segunda-feira, 9 de junho de 2014

Ajuste de foco

Renato Maia*


Independentemente dos aparatos de segurança, APTs são complexas, direcionadas. Por trás dessas ameaças estão  profissionais engajados e, em muitos casos, financiados por nações. ¨Se os chineses são APT1, a NSA, segundo as revelações de Snowden, merece o posto de APT0¨. 


APT, Ameaça Persistente e Avançada, é o acrônimo da moda na área de segurança da informação. Usado e abusado pelo marketing de fornecedores da área, teve sua origem e valor ofuscados no processo. Na essência, APT representa uma nova categoria de ameaças aos sistemas digitais de empresas e governos e tem valor ao nos permitir visualizá-la, em contraste às tradicionais ameaças “comoditizadas” do passado recente.

Afinal, não é possível enquadrar o infame vírus ILOVEYOU, que infectou milhares de computadores pessoais Windows no ano 2000, com o avançado Stuxnet, o software malicioso descoberto em 2010 e parte fundamental de uma complexa operação com objetivo de atrasar o programa nuclear iraniano. ILOVEYOU era superficial, trivial, porém abrangente, de massa. Stuxnet, profundo e complexo, tinha apenas um único alvo de interesse: sistemas de controles usados em Usinas Nucleares do Irã.

Por trás de uma APT existem atores motivados, profissionais, engajados e, em muitos casos, financiados por nações. Um interessante relatório divulgado em 2013, pela empresa norte-americana Mandiant, intitulado APT1 – Exposing One of China Cyber Espionage Unit – é um marco para o termo. Nele a empresa “aponta o dedo”, responsabilizando uma divisão do exército chinês como a responsável direta por ataques e intrusões cibernéticas a pelo menos 141 empresas e organizações Ocidentais, com roubo de 6,5 Terabytes de informações em um período de 7 anos.

Diversos elementos são apresentados como sustentação da acusação, incluindo modo de operação similar, recursos utilizados, origem dos ataques e, até mesmo, uma forte correlação entre os setores econômicos das empresas vítimas e a lista de setores estratégicos ao crescimento chinês, destacados no 12º Plano Quinquenal deste país.

Mais recentemente, em maio de 2014, um júri nos EUA condenou cinco militares chineses por crimes digitais contra várias empresas ocidentais como Alcoa, US Steel, SolarWorld e Westinghouse, para citar algumas vítimas. Os militares aparecem hoje na lista de “Procurados” por crimes digitais do FBI e o episódio tem causado constrangimentos e preocupações diplomáticas.

 “Getting the ungettable” 

Quem é da área sabe que em TI contamos sempre a partir do zero, não do um. Lembrando disto, achei curioso a Mandiant atribuir aos chineses, em fevereiro de 2013, o termo APT 1. Alguns meses depois, em Junho de 2013, Edward Snowden veio a público revelar o enorme aparato de monitoramento e espionagem online do governo norte-americano via NSA. Claramente demonstrando ao mundo que, se os chineses são APT1, a NSA merece o justo posto de APT0.

Chamou atenção, em especial, o catálogo de serviços do TAO – o grupo de acesso sob-medida – da NSA. Parece filme do 007. O slogan do grupo é “getting the ungettable” e, uma breve análise das tecnologias à disposição no catálogo torna impossível achá-lo exagerado. “DeityBounce”, por exemplo, é o nome de um “implante” de software para servidores Dell PowerEdge – linha extremamente comum e possivelmente presente em enorme percentual de Data Centers mundo afora. Uma vez implantado, sobrevive até a atualização de BIOS do servidor. Periodicamente, busca instruções em um centro de comando online, secretamente.


Junto com o lançamento do livro “No Place to Hide”, do jornalista Glenn Greenwald que recebeu em primeira mão os documentos do Snowden, alguns novos arquivos foram liberados. Um deles mostra fotos de uma operação denominada “Supply Chain Interdition” – interdição na cadeia de suprimentos. Na foto, operadores da NSA abrem caixas de equipamentos de TI novos, em trânsito para serem entregues aos seus novos donos, realizando os “implantes” necessários. Um espanto.

Como disse um colega, CSO de uma grande empresa: “...vontade de desistir”. Na era pré-APT, segurança da informação era um conceito relativo. Quando o seu carro é o único com alarme em uma rua pouco iluminada, as chances de você ter o som roubado são muito pequenas. Efeito similar existia no mundo digital. Se as medidas preventivas de uma grande empresa industrial eram superiores à média do seu setor, sua probabilidade de virar vítima de um ataque digital externo era baixa. Pós-APT, não mais. Sua empresa pode ser o alvo escolhido de determinado adversário. Neste caso, não importa se sua grama é mais verde que a do vizinho. O adversário te escolheu, e persistirá, alterando técnicas e táticas até obter sucesso. Evidente que, neste novo cenário, as estratégias de defesa e resposta precisam mudar.





* Renato Maia é sócio-fundador e diretor técnico do Grupo TechBiz

terça-feira, 3 de junho de 2014

Não se pode controlar aquilo que não se vê


"Dados! Dados! Preciso de dados! Não posso fazer tijolos sem barro!", Sherlock Holmes
Luiz Henrique Borges

 "É um erro capital teorizar antes de ter os dados", Sherlock Holmes

 Em suma, um detetive só é bom se tiver dados para realizar uma investigação. Efetivamente, essa máxima vale para segurança da informação. Só temos sucesso na mitigação de riscos ou na investigação de incidentes se tivermos dados. De forma prática, em um processo de investigação procuramos responder ao que chamamos de five Ws – “Who, What, Why, Where, and When” – Quem, O quê, Por quê, Onde e Quando. Portanto, é extremamente importante a utilização de soluções que nos permitam capturar, armazenar e analisar as informações quando necessário.

Dentro da linha de produtos disponíveis no mercado, vamos destacar hoje o SIEM. Do inglês SIEM deriva de Security Information and Event Management, uma solução que permite que os eventos gerados por diversos ativos sejam coletados, normalizados, armazenados e correlacionados.



SIM e SEM de forma separada
SIM - Security Information Management:

Coleta de log, arquivamento, forense e relatório do passado
SEM – Security Event Management:

Coleta de log, normalização, correlação, agregação e relatório em tempo real


SIM + SEM = SIEM
Coleta de log
Normalização
Correlação
Agregação
Relatório


Soluções de SIEM são implementadas para entregar avaliação automatizada de riscos, mitigação de ameaças, detecção de fraudes, monitoramento de conteúdos, aplicações e atividades, conformidade, integração com ferramentas de gestão de negócios y otras cositas más. Porém, antes de implementar uma solução desta em seu ambiente corporativo, é preciso ter em mente que alguns pré-requisitos básicos devem ser respeitados para um melhor aproveitamento do produto.

Certifique-se de que todos os ativos são capazes de gerar mensagens de logs

  • Envie os logs através de um túnel criptografado para evitar que informações sensíveis sejam lidas por pessoas não autorizadas
  • Programe formas de controle de acesso, principalmente para evitar ataques de negação de serviço( DoS – denial of service)
  • Sincronize a data e hora de todos os ativos através de um servidor de hora confiável
  • Programe políticas de armazenamento dos logs como, tempo de retenção, compactação e encriptação
  • Trate as exceções


Outro ponto importante é saber quais informações são realmente relevantes e devem ser mantidas em foco. Você não deve simplesmente enviar todos os logs de um ativo. Sendo assim, seguem algumas sugestões do que é crítico e deve ser olhado:

  • Autorização e autenticação
  • Alteração em sistemas e dados críticos
  • Atividades de rede suspeitas
  • Acesso a recursos importantes
  • Atividades de malware
  • Falhas ou erros críticos


Lembre-se: O excesso de logs pode trazer problemas de performance aos ativos, aumentar a carga de rede e tornar difícil a extração de informações.

Finalmente, de nada adianta toda essa parafernália tecnológica se não tivermos processos desenhados e pessoas treinadas para tratar de forma adequada os incidentes. Como exemplo, podemos citar o caso Target em que diversas ferramentas detectaram atividades suspeitas que foram completamente ignoradas pelas equipes de segurança.

 *Luiz Henrique Borges é consultor forense na TechBiz Forense Digital. Especialista na solução RSA Security Analytics, possui as seguintes certificações: RSA Certified SE Professional in Security Analytics, CompTIA Security+, RHCE, RHCSA, LPIC-1, NCLA e NDTS.