Dwell Time: um importante indicador para minimizar danos

Autor: Max Silva E Souza Rahmann, Pre Sales Solutions Architect da SEK

Em termos de cibersegurança, um indicador que atualmente se tornou bastante relevante é o “Dwell Time”, em tradução livre, tempo de permanência, que pode ser entendido de duas formas:

1. Tempo em que um atacante transita em uma rede ou sistema, desde que houve o comprometimento inicial desses, até a detecção por uma equipe ou solução de monitoramento. Essa visão é compartilhada por empresas de segurança como Fireeye, Crowdstrike, entre outras. Neste caso, o consideramos, como parâmetro, o MTTD (Mean Time To Detect), que é o tempo levado para se descobrir um provável incidente.
2. Período entre o comprometimento inicial a um sistema ou rede, por um atacante, e a completa remoção desta ameaça, de tal ambiente. Essa interpretação é feita por empresas como Armor e Raytheon. Para tal definição devemos consideramos o MTTR (Mean Time To Respond), que representa o tempo para remediar e/ou erradicar (contenção ou remediação) a ameaça, após sua descoberta.

Ambas as visões de “Dwell Time” levam em conta um padrão de ameaças seguindo o Framework Lockheed Martin Cyber Kill Chain, que serve como um modelo de identificação e prevenção de atividades de intrusão aos ativos de um usuário individual ou de uma empresa.

O Dwell Time costuma ser medido em dias, para médias globais, ou então, em minutos e até segundos, no caso de um ataque pontual. Também há classificações de Dwell Time que podem ser baseadas em segmentos, tamanho das empresas, bem como país, continente envolvido, tipo de ameaça, origem do ataque (externo ou “insiders”) e até tipo de ambiente.

A seguir, o Dwell Time (seguindo a interpretação de detecção, ou MTTD) médio global registrado anualmente, conforme relatório da empresa Mandiant*, de 2024:

• 2011: 416 dias;
• 2012: 243 dias;
• 2013: 229 dias;
• 2014: 205 dias;
• 2015: 146 dias;
• 2016: 99 dias;
• 2017: 101 dias;
• 2018: 78 dias;
• 2019: 56 dias;
• 2020: 24 dias;
• 2021: 21 dias;
• 2022: 16 dias;
• 2023: 10 dias.

A partir de 2015 também passou a ser reportada, para estudos, a distinção entre notificação de ameaça externa e detecção interna, ainda de acordo com a empresa Mandiant*:

• 2015: 320 dias (externa) e 56 dias (interna);
• 2016: 107 dias (externa) e 80 dias (interna);
• 2017: 186 dias (externa) e 57,5 dias (interna);
• 2018: 184 dias (externa) e 50,5 dias (interna);
• 2019: 141 dias (externa) e 30 dias (interna);
• 2020: 73 dias (externa) e 12 dias (interna);
• 2021: 28 dias (externa) e 18 dias (interna).

A detecção interna ocorre quando uma organização descobre, de forma independente, que foi comprometida por um ataque, por meio de alertas de seus ativos de segurança ou pela notificação de seu pessoal interno, quando percebe uma atividade suspeita.

A detecção externa vem de uma entidade de fora da empresa vítima, como agência, fabricante ou parceiro de mercado, que informa a organização que esta foi comprometida. Em alguns casos, a informação pode partir do próprio atacante, como por exemplo em uma notificação típica de ataque de Ransomware.

A detecção interna de uma empresa é voltada apenas ao seu ambiente e, por isso, tem a capacidade de atingir um Dwell Time menor. Já a detecção externa tem um propósito mais abrangente ao universo de clientes, como na identificação de ameaças emergentes.

Em 2011, conforme relatório da empresa Mandiant*, apenas 6% das detecções eram de origem interna. Já em 2023, essa fatia subiu para 46%, sugerindo uma consequência pelo aumento de investimento e maturidade em cibersegurança nas organizações.

• 2011: 94% (externa) e 6% (interna);
• 2012: 63% (externa) e 37% (interna);
• 2013: 67% (externa) e 33% (interna);
• 2014: 69% (externa) e 31% (interna);
• 2015:53% (externa) e 47% (interna);
• 2016: 47% (externa) e 53% (interna);
• 2017: 38% (externa) e 62% (interna);
• 2018: 41% (externa) e 59% (interna);
• 2019: 53% (externa) e 47% (interna);
• 2020: 41% (externa) e 59% (interna);
• 2021: 47% (externa) e 53% (interna);
• 2022: 63% (externa) e 37% (interna);
• 2023: 54% (externa) e 46% (interna).

De qualquer forma, quando falamos em Dwell Time médio, isto é apenas um indicador de tendência e não serve para garantir que as empresas estarão definitivamente protegidas, inclusive de ataques complexos. Se considerarmos os ataques individualmente (ao invés dos medianos), há casos, nos últimos anos, de Dwell Times maiores que 700 dias, o que nos ratifica a ideia de que “bastaria um único ataque bem-sucedido” para destruir a reputação de um SOC (Security Operations Center) e, junto, a empresa vítima. Ainda assim, para entendermos a importância de se medir o Dwell Time, seguem os motivos:

• A medição deste tempo, referente aos ataques passados pode trazer tendências de TTPs (Tactics, Techniques, and Procedures) usadas pelos atacantes e ajudar a ajustar as estratégias de segurança para aumentar a defesa contra ameaças semelhantes;
• Evidenciar possível lentidão dentro de planos de resposta a incidentes;
• Indicação de vulnerabilidades na infraestrutura da empresa, que precisam ser tratadas de forma urgente, auxiliando na priorização de investimentos e alocação de recursos;
• Parâmetro para se fazer uma gestão de risco adequada, apoiando a melhor tomada de decisões;
• Um caso emblemático em que o Dwell Time elevado contribuiu para um ataque de grandes proporções foi o de varejista americano Target, quando sofreu um ataque de vazamento de dados de cartões de créditos, em 2013, atingindo 40 milhões de clientes. O atacante teve acesso à rede da vítima por aproximadamente duas semanas até a detecção ocorrer. Durante esse período houve massiva exfiltração dos dados sensíveis de clientes. O Dwell Time foi diretamente proporcional ao impacto causado à empresa. Se o atacante fosse detectado cedo, a exposição de dados seria bastante reduzida, senão nula.
• Há várias iniciativas (mutualmente includentes) para a redução do Dwell Time:
  -Assessments de cibersegurança regulares;
  -Ferramentas de segurança (como EDR, XDR e outras) consagradas, que trazem baixo percentual de falso positivo/negativo, baixo tempo de resposta e outros parâmetros importantes.
  -Segmentação de rede, a fim de limitar um movimento lateral pelo atacante e restringir a ameaça a tal área;
  -Plano de resposta a incidente revisado e melhorado;
  -Uso de automatização, atrelada ao monitoramento de incidentes, como no caso de SOAR e EDR;
  -Política/solução de acessos dos usuários baseada em privilégio e identidade;
  -Testagem de segurança (pentest, phishing test, table top etc) recorrente;
  -Threat Hunting, implicitamente proativo (independente de alarmes disparados), que inclui a busca por IoCs, Indicators of Compromise;
  -Gestão de Patches, para eliminar vulnerabilidades sistemáticas;
  -Emprego de inteligência artificial, para agilizar o a detecção de eventos suspeitos pelo SOC.

Lançar mão de diversas ações simultâneas pode parecer, à primeira vista, um exagero, porém se analisarmos o tempo recorde de e-crime bem-sucedido atualmente, de 2 minutos e 7 segundos**, é inevitável pensarmos em uma estratégia de segurança em camadas e na melhoria contínua. Este alarmante tempo nos lembra que a real batalha é uma constate corrida entre o atacante e a vítima; entre invasão, pelo primeiro; e detecção e remediação, pelo segundo. Ainda, de acordo com o “10th annual Global Threat Report”**, a Crowdstrike também informa a média registrada para 2022 e 2023, respectivamente 79 minutos e 62 minutos. É importante fazermos a clara distinção entre tempo recorde e tempo médio de e-crime bem-sucedido. A média deve nos indicar um padrão evolutivo enquanto o tempo recorde deve provocar a reflexão quanto ao potencial destrutivo de uma ameaça real e o apetite a risco a ser considerado por uma empresa que vislumbra o “pior caso”.

* https://www.mandiant.com/m-trends

** https://go.crowdstrike.com/rs/281-OBQ-266/images/GlobalThreatReport2024.pdf