraf tem o compromisso de manter sua organização protegida. Conheça nossas soluções de segurança e saiba como podemos te ajudar!

Leia outros artigos