1. Efeito "Snowden": seus negócios são
afetados pela espionagem?
André Tsutomu – Security Web
Ricardo Marques – SourceFire
2. Raio-X do Snowden
•
•
•
•
Nunca terminou o ensino médio
Aos 19 anos se alistou no exército para lutar contra o Iraq
Trabalhou como segurança na NSA (National Security Agency)
Na CIA, trabalhou no setor de segurança da tecnologia da informação
• "A responsabilidade pela manutenção da segurança de rede de computadores
significava que ele tinha autorização para acessar uma vasta gama de
documentos confidenciais". The Guardian
• Trabalhou para a Dell onde fez um treinamento de Hacker Ético
• Contratado pela Booz Allen Hamilton
3. Forma de ataques
• APT´s – Advanced Persistent Threat
“O termo é comumente usado para se referir a ameaças cibernéticas, em particular a
espionagem via internet por meio de uma variedade de técnicas de coleta de
informações para acessar informações confidenciais , mas o termo aplica-se
igualmente a outras ameaças como a de espionagem tradicional ou de ataque
cibernético. Indivíduos isolados, como um hacker, não são considerados autores de
um APT, pois raramente possuem, sozinhos, os recursos para executar um ataque
avançado e persistente, mesmo quando eles possuem a intenção de acessar ou atacar
um alvo específico”
4. Baseado em uma historia real...
http://www.youtube.com/watch?v=fUv3VvOHEdI
5. O Perfil de uma APT
1. Coleta de Informações
Pesquisa dos alvos utilisando fontes públicas
(LinkedIn, Facebook, etc) e preparação do ataque
customizado.
2. Ponto de Entrada
A entrada normalmente acontece através de zero-day
malwares explorando engenharia social (email/IM ou drive
by download). Uma backdoor e criada e a rede pode agora
ser invadida. (De forma alternativa, explorar um website ou
redirecionamento de rede podem ser empregados.)
3.
Comunicação - Comando & Controle
Possibilita que o atacante controle e mande comando para as
máquinas comprometidas e utilize códigos maliciosos para
todas as fases subsequentes.
4. Movimento Lateral
Dentro da rede, o atacante compromete outras máquinas
para coletar credenciais, escalar níveis de privilégio e manter
um controle persistente.
5. Coleta de dados/recursos valiosos
Através de várias técnicas (ex. Port scanning) são usados para
identificar os servidores dignos de atenção e serviços que
armazenam dados de interesse.
6. Evasão de Dados
As informações sensíveis são coletadas, os dados são
direcionados para um repositor interno então, fragmentados,
comprimidos e até criptografados para transmissão para
localidades externas.
6. Tabela comparativa
APT
Bot
Malware
Distribuição
Com planejamento
Distribuição em massa
Distribuição em massa
Interrompe Serviços?
Não
Não
Sim
Padrão do Ataque
Direcionado (pequenos grupos e
organizações)
Não direcionado (abrangência
global)
Não direcionado (abrangência
global)
Alvo
Organizações/Empresas
Individual credentials including
online banking account
information
Randômico
Frequência
Muitas vezes
Única
Única
Múltiplos “Exploits”,
tudo em um
Dependentes do
desenvolvimento do Malware
Aproximadamente 86%, se a
amostra for descoberta em
menos de 1 mês
Aproximadamente 99%, se a
amostra for descoberta em
menos de 1 mês
Armas
Taxa de detecção
- Exploit “Zero-day”
- Baixa RAT integrado
- Dropper ou Backdoor
Menos que 10%, se a amostra for
descoberta em menos de 1 mês
7. Postura Corporativa...
- Como saber se a empresa é alvo de ataques que levam a perda de dados?
- Que tipo de reação a sua empresa consegue ter em caso de ser vítima de
ataques? e somente ficar sabendo após um dia? Uma semana? Um mês? ou
simplesmente meses depois?
- A empresa esta preparada para lidar com a exposição negativa na
imprensa e meios online?
- O que a empresa pode fazer caso seus clientes e investidores sejam os
alvos do ataque?
- A quem acudir? qual é o tempo de resposta?
8. “Como posso ver o que aconteceu com a minha rede se perdi o evento quando
aconteceu na primeira vez?”
“Como posso detectar a ameaça e evitar o problema antes que o dano
aconteça?”
Não ter uma estratégia de segurança da informação deixou de ser
uma opção.
9. …Roadmap de Ações Corporativas...
- O meu nível de aderência as normativas consegue
atender ao nível de resposta esperada no tratamento
destes incidentes?
- Qual é a realidade entre ter capacidade técnica vs
status de certificado vs capacidade de defesa?
- Uma mudança de paradigma é necessária para
estabelecer um caminho de controle e proatividade que
estimulem novos negócios.
10. A Utilização de um modelo que permita implementar
Segurança com a Agilidade necessária para tratar
incidentes em tempo real.
11. …que implementa um processo de prevenção
contra ameaças abrangente, através de uma
tecnologia que permite uma atuação contínua,
para responder às constantes mudanças no
ambiente.
12. Contextualização e Mapeamento de Atividades na Rede
Monitorada
• Rápidamente entrega Informação dos
Ativos em uso
– Endereços IP, MAC
– Sistemas Operacionais, Serviços,
Aplicações e Vulnerabilidades
• Correlacione a Informação de
Usuários aos ativos
– Usuário <-> Ativo
• Entregue todas as Informações sobre
comunicações
– Origens, destinos e volume dos flows
13. Contextualização
• Com dashboards que apresentam dados em tempo real.
• Toda a informação deve estar em um único lugar.
• Superioridade da Informação.
14. Que permita uma visão Contínua
sobre os Riscos e Vulnerabilidades
• Análise de Vulnerabilidades passiva
–
–
–
–
Tempo real, nada de ciclos
Zero impacto
Difícil de evadir
Permite integrar resultados de ferramentas
de scan ativo
15. Prueba de Concepto
Com capacidade de Análise de Impacto
Automática
Priorização, In-sight, Automatização, Inteligência impacto
4.1.5.
Configuración de alertas de las banderas de
Sourcefire proporciona la capacidad para alertar las banderas de impacto a través del Syslog,
Email o SNMP, esto se puede configurar Policy & Response - -> Responses - -> Impact Flag
Alerts. (es necesario la creación de una alerta) Seleccione las alertas que desea recibir a través
de cada método y haga click en Save.
16. Que permita a Monitoração da Rede e Detecção
Comportamental
•
Network Behavior Detection
–
–
Desvios de padrões normalmente indicam problemas de segurança e
configuração.
Detecção por Anômalias é um sistema baseado em detecção comportamental
O que causou os
picos?
18. Que permita controlar o que é usado e
como na sua rede.
Um compliance white list é um grupo de critérios que
permite você definir que sistemas operacionais e
aplicações são permitidas na sua rede.
Um evento de “violação de whitelist" é gerado caso
ocorra quebra do acesso definido.
19. Que permita Implementar Inteligência
através de Correlação
3 benefícios diretos:
•Automatização de análise de eventos de segurança.
•Aplicação de políticas em tempo real.
•Automatização de respostas para violações de uso e conformidade.
20. Permitindo a corporação modelar o seu próprio
critério técnico sobre conformidade durante a
operação.
Utilizando dados de diversos contextos:
• Quando um evento IPS ocorre.
• Quando um evento de Flow/Comunicação ocorre.
• Quando um evento de rede ocorre em tempo real.
• Quando um evento de Usuário ocorre em tempo real.
• Quando mudanças de tráfego acontecem.
22. Que ofereça conteúdo de
Segurança de Qualidade e
permita também a total
customização pelo administrador.
23. Podendo inclusive adaptar-se automáticamente,
recomendando regras para ambiente monitorado em
função dos sistemas, riscos e aplicações sendo utilizado
no momento.
25. Que Implemente Controles e
Capacidades Next-Generation de Verdade!
•
Regras que controlem o acesso a:
• arquivos,
• Aplicações
• URL’s
• detecção e bloqueio de malwares avançados,
• controle de acesso de rede
• controle de fluxo de inspeção na política
26. Que permita visualizar toda a trajetória de malwares
e o uso de arquivos na rede e dispositivos em um
único lugar
28. Consolidando assim Capacidades e Inovações de
Prevenção Next-Generation para Redes e Advanced
Malware Prevention
Análise Contextual em Tempo Real
Análise Comportamental e Detecção de Anômalias de Rede
Controle granular de Aplicações por Usuários/Grupos, IP, Vlan,
Zona.
Filtros granulares por Reputação, para URL, Usuarios,/Grupos, IP,
Vlan, Zona.
Monitoração e correlação com Baseline e Análise Comportamental
para Compliance
Detecção de Vulnerabilidades
Análise de Impacto Automática
Proteção contra Malwares Avançados
Detecção e Controle de Tipos de Arquivos
inteligência cloud
29. Permitindo mecanismos para monitorar SSL /TLS
com distindos modos de Operação
– Conhecimento do Server Key (known server key)
• Quando o tráfego tem como destino servidores na rede privada.
– Re-assinar o Certificado (Certificate Re-signing )
• Quando o tráfego tem como destino servidores na internet ou rede de
um parceiro de negócios.
30. Um sistema que permita responder aproveitando
a infraestrutura existente…
•
•
•
•
•
•
•
•
Bloqueios
Mecanismos Dinámicos de Quarentena
Syslog
SNMP
E-mail
Integração utilizando API’s,
Mecanismos inteligêntes de Remediação
Capacidade de Automação
31. Que se adapte ao novo modelo de segurança
necessário…
A T T A C K
Antes
C O N T I N U U M
Durante
Ver,
Controlar
Inteligência e
Contextualização
Depois
Remediação e
Forense
Network | Endpoint | Mobile | Virtual
Point-in-Time
Continuous
32. Conclusões
-
-
-
O uso de tecnologias Next-Generation IPS, NGFW e
AMP são algumas das principais ferramentas para
fazer o trabalho.
Sabemos que continuaremos a ter ataques contra
novas tecnologias e mecanismos de negócios
online.
Então o estabelecimento de novos modelos pedem
novas ações.
As Mudanças na nossa capacidade de resposta e o
nível de cobrança devem ser promovidas.
Permitindo que a transformação exista e de modele
o caminho para continuar a realizar negócios via
internet de forma cada vez mais segura e integra.
Editor's Notes
Malware has become an epidemic and the onslaught of attacks shows no sign of abating. Networks, desktops, laptops, virtual environments and mobile devices are all under attack. Despite installing the latest protection software and the latest updates, advanced threats prevail. Companies struggle to find a solution that can effectively address the full lifecycle of the problem, providing protection and remediation against the latest threats across the full attack continuum – before, during and after an attack; across all attack vectors; and respond at any time, all the time, in real-time.And they must do this without over-burdening the budget or sacrificing operational efficiency. Blocking technologies may address part of the problem but no technology is 100% effective, which subsequently requires the use of specialized forensic and investigative tools to find, analyze and remediate compromised systems, a time intensive and costly operation. In addition, most blocking technologies lack contextual awareness of the environment to fully understand the relationship of a single or multiple detections to a potential outbreak or broader compromise and can only make determinations at a point-in-time versus a continuous capability. Finally, malware defense is an integrated process not a product, requiring a level of context, intelligence and integration across extended networks, endpoints and mobile devices that is simply not possible without the power of the cloud combined with large-scale data mining, analytics and visualization technologies.