Visualizaçâo, Linha do tempo e Cobertura de ataques cibernéticos

[ 2013-07-22 Update ] 

Uma visualização muito interessante dos maiores incidentes envolvendo vazamento de dados nos últimos 10 anos pode ser vista no site "Information is Beautiful" - mais do que recomendada. As informações podem ser organizadas por ano ou método de vazamento (publicação acidental, hacking, insiders, computadores e mídias perdidas, etc), tipo de organização afetada, número de registros vazados e nível de sigilo dos dados acessados. Muito interessante.

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

[ 2013-06-28 Update ]

Durante todo o ano de 2013, o Paolo Passeri tem mantido um excelente histórico de ataques conhecidos em seu site, incluindo a Data, o Autor, o Alvo, o tipo de Ataque (DDoS, SQLi, Defacement, Account Hijacking, etc..) - e também a categoria do ataque (Cyber Crime, Cyber Espionage, Hacktivism, Cyber Warfare).

Abaixo o link para o índice geral para o ano de 2013 recém divulgado:

http://hackmageddon.com/2013-cyber-attacks-timeline-master-index/

[ 2011-09-11 Update ]

Em junho, a Thomson Reuters divulgou um gráfico com um timeline dos principais incidentes de segurança públicos de 2011. Desde então, Paolo Passeri - especialista em segurança da informação italiano - publica uma lista dos ataques ocorridos nos últimos meses (no mesmo formato).

Existe um índice principal com links para as tabelas contendo os timelines dos últimos meses:

• http://tinyurl.com/hackerchart2

Observação: A CNET continua atualizando o timeline referenciado nos links do post original abaixo:

• http://tinyurl.com/hackerchart

[ 2011-08-01 Post Original ]

Há alguns dias a CNET disponibilizou uma planilha online que facilita muito o acompanhamento das notícias relacionadas à ataques cibernéticos cobertos pela imprensa internacional este ano.  A tabela inclui a data de divulgação do ataque, seu alvo, o suposto responsável, o motivo, o método, o dano, além de notas e links para os artigos relacionados.

São 87 incidentes cadastrados até o momento, desde o ataque à RSA (em 17 de março) até a divulgação do vazamento de dados pessoais de 35 milhões de sul-coreanos - na última sexta-feira, obtidos através da exploração do site Cyworld.

Post curto, mas com Bookmark obrigatório (escolha o seu):

• http://tinyurl.com/hackerchart (em uma só página)
• https://sites.google.com/site/cnethackerchart/ (original)
• http://tinyurl.com/hackerchartcsv (no formato .csv)
• http://tinyurl.com/hackerchartxls (no formato .xls)

Links relacionados a crescente divulgação de ataques cibernéticos pela mídia:

• Freakonomics: Why Has There Been So Much Hacking Lately? Or Is It Just Reported More?  
• FullFact: How sure can we be about media reports of rising cyber attacks?

Pesquisa abrangente sobre a prática de Resposta a Incidentes e Forense Digital (#DFIR)

O Sans Institute publicou hoje o resultado de uma pesquisa feita com 450 profissionais das áreas de Digital Forensics and Incident Response (#DFIR):

Destaco as seguintes recomendações e necessidades baseadas nas respostas dos profissionais ouvidos pela pesquisa:

• Treinamento e certificações par ambientes virtuais e em nuvem.
• Treinamento constante da área legal sobre aspectos tecnológicos e da área técnica sobre aspectos legais.
• Análise do SLA para investigações forenses nos serviços em nuvem utilizadas. É importante que se estabeleçam políticas e treinamentos adequados antes  da migração para a nuvem
• Maior envolvimento de advogados da empresa durante todas as investigações efetuadas, mesmo que inicialmente não pareça necessário.
• Adaptação das normas e procedimentos a respeito de investigações internas, considerando as novas tecnologias e tendências tecnológicas, como a nuvem e o BYOD. 
• Ferramentas de fácil utilização que proporcionem uma rápida identificação e detecção de incidentes para que o processo de resposta a incidentes seja efetivo.
• Previsão orçamentária adequada para os processos investigativos de Resposta a Incidentes e Forense Computacional, para isto um envolvimento precoce da alta administração no planejamento de #DFIR é fundamental.
• Maior interação e visibilidade com as áreas que tratam de segurança da informação para aumentar a visibilidade de incidentes e diminuição custo e do tempo necessário para neutralizá-los.
• Conhecimento e documentação as ferramentas de investigação desenvolvidas internamente e expansão da relação com os fornecedores das ferramentas de mercado utilizadas, para customização das funcionalidades destas.

Dentre os resultados da pesquisa que foram publicados, destaco os ítens abaixo:

• Maiores Desafios em investigações que envolvem mídias não convencionais, como máquinas virtuais, a nuvem, e dispositivos móveis de usuários (BYOD):

• Principais motivos para conduzir investigações em meios digitais: 

• Principais dispositivos e típos de mídias em que são conduzidas as investigações:

• Tipos de ferramentas utilizadas para condução de investigações em ambientes virtuais e em nuvem:

• Técnicas utilizadas  para condução de investigações envolvendo dispositivos móveis / BYOD:

• Nível de satisfação com as ferramentas utilizadas para investigação de dispositivos de rede, endpoints e aplicações corporativas:

Para mais informações:

• Baixe o PDF do relatório em: http://blogs.sans.org/computer-forensics/files/2013/07/sans_dfir_survey_2013.pdf

• Veja o post sobre o assunto no blog sobre Computação Forense do Sans Institute: http://computer-forensics.sans.org/blog/2013/07/19/sans-survey-of-digital-forensics-and-incident-response-dfir

Mapeamento da Norma Forense ISO/IEC 27037 para a Computacao em Nuvem

A Cloud Security Alliance (CSA) publicou recentemente um documento interessante que mapeia a Norma ISO/IEC 27037 - "Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence" para a Computação em Nuvem.

A óbvia falta de maturidade dos processos relacionadas à identificação, obtenção, preservação e análise de dados que podem ser encontrados em ambientes virtualizados e inclui informações relevantes para clientes destes serviços, como o que deve estar previsto em SLAs.

Esta preparação pode ser crucial ao tratar incidentes de segurança, vazamentos de informação e suporte tecnológico a litígios envolvendo arquivos presentes em ambientes virtualizados próprios e de terceiros (na nuvem "privada" ou "pública").

Em contratos de Software as a Service (SAAS) são recomendados os seguintes SLOs (Service Level Objectives):

a. Webserver logs
b. Application server logs
c. Database logs
d. Guest operating system logs
e. Host access logs
f. Virtualization platform logs and SaaS portal logs
g. Network captures
h. Billing records

Em contratos de Platform as a Servie (PAAS) são recomendados os seguintes SLOs:

a. Webserver logs
b. Application server logs (see SaaS)
c. Guest operating system logs
d. Host access logs
e. Virtualization platform logs
f. Network captures
g. Billing records
h. Management portal logs

Em contratos de Infrastructure as a Service (IAAS) são recomendados os seguintes SLOs:

a. Cloud or network provider perimeter network logs
b. Logs from DNS servers
c. Virtual machine monitor (VMM) logs
d. Host operating system logs
e. API logs
f. Management portal logs
g. Packet captures
h. Billing records

São discutidas também as questões de responsabilidade de Resposta a Incidentes (é totalmente do cliente, compartilhada, apenas do prestador de serviço) nos diferentes serviços na nuvem contratados pelo cliente. Este tipo de decisão deve ser feita tempestivamente - e de preferência constar no contrato e nos SLAs com o fornecedor.

O documento apresenta também um quadro comparativo a partir de vários itens da ISO IEC 27037, considerando ambientes na Nuvem - imperdível.

O documento pode ser baixado diretamente do site da CSA  (PDF).