Ataques que o EDR não deteta

O grupo APT conhecido como Librarian Ghouls conseguiu infiltrar-se nas redes de universidades técnicas e empresas industriais na Rússia, Bielorrússia e Cazaquistão sem levantar suspeitas. Como é que o grupo entrou? Usando credenciais legítimas e movimentando-se lateralmente através das redes internas, apoiando-se em acessos autorizados sem gerar alertas.

Este incidente de segurança, revelado por investigações recentes, coloca em evidência uma ameaça silenciosa, mas eficaz. Ao contrário de outros grupos de ameaças persistentes avançadas, os Librarian Ghouls evitam malware personalizado e utilizam software legítimo de terceiros para executar os seus ataques. Combinando ferramentas de acesso remoto, compactadores ou utilitários SMTP, o grupo cria campanhas de phishing quase perfeitas, incluindo ficheiros protegidos por palavra-passe, até à implementação de malware polimórfico que muda em tempo real. Estes ataques furtivos conseguem contornar os controlos tradicionais e são difíceis de detetar.

Este não é um caso isolado. Reflete um problema cada vez mais comum: quando as ferramentas de cibersegurança como EDR, firewalls e sistemas de autenticação funcionam de forma isolada, as ameaças podem mover-se num ambiente sem serem detetadas. Por exemplo, as soluções EDR podem não considerar suspeito o uso de ferramentas administrativas legítimas se estas não apresentarem comportamentos claramente maliciosos. Os firewalls podem sinalizar ligações externas anómalas, mas não dispõem de contexto suficiente para identificar qual o utilizador ou dispositivo que as originou. Já os sistemas de autenticação podem registar uma série de acessos válidos sem reconhecer um padrão de movimento lateral.

Isto evidencia a necessidade crítica de visibilidade integrada entre as diferentes camadas de segurança – correlacionar sinais de várias ferramentas é essencial para detetar ataques complexos e em múltiplas fases, que nenhuma solução isolada consegue identificar plenamente. Sem esta perspetiva unificada, as organizações correm o risco de só perceberem a verdadeira dimensão da ameaça quando já é demasiado tarde.

Para muitas empresas, isto cria uma falsa sensação de segurança, uma vez que implementam várias soluções que geram alertas em separado. No entanto, é necessária uma correlação eficaz para compreender quando esses sinais, em conjunto, indicam uma intrusão ativa. Sem essa correlação, as organizações podem tornar-se vítimas de ataques complexos que permanecem invisíveis durante semanas ou meses, provocando danos ou fugas de informação sem serem detetados.

Como garantir proteção de ameaças que escapam à deteção?

As empresas precisam de uma visão unificada do seu ambiente e da capacidade de responder em tempo real. É aqui que entra o serviço Managed Detection and Response (MDR). O MDR é um serviço de cibersegurança que combina deteção avançada de ameaças, análise e experiência humana para monitorizar, investigar e responder a ameaças em nome de uma organização – 24 horas por dia, 7 dias por semana. Ao contrário das ferramentas tradicionais que funcionam isoladamente, o MDR correlaciona sinais provenientes de endpoints, redes, ambientes na cloud e sistemas de identidade, permitindo uma deteção mais rápida e precisa de atividades suspeitas. Da mesma forma, pode desencadear respostas automáticas e coordenadas para conter e neutralizar ameaças antes de causarem danos significativos. Uma abordagem MDR permite:

Detetar ameaças reais antes de escalarem: quando uma firewall bloqueia uma ligação invulgar ou um EDR deteta um comportamento anómalo, cada um pode gerar alertas em separado, mas nem sempre os correlaciona. Um serviço MDR combina IA e automação para conectar esses sinais e identificar ameaças reais em minutos, evitando que pequenos incidentes se transformem em grandes problemas, especialmente quando ataques furtivos se confundem com atividades normais.
Responder de forma rápida e precisa: após a identificação de uma ameaça real, o tempo de resposta é crítico. O MDR acelera as investigações graças à sua visão global sobre os eventos em várias camadas de segurança – rede, endpoint e identidade. Isto reduz o tempo de investigação, minimiza interrupções e garante a continuidade do negócio, além de reduzir o impacto reputacional.
Reduzir o ruído e melhorar o foco: a IA elimina falsos positivos, prioriza os alertas relevantes e adiciona o contexto necessário para decisões informadas. Isto permite que as equipas de segurança se concentrem no que realmente importa, reduzindo a fadiga causada por alertas e aumentando a eficiência operacional. Uma vantagem particularmente valiosa em ambientes com recursos limitados, onde cada segundo conta e não há espaço para distrações.

A violação dos Librarian Ghouls demonstra que os atacantes conseguem contornar defesas tradicionais quando estas não estão coordenadas. Enquanto a firewall bloqueia ligações externas, o EDR deteta atividade suspeita no endpoint e a autenticação bloqueia acessos anómalos, é crucial juntar estas três peças-chave para ver o quadro completo.

É como procurar uma agulha num palheiro: ao integrar capacidades inteligentes de deteção e resposta, o MDR aborda estas ameaças de forma integrada, combinando visibilidade, análise e ação em tempo real. Ao correlacionar ataques dispersos, filtrar falsos positivos e fornecer uma visão unificada de toda a infraestrutura, este serviço dá o contexto necessário para que o EDR identifique anomalias (mesmo quando os cibercriminosos usam ferramentas legítimas), permite à firewall interpretar melhor as ligações e ajuda os sistemas de identidade a sinalizar acessos suspeitos. Assim, potencia o valor de cada tecnologia, enquanto a sua equipa foca a atenção no que realmente importa.

Se quiser saber mais sobre como melhorar a sua segurança com um serviço inteligente de Managed Detection and Response (MDR), consulte os seguintes artigos: