São Francisco — InkDesign News — As empresas enfrentam ataques cibernéticos cada vez mais sofisticados, com vetores que exploram privilégios autorizados e vulnerabilidades em sistemas críticos, enquanto a ausência de registros adequados e o uso de inteligência artificial ampliam os riscos.
Vetor de ataque
Um dos principais vetores explorados em 2024 é o abuso de privilégios de usuários autorizados, especialmente em sistemas com autenticação única (SSO) e tokens de acesso. Atacantes obtêm acesso inicial a estações comprometidas e exploram recursos como políticas de senha, configurações de rede e até e-mails Microsoft 365 para expandir seu domínio dentro da infraestrutura. Isso inclui movimentação lateral para ambientes em nuvem e on-premises, aproveitando a chamada “autorização dispersa”.
No setor de sistemas de controle industrial (ICS) e tecnologia operacional (OT), ransomware tem causado impacto crescente. Sistemas frequentemente legados e críticos, como controladores industriais, são alvos que não suportam tempos de inatividade, agravando a vulnerabilidade diante de ataques que podem comprometer até produção de alimentos e fornecimento de gás natural.
A falta de registro e monitoramento apropriados é outro vetor crítico explorado. Organizações ainda falham em manter logs completos e visibilidade suficiente, dificultando a detecção de intrusões. A inteligência artificial (IA) contribui para o avanço dos ataques, acelerando processos como o envio de phishing altamente personalizados, que hoje atingem taxas de sucesso superiores a 93% graças à análise de arquivamentos de usuários para criação de mensagens legítimas.
Impacto e resposta
O uso indevido de privilégios autorizados permite que invasores explorem múltiplos recursos sem serem detectados, dificultando a contenção rápida dos incidentes. Até mesmo grandes grupos como o ‘Scattered Spider’ demonstram essa tática usando apenas navegadores web para acessar diferentes ambientes.
No âmbito do ICS/OT, a implementação insuficiente de segurança “desde o design” e a inação em ativar recursos de proteção agravam a exposição a ataques capazes de causar desde paralisações até danos operacionais severos.
“Estamos vendo um cenário onde adversários estão aproveitando o acesso inicial em single sign-in ou outros tokens de autenticação para pivotar de um recurso a outro, para a nuvem, e de volta ao ambiente local para alcançar seus objetivos.”
(“We’re seeing a scenario where adversaries are leveraging that initial access in single sign in or other authentication tokens to pivot from one resource, to another resource, to the cloud, back to on prem and use that to achieve their goals.”)— Joshua Wright, Senior Technical Director, SANS Institute
A ausência de logs completos e precisos inviabiliza a detecção precoce e a resposta adequada, como ilustrado pelo ataque à carteira de criptomoedas ByBit, onde a IA não detectou a anomalia porque a atividade parecia normal.
“Pense em quão simples isso é? É autoinfligido e nunca parecemos aprender com nossos erros. Sinto que essa é a lição que deixo todos os anos. Aqui estou novamente. Não estamos aprendendo.”
(“Think about how simple that is? It’s self-inflicted and we never seem to learn from our mistakes. I feel like that’s a takeaway I leave you with every year. Here I am again. We’re not learning.”)— Heather Barnhart, DFIR Curriculum Lead, SANS Institute
Análise e recomendações
Especialistas apontam a necessidade de um mapeamento de privilégios mais robusto, com melhor visibilidade sobre autenticações e acessos cruzados entre plataformas, além da melhoria na aplicação de políticas de segurança para logins em nuvem e navegadores. Para o setor ICS/OT, recomenda-se a adoção de segurança “by design” e a ativação integral dos controles de proteção existentes nos dispositivos.
Quanto à IA, é fundamental ajustar ferramentas de detecção que monitorem padrões considerados “normais” para evitar que atacantes se camuflem com atividades legítimas. Políticas corporativas devem conciliar segurança e eficiência sem impedir operações sensíveis.
Com o avanço contínuo dos ataques potencializados por IA e a expansão do perímetro digital, a proteção integrada entre ativos locais e em nuvem será decisiva nos próximos anos, assim como a adaptação das defesas para enfrentar adversários que operam sem restrições legais.
Segurança Cibernética | Ameaças
Fonte: (Dark Reading – Segurança Cibernética)
