[ Update 24/10/2012 ]
O governo australiano, através de seu "Defence Signals Dictorate" acaba de divulgar um update para a lista de "Top 35 Mitigation Strategies" com algumas mudanças na priorização na "efetividade" das estratégias recomendadas de mitigação - vale a pena conferir e considerar na priorização de ações de defesa.
A tabela disponibilizada são medidos várias características da estratégia, incluindo "Efetividade Global de Segurança", a "Resistência dos Usuários", os "Custos de Implementação", os "Custos de Manutenção" e também se: a estratégia Previne e/ou Detecta a intrusão; e se ajuda a mitigar quais estágios da intrusão.
As dez estratégias de defesa mais eficientes:
- Whitelisting de Aplicações
- Patching de Aplicações
- Patching de Sistemas Operacionais
- Minimizar os usuários com permissões administrativas locais ou de domínio
- Desabilitar contas de administrador locais
- Autenticação de múltiplos fatores
- Segmentação e segregação de redes
- Firewall de Aplicação em Estações de trabalho para negar tráfico 'entrante'
- Firewall de Aplicação em Estações de trabalho para negar tráfico 'sainte'
- Sistema Virtualizado não persistente para atividades arriscadas como leitura de email e navegação na internet.
Veja todas as 35 estratégias no site oficial - Top 35 Mitigation Strategies.
[ Update - 03/08/2011 ]
A Mcafee acaba de divulgar informações sobre a "Operation Shady RAT". Trata-se de um relatório contendo detalhes de intrusões direcionadas a mais de 70 empresas, organizações e governos, nos últimos 5 anos. Vale a pena dar uma olhada no PDF e nos timelines disponibilizados.
Veja a descrição do modus operandi utilizado pelos adversários nas intrusões:
Veja a descrição do modus operandi utilizado pelos adversários nas intrusões:
"The compromises themselves were standard procedure for these types of targeted intrusions:
(1) a spear-phishing email containing an exploit is sent to an individual with the right level of access at the company, and the
(2) exploit when opened on an unpatched system will trigger a download of the implant malware. That
(3) malware will execute and initiate a backdoor communication channel to the Command & Control web server and interpret the instructions encoded in the hidden comments embedded in the webpage code.
(4) This will be quickly followed by live intruders jumping on to the infected machine and proceeding to quickly escalate privileges and
(5) move laterally within the organization to establish new persistent footholds via additional compromised machines running implant malware, as well as (6) targeting for quick exfiltration the key data they came for"
Links Relacionados:
Ghostnet - http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
Aurora - http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
[ Post Original - 20110802 ]
Apesar de sabermos que vulnerabilidades em aplicações (SQL Injection, Cross Site Scripting, etc..) são muito exploradas por adversários, o caminho mais fácil para invadir uma empresa é explorar seu elo mais fraco: o usuário...
O vídeo abaixo, da Silicium Sec, demonstra visualmente a facilidade de se obter sucesso com um ataque deste tipo (são mostrados 5 passos):
Além de explorar os usuários - que devem ser treinados para se conscientizar destes riscos e serem capazes de reagir adequadamente a este tipo de ataque - os atacantes contam também com a falta de preparo de administradores de T.I. e times de Segurança da Informação.
Mas afinal, o que as empresas devem fazer para que não sejam vítimas deste tipo de ataque?
O governo da Austrália, através de seu "Department of Defence - Intelligence and Security", divulgou uma lista "TOP 35 Mitigation Strategies" (sendo que as primeiras 4 são consideradas as mais importantes) - contendo as principais estratégias de mitigação para evitar que intrusões direcionadas utilizando técnicas como as divulgadas no vídeo acima tenham sucesso.
As estratégias de mitigação são apresentadas, incluindo colunas com a "Efetividade Global de Segurança", a "Resistência dos Usuários", os "Custos de Implementação", os "Custos de Manutenção" e também se: a estratégia Previne e/ou Detecta a intrusão; e se ajuda a mitigar quais estágios da intrusão (execução de código; propagação na rede; exfiltração de dados)
Seguem as 4 principais estratégias listadas:
- Patch de aplicações (muito utilizadas e "bugadas") como leitores PDF, Microsoft Office, Java, Flash Player e navegadores;
- Patch de vulnerabilidades dos sistemas operacionais;
- Minimizar o número de usuários com privilégios administrativos (útil quando as vulnerabilidades de elevação de privilégio foram corrigidas);
- Utilizar whitelisting de aplicações para ajudar a previnir que malware e outros programas não aprovados sejam executados.