Entendendo o adversário

Max Havey [00:00:00] Bem-vindo ao Security Visionaries, um podcast desenvolvido pela Netskope focado em trazer a você conversas com executivos seniores do mundo da segurança cibernética, tecnologia, confiança e redes. Este episódio apresenta uma conversa com Ray Canzanese, diretor do Netskope Threat Labs. Ray conversa conosco sobre seu último relatório trimestral sobre nuvem e ameaças. Falando sobre por que ele escolheu focar no adversário desta vez, o que mais surpreendeu você em suas descobertas e como o pessoal de segurança e outros podem usar as descobertas deste relatório. Aqui está nossa conversa com Ray. Olá e bem-vindo aos Visionários de Segurança. Sou seu anfitrião, Max Harvey. E hoje estamos conversando sobre o relatório Cloud and Threat de outubro com Ray Canzanese, diretor do Netskope Threat Labs. Ray, bem-vindo ao show. Como você está hoje?

Ray Canzanese [00:00:44] Estou bem, Max. O melhor que posso numa segunda-feira. E você?

Max Havey [00:00:47] Estou fazendo, estou fazendo um trabalho sólido. Estou muito feliz por ter essa conversa. Então? Portanto, como diretor do Netskope Threat Labs, Ray é responsável por escrever nosso relatório trimestral sobre ameaças na nuvem. Para começar aqui, Ray, você pode nos dar algumas informações básicas sobre o relatório provisório, há quanto tempo você está fazendo isso e por que o fazemos?

Ray Canzanese [00:01:06] Claro. Começamos a escrever esses relatórios em 2020, portanto este será o nosso terceiro ano completo de redação desses relatórios. Lançamos um novo a cada trimestre e cobrimos um tópico ou ângulo ligeiramente diferente cada vez que lançamos um novo relatório. O objetivo desses relatórios é fornecer informações estratégicas e acionáveis sobre ameaças ao leitor. Então é isso que esperamos que aconteça em tudo isso, mas especialmente no último relatório que acabamos de publicar.

Max Havey [00:01:38] Com certeza. E então, você pode nos dizer qual foi o foco deste relatório mais recente e qual foi sua abordagem para escrevê-lo?

Ray Canzanese [00:01:45] Claro. Portanto, relatórios anteriores cobriram tópicos como onde vemos malware sendo baixado pelas vítimas. Já conversamos sobre onde eles encontram links de phishing. Já falamos sobre riscos com IA, certo. Já falamos sobre riscos de ameaças internas. Portanto, adotamos todos esses pontos de vista diferentes, muitos deles sobre um adversário externo. E para este último relatório, decidimos focar nesse adversário. Certo. Portanto, em vez de nos concentrarmos em algo específico, como phishing, malware ou explorações, vamos dar uma olhada nos adversários. Vejamos os adversários mais ativos contra os clientes da Netskope. E vamos ver se podemos aprender alguma coisa com isso. Vamos ver se conseguimos aprender, por exemplo, quais são as principais táticas e técnicas que estão sendo utilizadas, independentemente de qual adversário estamos falando? Ou vejamos se estou trabalhando em um setor específico, em uma área geográfica específica, se há um adversário específico com o qual devo me preocupar e, portanto, um conjunto específico de táticas e técnicas que são favorecidas por esse adversário no qual devo focar minha atenção. defesas ativadas.

Max Havey [00:02:59] Definitivamente. Então, uma sensação de, você sabe, conhecer seu inimigo para que você possa fazer melhor as coisas do seu lado.

Ray Canzanese [00:03:05] Exatamente certo. E às vezes sinto que ficamos um pouco abstratos quando falamos sobre segurança cibernética, como se estivéssemos falando sobre a origem do malware e onde você o encontra. E isso é como dar um passo para trás e nos lembrar que há outra pessoa fazendo isso, certo? Tem alguém enviando esses links, certo? Há alguém tentando convencer seus usuários a fazerem essas coisas que comprometeram seus sistemas. Então, vamos realmente nos concentrar em quem é. Certo. Quem é esse adversário do outro lado dessa espécie de batalha do tipo defesa ofensiva que enfrentamos na segurança cibernética.

Max Havey [00:03:45] Como ter essa perspectiva mudou a maneira como você abordou a redação deste relatório em comparação com, você sabe, relatórios anteriores que você fez?

Ray Canzanese [00:03:52] Claro. Então, em primeiro lugar, mudou a abordagem de, vamos chamá-lo de 12 meses até a redação deste relatório. Em outras palavras, o que precisávamos mudar primeiro para escrever este relatório, certo, é tentar rastrear o adversário com mais atenção e precisão. Certo. Então, a primeira coisa que muda para nós é que começamos a gastar ainda mais tempo quando detectamos malware, quando vemos alguém visitando uma página de phishing, quando vemos tráfego de comando e controle saindo de um endpoint, tentando coletar tanta informação quanto pudermos sobre isso, para então tentar atribuir isso a um ou mais dos grupos adversários que estamos rastreando. Certo. Então, todo esse trabalho, você sabe, e eu economizo cerca de um ano, certo. Que é mais ou menos o que este relatório cobre. A gente acaba começando a falar, sabe, do início de 23 até hoje. Então é aí que começamos, certo, é rastrear. E então, quando chega a hora de começar a escrever o relatório, o que você está vendo também, há algum adversário que foi mais ativo que outros? Certo. Há algum que tenha sido mais ativo numa determinada população do que em outras? E então comece a olhar para as táticas que estão flutuando no topo, certo. Para ver quais são essas tendências interessantes, quais são as coisas que se destacam e que vão nos guiar em nossa estratégia defensiva daqui para frente.

Max Havey [00:05:18] Definitivamente há uma abordagem mais qualitativa aí. Bem, então, com isso em mente, quais foram algumas das grandes conclusões e algumas das grandes descobertas que você obteve neste relatório?

Ray Canzanese [00:05:27] Claro. Portanto, a grande conclusão, a primeira e talvez mais fácil, é que todos os adversários que estávamos rastreando, certo. E acho que houve cerca de 50 grupos no total que rastreamos para este relatório. Houve algumas técnicas que se destacaram porque todo mundo as usa. Certo. Então, se estou adotando essa abordagem, conheça o seu adversário, certo. Há um ângulo que é bom, eu realmente não me importo qual dos 50 adversários é. É provável que eles estejam fazendo essas seis coisas e essas seis coisas em um volume bastante substancial. Certo. E essas seis coisas nós rastreamos em termos da estrutura MITRE ATT&CK. Portanto, a estrutura MITRE ATT&CK nos dá uma linguagem muito boa para conversarmos uns com os outros em segurança cibernética sobre táticas, sobre técnicas e sobre os grupos que as utilizam. Então escolhemos essa linguagem comum para escrever este relatório e nessa linguagem comum falamos sobre o acesso inicial, as técnicas que os adversários usam para entrar em um sistema alvo. Falamos sobre execução, que é como eles executam código malicioso quando estão naquele sistema, falamos sobre comando e controle, que é obviamente uma vez que eles comprometem o sistema, como eles estão falando com ele? E finalmente, exfiltração de dados, certo. Como é que eles, se o objetivo final deles é, por exemplo, tentar te chantagear, eles vão ter que roubar alguma coisa para te chantagear, certo? Portanto, eles precisam exfiltrar alguns dados de volta para seus sistemas. Portanto, examinamos seis técnicas específicas nessas categorias e basicamente encontradas em todos os níveis. Todos os adversários que rastreávamos estavam fazendo isso. E eles se concentraram em phishing, em fazer com que os usuários executassem malware e, em seguida, em fazer todo o comando, controle e exfiltração por HTTP e HTTPS, basicamente para se misturar com todas as outras coisas na rede.

Max Havey [00:07:40] Então, basicamente, detalhando quais são as principais táticas e dicas que você está vendo em muitos desses adversários diferentes, todos eles estão se aplicando e, em seguida, dividindo-os por setor , por localização geográfica e muitos outros fatores, uma vez que você os definiu. Certo.

Ray Canzanese [00:07:55] Certo. E começamos com eles porque se você está apenas tentando obter informações deste relatório, o que devo fazer de diferente? Esses são aqueles que todo mundo está sendo alvo, certo? Então, se você vai começar de algum lugar, comece com aqueles que são comuns, porque sua estratégia defensiva funcionará contra praticamente todos os grupos. Certo. Então, a próxima etapa depois de passar por essas seis táticas e técnicas é observar o que está acontecendo em seu setor e em sua área geográfica.

Max Havey [00:08:22] Definitivamente. E à medida que você se aprofunda nessas regiões e setores, há algo que realmente chamou sua atenção como surpreendente nessas descobertas?

Ray Canzanese [00:08:30] Sim, houve uma coisa que realmente me surpreendeu. Portanto, se você olhar apenas para os adversários que estamos rastreando, eles estão aproximadamente divididos em dois grupos. Eles são motivados financeiramente ou geopoliticamente. Certo. Eles são criminosos cibernéticos. Certo. Ou são algum tipo de ator geopolítico patrocinado ou afiliado ao Estado. E então, olhando para esses dois grupos e para toda a nossa rede, não é nenhuma surpresa, eu acho, para qualquer pessoa que trabalhe em segurança cibernética que o volume esmagador seja de crimes cibernéticos, certo? É principalmente atividade criminosa cibernética. A atividade geopolítica como percentagem do volume total da atividade dos atacantes é muito menor. Agora, houve alguns destaques, certo? Assim, do lado da indústria, nos serviços financeiros e na saúde, os adversários geopolíticos eram mais activos do que noutras indústrias. Da mesma forma, houve destaques nas regiões geográficas onde é praticamente o oposto. Houve dois destaques, sendo os destaques a Austrália e a América do Norte, que tiveram uma atividade adversária geopolítica muito menor do que outras regiões. Então, na verdade, foram esses destaques que surpreenderam aqui, certo, em termos de crime cibernético ou atividade geopolítica que estávamos vendo.

Max Havey [00:10:06] Com certeza. E então, quais foram esses destaques específicos tão interessantes e por que, você sabe, pessoas que são como líderes de segurança cibernética ou outras pessoas dentro de organizações de segurança, por que deveriam tomar nota desses tipos de anomalias e discrepâncias dentro desse tipo de pesquisar?

Ray Canzanese [00:10:22] Certo. Então, se você trabalha em uma dessas regiões atípicas. Certo. Isso lhe diz algo sobre o adversário que você está enfrentando. Certo. E então não é só. Veja se é geopolítico ou criminoso. Certo. Mas você pode então usar a estrutura MITRE ATT&CK para analisar os principais adversários geopolíticos nessas regiões. Quais são as táticas e técnicas que eles estão usando? Certo. E quão bem estão suas defesas ajustadas contra eles? Em outras palavras, o que você aprende ao observar é o que há de especial em seu setor, ou em sua região, que talvez você devesse fazer algo um pouco diferente e mais direcionado ao adversário que está enfrentando. E muitas vezes você pode obter informações sobre isso conversando com organizações semelhantes, certo? Portanto, converse com outras pessoas do seu setor, outras pessoas do seu setor que operam na mesma região que você. Muitas vezes você pode encontrar um ISAC ou algum outro grupo, certo, do qual vocês possam participar e compartilhar uns com os outros o que está acontecendo. Como seus colegas estão construindo suas defesas. O que você pode fazer de diferente, aprendendo com eles para se defender dos adversários específicos que você enfrenta.

Max Havey [00:11:37] E essa é uma boa conclusão geral, especialmente porque estamos, você sabe, no meio do Mês de Conscientização sobre Segurança agora, e pensando sobre isso, apenas diminuindo o zoom um pouco mais longe, se você tivesse que oferecer uma espécie de tática ou dica importante que sai deste relatório para as organizações de segurança mais amplas, o pessoal de segurança que é técnico, não técnico, não ameaçador, você sabe, o pessoal da segurança. Qual é a lição que você ofereceria a eles?

Ray Canzanese [00:12:01] Claro. Então, eu sei que um dos nossos tópicos favoritos no Mês de Conscientização sobre Segurança Cibernética é phishing. Deixe-me falar um pouco sobre phishing, porque quando pensamos em phishing, muitas vezes pensamos em e-mail, certo? Grande parte do nosso treinamento sobre phishing se concentra em como saber se é seguro abrir esse e-mail? O que descobrimos é que o e-mail está se tornando cada vez menos uma forma comum de as pessoas caírem no phishing. Certo? E isso é porque você treina todo mundo para suspeitar de e-mail, e segundo, porque você constrói todas as suas defesas anti-phishing em torno do e-mail. E então o que estamos começando a ver é que não são e-mails, são mensagens de texto, são ligações, são mensagens diretas no Instagram, são avaliações falsas no Facebook. São resultados de pesquisa estranhos que você encontrou no Google ao pesquisar algo realmente específico que queria saber sobre algum software que você usa ou algum hardware que você usa e que um invasor conseguiu obter uma página de phishing listada nos resultados de pesquisa do Google para isso. Em outras palavras, acho que a história do phishing é que phishing não é e-mail, certo? Phishing é outra pessoa tentando induzi-lo a revelar seu nome de usuário ou senha ou fazer login em algo quando eles estão olhando virtualmente por cima do seu ombro. E isso pode começar em qualquer lugar e fora do e-mail. Portanto, se você está preocupado com o phishing do ponto de vista técnico porque trabalha com segurança cibernética, certifique-se de que suas defesas contra phishing vão além do e-mail. Se você é apenas um idoso normal que é um pouco paranóico e preocupado com phishing, solução fácil, nunca clique em links. Nunca acesse sites que outras pessoas lhe digam para acessar. Em outras palavras, se eu quiser fazer login no site do meu banco, abro meu navegador e digito a URL do site do meu banco. Não há outra maneira de fazer login no site do meu banco. Nenhuma mensagem de texto soando terrível. Sem Instagram DM, sem Snapchat, sem Facebook, nada. Não há ninguém em lugar nenhum que possa me convencer a acessar algo importante de outra maneira.

Max Havey [00:14:29] Bem, e esse também é um bom ponto, observando como esse phishing evoluiu, como vimos até nas notícias recentemente com o ataque MGM, onde isso foi feito por meio de phishing de voz, por meio de um telefonema para o helpdesk. Então, existem exemplos de como isso continua a se desenvolver, crescer e mudar. E eu acho que é um ponto excelente para se ter aí.

Ray Canzanese [00:14:48] Sim, com certeza. E quero dizer, não sei o quão comum isso é, mas provavelmente recebo uma dúzia de telefonemas e mensagens de texto por dia que certamente são algum tipo de fraude. Então eles estão, você sabe, phishing para obter credenciais, tentando fazer com que eu lhes envie dinheiro. Certo. Mas há algo acontecendo lá. Então, acho que as pessoas podem estar familiarizadas com alguns desses de maior volume. Mas quando você começa a diminuir o volume, os mais sutis são onde as pessoas começam a ser enganadas. Então pare de pensar no canal e comece a pensar no que realmente está acontecendo. Alguém está tentando fazer com que você acesse um site falso. Então não dê essas oportunidades a ninguém, certo? Apenas nunca, nunca clique em links. Certo. Solução fácil. Desligue esse computador.

Max Havey [00:15:37] Pare de pensar no canal e concentre-se no resultado. Parece a verdadeira grande lição aqui. Eu sinto que isso é algo fácil para todos em nosso público lembrar e manter em mente enquanto operam na Internet.

Ray Canzanese [00:15:50] Certo. Porque, você sabe, eu dou todos esses exemplos do que é hoje, né? Mas amanhã será, não sei, Mastodon ou alguma outra plataforma que não é tão popular agora, mas à medida que se tornar popular se tornará um canal onde phishers, golpistas, criminosos cibernéticos, atores geopolíticos, todos irão lá também.

Max Havey [00:16:13] Sim, com certeza. Acho que isso me leva ao fim das minhas perguntas aqui. Há mais alguma coisa que você gostaria de acrescentar que não abordamos nesta conversa até agora?

Ray Canzanese [00:16:22] Bem, se não íamos fazer a proposta, eu darei a proposta. Certo. Este relatório está disponível em netskope.com/threat-labs. Em nosso site você encontra mais detalhes sobre tudo que falamos aqui hoje. E todo mês você verá novos relatórios mensais sendo lançados em nosso site. Falaremos sobre ameaças interessantes ao vivo enquanto acontecem em nosso blog. E a cada trimestre você verá outro desses grandes relatórios. Se você não consegue acompanhar todas essas coisas interessantes que estamos fazendo, também tenho uma lista de e-mails que você encontrará exatamente no mesmo site que é netskope.com/threat-labs.

Max Havey [00:17:04] Com certeza. E para todos que quiserem conferir por conta própria, terei um link para isso nas notas do episódio. Mas até então, até termos outro relatório para você. Ray, muito obrigado por dedicar seu tempo. É sempre esclarecedor conversar com você sobre todas as novidades interessantes que você está descobrindo no Netskope Threat Labs.

Ray Canzanese [00:17:19] Obrigado, Max.

Max Havey [00:17:20] Incrível. Tenha um bom dia.