Estamos em um ponto interessante na interminável corrida entre cibercriminosos e equipes de cibersegurança. Os primeiros estão usando IA, automação e uma série de técnicas com efeitos, por vezes, devastadores. De fato, um relatório aponta que 80% dos grupos de ransomware‑as‑a‑service (RaaS) já oferecem IA ou automação como diferencial, e há também um mercado em expansão de ferramentas desenvolvidas especificamente para driblar soluções de segurança. Como resultado, os vazamentos de dados e seus custos associados dispararam.

Por outro lado, os cibercriminosos estão basicamente fazendo o que sempre fizeram: potencializando táticas, técnicas e procedimentos (TTPs) já existentes para acelerar os ataques. O tempo entre o acesso inicial e a movimentação lateral (breakout time), por exemplo, agora é medido em minutos. Para equipes de cibersegurança acostumadas a agir em janelas de horas ou dias, isso exige uma mudança urgente de abordagem.

Em apenas 30 minutos

O tempo de movimentação lateral é crítico, porque, se as equipes de cibersegurança não conseguirem conter o adversário nesse estágio, uma intrusão inicial pode rapidamente se transformar em um grande incidente. Atualmente, o tempo médio para esse “salto” dentro da rede gira em torno de 30 minutos, cerca de 29% mais rápido do que no ano anterior, embora alguns especialistas já tenham observado casos em que isso acontece em menos de um minuto após o acesso inicial.

Existem várias razões pelas quais a janela de reação está se fechando rapidamente. Os cibercriminosos estão:

  • Cada vez mais eficientes em roubar, quebrar ou obter por phishing credenciais legítimas de funcionários. Senhas fracas, reutilizadas e raramente atualizadas facilitam esse processo, especialmente em ataques de brute force. A ausência de autenticação multifator (MFA) também contribui. Além disso, têm evoluído em golpes de vishing para redefinição de senhas, seja se passando pelo help desk ou por funcionários. Com credenciais válidas, conseguem agir como usuários legítimos sem levantar suspeitas.
  • Explorando vulnerabilidades zero-day para comprometer sistemas expostos à internet, como o Ivanti EPMM, ganhando acesso inicial às redes enquanto permanecem fora do radar das ferramentas de segurança internas.
  • Aprimorando a fase de reconhecimento, usando técnicas de código aberto e IA para vasculhar a internet em busca de informações públicas sobre alvos estratégicos, especialmente aqueles com privilégios elevados. Com isso, mapeiam estruturas organizacionais, processos internos e o ambiente de TI para tornar os ataques mais eficientes e criar roteiros de engenharia social mais convincentes.
  • Automatizando ações após a invasão com scripts impulsionados por IA, incluindo coleta de credenciais, uso de ferramentas legítimas do próprio sistema e até geração de malware.
  • Explorando lacunas entre equipes de cibersegurança isoladas e soluções pontuais. Assim, uma atividade que parece normal para uma área pode parecer suspeita para outra, mas sem visibilidade integrada, esses sinais acabam ignorados. Em alguns casos, os próprios invasores tentam desativar ou contornar soluções de EDR.
  • Utilizando técnicas de “living off the land” (LOTL) para se manterem ocultos, aproveitando credenciais válidas, ferramentas legítimas de acesso remoto e protocolos como SMB e RDP, o que faz com que suas ações se misturem ao tráfego normal.

Detectar os invasores nesse estágio é essencial, especialmente porque a exfiltração de dados, quando começa, também está sendo acelerada pelo uso de IA. O caso mais rápido registrado no último ano levou apenas seis minutos, uma queda significativa em relação às 4 horas e 29 minutos observadas anteriormente.

Combatendo fogo com fogo, com IA

Se os invasores conseguem acessar sua rede com privilégios elevados ou permanecer ocultos em endpoints não monitorados, e ainda se movimentar lateralmente sem acionar alertas, a resposta humana tende a ser lenta demais. É preciso reduzir o impacto da engenharia social, fortalecer a postura defensiva para melhorar a detecção de comportamentos suspeitos e acelerar os tempos de resposta.

Soluções de detecção e resposta estendidas (XDR) e de detecção e resposta gerenciadas (MDR), baseadas em IA, ajudam nesse cenário ao identificar automaticamente atividades suspeitas, usar dados contextuais para aumentar a precisão dos alertas e executar ações de remediação quando necessário. Ofertas mais avançadas também permitem correlacionar alertas e gerar respostas automatizadas para equipes de SOC sobrecarregadas, liberando tempo para atividades de maior valor, como threat hunting.

Contar com um fornecedor único e integrado, com visibilidade sobre endpoints, redes, nuvem e outras camadas, também ajuda a eliminar lacunas entre soluções isoladas, garantindo uma visão completa dos possíveis caminhos de ataque. É importante que essas ferramentas também monitorem sistemas expostos à internet e se integrem de forma fluida com soluções de security information and event management (SIEM) e security orchestration and response (SOAR).

Inteligência de ameaças e threat hunting continuam sendo essenciais para acompanhar adversários apoiados por IA. Uma abordagem que combine esses dois elementos permite que as equipes de cibersegurança foquem no que realmente importa, como entender como estão sendo atacadas e prever os próximos movimentos dos invasores. No futuro, agentes de IA poderão assumir de forma autônoma parte dessas tarefas, acelerando ainda mais a capacidade de resposta.

Recuperando a iniciativa

Existem outras formas de acelerar os tempos de resposta, incluindo:

  • Monitoramento contínuo e abrangente de endpoints, redes e ambientes em nuvem.
  • Ações automatizadas, como encerramento de sessões, redefinição de senhas ou isolamento de dispositivos, para conter atividades suspeitas, combinadas, quando necessário, com análise automatizada e avaliação humana para investigar alertas e agir rapidamente.
  • Políticas de menor privilégio, microssegmentação e outros princípios de Zero Trust, garantindo controles de acesso rigorosos e reduzindo o impacto de um eventual ataque.
  • Segurança centrada em identidade, com credenciais fortes e únicas gerenciadas por um gerenciador de senhas, combinadas com autenticação multifator resistente a phishing.
  • Medidas contra vishing, como processos atualizados de help desk, incluindo validações por canais alternativos e programas eficazes de conscientização.
  • Proteção contra ataques de brute force, bloqueando tentativas automatizadas de adivinhação de senhas já na entrada.
  • Monitoramento contínuo de redes sociais e da dark web para identificar dados expostos de funcionários e da empresa que possam ser explorados.
  • Monitoramento de scripts e processos em execução na memória, para detectar e bloquear comportamentos do tipo living off the land (LOTL).
  • Execução de arquivos suspeitos em sandbox na nuvem, reduzindo os riscos associados a exploits zero-day.

Nenhuma dessas medidas, isoladamente, é suficiente. No entanto, quando aplicadas em camadas e combinadas com soluções de MDR e XDR baseadas em IA, fornecidas por parceiros confiáveis, elas ajudam as equipes de cibersegurança a recuperar a iniciativa. Trata-se de uma corrida contínua, sem linha de chegada definida, mas ainda há tempo para evoluir e reduzir a vantagem dos cibercriminosos.