Escolar Documentos
Profissional Documentos
Cultura Documentos
TM
sobre
Apesar de gastarem mais de US# 20 bilhes por ano em defesas de segurana
tradicionais, as organizaes esto enfrentando uma nova safra de ataques
persistentes avanadas liderando o assalto. Para que tenhamos alguma
precisamos pensar diferente. Se voc encarregado de proteger a rede da
compare os ataques
Compreenso do inimigo
e como eles contornam defesas de segurana tradicionais
conhea os cinco
estgios do ciclo de vida dos ataques avanados e descubra indcios
para deteco de APTs
Introduo NGTP
NGTP e compare a NGTP com defesas tradicionais
em mensagens de e-mail, comunicaes via Web e arquivos estacionrios
Seleo da soluo NGTP certa
e o que evitar ao avaliar solues NGTP
Sobre o autor
Steve Piper um veterano da segurana da informao, com mais
Cumprimentos de:
e consultor, Steve autor de vrios livros sobre segurana da
informao, infraestrutura de redes e Big Data (grandes volumes
2
,
alm de bacharelado em cincias e MBA pela Universidade
Revenda proibida
A NOVA SAFRA DE
ATAQUES CIBERNTICOS
J PENETROU 95% DE TODAS AS REDES.
que contornam defesas tradicionais e comprometem mais
North America
TM
sobre
Publicado por:
1997 Annapolis Exchange Parkway
Suite 300
Annapolis, MD 21401 EUA
(800) 327-8711
www.cyber-edge.com
Agradecimentos do publicador
O CyberEdge Group deseja agradecer s seguintes pessoas por suas contribuies:
Susan Shuttleworth
Debbi Stocco, Christian Brennan
Valerie Lowery
Phil Lin, Lisa Matichak, Brent Remai, David DeWalt
Contents
Prefcio ........................................................................................ v
Introduo .................................................................................. vii
Sumrio dos captulos .............................................................................vii
cones teis .............................................................................................viii
............................ 1
Estatsticas surpreendentes .......................................................................2
Vtimas recentes.........................................................................................3
Ataques a empresas......................................................................3
Ataques a rgos governamentais ............................................... 3
O custo da falha .........................................................................................4
O atual cenrio de ameaas ....................................................................... 5
Ameaas tradicionais ................................................................... 5
Ameaas da prxima gerao ...................................................... 7
..........................................................11
Quem o inimigo? ....................................................................................11
Criminosos cibernticos............................................................. 12
Autores de ameaas patrocinados por governos ....................... 12
Hacktivistas ................................................................................ 13
Como o inimigo bem-sucedido ............................................................. 15
Contornando as defesas com base em assinaturas ................... 15
Contornando defesas com base em anomalias.......................... 15
.....................17
APTs em profundidade .............................................................................17
O que as APTs no so ............................................................... 18
APTs nos noticirios ................................................................................ 19
Flame (2012) ..............................................................................20
Ataque ao SecurID da RSA (2011) .............................................20
Stuxnet (2010) ........................................................................... 21
Operao Aurora (2009)............................................................22
O efeito de propagao de um ataque APT em mbito nacional ............22
O ciclo de vida das APTs ..........................................................................23
Estgio 1: Intruso inicial atravs de explorao do sistema ....24
Estgio 2: O malware instalado no sistema comprometido .. 25
Estgio 3: A conexo de sada iniciada ................................... 25
Estgio 4: O atacante dissemina-se lateralmente .....................26
Estgio 5: Dados comprometidos so extrados .......................26
O atacante apaga seus rastros, permanecendo indetectado ..... 27
Indcios de um ataque APT......................................................................29
31
Do que o mundo realmente precisa.........................................................32
Defesas no baseadas em assinaturas .......................................32
Proteo e no apenas deteco ............................................32
Arquitetura de proteo de mltiplos estgios ......................... 33
Mecanismo de deteco altamente preciso ..............................33
Apoiada por uma inteligncia global sobre ameaas ................34
...................34
Comparao com defesas tradicionais com base em assinaturas..35
Comparao com tecnologias de rea restrita...........................36
Principais componentes ..........................................................................38
Sistema de proteo contra malware.........................................38
Mecanismo de execuo virtual .................................................39
Sistema de gerenciamento central .............................................40
Rede de inteligncia sobre ameaas na nuvem .........................40
..41
Como funciona ......................................................................................... 41
Distribuies em linha e fora de banda .....................................43
Principais recursos ..................................................................................44
Execuo virtual de objetos suspeitos ....................................... 45
Bloqueio rpido ..........................................................................45
Quarentena de arquivos maliciosos...........................................46
Gerenciamento centralizado ...................................................... 47
Compartilhamento de inteligncia sobre malware ................... 47
Suporte para regras personalizadas ..........................................48
Integrao com pacotes antivrus ..............................................48
Controles de acesso com base em papis ..................................49
Dashboard ..................................................................................49
Relatrios ...................................................................................50
Alertas ........................................................................................ 51
Integrao da NGTP sua infraestrutura de TI existente ...................... 51
SIEM...........................................................................................52
Inteligncia e anlise de segurana ........................................... 52
Gerenciamento de incidentes .................................................... 53
...............................................55
O que evitar .............................................................................................. 55
Critrios de compra importantes ............................................................56
Plataforma NGTP integrada para inspeo de Web, e-mail e arquivos ..57
Monitora trfego de entrada e de sada ..................................... 57
Inspeciona uma ampla variedade de tipos de arquivo .............. 57
Soluo para anlise de malware manual .................................58
Nenhum falso positivo ou falso negativo................................... 59
Suporte para regras personalizadas .......................................... 59
Interface de usurio intuitiva ....................................................59
Bom suporte ao cliente ..............................................................60
.....................................................................................61
Prefcio
Introduo
d prosseguimento ao captulo 4
descreve
itlico
cones teis
DICA
NO ESQUEA
CUIDADO
PAPO TCNICO
NA WEB
Captulo 1
Neste captulo
Examine estatsticas recentes sobre violaes de dados
Explore ataques cibernticos tradicionais
Conhea ameaas persistentes avanadas, ataques de
dia zero e malware avanado
NA WEB
Ataques a empresas
Global Payments (maro de 2012): Ataque que
remota a janeiro de 2011, no qual um hacker vazou
informaes de mais de sete milhes de cartes de
crdito, causando a essa processadora de cartes de
crdito prejuzos de quase US$ 85 milhes e perda
temporria das bandeiras Visa e MasterCard.
Citigroup (junho de 2011): A empresa revelou que
um ataque ciberntico resultou no roubo de mais de
360.000 nmeros de carto de crdito, dos quais 3.400
foram utilizados para roubar mais de US$ 2,7 milhes.
RSA Security (maro de 2011): Atacantes cibernticos
roubaram dados relacionados a tokens SecurID,
tornando-os inseguros.
DICA
NO ESQUEA
NA WEB
Ameaas tradicionais
Os ataques cibernticos tradicionais descritos nesta seo so
velhos conhecidos, mas nem por isso menos nocivos. Embora
eles possam normalmente ser detectados por dispositivos
passam pelas frestas.
Um worm
autnomo que replica a si mesmo tipicamente por meio de
vulnerabilidades em sistemas operacionais em uma rede
ao consumir sua largura de banda, mas tambm geram um
vetor de ataque colateral que pode infectar sistemas internos
supostamente protegidos ou vazar dados. Diferentemente
programas ou arquivos.
Um cavalo de Troia (ou Trojan) tipicamente se faz passar
o usurio a conceder acesso a um computador. Os cavalos
infectado, mas no podem se propagar, por si ss, para outros
computadores vulnerveis. Eles costumam integrar redes com
outros computadores infectados (chamadas redes de bots;
consulte a prxima seo), onde aguardam instrues adicionais
e para as quais enviam informaes roubadas. Os cavalos de
mdias sociais, ou podem estar disfarados como um instalador
pirateado de um jogo ou aplicativo bem conhecido.
Um vrus de computador um cdigo malicioso que varia em
gravidade, desde apenas inconveniente at completamente
devastador. Ele se anexa a um programa ou arquivo, o que lhe
permite espalhar-se de um computador para outro, deixando
infeces ao longo de seu caminho. Contudo, diferentemente de
Spyware
do usurio atravs de uma conexo com a Internet sem o
anncios (quando se chama Adware, por exibir anncios pop-up),
como nomes de usurio, senhas e nmeros de carto de crdito.
O whaling
seniores e outros alvos importantes dentro de
uma organizao.
O baiting ocorre quando um criminoso deixa casualmente
um pen drive USB ou CD-ROM em um estacionamento ou
cibercaf. Esse pen drive ou disco rotulado com palavras
despertar o interesse de quem o encontrar. Quando a vtima
Uma
CUIDADO
a ataques cibernticos?
Captulo 2
Compreenso do inimigo
Neste captulo
Categorize trs tipos de inimigos cibernticos
Saiba como os atacantes contornam defesas de
segurana tradicionais
Se voc conhece o inimigo e a si mesmo, no precisa
temer o resultado de cem batalhas. Se voc conhece
a si mesmo, mas no ao inimigo, para cada vitria
conquistada sofrer tambm uma derrota.
Sun Tzu, A arte da guerra
Quem o inimigo?
com a passagem de cada dcada. Nos anos 1970 e 1980, o phone
phreaking (manipulao no autorizada de equipamentos de
centrais telefnicas com o objetivo principal de fazer ligaes
telefnicas de longa distncia gratuitas) era a sensao do
ento jovem Matthew Broderick, apresentou ao pblico em geral
o hacking de computadores atravs de um modem, e a lenda
dos hackers como heris cibernticos teve incio.
Criminosos cibernticos
Em poucas palavras, criminosos cibernticos so indivduos
que praticam o hacking por dinheiro. Na maioria dos casos,
eles invadem redes de empresas com o objetivo de roubar
nmeros de cartes de crdito (s vezes em quantidades que
chegam a dezenas ou mesmo centenas de milhares) e vendlos no mercado aberto. Embora no sejam to lucrativas,
credenciais de contas de Facebook, Twitter e e-mail tambm
podem render uns trocados.
Um dos criminosos cibernticos mais famosos j condenados
hacking em bancos de dados de uma empresa regional de
processamento de pagamentos de cartes de crdito, tendo
roubado mais de 170 milhes de nmeros de cartes de
de priso a pena mais dura j imposta at ento a um
criminoso ciberntico.
China rouba os planos dos novos avies de caa norteRssia ataca sites do parlamento, ministrios, bancos
e jornais da Estnia quando da relocao do memorial
Hacktivistas
Hacktivismo o uso de ferramentas digitais visando objetivos
polticos. Ao contrrio de criminosos cibernticos que so
motivados por dinheiro, os hacktivistas so motivados por
ideologia poltica. Ataques cibernticos tpicos cometidos
por hacktivistas so adulterao de sites, redirecionamentos,
roubo de informaes e piquetes virtuais atravs de ataques
de negao de servio distribudos (DDoS, Distributed
Denial-Of-Service), que consistem em inundar os sites com
centenas ou milhares de conexes simultneas e repetitivas.
Alguns hacktivistas se uniram para atacar suas vtimas
Coincidncia? No creio.
Captulo 3
APTs em profundidade
a uma rede e permanece indetectada por um longo perodo de
tempo. Embora isso seja verdadeiro, apenas parte da histria.
As APTs so como nenhum outro ataque ciberntico visto antes.
O que as APTs no so
Por mais importante que seja entender o que so as APTs,
igualmente importante compreender o que elas no so.
Uma APT no um elemento isolado de malware ou mesmo
um conjunto de elementos de malware. Ela no uma nica
objetivo em mente.
As APTs so campanhas bem coordenadas e extensas sejam
nacionais voltadas para atingir um objetivo contra um alvo
incorporam vrias tcnicas de ataque ciberntico e ocorrem em
diversos estgios para formar um nico ataque coordenado.
NA WEB
Flame (2012)
Flame, tambm conhecido como Flamer, sKyWiper
2012 pelo MAHER Center of Iranian National CERT, pela
Kaspersky Lab e pela Universidade de Tecnologia e Economia
de Budapeste. A Kaspersky Lab foi requisitada pela Unio
de Telecomunicaes das Naes Unidas para investigar
relatrios de um vrus que estava afetando computadores
do Ministrio do Petrleo do Ir.
Especialistas em computadores consideram o Flame a causa
de um ataque em abril de 2012 que fez os agentes iranianos
desconectarem da Internet seus terminais petrolferos.
Atualmente amplamente aceito que os Estados Unidos
e Israel desenvolveram conjuntamente o malware Flame para
coletar inteligncia em preparao para sabotagem ciberntica
com o objetivo de retardar a capacidade do Ir de desenvolver
uma arma nuclear.
Aps o estgio de explorao inicial, o Flame inicia um
conjunto complexo de operaes, incluindo comunicao
com seus servidores de comando e controle para fazer
download de outros mdulos de malware. Quando
completamente implantado, o Flame um programa
tamanho aproximadamente 20 a 30 vezes maior que um
vrus de computador tpico. Ele amplamente considerado
que o Flame, desenvolvido para se fazer passar por uma
atualizao de software rotineira da Microsoft, foi criado para
mapear e monitorar secretamente as redes de computadores
e preparao para uma campanha de guerra ciberntica.
Stuxnet (2010)
Stuxnet
descoberto em junho de 2010 que se acreditava estar
atuando havia mais de um ano e sendo utilizado em conjunto
com um ataque APT contra a infraestrutura iraniana de
enriquecimento de urnio. No primeiro estgio, o Stuxnet
espalhou-se explorando uma vulnerabilidade do Microsoft
Windows e, em seguida, disseminou-se lateralmente na
rede para, eventualmente, atingir equipamentos e software
industrial da Siemens, causando mau funcionamento. Embora
essa no seja a primeira vez que hackers atacam sistemas
industriais, o primeiro caso documentado de malware que
inclui um rootkit de controlador lgico programvel (PLC).
A Siemens informou que o worm no causou dano algum a seus
clientes, mas a instalao nuclear iraniana obteve secretamente
equipamentos da Siemens sob embargo, os quais foram
observar que os vrios mecanismos de disseminao do
Stuxnet permitiram que o mesmo eventualmente escapasse
da instalao nuclear iraniana e infectasse a Chevron, gigante
da rea de energia. No entanto, representantes da empresa
inocente e que foi programado para no lanar sua carga viral,
encerrando, assim, o ciclo de vida do ataque. Por isso no houve
danos aos sistemas da Chevron e a empresa pde remov-lo.
O efeito de propagao de um
ataque APT em mbito nacional
comuns que as empresas enfrentam quando submetidas a uma
violao de dados em grande escala, incluindo custos forenses,
multas regulamentares e perda de lucros. Mas e se os autores de
ameaas APT decidissem visar algo um pouco mais estratgico
que dados corporativos?
Imagine, por exemplo, um ataque APT coordenado contra
empresas de energia em uma grande regio dos Estados
Unidos, como a nordeste. Imaginemos ainda que os autores
do ataque fossem bem-sucedidos em comprometer os sistemas
SCADA (Supervisory Control And Data Acquisition) que
controlam redes de energia em vrios estados, deixando-os
s escuras por dias ou mesmo semanas. Consegue imaginar
PAPO TCNICO
DICA
concomitantemente as duas
Captulo 4
Introduo proteo
contra ameaas da
prxima gerao
Neste captulo
Visualize uma soluo ideal para mitigar a nova safra de
ataques cibernticos
com base em assinaturas
Arquitetura de proteo de
mltiplos estgios
preocupar com ataques cibernticos oriundos de fora da rede,
BYOD,
Mecanismo de deteco
altamente preciso
Como nas defesas tradicionais com base em assinaturas,
CUIDADO
CUIDADO
Comparao de protees
Solues
NGTP
Defesas
tradicionais
DICA
CUIDADO
CUIDADO
Principais componentes
CUIDADO
CUIDADO
PAPO TCNICO
rede de inteligncia
sobre ameaas na nuvem
DICA
Captulo 5
A proteo contra
ameaas da prxima
gerao explicada
Neste captulo
Entenda como a NGTP minimiza ameaas da prxima
gerao em mensagens de e-mail, comunicaes via Web
e arquivos estacionrios
Explore os principais recursos das melhores solues NGTP
Integre a NGTP na sua infraestrutura de rede existente
Como funciona
ltima linha de defesa para inspecionar trfego de Web e/ou
Internet
Gateway
antispam
Servidores
de e-mail
Roteador
de sada
Firewall
MPS de Web
(verifica se h
contedo malicioso
nos URLs)
CMS
MPS de e-mail
Switch principal
(procura APTs
em anexos
de e-mail)
Usurios
SIEM
Passo 1:
DICA
Passo 3:
Passo 4:
de dia zero, a mquina virtual captura o restante do ciclo de
atividades de host e o trfego de rede gerados pelo malware
bloquear o trfego de callback associado pela rede, um alerta
de alta prioridade registrado, dados forenses sobre o malware
NO ESQUEA
Passo 5:
CUIDADO
Principais recursos
ela funciona, vamos rever os principais recursos que tipicamente
DICA
CUIDADO
Bloqueio rpido
agora conhecidas anda de mos dadas com a anlise no
base em assinaturas, tambm reconhecemos sua importncia
no bloqueio de ataques conhecidos em uma estratgia
incorporem ambas as tcnicas com base em assinaturas e sem
Gerenciamento centralizado
altamente recomendvel adquirir um appliance de
sistema de
gerenciamento central
Compartilhamento de inteligncia
sobre malware
NO ESQUEA
NA WEB
Dashboard
Relatrios
e convenientes de pesquisar e gerar relatrios sobre tipos
os hosts mais infectados e os maiores eventos de callback
Alertas
SIEM
das plataformas mais frequentemente requisitadas para
DICA
Gerenciamento de incidentes
Captulo 6
Seleo da soluo
NGTP certa
Neste captulo
Saiba o que evitar ao avaliar solues NGTP
Faa a sua prpria lista de critrios de compra de NGTP
O que evitar
Veja a seguir uma lista de coisas a serem evitadas ao se avaliar
Evite solues de apenas deteco.
para ter um nvel de conforto inicial e, em seguida, evoluem para
conhecidas, callbacks de malware e recorrncias de malware
NO ESQUEA
NO ESQUEA
Glossrio
ameaas da prxima gerao: a atual nova safra de
ataques cibernticos, dificilmente detectada por defesas
de segurana com base em assinaturas. Exemplos so
malware polimrfico, ameaas de dia zero e APTs.
ameaa de dia zero: um ataque ciberntico contra uma
vulnerabilidade desconhecida (ou no divulgada) de um
sistema operacional ou aplicativo.
ameaa mista: um ataque ciberntico que incorpora uma
combinao de ataques contra diversas vulnerabilidades.
ameaa persistente avanada (APT, Advanced
Persistent Threat): um ataque ciberntico sofisticado
que emprega tcnicas avanadas de ocultao para evitar
deteco por longos perodos de tempo.
ameaa polimrfica: malware que muda sua assinatura
(padro binrio) toda vez que se replica, para evitar
deteco por um aplicativo ou dispositivo de segurana.
ataque de estouro de buffer: um ataque realizado
pela colocao de mais dados em um buffer do que este
configurado para armazenar, o que acaba permitindo
que o atacante execute um cdigo personalizado
(frequentemente com privilgios ampliados concedidos
ao aplicativo ou servio de rede vulnervel).
ataque de injeo de SQL: uma forma de ataque contra
um aplicativo Web com acesso a banco de dados na qual
o atacante executa comandos SQL no autorizados para
explorar cdigo desprotegido.
ataque de negao de servio (DoS, Denial-OfService): um ataque ciberntico voltado para interromper
ou desativar um host-alvo inundando-o com solicitaes de
comunicao benignas a partir de um nico host.
ataque direcionado avanado (ATA, Advanced
Targeted Attack): um outro nome para ameaa
persistente avanada.
autor de ameaas patrocinado por governos:
um criminoso ciberntico empregado por um pas para
realizar ataques cibernticos contra inimigos do estado
por questes de motivao poltica.
baiting: um ataque de engenharia social no qual
uma mdia fsica (como um pen drive USB) contendo
A NOVA SAFRA DE
ATAQUES CIBERNTICOS
J PENETROU 95% DE TODAS AS REDES.
VOC ACHA QUE FAZ PARTE DOS 5%?
TM
sobre
Apesar de gastarem mais de US# 20 bilhes por ano em defesas de segurana
tradicionais, as organizaes esto enfrentando uma nova safra de ataques
persistentes avanadas liderando o assalto. Para que tenhamos alguma
precisamos pensar diferente. Se voc encarregado de proteger a rede da
compare os ataques
Compreenso do inimigo
e como eles contornam defesas de segurana tradicionais
conhea os cinco
estgios do ciclo de vida dos ataques avanados e descubra indcios
para deteco de APTs
Introduo NGTP
NGTP e compare a NGTP com defesas tradicionais
em mensagens de e-mail, comunicaes via Web e arquivos estacionrios
Seleo da soluo NGTP certa
e o que evitar ao avaliar solues NGTP
Sobre o autor
Steve Piper um veterano da segurana da informao, com mais
Cumprimentos de:
e consultor, Steve autor de vrios livros sobre segurana da
informao, infraestrutura de redes e Big Data (grandes volumes
2
,
alm de bacharelado em cincias e MBA pela Universidade
Revenda proibida