Enquanto a C-suite está se tornando cada vez mais consciente das ameaças que usuários mal-intencionados representam, muitos ainda mantêm uma impressão ultrapassada de cibercriminosos. Imaginamos "hackers" encapuzados, trabalhando sozinhos em um porão, e é claro, a ilustração do banco de imagens que acompanha a grande maioria dos artigos da mídia sobre ataques cibernéticos retrata exatamente isso.
A realidade atual é que muitos usuários mal-intencionados não são operadores não autorizados; eles trabalham como parte de grupos sofisticados e organizados, colaborando com outros grupos dentro de um ecossistema mais amplo de especialistas. Estes grupos reúnem recursos financeiros significativos ao longo do tempo, derivados do lucro de ataques comercialmente dirigidos ou do pagamento de Estados que patrocinam ou comissionam diretamente suas atividades. Eles utilizam esses recursos para melhorar seus ataques subsequentes, pagando pela infraestrutura ou até mesmo subornando os funcionários de seus alvos para ajudar a obter a credencial de entrada.
Saber como esses grupos de ataque funcionam não é apenas interessante, como também fornece uma inteligência inestimável que pode ajudar as organizações a fortalecer sua postura de segurança. Saber o que motiva os atacantes, como eles pensam e trabalham, e o que eles estão procurando alcançar, fornece uma vantagem na linha de frente de defesa, planejamento estratégico e, quando o pior acontece, também ajuda na gestão de incidentes.
1) Os cibercriminosos trabalham em grupo, o que permite que eles se tornem especialistas.
Uma ida às compras na dark web revela indivíduos ou equipes com habilidades em elementos específicos da cadeia de ciberataques. Há equipes que são especialistas em pulverização de senhas, outras que são especialistas em entrada, e ainda existem aquelas que irão administrar um ataque ransomware para qualquer "cliente" que pague. Eles se reúnem em grupos de ataque que evoluem regularmente (daí os nomes estranhos que também evoluem), com isso, ajustam cada vez mais sua abordagem para refletir o debate interno e as lutas de poder. O que podemos aprender com isso? Além da importância da inteligência sobre ameaças para se manter a par das tendências e dos riscos em tempo real, podemos aprender que a colaboração é poderosa. Se as equipes de segurança compartilham redes e informações - e estão preparadas para trabalhar com a concorrência para o bem de todos - então nós também podemos ser ágeis, bem-informados e preparados. E esta colaboração também é essencial dentro da organização. Muitas vezes as ferramentas de segurança são desconectadas umas das outras e não fornecem à equipe de segurança a visão holística necessária para detectar uma cadeia de ataques multi-vetor. Para impedir ataques altamente organizados, as equipes de segurança precisam garantir que suas ferramentas de segurança estejam bem integradas e possam compartilhar informações relevantes, tais como indicadores de comprometimento, em tempo real.