CISA lança avisos para mitigar técnicas de ataque terrestre

A CISA lançou um conjunto de avisos para mitigar as técnicas de ataque Living Off the Land (LOTL).

Neste tipo de ataques os cibercriminosos utilizam um software legítimo, assim como funções disponíveis no sistema, para executar ações maliciosas de forma discreta. Os ataques de LOTL são frequentemente classificados como ataques sem ficheiros, uma vez que não deixam nenhum artefacto para trás.

Os cibercriminosos têm recorrido mais a este tipo de técnicas, incluindo entidades. A eficácia deste tipo de ataques é maior, uma vez que são aproveitadas as ferramentas já implementadas no ambiente, o que permite contornar as medidas de segurança já convencionadas.

Desta forma, a CISA envolveu-se num esforço conjunto com a Agência de Segurança Nacional dos EUA (NSA), com o Federal Bureau of Investigation (FBI) e com diversas agências de cibersegurança da Austrália, Canadá, Nova Zelândia e Reino Unido para uma parceria internacional que destaca a natureza global das ciberameaças e a importância de estratégias de defesa contra estes ataques.

A CISA estabeleceu um conjunto de orientações de deteção para ajudar as organizações. Entre as principais recomendações estão:

• Implementação de um registo detalhado: as organizações são aconselhadas a implementar logs abrangentes e detalhados, agregando-os num local centralizado. Assim, é possível analisar o comportamento e detetar possíveis anomalias;
• Estabelecer e manter linhas de base: O estabelecimento de linhas de base de atividade de rede, utilizadores, administração e aplicações é essencial para identificar possíveis outliers que possam indicar atividades maliciosas;
• Aproveitar a automação: A automação pode ajudar a rever continuamente todos os logs e comparar as atividades atuais com as linhas de base comportamentais já estabelecidas;
• Redução do ruído de alerta: Ajustar as ferramentas de monitorização e os mecanismos de alerta para diferenciar entre ações administrativas típicas e potenciais ameaças.

Os alertas têm como principal destinatário organizações de infraestruturas críticas, que devem ter em conta as recomendações fornecidas.

Os especialistas enfatizam a importância de práticas mais rigorosas para reduzir a superfície de ataque, incluindo a aplicação de orientações recomendadas para reforça da segurança, implementação de listas de permissões de aplicações, melhoria da segmentação e monitorização de rede e implementação de controlos de autenticação e autorização.