As TTPs (táticas, técnicas e procedimentos) são os modelos de ataque utilizados por hackers. Entender cada um deles permite que a equipe de segurança cibernética responda de forma eficiente a possíveis ataques, e isso é fundamental em um cenário de ameaças cada vez mais complexo, com campanhas de APT e malware cada vez mais frequentes.
Com o surgimento de novas formas de malware e invasores ainda mais criativos e com mais recursos, os modelos de ataque são uma ferramenta essencial para que os profissionais de segurança consigam antecipar ataques, identificar vulnerabilidades e corrigir problemas. Essa abordagem não apenas contribui para tornar os problemas de segurança mais transparentes, mas também facilita que os profissionais entendam as características de cada TTP, quais os métodos utilizados, o comportamento do ataque e os objetivos do cibercriminoso.
Ou seja, os modelos de ataque permitem que os profissionais de segurança saibam exatamente como pensa um hacker, quais suas motivações e objetivos. Com isso, têm em mãos a possibilidade de criar uma postura de defesa cibernética duradoura e adotar as medidas corretas para impedir ou mitigar um ataque.
Quais as motivações e objetivos de um cibercriminoso?
Compreender o que motivou o ataque cibernético contribui para melhorar a capacidade de defesa das organizações. De acordo com a SentinelOne, “analisar o ‘quem’, ‘por que’ e ‘o que’ do ataque pode ajudar a equipe de segurança a construir um perfil dos atacantes, incluindo o que eles podem ganhar no caso de um ataque bem-sucedido, como estão monetizando esses ganhos e se eles podem atacar novamente”.
Basicamente, são seis as razões mais comuns que levam a ataques cibernéticos:
Ganho financeiro — As informações roubadas, geralmente, são vendidas na dark web ou utilizadas em outros golpes. Esses criminosos não estão preocupados com quem será o alvo, querem apenas um bom retorno financeiro.
Espionagem — Ataques de estado-nação e outros grupos de APTs normalmente visam a coleta de informações ou roubo de IP, visando a espionagem cibernética. Geralmente são grupos financiados por nações e têm como alvos órgãos governamentais, entidades políticas opostas e grandes empresas.
Perturbação — Seja por questões ideológicas ou hacktivismo, alguns grupos usam os ataques para conscientizar o público por meio da exposição de informações confidenciais, segredos ou derrubando serviços ou organizações.
Terrorismo — Terroristas cibernéticos buscam atingir serviços críticos à população e causar danos intencionalmente para promover uma agenda política, econômica, técnica ou militar. Geralmente, os ataques visam serviços estatais e setores essenciais para maximizar a interrupção de um serviço, semear o medo na população ou forçar mudanças políticas.
Causas pessoais — As ameaças internas, normalmente, são movidas por vingança ou retaliação e, muitas vezes, buscam roubar informações críticas e confidenciais apenas para prejudicar a organização.
Atenção e notoriedade — Os invasores de baixo nível e não qualificados, conhecidos como Script Kiddies, utilizam ferramentas e kits disponíveis na internet ou sob o modelo RaaS (Ransowmare as a Service) para atacar outros sistemas. A motivação, basicamente, é por ganhar atenção e notoriedade e visam alvos grandes e conhecidos para chamar a atenção.
Como os TTPs ajudam os profissionais de segurança cibernética
TTPs fornecem a capacitação para que os profissionais de segurança cibernética saibam como combater ameaças. Ao analisar e compreender as táticas, técnicas e procedimentos, eles obtêm informações essenciais sobre os ataques, métodos empregados e comportamento, tornando o processo de identificação de ataques e o desenvolvimento de técnicas de defesa proativas para reduzir riscos.
Organizações como o MITRE e o NIST categorizam e catalogam as TTPs:
Táticas — São as estratégias e objetivos por trás de um ataque.
Técnicas — São os métodos utilizados pelos cibercriminosos para lançar um ataque.
Procedimentos — É a sequência das ações que compõem um ataque, incluindo as ferramentas utilizadas.
Entendendo como os modelos de ataque funcionam
O número de ataques cibernéticos continua crescendo, levantamento mostra que o Brasil foi o segundo mais impactado em toda a América Latina, com mais de 103 bilhões de tentativas de ataque em 2022, um aumento de 16% em relação a 2021. Por isso, conhecer os modelos de ataque mais comuns e como eles funcionam no mundo real é essencial para reduzir riscos.
Engenharia social
Golpes de engenharia social procuram manipular o usuário para que ele divulgue informações ou realize ações que impactem na segurança cibernética. Essa é a técnica utilizada por trás de ataques de phishing que visam explorar vulnerabilidades por meio do comportamento das pessoas.
Exploração de vulnerabilidades
Geralmente, cibercriminosos exploram vulnerabilidades conhecidas para obter acesso não autorizado a sistemas, aumentar privilégios ou roubar dados. Alguns ataques visam realizar varreduras de redes para identificar vulnerabilidades, exploram vulnerabilidades de dia zero, buscam escalar privilégios, executar códigos maliciosos ou realizar ataques de negação de serviço (DoS).
Living off the Land (LoTL)
É uma tática em que hackers usam ferramentas e processos legítimos para realizar ataques. Como esses processos estão presentes no sistema da vítima, sua detecção é mais difícil. Alguns exemplos de ataques LoTL incluem o abuso da instrumentação de gerenciamento do Windows WMI, que aproveita a infraestrutura para executar comandos, recuperar informações ou interagir com sistemas, e o abuso de linguagem de script, que, por meio de scripts, executa código malicioso ou automatiza processos maliciosos.
Movimento lateral
A técnica de movimento lateral é muito comum quando hackers conseguem acesso a uma rede. Em técnicas como pass-the-hash ou pass-the-ticket, o invasor usa credenciais roubadas ou tokens de autenticação para se mover entre sistemas e escalar privilégios. Roubo de credenciais, ataques de força bruta e ataques Man-in-the-Middle estão entre os modelos de ataque utilizados.
Exfiltração de dados
Quando um ataque é bem-sucedido, o passo seguinte é exfiltrar os dados por meio de canais secretos ou comunicação criptografada de forma a evitar a detecção. Hackers também podem excluir logs ou usar rootkits para cobrir seus rastros e ocultar sua presença nos sistemas.
Como reduzir riscos cibernéticos
Entender os modelos de ataque é apenas um passo para o desenvolvimento de uma estratégia de segurança robusta e inteligente. Além disso, as empresas devem aplicar protocolos para higiene cibernética e buscar fortalecer sua estratégia de forma holística por meio da adoção de uma estrutura de segurança robusta que identifique possíveis pontos vulneráveis.
Implementar programas de treinamento e conscientização de segurança para funcionários também é uma maneira de reduzir a incidência de ataques de engenharia social bem-sucedidos. Assim como implementar um processo eficiente de gerenciamento de patches e verificações de vulnerabilidades para reduzir a superfície de ataque.
Além disso, buscar segmentar a rede e implementar um modelo de segurança baseado em zero trust pode ajudar a limitar o movimento lateral na rede, impedindo que invasores escalem privilégios ou acessem dados confidenciais.
Por fim, estabelecer um processo de resposta a incidentes bem definido, com ferramentas de monitoramento robustas — sistema de gerenciamento de eventos e informações de segurança (SIEM) ou uma solução de detecção e resposta estendida (XDR), como o SentinelOne Singularity — pode tornar o processo de detecção e resposta mais ágil.
Embora os métodos utilizados pelos cibercriminosos continuem evoluindo, há formas de reduzir riscos e fortalecer as defesas, e a identificação dos modelos de ataque utilizados por hackers é essencial para esse processo. A plataforma Singularity da SentinelOne ajuda a resolver proativamente ameaças modernas, tornando o gerenciamento de riscos em identidades de usuários, endpoints, cargas de trabalho na nuvem entre outros, mais eficiente. Entre em contato com os especialistas da Evolutia e saiba mais.
