Introdução: Ameaças Globais, Impacto Local nas PMEs
O panorama de ameaças cibernéticas evoluiu drasticamente. Enquanto os ataques a grandes corporações dominam as manchetes, são as pequenas e médias empresas (PMEs) que estão mais vulneráveis e sofrem as consequências mais devastadoras. As PMEs representam mais de 90% das empresas do mundo e respondem por mais de 50% do emprego global. No entanto, a falta de pessoal experiente em operações de segurança, o subinvestimento em cibersegurança e orçamentos menores de TI são fatores que contribuem para um alto nível de vulnerabilidade.
A SN Informática, como parceira especialista da Sophos, compreende que o cibercrime está ativamente contando com a suposição de que as empresas menores são “menos bem-defendidas” e não possuem as ferramentas sofisticadas necessárias para se proteger.
Para combater esses adversários ativos e altamente qualificados, o Managed Detection and Response (MDR) surge como a necessidade estratégica. Os serviços de MDR fornecem funções de Centro de Operações de Segurança (SOC) entregues remotamente que permitem a detecção rápida, análise, investigação e resposta por meio da interrupção e contenção de ameaças. O Sophos MDR é um serviço totalmente gerenciado por especialistas que detectam e respondem a ataques cibernéticos 24 horas por dia, 7 dias por semana, visando computadores, servidores, redes, cargas de trabalho em nuvem, contas de e-mail e backups, entre outros.
Este artigo detalha as principais ameaças que o Sophos MDR aborda, com foco na proteção das PMEs.
1. Ransomware: A Ameaça Existencial de Maior Impacto
O ransomware permanece a principal ameaça cibernética existencial, especialmente para pequenas empresas. Embora represente uma porcentagem relativamente pequena das detecções gerais de malware, seu impacto é o mais significativo em termos de interrupção e custo.
1.1 O Custo Financeiro Crescente e o Foco no LockBit
O custo médio de recuperação de um ataque de ransomware aumentou drasticamente para $2.73 milhões em 2024, o que representa um aumento de 50% em relação ao ano anterior. Este aumento sublinha a urgência de uma resposta rápida e eficaz a incidentes, algo que o MDR foi projetado para fornecer.
Os dados da Sophos mostram que o ransomware atinge pequenas e médias empresas com maior frequência. Em 2023, LockBit foi o principal ransomware observado em casos de segurança de pequenas empresas tratados pelo serviço de Resposta a Incidentes (IR) da Sophos. O LockBit, que opera como um ransomware-as-a-service, foi também o malware mais frequentemente observado em incidentes tratados pelo Sophos MDR, excluindo outros tipos de malware. O MDR aborda diretamente essa ameaça fornecendo uma solução para parar ataques de ransomware.
1.2 O Perigo do Ransomware Remoto
Uma tática de ataque crescente e particularmente perigosa para as PMEs é o ransomware remoto. Isso ocorre quando um dispositivo comprometido é usado para criptografar maliciosamente dados em outros dispositivos na mesma rede. Observou-se um aumento geral na proporção de ataques de ransomware que envolvem execução remota, especialmente no segundo semestre de 2023.
Cerca de 70% dos ataques de ransomware conduzidos por humanos envolvem o uso de ransomware remoto. Um único dispositivo não gerenciado ou desprotegido pode, assim, expor a rede inteira da organização à criptografia maliciosa remota.
O Sophos MDR aborda essa ameaça através da visibilidade estendida proporcionada pela integração de dados do endpoint e da rede (XDR/NDR), permitindo que analistas detectem e contenham ameaças que ganham footholds explorando servidores desprotegidos, dispositivos pessoais e appliances de rede.
2. Roubo de Dados e Credenciais: O Foco Principal do Cibercrime
Embora o ransomware seja o ataque mais impactante, o foco da maioria dos ataques cibernéticos contra PMEs é o roubo de dados e credenciais. Mais de 90% dos ataques relatados aos clientes da Sophos envolvem, de alguma forma, roubo de dados ou credenciais.
2.1 A Dominância de Stealers e Spyware
Os dados mostram que quase metade do malware detectado em 2023 se enquadra na categoria de “Stealer/Spyware/Keylogger” (43.26%). Este malware visa especificamente roubar senhas, cookies de navegador e pressionamentos de tecla.
Os principais stealers observados incluem RedLine, Raccoon Stealer e Strela. Alguns são especializados, como os token stealers do Discord, enquanto outros, como Raccoon Stealer, são mais agressivos, coletando dados de senhas do sistema operacional e de navegadores.
O Sophos MDR aborda essa ameaça de múltiplas maneiras:
- Detecção Proativa: O MDR realiza caça proativa a ameaças (proactive threat hunting) para identificar atividades adversárias que as ferramentas sozinhas podem ignorar, crucial para detectar stealers que tentam se disfarçar.
- Visibilidade Estendida: O serviço integra dados de segurança de endpoints, email, identidade e nuvem, o que é vital para rastrear stealers que visam dados em plataformas SaaS e provedores de serviços.
2.2 O Vetor de Acesso Inicial: Adversários “Logam-se”
Os atacantes modernos não precisam necessariamente explorar falhas de software. Eles confiam em duas técnicas primárias para acesso inicial: Credenciais Comprometidas (41%) e Vulnerabilidades Exploradas (22%). Isso significa que “adversários não invadem – eles logam-se”.
A aquisição de credenciais roubadas (incluindo cookies de navegador) é vendida por “corretores de acesso” (access brokers) em fóruns underground, que anunciam acesso a redes de pequenas e médias empresas, como firmas de contabilidade dos EUA com software fiscal ou pequenas empresas na Bélgica e Itália.
2.3 Business Email Compromise (BEC) e Phishing
O Business Email Compromise (BEC) é um problema substancial no segmento de pequenas e médias empresas. Embora não seja coberto no Active Adversary Report, a equipe de Resposta a Incidentes (IR) da Sophos estimou que, em 2023, os BECs foram identificados mais frequentemente do que qualquer outro tipo de incidente, exceto ransomware. BECs são usados para fraude, implantação de malware e roubo de credenciais.
O Sophos MDR aborda essas ameaças através do monitoramento 24/7 e da capacidade de integrar e responder a alertas em ambientes Microsoft 365. O serviço utiliza regras de detecção proprietárias e inteligência de ameaças para identificar atividades adversárias sofisticadas que podem contornar ferramentas de segurança da Microsoft, protegendo, por exemplo, contra BEC. Os analistas do MDR podem executar ações de resposta remotamente no Microsoft 365, como bloquear logins ou desabilitar regras de caixa de entrada suspeitas.
3. Vulnerabilidades Operacionais: Ameaças After-Hours e Evasão
As vulnerabilidades mais exploradas pelos adversários ativos não são apenas técnicas, mas sim falhas operacionais críticas, como a falta de cobertura 24/7 e o abuso de ferramentas confiáveis.
3.1 A Crise da Cobertura 24/7 e o Fator 88%
Os atacantes são estrategicamente inteligentes em relação ao tempo. Cerca de 88% dos ataques de ransomware remediados pelos Respondedores a Incidentes da Sophos começam fora do horário comercial regular (fora das 8h às 18h, de segunda a sexta-feira) na zona de tempo da vítima. Os criminosos exploram ativamente essa vulnerabilidade.
Essa lacuna é crítica, pois um terço (33%) das organizações de pequeno e médio porte não possui ninguém ativamente monitorando, investigando ou respondendo a alertas fora do horário comercial. A ausência de detecção e resposta imediata permite que o adversário progrida em seu ataque sem ser desafiado.
A principal proposta de valor do Sophos MDR é preencher essa lacuna, fornecendo monitoramento 24/7 e resposta por especialistas, garantindo que, mesmo que o ataque comece na noite de sábado, ele seja detectado e contido rapidamente. O MDR oferece um tempo médio de resposta (MTTR) de apenas 38 minutos, que é 96% mais rápido do que o índice de referência da indústria para equipes SOC internas.
3.2 O Abuso de Ferramentas de “Uso Duplo”
Outra ameaça que burla as ferramentas de segurança tradicionais é o abuso de software legítimo. Atacantes abusam de ferramentas de “uso duplo” para evitar detecções e tornar seus ataques mais fáceis, movendo-se lateralmente na rede e exfiltrando dados.
Essas ferramentas incluem software de acesso remoto (AnyDesk, ScreenConnect), utilitários de transferência de arquivos (FileZilla, WinSCP, Rclone) e ferramentas de compressão (WinRar, 7zip).
O Sophos MDR tem a expertise para diferenciar o uso legítimo do uso malicioso. Em incidentes tratados pelo Sophos MDR em 2023, ferramentas como AnyDesk e PsExec foram vistas em mais incidentes do que o Cobalt Strike. Isso demonstra que o Sophos MDR está focado em detectar os métodos de evasão que os atacantes realmente utilizam, e não apenas o malware conhecido.
3.3 Ameaças de Supply Chain e Evasão por Drivers
As pequenas empresas também devem se preocupar com a segurança dos serviços dos quais dependem, incluindo a infraestrutura de TI. Ataques à cadeia de suprimentos são uma parte duradoura do playbook de ransomware. A Sophos MDR respondeu a incidentes em que PMEs foram atacadas através da exploração de software RMM (Remote Monitoring and Management) de um provedor de serviços, culminando na implantação do ransomware LockBit em alguns casos.
A MDR aborda essa ameaça através da caça proativa e da vigilância 24/7. O monitoramento contínuo é necessário para detectar alertas de desativação da proteção de endpoint, que pode ser um sinal de que um atacante ganhou acesso privilegiado através de uma vulnerabilidade na cadeia de suprimentos.
Além disso, os adversários utilizam drivers vulneráveis ou drivers maliciosos com assinaturas digitais fraudulentas para evadir e desabilitar as defesas de malware. Por exemplo, uma versão vulnerável de um driver do Process Explorer da Microsoft foi usada várias vezes por operadores de ransomware, incluindo Medusa Locker e LockBit, em tentativas de desabilitar produtos de proteção de endpoint. O Sophos MDR, por meio de seus Detection Engineers e Threat Researchers, desenvolve e implanta continuamente novas detecções informadas por essas táticas evasivas.
4. A Abordagem Sophos MDR para a Mitigação de Ameaças
O valor do Sophos MDR reside em sua capacidade de mitigar essas ameaças sofisticadas através de uma estratégia multifacetada que combina tecnologia e expertise humana.
4.1 Expertise Humana Contra Ataques Liderados por Humanos
O MDR é essencialmente uma equipe de especialistas de segurança que detectam e respondem a ataques em seu nome. Os adversários ativos são altamente qualificados e adaptam suas técnicas em tempo real. Portanto, a detecção e resposta por analistas humanos é crucial para parar ataques que a tecnologia sozinha não consegue prevenir.
O Sophos MDR conta com mais de 500 especialistas em detecção e resposta a ameaças, apoiados por sete Centros de Operações de Segurança (SOCs) globais, garantindo a cobertura 24/7. Essa equipe inclui Threat Hunters que realizam caça proativa a ameaças, encontrando ameaças evasivas que ferramentas sozinhas ignoram.
O MDR também inclui Resposta a Incidentes em Escala Total Ilimitada (no caps or extra fees), garantindo que os adversários sejam completamente eliminados e que a Análise da Causa Raiz seja determinada para evitar futuras ocorrências.
4.2 Visibilidade Estendida para Detecção Completa
As PMEs enfrentam a dispersão de dados (siloed data) e o tool sprawl, onde ferramentas díspares causam complexidade e ruído. O Sophos MDR resolve isso consolidando a saída de produtos de segurança díspares em uma única plataforma.
O Sophos MDR utiliza uma plataforma AI-native que coleta, filtra e correlaciona dados de uma extensa gama de ferramentas. Com mais de 350 integrações tecnológicas, ele pode alavancar os investimentos existentes do cliente, ingerindo telemetria de endpoints de terceiros (CrowdStrike, SentinelOne), firewalls (Palo Alto, Fortinet), plataformas de nuvem (AWS, Google Cloud) e soluções de identidade (Okta). A integração do Firewall, XDR e NDR da Sophos é um diferencial que maximiza a visibilidade, abordando ataques multiestágio que começam em uma área e terminam em outra (como credenciais roubadas usadas para movimento lateral).
4.3 Imunidade Comunitária e Confiança de Mercado
A vasta base de clientes do Sophos MDR (mais de 30.000 organizações) proporciona uma “imunidade comunitária” (community immunity). A inteligência adquirida ao defender um cliente de um novo tipo de ataque ou tática de evasão é automaticamente aplicada aos demais com perfil similar, prevenindo proativamente ataques semelhantes.
Essa eficácia é reconhecida pelo mercado: Sophos foi nomeada Customers’ Choice da Gartner Peer Insights para MDR em 2024, sendo a fornecedora mais bem avaliada (4.9/5.0) e com maior número de avaliações (342 ou 344). O MDR é uma das soluções destacadas pela Sophos para parar ataques de ransomware e para atender aos requisitos de seguro cibernético.
5. Resultados de Negócios: Redução de Riscos e Otimização de Custos
A mitigação das ameaças listadas acima não é apenas uma questão técnica; é um imperativo de negócios, especialmente para as PMEs, onde um incidente pode levar ao fechamento.
5.1 Otimização da Posição de Seguro Cibernético
A implantação do Sophos MDR tem um impacto direto na capacidade da PME de obter e manter um seguro cibernético favorável. Insuradoras veem o monitoramento 24/7 e as capacidades de detecção e resposta como o padrão ouro.
Organizações que utilizam serviços de MDR registram valores de sinistros que são, em média, 97.5% mais baixos do que aquelas que dependem apenas da proteção de endpoint ($75K versus $3M). Essa redução no potencial de perda torna as organizações habilitadas para MDR “Tier 1” para as seguradoras.
Além disso, a assinatura Sophos MDR Complete inclui a Garantia de Proteção Contra Violações (Breach Protection Warranty), que fornece cobertura financeira de até $1 milhão para despesas de resposta qualificadas.
5.2 A Resposta à Crise de Habilidades
Um dos principais fatores que tornam as PMEs vulneráveis é a falta de expertise especializada em segurança. O Sophos MDR resolve isso ao fornecer acesso rápido a expertise de diversas disciplinas. O serviço permite que as PMEs expandam suas capacidades de segurança sem a necessidade de aumentar a folha de pagamento, eliminando o desafio de contratar, treinar e reter analistas de segurança.
Ao assumir o fardo da caça a ameaças e da investigação 24/7, o MDR aumenta a eficiência de TI, permitindo que as equipes internas, onde 96% consideram as operações de segurança desafiadoras, se concentrem em iniciativas estratégicas, em vez de passar tempo “apagando incêndios” cibernéticos.
O MDR da Sophos é ideal para organizações de todos os tamanhos que buscam aprimorar a cibersegurança, especialmente aquelas com recursos limitados e que precisam de tempos de resposta aprimorados a ameaças.
Conclusão: Fortificando a Rua Principal com o Sophos MDR
As pequenas empresas estão na linha de frente dos ataques mais sofisticados: ransomware liderado por humanos (como LockBit), roubo de credenciais em massa (stealers) e exploração de vulnerabilidades temporais (o fator 88%). Os criminosos contam com a falta de pessoal e a lentidão na resposta.
O Sophos MDR, sendo o serviço MDR mais amplamente utilizado e confiável do mundo, é a resposta direta a essas ameaças. Ele transforma a segurança reativa em uma defesa proativa e orientada a resultados, garantindo que a resposta a ameaças seja medida em minutos (MTTR de 38 minutos), e não em dias.
A SN Informática, sua parceira especialista Sophos, está pronta para implementar essa fundação de segurança completa, que integra Firewall, MDR, XDR e NDR [Informação do query], fornecendo:
- Defesa Ininterrupta 24/7: Neutralizando o risco do fator 88%.
- Expertise Imediata: Adicionando analistas, caçadores e respondedores para deter ataques evasivos.
- Mitigação Financeira: Reduzindo o risco de sinistros em 97.5% e otimizando a cobertura de seguro cibernético.
A chave para defender as PMEs é provar que as suposições dos sindicatos criminosos estão erradas. O Sophos MDR, gerenciado pela SN Informática, garante que sua empresa tenha a defesa de nível superior que os adversários menos esperam.
Próximos Passos:
Sua pequena empresa está protegida 24/7 contra ransomware e roubo de credenciais?
Não deixe que seu negócio se torne parte da estatística de $2.73 milhões. A SN Informática é seu parceiro especialista para implementar o Sophos MDR e garantir que sua organização tenha especialistas de elite vigiando seus ativos.
Fale com um especialista da SN Informática hoje mesmo e blinde seu negócio contra as principais ameaças cibernéticas:
