Uma questão de inteligência

Neste paper, livremente traduzido pela TechBiz Forense Digital, o diretor de cibersegurança e serviços de investigação da Nuix, *Stuart Clarke mostra como a inteligência (humana e tecnológica) pode alterar a relação 80:20 nas investigações digitais. Segundo ele, os analistas gastam 80% do seu tempo encontrando dados e apenas 20% analisando esses dados. É preciso inverter essa lógica desenvolvendo conhecimento, experiência e expertise na resposta a incidentes de segurança 


Quanto mais rápido os investigadores da área de cibersegurança forem capazes de deter as brechas que permitem o vazamento de dados, menos custos e danos terá uma companhia. Ser capaz de acessar inteligência para alavancar uma investigação garante aos investigadores economia de tempo na pesquisa e, melhor ainda, na análise e resolução de problemas. Mas, de onde vem essa tecnologia? 

Saber onde procurar e quais perguntas fazer em uma investigação, a partir do conhecimento e experiência do investigador é parte essencial da chamada inteligência. No entanto, são poucos os que possuem essa habilidade e a crescente demanda por investigação digital pode tornar altos os custos desse serviço. As organizações precisam, de algum modo, encapsular esse conhecimento especializado e transformá-lo em um framework de tecnologia. A tecnologia, por sua vez, deve preencher duas funções essenciais: 

  • Entregar acesso abrangente e detalhado ao conteúdo dos repositórios de dados e artefatos forenses de todas as fontes de evidência relevantes. 
  • Aplicar inteligência para eliminar itens irrelevantes e focar em pistas vitais do incidente que está sendo investigado. 


Este paper analisará como este framework tecnológico pode mostrar-se vantajoso ao investigar dois cenários comuns: 
  • Uma brecha interna de segurança, identificando rapidamente os artefatos forenses que mostram onde um arquivo de interesse foi acessado, quando e por quem. 
  • Um ataque externo ao servidor web, decodificando e identificando entradas de logs que indicam ataque SQL injection. 


Também discutiremos como os responsáveis pelas respostas aos incidentes de cibersegurança podem incorporar alimentadores de inteligência de terceiros para, posteriormente, aprimorar o processo investigativo. Com esses multiplicadores de inteligência, os investigadores estão muito melhor posicionados identificar as brechas antes que elas se tornem de fato importantes e contê-las antes que se tornem um grande problema. 

INTELIGÊNCIA E CIBERSEGURANÇA 

O conceito de inteligência no suporte da cibersegurança tornou-se uma buzzword; todo mundo precisa disso ou quer vender isso. Não obstante, a inteligência utilizada de forma apropriada para orientar decisões pode ser uma parte crítica da capacidade de cibersegurança de uma organização. Como os analistas de cibersegurança podem despender menos tempo pesquisando e garantir mais tempo na detecção e mitigação dos incidentes? Com inteligência! 

Inteligência é gerar conhecimento sobre dado bruto. A comunidade de inteligência possui uma máxima de que os analistas gastam 80% do seu tempo encontrando dados e apenas 20% analisando esses dados. Aplicar inteligência para reduzir o tempo gasto em pesquisa e garantir mais tempo para a análise, pode aumentar consideravelmente a velocidade com que os analistas de cibersegurança podem resolver os problemas. 

Bem utilizada, a inteligência pode poupar dinheiro e proteger a reputação das organizações e seus bens. Uma pesquisa do Instituto Ponemon com 350 organizações em 11 países revelou que o custo médio anual dos incidentes com cibercrime é de US$ 3,8 milhões por organização ou US$ 154 por registro roubado. 

Segundo o relatório, os ataques maliciosos levam em média 256 dias para serem identificados e 82 dias para serem contidos. Vazamento de dados causados por erro humano levam em média 158 dias para serem encontrados e 57 dias para serem resolvidos. Os pesquisadores encontraram estatísticas significativas entre o tempo gasto para se identificar e conter as brechas de segurança e os custos gerais para uma organização. Em outras palavras, o quão mais rápido uma organização resolva um incidente, menor é o seu prejuízo. 

O Relatório do Instituto Ponemon (Live Threat Intelligence Impact Report) descobriu que, se as organizações possuírem inteligência acionável sobre os ataques cibernéticos nos primeiros 60 segundos do comprometimento, elas podem reduzir o custo total da brecha em 40%, em média. 

Identificar ameaças e alertar os tomadores de decisão em uma companhia em um tempo razoável é um elemento chave para se reduzir os efeitos das ameaças cibernéticas. No Relatório do Instituto Ponemon, 84% dos entrevistados disseram que o maior problema com a inteligência contra as ameaças é a dificuldade em disseminar essa inteligência aos principais públicos de interesse. 

Uma grande razão é que os analistas de cibersegurança e os investigadores se deparam com um grande volume de informações que devem ser coletado e analisado; preenchendo facilmente 80% do seu tempo. De acordo com um relatório, 5.998.685 novas linhagens de malware emergiram em 2014, um aumento de 77% em relação ao ano anterior. Na segunda metade de 2014, os pesquisadores descobriam um novo tipo de malware, em média, a cada 3,75 segundos. 

Então, como os analistas de cibersegurança podem despender menor tempo pesquisando e mais rapidamente detectarem incidentes e informando os tomadores de decisão sobre as suas opções de mitigação? Com inteligência! 

Os números do cibercrimes

  • US$ 3,8 milhões por organização é o custo gerado por incidentes de segurança
  • 256 dias é o tempo médio para se identificar um ataque
  • 5.998.685 novas linhagens de malware emergiram em 2014


CONSTRUINDO INTELIGÊNCIA EM CIBERSEGURANÇA 


Como a inteligência pode ajudar a acelerar as investigações de resposta a incidentes? Considere a forma como os investigadores da polícia responderiam a um incêndio criminoso ou a um roubo. Ambas as situações envolveriam entrevistas com as testemunhas e exames das câmeras de segurança. Ambas envolveriam coletar dados, desenvolver uma hipótese e testar tal hipótese contra a evidência disponível. Mas a forma como os investigadores aplicam essa metodologia muda dependendo de seu conhecimento e experiência sobre a evidência requerida para provar ou não um caso. 

Por exemplo, em um incêndio criminoso é preciso olhar para a origem, a causa que levou o fogo a espalhar, enquanto a investigação de um roubo focaria no ponto e no método de entrada e em evidências como impressões digitais, de pegada, marcas de uso de ferramentas, fibras e sangue.

Aplicar conhecimento e saber fazer as perguntas corretas requer experiência e conhecimento. Compartilhar essa inteligência pode apenas ajudar outros investigadores a solucionarem crimes rapidamente. 

Contrate mais especialistas 

Entender para onde olhar, que perguntas fazer e outros truques que podem acelerar análises investigativas é algo que se obtém com vivência, prática. A solução óbvia, no caso da cibersegurança, é que as organizações contratem profissionais experientes que possam aplicar seu conhecimento para identificar, investigar e resolver brechas de segurança. 

O problema é que não existem tantos experts assim no mercado. Uma pesquisa global com membros da ISACA, uma associação de profissionais de governança de TI, revelou que 86% dos entrevistados acreditam que há escassez de profissionais qualificados de cibersegurança. Mais de um terço dos entrevistados (34%) disse que pretende contratar equipe de cibersegurança em 2015 mas esperava encontrar dificuldade – apenas 3% disseram que facilmente conseguiriam encontrar candidatos qualificados. 

Na ausência de especialistas rapidamente disponíveis, de qual outra forma podemos construir capacidade analítica? 

Soluções tecnológicas 

Tecnologia é definitivamente parte da solução, mas também cria um dos maiores problemas para os investigadores digitais: a forma com que o conjunto de dados de uma organização cresce rapidamente e se altera frequentemente. Isso dificulta saber exatamente onde os dados importantes estavam armazenados e quem tinha acesso a eles no momento em que uma brecha acontece. Sem esse conhecimento seria extremamente difícil, por exemplo, mapear o caminho de números de cartões de crédito que vazaram devido a ação de um malware instalado em caixas registradores até credenciais de rede roubadas por um fornecedor de ar-condicionado. 

Tecnologias de governança de informação estão crescendo em popularidade graças à sua habilidade em oferecer conhecimento detalhado de repositórios de dados e seus conteúdos. Essas tecnologias podem rastrear informações de alto risco armazenadas em locais acessíveis a pessoas que não necessitam delas para realizar o seu trabalho, ou mesmo acessíveis ao público em geral. Isso garante a oportunidade de remediar questões de vazamento de dados antes que uma brecha ocorra ou informar aos investigadores os primeiros locais em que eles devem procurar por dados perdidos. 

Combine tecnologia e experiência humana

Considere uma atividade típica que pode levar a uma brecha de segurança, tais como navegar pela rede. Analistas de forense digital já aprenderam como e onde os web browsers e sistemas operacionais armazenam os artefatos relacionados à atividade de navegação. Eles sabem quais desses artefatos podem oferecer pistas e sobre client-side, browser hooking ou ataque man-in-the middle. Eles também sabem que os atacantes devem se preocupar em ocultar os seus rastros e quais artefatos são mais difíceis de manipular ou destruir. 

Analistas forenses em comunidades, geralmente, compartilham essa inteligência entre si. Mas e se esse conhecimento for encapsulado e utilizado para automatizar e aprimorar o processo de investigação de brechas? 

Por exemplo, se os investigadores sabem que podem contabilizar e seguramente ignorar 90% dos artefatos que são gerados durante uma navegação web, eles podem aplicar essa inteligência em uma tecnologia de forense digital e resposta a incidentes? Isso permitiria que 90% de uma investigação fosse realizada por uma máquina, deixando o remanescentes 10% para um humano. Em outras palavras, estamos começando a mudar a relação de 80:20 da relação procura e análise. 


APLICANDO INTELIGÊNCIA PARA A RESPOSTA A INCIDENTES


Para explicar como você pode usar a inteligência a favor da resposta a incidentes, este paper trabalhará com dois cenários: 

  • Um agente malicioso interno acessou e extraiu dados confidenciais da empresa 
  • Um atacante tem explorado um servidor externo web para extrair material sensível 


Roubo de dados interno 

Neste cenário um atacante interno acessou e extraiu dados sensíveis e confidenciais de dentro da organização. O responsável por responder a este incidente parece estar interessado em artefatos forenses associados a um usuário acessando arquivos, bem como dados associados a formas de extrair tais dados como email, armazenadores USB e armazenadores em nuvem. O investigador também deve estar interessado em explorar evidências do intruso conspirando com os outros para esconder suas ações. 

Quando um usuário acessa um arquivo, o sistema operacional gera vários artefatos que documentam a ação. Isso é verdade em todos os sistemas operacionais. Na comunidade de investigadores, é de conhecimento comum onde encontrar a maioria desses artefatos. Nos sistemas Microsoft Windows, as típicas localizações incluem o Windows Registry, Windows Prefetch, atalhos Windows (arquivos LNK) e arquivo de acesso a registros Windows Explorer. Em sistemas operacionais Mac OS, arquivos de listas específicas de propriedades (.plist) são uma fonte de informações forenses importante. Os mesmos princípios se aplicam para os dispositivos USB, embora eles gerem artefatos diferentes. 

No entanto, encontrar a evidência relevante não é tão simples como inspecionar alguns artefatos. Cada um deve ser interpretado no contexto do incidente. Alguns desses artefatos, como listas MRU e chaves UserAssist no Windows Registry, armazenam uma grande número de entradas. Pode levar um longo tempo para um investigador agrupar manualmente os artefatos relevantes e extrair inteligência substancial. 

A Nuix alimentou o seu software com inteligência, para que o investigador possa deixá-lo fazer o trabalho por ele e assim possa focar em oferecer o contexto para a evidência, o que é uma parte muito importante de uma análise baseada em inteligência. Encontrar evidências de que um usuário em particular acessou um arquivo ou conectou um dispositivo USB é um começo importante de uma investigação. Mas o que aconteceu imediatamente antes ou depois de eventos notáveis? Quais dados estão associados a este evento baseados em atributos comuns e relacionamentos? 

O Nuix Incident Response possui uma nova interface de contexto para ajuda-lo a responder essas exatas questões. Ele automaticamente aplica inteligência pré-definida de forma que evidências-chaves venham à tona. Ele então dá poder ao analista para entender o contexto acerca da atividade. 

Usando a interface de contexto, em apenas alguns cliques você pode achar a evidência de um usuário conectando um drive USB a um sistema ao examinar os artefatos agrupados sob “Device Access” (Acesso ao Dispositivo – veja Figura 1). 

Figura 1:  a interface de contextualização do  Nuix Incident Response utiliza inteligência para agrupar itens relevantes


Ao selecionar um evento de interesse, o investigador pode usar a função Pivot para rapidamente estabelecer o que aconteceu depois que o dispositivo USB foi conectado (veja Figura 2). O Nuix Incident Response pode construir uma atividade cronológica no computador onde a atividade inicial apareça. Pode inclusive construir a atividade cronológica por entre muitos computadores e outras fontes de evidência. Assim, os investigadores conseguem rapidamente obter um entendimento amplo dos eventos, incluindo arquivos acessados ou lançados, tráfego de rede e atividades de email e de internet. 



Figura 2: A função pivot cria uma cronologia dos eventos relacionados ao incidente


Na Figura 3 vemos as ligações traçadas entre alguns artefatos. O Nuix Incident Response automaticamente faz ligação entre os itens a partir de critérios que incluem texto, sistema de arquivo, atributos, endereço IP e endereço de email e outras conexões. Nesse caso, os links agrupam vários arquivos de sistema para oferecer detalhes sobre onde um arquivo de interesse foi acessado, quando e por quem. 


Figura 3: Nuix Incident Response automaticamente associa itens relacionados


Ataque web externo 

Respondendo ao cenário de um atacante explorando externamente um servidor web para extrair material sensível, um profissional de resposta a incidentes deve focar em diferentes artefatos, predominantemente arquivos de log. Os logs contam uma história de uma atividade mas são bem “verborrágicos”. Além disso podem ser complicados e consumirem bastante tempo para serem examinados. 

Um exploit comum contra um servidor web é um ataque SQL injection. Isso envolve executar dados maliciosos contra uma interface web pouco segura com a intenção de extrair informações sobre uma base de dados back-end a qual o servidor web está conectado. Isso pode permitir que um atacante extraia, por exemplo, dados privados, financeiros e de saúde desta base de dados. 

Na maioria das vezes, os profissionais de resposta a incidentes sabem como se parecem essas consultas maliciosas e como encontrá-las em arquivos de logs. Em nossa experiência, no entanto, percebemos que os atacantes agora tendem a codificar essas consultas, o que torna as tradicionais buscas por palavras-chaves ineficazes. 

A inteligência coletiva dos especialistas da Nuix capturou essa informação. Como resultado o Nuix Incident Response primeiro decodifica qualquer consulta codificada antes de aplicar pesquisas por ataques SQL injection (veja Figura 4). Ele então apresenta apenas os logs de entradas relevantes ao investigador (veja Figura 5). 



Figura 4: Os resultados de decodificação de uma query SQL injection. 
Figura 5:  Uma lista filtrada com as entradas de logs mostrando os ataques  SQL injection . 


Inteligência de terceiros 


Informações sobre ameaças cibernética tornam possível aumentar o nosso próprio conhecimento com a experiência de outros da comunidade. Fontes populares de informação incluem: 

  • Serviços de análise online de malware tais como VirusTotal (www.virustotal.com) que oferecem um ótimo conhecimento sobre ameaças conhecidas e softwares maliciosos. Este serviço gratuito agrega informações sobre malware e websites perigosos de mais de 100 software de fabricantes de antivirus e mecanismos de verificação de website. Para cada item de malware identificado, o site tem hashes MD5 ou arquivos, endereços IP associados e URLs, e classificações do nível de risco do item. 
  • Repositórios de listas difusas de hashs (tais como a coleção da National Software Reference Library) que são outras formas de identificar arquivos de malware executáveis. Essas tem vantagens sobre os hashes MD5 por analisar partes pequenas de cada arquivo. Torna possível identificar arquivos que são substancialmente similares, mas não idênticos, tais como malware que se modificam ao se replicarem. 
  • Regras YARA são outra forma de identificar malware. Analistas de cibersegurança e pesquisadores criaram essas regras ao identificarem linhas únicas de texto, expressões regulares e outras assinaturas de malwares executáveis. 
  • Indicadores de frameworks comprometidos tais como OpenIOC (www. openioc.org) permitem que pesquisadores descrevam e compartilhem características técnicas que identificam uma ameaça conhecida, uma metodologia de atacante ou outras evidências de comprometimento. 



O valor real dessas fontes é que elas permitem o compartilhamento de inteligência por entre diferentes disciplinas. Elas oferecem um portal para grandes silos de inteligência sobre ameaças e softwares maliciosos. Porque eles tipicamente oferecem aplicações de interfaces de programação em suas bases de dados, os profissionais de resposta a incidentes podem integrar suas fontes em seu fluxo de trabalho investigativo utilizando Nuix scripting API. É importante notar que tais serviços vêm com um nível de risco que os respondentes devem entender plenamente antes de confiarem neles. 

Um multiplicador de inteligência 

É preciso ter mais do que uma única janela para compreender e investigar um incidente de cibersegurança. Ser capaz de combinar uma inteligência humana com tecnologia poderosa é multiplicar inteligência. Isso nos traz mais perto do objetivo final de qualquer investigação de cibersegurança, que é identificar as brechas antes que elas se tornem críticas ou contê-las, antes que gerem problemas. 

Acesse aqui o White Paper original, em inglês. 

* Stuart Clarke Diretor de cibersegurança e serviços de investigação da Nuix Stuart Clarke é um consultor experiente que já encontrou evidências periciais em processos civis e criminais por diferentes jurisdições. 

Comentários