A Mandiant e a Verizon Business estão entre as empresas mais especializadas e bem sucedidas em serviços de Resposta a Incidentes no mundo, e por isto mesmo lidam com os mais variados tipos de situações ao tratar inúmeros incidentes de segurança como vazamento de informações e invasão de sistemas em clientes de várias verticais de atuação diferentes.
Lendo este material é possivel perceber a melhoria na qualidade e quantidade de informações à disposição de uma empresa a partir do tratamento adequado de seus incidentes de segurança realmente criticos, o que auxilia as áreas envolvidas a desenvolver uma postura de segurança com foco nas ameaças reais.
Devido a este embasamento em casos reais, considero que estes relatórios merecem uma leitura detalhada. Ao final deste post eu incluí também referências a outros 6 relatórios interessates publicados por outras organizações (HP, VeriSign, WebSense, TrustWave, ESET e Sophos).
Destaques M-Trends Mandiant:
Tipos de Ataques mais comuns:
O tipo de ameaça enfrentado por uma organização deve nortear os investimentos em Segurança da Informação, dentre os maiores tipos de ataques investigados pela Mandiant em 2011,
Indústrias sendo afetadas por ataques avançados:
Utilização de malware publicamente disponível e Detecção dos incidentes (!)
Tendências (M-Trends)
- Malware só conta uma parte da história: apenas 54% de todos sistemas comprometidos nos ataques investigados possuiam traços da execução de malware (o uso de credenciais válidas para acesso aos sistemas comprometidos é mais difícil de identificar e possibilita aos atacantes um movimento lateral entre sistemas, explorando senhas iguais e relações de confiança existentes nas redes atacadas) ;
- Técnicas antigas sendo ressuscitadas: backdoors passivos estão sendo usados para bypassar detecção no host e na rede (... );
- RATs - Remote Access Software & Trojans disponíveis publicamente são cada vez mais usados em ataques direcionados;
- Processos de Fusão e Aquisição de empresas geram mercado de venda de informações confidenciais roubadas.
- Empresas que participam de uma mesma cadeia produtiva são comprometidas pelos mesmos atacantes, que buscam obter mais informações de propriedade intelectual sobre o negócio.
- Vale a pena ser persistente: atacantes que buscam ganho financeiro cada vez mais pretendem permanecer o maior tempo possível nas redes comprometidas.
Evidências de Comprometimentos (ou IOC/Indicators of Compromise) - além da presença de malware:
- Uso não autorizado de credenciais válidas (estas informações normalmente estão presentes em registros do Event Log do Windows, no registro, nas propriedades do arquivo/sistema de arquivo e no tráfego de rede) <= idealmente, parte destas informações está sendo logada remotamente em outros sistemas (AD, SIEM, Network Forensics, CarbonBlack, etc.);
- Acesso Remoto a Sistema ou a arquivos (...)
- Vestígios de evidência e arquivos parciais (através de técnicas de perícia forense, é possivel
Um parêntese aqui para um ponto que gosto de salientar - as evidências estão por toda a parte:
Quanto mais visibilidade e automação na criação de registros que possam ser considerados "indicadores de comprometimento", melhor - de preferência, em memória, no tráfego de rede, nos logs de sistemas, no sistema de arquivo, em bancos de dados - ou seja, aonde quer que informação esteja armazenada ou trafegue temporariamente.
Relatório Mandiant M-Trends: http://fred.mandiant.com/M-Trends_2012.pdf
Relatorio Verizon Business - 2011 CaseLoad Review: http://www.verizonbusiness.com/resources/whitepaper/wp_verizon-2011-investigative-response-caseload-review_en_xg.pdf
Relatório Verizon Business - 2012 Databreach Investigations Report
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Alguns pontos e tendências relacionados ao relatório da Verizon foram publicados recentemente no blog do Troy Hunt - leitura recomendada! Comento alguns dos principais pontos levantados, abaixo:
- Os ataques estão sendo originados quase sempre de fora das organizações (98%) e apenas 4% envolveram pessoal interno (ativamente) < esta tendência está aumentando nos últimos anos. É importante ressaltar que a segurança das redes e sistemas internos continua sendo fundamental, para identificar e conter a evolução de ataques iniciados externamente.
- Hacktivistas estão se tornando um problema real e sério (58% do roubo de informações) < aqui vale a pena mencionar que pela característica de divulgação do resultado dos ataques, este valor certamente está distorcido em relação aos ataques tradicionais para venda de informações no underground, por exemplo.
- A maioria dos comprometimentos envolve o simples roubo de credenciais < ou seja, ninguém vai ter que desenvolver um StuxNet/DuQu se para obter as informações sensíveis for suficiente adivinhar ou usar ferramentas de bruteforce de senha..
- O tempo entre o comprometimento inicial e sua descoberta e contenção tem levado normalmente meses (54%) ou semanas (29%), e em poucos casos dias (13%) ou horas (2%) < isto é tempo mais do que suficiente para garantir aos atacantes um acesso a diversas informações sensíveis contidas em diferentes sistemas de uma empresa.
HP: 2011 Top Cyber Security Risks Report
http://www.hpenterprisesecurity.com/news/download/2011-top-cyber-security-risks-report
Verisign iDefense 2012 Cyber Threats and Trends White Paper
http://www.verisigninc.com/en_GB/forms/idefense2012cybertrends.xhtml
Websense: 2012 Threat Report
http://www.websense.com/content/websense-2012-threat-report-download.aspx
Trustwave: 2012 Global Security Report
https://www.trustwave.com/global-security-report
ESET: Global Threat Report for 2012
http://go.eset.com/us/threat-center/
Sophos: Security Threat Report 2012
Obrigado pelas informações, Suffert. Elas serão muito úteis para convencimento interno na minha equipe.
ReplyDelete