Efeito "Snowden": seus negócios são afetados pela espionagem?

André Tsutomu – Security WebRicardo Marques – SourceFire

Raio-X do Snowden• Nunca terminou o ensino médio• Aos 19 anos se alistou no exército para lutar contra o Iraq• Trabalhou como segurança na NSA (National Security Agency)• Na CIA, trabalhou no setor de segurança da tecnologia da informação

• "A responsabilidade pela manutenção da segurança de rede de computadores significava que ele tinha autorização para acessar uma vasta gama de documentos confidenciais". The Guardian

• Trabalhou para a Dell onde fez um treinamento de Hacker Ético• Contratado pela Booz Allen Hamilton

Forma de ataques• APT´s – Advanced Persistent Threat

“O termo é comumente usado para se referir a ameaças cibernéticas, em particular a espionagem via internet por meio de uma variedade de técnicas de coleta de informações para acessar informações confidenciais , mas o termo aplica-se igualmente a outras ameaças como a de espionagem tradicional ou de ataque cibernético. Indivíduos isolados, como um hacker, não são considerados autores de um APT, pois raramente possuem, sozinhos, os recursos para executar um ataque avançado e persistente, mesmo quando eles possuem a intenção de acessar ou atacar um alvo específico”

Baseado em uma historia real...

http://www.youtube.com/watch?v=fUv3VvOHEdI

O Perfil de uma APT 1. Coleta de Informações Pesquisa dos alvos utilisando fontes públicas (LinkedIn, Facebook, etc) e preparação do ataque customizado.

2. Ponto de EntradaA entrada normalmente acontece através de zero-day malwares explorando engenharia social (email/IM ou drive by download). Uma backdoor e criada e a rede pode agora ser invadida. (De forma alternativa, explorar um website ou redirecionamento de rede podem ser empregados.)

3. Comunicação - Comando & ControlePossibilita que o atacante controle e mande comando para as máquinas comprometidas e utilize códigos maliciosos para todas as fases subsequentes.

4. Movimento LateralDentro da rede, o atacante compromete outras máquinas para coletar credenciais, escalar níveis de privilégio e manter um controle persistente.

5. Coleta de dados/recursos valiososAtravés de várias técnicas (ex. Port scanning) são usados para identificar os servidores dignos de atenção e serviços que armazenam dados de interesse.

6. Evasão de DadosAs informações sensíveis são coletadas, os dados são direcionados para um repositor interno então, fragmentados, comprimidos e até criptografados para transmissão para localidades externas.

Tabela comparativaAPT Bot Malware

Distribuição Com planejamento Distribuição em massa Distribuição em massa

Interrompe Serviços? Não Não Sim

Padrão do Ataque Direcionado (pequenos grupos e organizações)

Não direcionado (abrangência global)

Não direcionado (abrangência global)

Alvo Organizações/EmpresasIndividual credentials including

online banking account information

Randômico

Frequência Muitas vezes Única Única

Armas- Exploit “Zero-day”- Baixa RAT integrado- Dropper ou Backdoor

Múltiplos “Exploits”,tudo em um

Dependentes do desenvolvimento do Malware

Taxa de detecção Menos que 10%, se a amostra for descoberta em menos de 1 mês

Aproximadamente 86%, se a amostra for descoberta em

menos de 1 mês

Aproximadamente 99%, se a amostra for descoberta em

menos de 1 mês

- Como saber se a empresa é alvo de ataques que levam a perda de dados?

- Que tipo de reação a sua empresa consegue ter em caso de ser vítima de ataques? e somente ficar sabendo após um dia? Uma semana? Um mês? ou simplesmente meses depois?

- A empresa esta preparada para lidar com a exposição negativa na imprensa e meios online?

- O que a empresa pode fazer caso seus clientes e investidores sejam os alvos do ataque?

- A quem acudir? qual é o tempo de resposta?

Postura Corporativa...

“Como posso ver o que aconteceu com a minha rede se perdi o evento quando aconteceu na primeira vez?”

“Como posso detectar a ameaça e evitar o problema antes que o dano aconteça?”

Não ter uma estratégia de segurança da informação deixou de ser uma opção.

…Roadmap de Ações Corporativas...- O meu nível de aderência as normativas consegue atender ao nível de resposta esperada no tratamento destes incidentes?

- Qual é a realidade entre ter capacidade técnica vs status de certificado vs capacidade de defesa?

- Uma mudança de paradigma é necessária para estabelecer um caminho de controle e proatividade que estimulem novos negócios.

A Utilização de um modelo que permita implementar Segurança com a Agilidade necessária para tratar

incidentes em tempo real.

…que implementa um processo de prevenção contra ameaças abrangente, através de uma

tecnologia que permite uma atuação contínua, para responder às constantes mudanças no

ambiente.

Rápidamente entrega Informação dos Ativos em uso

Endereços IP, MACSistemas Operacionais, Serviços, Aplicações e Vulnerabilidades

Correlacione a Informação de Usuários aos ativos

Usuário <-> AtivoEntregue todas as Informações sobre comunicações

Origens, destinos e volume dos flows

Contextualização e Mapeamento de Atividades na Rede Monitorada

Contextualização

• Com dashboards que apresentam dados em tempo real.• Toda a informação deve estar em um único lugar.• Superioridade da Informação.

Que permita uma visão Contínua sobre os Riscos e Vulnerabilidades

• Análise de Vulnerabilidades passiva – Tempo real, nada de ciclos– Zero impacto– Difícil de evadir– Permite integrar resultados de ferramentas

de scan ativo

Com capacidade de Análise de Impacto Automática

Priorização, In-sight, Automatização, Inteligência

Que permita a Monitoração da Rede e Detecção Comportamental

• Network Behavior Detection– Desvios de padrões normalmente indicam problemas de segurança e

configuração.– Detecção por Anômalias é um sistema baseado em detecção comportamental

O que causou os picos?

Que permite aprender sobre o ambiente monitorado…

Que permita controlar o que é usado e como na sua rede.

Um compliance white list é um grupo de critérios que permite você definir que sistemas operacionais e aplicações são permitidas na sua rede. Um evento de “violação de whitelist" é gerado caso ocorra quebra do acesso definido.

Que permita Implementar Inteligência através de Correlação

3 benefícios diretos:•Automatização de análise de eventos de segurança.•Aplicação de políticas em tempo real.•Automatização de respostas para violações de uso e conformidade.

Permitindo a corporação modelar o seu próprio critério técnico sobre conformidade durante a

operação.

Utilizando dados de diversos contextos:

• Quando um evento IPS ocorre.• Quando um evento de Flow/Comunicação ocorre.• Quando um evento de rede ocorre em tempo real.• Quando um evento de Usuário ocorre em tempo real.• Quando mudanças de tráfego acontecem.

Inclusive interpretar as diferenças no Perfil de Tráfego da empresa.

Que ofereça conteúdo de Segurança de Qualidade e

permita também a total customização pelo administrador.

Podendo inclusive adaptar-se automáticamente, recomendando regras para ambiente monitorado em função dos sistemas, riscos e aplicações sendo utilizado no momento.

Que permita a Detecção e Controle Rate-Based

Que Implemente Controles e Capacidades Next-Generation de Verdade!

• Regras que controlem o acesso a: • arquivos,• Aplicações• URL’s• detecção e bloqueio de malwares avançados, • controle de acesso de rede• controle de fluxo de inspeção na política

Que permita visualizar toda a trajetória de malwares e o uso de arquivos na rede e dispositivos em um

único lugar

Root Cause Other Threats of Interest What it’s Doing

Com um nível de detalhe sem precedentes!

Consolidando assim Capacidades e Inovações de Prevenção Next-Generation para Redes e Advanced

Malware Prevention Análise Contextual em Tempo Real Análise Comportamental e Detecção de Anômalias de Rede Controle granular de Aplicações por Usuários/Grupos, IP, Vlan,

Zona. Filtros granulares por Reputação, para URL, Usuarios,/Grupos, IP,

Vlan, Zona. Monitoração e correlação com Baseline e Análise Comportamental

para Compliance Detecção de Vulnerabilidades Análise de Impacto Automática Proteção contra Malwares Avançados Detecção e Controle de Tipos de Arquivos inteligência cloud

Permitindo mecanismos para monitorar SSL /TLS com distindos modos de Operação

– Conhecimento do Server Key (known server key)• Quando o tráfego tem como destino servidores na rede privada.

– Re-assinar o Certificado (Certificate Re-signing )• Quando o tráfego tem como destino servidores na internet ou rede de

um parceiro de negócios.

Um sistema que permita responder aproveitando a infraestrutura existente…

• Bloqueios• Mecanismos Dinámicos de Quarentena• Syslog• SNMP• E-mail• Integração utilizando API’s, • Mecanismos inteligêntes de Remediação• Capacidade de Automação

Que se adapte ao novo modelo de segurança necessário…

A T T A C K C O N T I N U U M

Antes Durante DepoisVer,

ControlarInteligência e

ContextualizaçãoRemediação e

Forense

Network | Endpoint | Mobile | Virtual

Point-in-Time Continuous

Conclusões- O uso de tecnologias Next-Generation IPS, NGFW e

AMP são algumas das principais ferramentas para fazer o trabalho.

- Sabemos que continuaremos a ter ataques contra novas tecnologias e mecanismos de negócios online.

- Então o estabelecimento de novos modelos pedem novas ações.

- As Mudanças na nossa capacidade de resposta e o nível de cobrança devem ser promovidas.

- Permitindo que a transformação exista e de modele o caminho para continuar a realizar negócios via internet de forma cada vez mais segura e integra.