FireEye DGNGTP PT PDF

Lutando uma batalha perdida contra a atual nova
TM
sobre
Apesar de gastarem mais de US# 20 bilhes por ano em defesas de segurana
tradicionais, as organizaes esto enfrentando uma nova safra de ataques
persistentes avanadas liderando o assalto. Para que tenhamos alguma
precisamos pensar diferente. Se voc encarregado de proteger a rede da
compare os ataques
Proteo contra ameaas

da prxima gerao
Como vencer a guerra contra a nova
safra de ataques cibernticos
Compreenso do inimigo
e como eles contornam defesas de segurana tradicionais
conhea os cinco
estgios do ciclo de vida dos ataques avanados e descubra indcios
para deteco de APTs
Introduo NGTP
NGTP e compare a NGTP com defesas tradicionais
em mensagens de e-mail, comunicaes via Web e arquivos estacionrios
Seleo da soluo NGTP certa
e o que evitar ao avaliar solues NGTP
Sobre o autor
Steve Piper um veterano da segurana da informao, com mais
Cumprimentos de:
e consultor, Steve autor de vrios livros sobre segurana da
informao, infraestrutura de redes e Big Data (grandes volumes
2
,
alm de bacharelado em cincias e MBA pela Universidade
Revenda proibida
A NOVA SAFRA DE
ATAQUES CIBERNTICOS
J PENETROU 95% DE TODAS AS REDES.
que contornam defesas tradicionais e comprometem mais
VOC ACHA QUE FAZ PARTE DOS 5%?
e oferece a nica proteo do mundo no baseada em
integrada do mercado que interrompe ataques em cada

vazamento de dados. Com a tecnologia patenteada de seu
so distribudas em mais de 40 pases e mais de 25% das

empresas da lista Fortune 100.
Voc talvez ache que as suas defesas de segurana

existentes impedem que a atual nova safra de ataques
cibernticos entre na sua rede e roube os seus dados.
North America
Mas no impedem. Os ataques cibernticos de hoje

contornam facilmente gateways, AV, IPS e firewalls
tradicionais e da prxima gerao.
A FireEye a sua melhor defesa. D um basta na atual
nova safra de ataques cibernticos com proteo
contra ameaas da prxima gerao. Visite-nos hoje
mesmo em www.FireEye.com e deixe-nos ajud-lo
a fechar a brecha na sua rede.
2013 FireEye, Inc. Todos os direitos reservados.
TM
sobre
proteo contra ameaas

da prxima gerao
Steve Piper, CISSP

Prefcio de David DeWalt
Publicado por:
1997 Annapolis Exchange Parkway
Suite 300
Annapolis, MD 21401 EUA
(800) 327-8711
www.cyber-edge.com
e o logotipo da CyberEdge Press so marcas comerciais da CyberEdge Group, LLC nos

Estados Unidos e em outros pases. Todas as outras marcas comerciais e registradas so
propriedade de seus respectivos donos.
Exceto conforme permitido pela Lei de Copyright de 1976 dos Estados Unidos, nenhuma
parte desta publicao pode ser reproduzida, armazenada em um sistema de recuperao
ou transmitida por qualquer forma ou meio, seja eletrnico, mecnico, fotocpia, gravao,
digitalizao ou outros, sem permisso prvia por escrito do publicador. Solicitaes de
permisso ao publicador devem ser endereadas a Permissions Department, CyberEdge
Group, 1997 Annapolis Exchange Parkway, Suite 300, Annapolis, MD, 21401 EUA,
ou transmitidas via e-mail para info@cyber-edge.com.
LIMITE DE RESPONSABILIDADE / ISENO DA GARANTIA: O PUBLICADOR E O AUTOR NO
OFERECEM REPRESENTAES OU GARANTIAS EM RELAO PRECISO OU INTEGRIDADE
DO CONTEDO DESTE TRABALHO E SE ISENTAM DE TODAS AS GARANTIAS, INCLUINDO,
SEM LIMITAO, GARANTIAS DE ADEQUAO A UMA DETERMINADA FINALIDADE.
AS RECOMENDAES E ESTRATGIAS AQUI CONTIDAS PODEM NO SER APROPRIADAS PARA
TODAS AS SITUAES. NEM O PUBLICADOR E NEM O AUTOR PODEM SER RESPONSABILIZADOS
POR DANOS DECORRENTES. O FATO DE UMA ORGANIZAO OU SITE SER REFERIDO NESTE
TRABALHO COMO CITAO E/OU FONTE POTENCIAL DE MAIS INFORMAES NO SIGNIFICA
QUE O AUTOR OU O PUBLICADOR ENDOSSA AS INFORMAES QUE A ORGANIZAO OU SITE
PODE FORNECER OU AS RECOMENDAES QUE PODE FAZER. ALM DISSO, OS LEITORES
DEVEM ESTAR CIENTES DE QUE OS SITES DA INTERNET LISTADOS NESTE TRABALHO PODEM
TER MUDADO OU DESAPARECIDO NO PERODO DE TEMPO ENTRE A REDAO DESTE
TRABALHO E SUA LEITURA.
Para obter informaes gerais sobre os servios de consultoria em pesquisa e marketing do

CyberEdge Group ou para criar um livro
a sua organizao, entre em contato com nosso departamento de vendas pelo nmero 800327-8711 ou pelo e-mail info@cyber-edge.com.
ISBN: 978-0-9888233-0-3 (brochura); ISBN: 978-0-9888233-1-0 (eBook)
Impresso nos Estados Unidos da Amrica.
10 9 8 7 6 5 4 3 2 1
Agradecimentos do publicador
O CyberEdge Group deseja agradecer s seguintes pessoas por suas contribuies:
Susan Shuttleworth
Debbi Stocco, Christian Brennan
Valerie Lowery
Phil Lin, Lisa Matichak, Brent Remai, David DeWalt
Contents
Prefcio ........................................................................................ v
Introduo .................................................................................. vii
Sumrio dos captulos .............................................................................vii
cones teis .............................................................................................viii
............................ 1
Estatsticas surpreendentes .......................................................................2
Vtimas recentes.........................................................................................3
Ataques a empresas......................................................................3
Ataques a rgos governamentais ............................................... 3
O custo da falha .........................................................................................4
O atual cenrio de ameaas ....................................................................... 5
Ameaas tradicionais ................................................................... 5
Ameaas da prxima gerao ...................................................... 7
..........................................................11
Quem o inimigo? ....................................................................................11
Criminosos cibernticos............................................................. 12
Autores de ameaas patrocinados por governos ....................... 12
Hacktivistas ................................................................................ 13
Como o inimigo bem-sucedido ............................................................. 15
Contornando as defesas com base em assinaturas ................... 15
Contornando defesas com base em anomalias.......................... 15
.....................17
APTs em profundidade .............................................................................17
O que as APTs no so ............................................................... 18
APTs nos noticirios ................................................................................ 19
Flame (2012) ..............................................................................20
Ataque ao SecurID da RSA (2011) .............................................20
Stuxnet (2010) ........................................................................... 21
Operao Aurora (2009)............................................................22
O efeito de propagao de um ataque APT em mbito nacional ............22
O ciclo de vida das APTs ..........................................................................23
Estgio 1: Intruso inicial atravs de explorao do sistema ....24
Estgio 2: O malware instalado no sistema comprometido .. 25
Estgio 3: A conexo de sada iniciada ................................... 25
Estgio 4: O atacante dissemina-se lateralmente .....................26
Estgio 5: Dados comprometidos so extrados .......................26
O atacante apaga seus rastros, permanecendo indetectado ..... 27
Indcios de um ataque APT......................................................................29
31
Do que o mundo realmente precisa.........................................................32
Defesas no baseadas em assinaturas .......................................32
Proteo e no apenas deteco ............................................32
Arquitetura de proteo de mltiplos estgios ......................... 33
Mecanismo de deteco altamente preciso ..............................33
Apoiada por uma inteligncia global sobre ameaas ................34
...................34
Comparao com defesas tradicionais com base em assinaturas..35
Comparao com tecnologias de rea restrita...........................36
Principais componentes ..........................................................................38
Sistema de proteo contra malware.........................................38
Mecanismo de execuo virtual .................................................39
Sistema de gerenciamento central .............................................40
Rede de inteligncia sobre ameaas na nuvem .........................40
..41
Como funciona ......................................................................................... 41
Distribuies em linha e fora de banda .....................................43
Principais recursos ..................................................................................44
Execuo virtual de objetos suspeitos ....................................... 45
Bloqueio rpido ..........................................................................45
Quarentena de arquivos maliciosos...........................................46
Gerenciamento centralizado ...................................................... 47
Compartilhamento de inteligncia sobre malware ................... 47
Suporte para regras personalizadas ..........................................48
Integrao com pacotes antivrus ..............................................48
Controles de acesso com base em papis ..................................49
Dashboard ..................................................................................49
Relatrios ...................................................................................50
Alertas ........................................................................................ 51
Integrao da NGTP sua infraestrutura de TI existente ...................... 51
SIEM...........................................................................................52
Inteligncia e anlise de segurana ........................................... 52
Gerenciamento de incidentes .................................................... 53
...............................................55
O que evitar .............................................................................................. 55
Critrios de compra importantes ............................................................56
Plataforma NGTP integrada para inspeo de Web, e-mail e arquivos ..57
Monitora trfego de entrada e de sada ..................................... 57
Inspeciona uma ampla variedade de tipos de arquivo .............. 57
Soluo para anlise de malware manual .................................58
Nenhum falso positivo ou falso negativo................................... 59
Suporte para regras personalizadas .......................................... 59
Interface de usurio intuitiva ....................................................59
Bom suporte ao cliente ..............................................................60
.....................................................................................61
Prefcio
o me reunir com lderes e clientes de todo o mundo,

descobri que h uma grande distncia entre o nvel de
segurana de que eles precisam para suas redes e o nvel de
segurana disponibilizado para eles com o uso de ferramentas de
segurana tradicionais. Isso ocorre porque a prxima gerao de
ataques cibernticos j parte de nosso cotidiano, mas eles esto
restritos a trabalhar com ferramentas de segurana tradicionais
baseadas em modelos tecnolgicos de dcadas atrs.
Toda a indstria de segurana precisa de uma mudana

de paradigma porque aperfeioamentos mnimos no so
cibernticos altamente habilidosos de hoje. Eu j disse
publicamente que o modelo atual de segurana ciberntica
no expansvel e que necessria uma abordagem
fundamentalmente nova segurana.
precisamos educar uns aos outros e agir quanto realidade

dos ataques cibernticos de hoje. Estamos em uma corrida
armamentista ciberntica promovida por organizaes
criminosas e de outros pases com motivaes entrelaadas
Eu tenho a honra de atuar como membro do Comit de
Aconselhamento em Telecomunicaes para Segurana
Nacional (NSTAC, National Security Telecommunications
Advisory Committee) do presidente Barack Obama, bem
como dos conselhos da Delta Airlines, Mandiant e Polycom.
Dessa perspectiva, temos uma oportunidade nica de unir
os setores pblico e privado em uma causa comum. Estou
para proteger nossa infraestrutura crtica compartilhada.
Ainda me impressiona que criminosos cibernticos e autores de
APTs possam invadir praticamente qualquer rede para roubar
dados e prejudicar empresas, apesar dos mais de US$ 20 bilhes
investidos em tecnologias de segurana de TI no ano passado!
em nossas defesas de segurana de rede para combater a atual
nova safra de ataques cibernticos, como diz Steve neste livro.
O aumento considervel em incidentes cibernticos globais

mostra at onde chegaram as ameaas e o quo avanados
e intrincados esses ataques cibernticos se tornaram.
Voc precisa ler este guia e compartilhar o que voc aprendeu
com os seus colegas e grupos de discusso da sua rea.
No podemos deter essa nova gerao de ataques cibernticos
sem tecnologias mais avanadas, melhor cooperao entre
indstrias e laos mais fortes entre os setores pblico e privado.
De minha parte, ao entrar para a FireEye, considero meu
compromisso renovado oferecer plataformas de ponta para
enfrentar os problemas de segurana ciberntica mais difceis
da atualidade. Tive diversas oportunidades como CEO
desde que sa da McAfee e h anos j considerava a FireEye.
Estou entusiasmado por fazer parte de uma empresa cuja
tecnologia tem o potencial de virar o jogo. Ao endossar este
guia, meu desejo que ele lhe proporcione uma estrutura de
trabalho para distribuio de uma plataforma de proteo
contra ameaas da prxima gerao que forme a base de
uma rede mais resiliente e mais resistente a invases.
David DeWalt
CEO, FireEye
Introduo
os ltimos anos, empresas e rgos governamentais tm

sido vtimas de uma variedade de ataques cibernticos bem-
gastarem mais de US$ 20 bilhes por ano em defesas de
adversrios altamente motivados ataquem nossos sistemas,

roubem nossos dados e prejudiquem nossa infraestrutura
e tirar proveito de novas tecnologias para revelar e bloquear
nova, inovadora e comprovada para ajudar a vencer a guerra

de proteger a rede da sua empresa, este o livro que voc
Sumrio dos captulos

importantes alvos comerciais e governamentais, revela os custos
trs tipos de inimigos cibernticos criminosos cibernticos,

e mostra porque eles so to bem-sucedidos em contornar
d prosseguimento ao captulo 4
descreve
itlico
cones teis
DICA
NO ESQUEA
CUIDADO
PAPO TCNICO
NA WEB
Quer aprender mais? Siga o URL correspondente para
Captulo 1
Neste captulo
Examine estatsticas recentes sobre violaes de dados
Explore ataques cibernticos tradicionais
Conhea ameaas persistentes avanadas, ataques de
dia zero e malware avanado
j vistos. No ano passado, testemunhamos violaes

de dados alarmantes, de complexidade e alcance sem
precedentes, fazendo com que cada CISO reexaminasse
a postura de segurana de rede de sua empresa.
Ao mesmo tempo, a indstria do crime ciberntico
transformou-se completamente de hacking por diverso
a ataques cibernticos motivados por lucro ou, em alguns
casos, por ganho poltico. Os criminosos cibernticos de
hoje so altamente treinados e empregam tcnicas de ataque
em assinaturas no so preo.
As empresas agora enfrentam uma nova safra de ataques
cibernticos. Essas ameaas de mltiplos vetores e de
mltiplos estgios burlam facilmente defesas de segurana
seguros de Web e de e-mail e plataformas antivrus.
Ento, qual a gravidade do problema? Vamos dar uma
olhada em algumas estatsticas recentes e referncias a alguns
dos ataques cibernticos mais nocivos da atualidade.
sobre proteo contra as ameaas da prxima gerao
Vrias organizaes respeitveis de pesquisa de segurana

ciberntica monitoram as tendncias dos ataques cibernticos
contra empresas. Entre elas est a Verizon RISK (Response,
respeitado relatrio anual de investigaes de violaes de dados.
Em 2012, a Verizon analisou 855 incidentes de violao
de dados ocorridos no ano anterior que resultaram em
174 milhes de registros comprometidos. A anlise da
Verizon revelou algumas estatsticas impressionantes:
98% dos incidentes foram causados por agentes externos
(um aumento de 6% em relao ao ano anterior)
85% levaram semanas para serem descobertos
(um aumento de 6%)
81% envolveram alguma forma de hacking
(um aumento de 31%)
NA WEB
ameaas da prxima gerao, publicou seu relatrio de

ameaas avanadas (1 semestre de 2012). De acordo com
o relatrio, as empresas esto tendo, em mdia, 643 eventos
maliciosos com base na Web por semana, efetivamente
Em comparao com o mesmo perodo de 2011, o nmero
de infeces por empresa aumentou em 225%.
NA WEB
Apesar dos aumentos globais nos gastos com segurana da

informao (atualmente equivalentes a mais de US$ 20 bilhes
por ano em produtos e servios de segurana da informao),
o percentual de violaes de dados decorrentes de hacking
em alta e ainda so necessrias semanas para se descobrir
grandes violaes de dados!
A menos que empresas e rgos governamentais adotem uma

da prxima gerao, as empresas continuaro a aparecer
nas manchetes de maneiras no imaginadas. Veja a seguir
uma amostragem de recentes ataques cibernticos contra
importantes empresas e rgos governamentais que
empregaram tcnicas avanadas de hacking:
Ataques a empresas
Global Payments (maro de 2012): Ataque que
remota a janeiro de 2011, no qual um hacker vazou
informaes de mais de sete milhes de cartes de
crdito, causando a essa processadora de cartes de
crdito prejuzos de quase US$ 85 milhes e perda
temporria das bandeiras Visa e MasterCard.
Citigroup (junho de 2011): A empresa revelou que
um ataque ciberntico resultou no roubo de mais de
360.000 nmeros de carto de crdito, dos quais 3.400
foram utilizados para roubar mais de US$ 2,7 milhes.
RSA Security (maro de 2011): Atacantes cibernticos
roubaram dados relacionados a tokens SecurID,
tornando-os inseguros.
DICA
Consulte a barra lateral RSA Security vem a pblico

detalhes sobre esse ataque.
Ataques a rgos governamentais

Departamento da Receita da Carolina do
Sul (EUA) (outubro de 2012): Um hacker obteve
aproximadamente 3,6 milhes de nmeros de seguridade
social e 387.000 nmeros de cartes de crdito e dbito
a partir de um ataque ciberntico externo.
Agncia de proteo ambiental (EPA) dos EUA
(agosto de 2012): Nmeros de seguridade social, nmeros
de 5.000 funcionrios da EPA foram expostos aps um
funcionrio clicar em um anexo de e-mail malicioso.
Ir
desenvolvido por Estados Unidos e Israel, foi
distribudo para retardar o programa nuclear do Ir.
NO ESQUEA
Para combater tanto as ameaas tradicionais quanto as da

implementar uma estratgia de defesa em profundidade
(camadas de defesas de segurana de terminais e de rede).
No faz-lo pode custar caro. Pode at mesmo levar uma
empresa falncia!
seu terceiro relatrio anual, intitulado 2012 Cost of Cyber
Crime Study: United States (Estudo sobre o custo do crime
ciberntico em 2012: Estados Unidos). Ao analisar o custo
das violaes de dados de 56 empresas sediadas nos Estados
Unidos, o Ponemon Institute constatou que o custo mdio
anual do crime ciberntico para cada organizao foi de US$
8,9 milhes, variando de US$ 1,4 milho a US$ 46 milhes.
Isso representa um aumento de 6% em relao a 2011, quando
o custo foi de US$ 8,4 milhes. O Ponemon Institute tambm
calculou que cada organizao sofre, em mdia, 102 ataques
cibernticos bem-sucedidos por semana, um aumento de 42%
em relao aos 72 ataques por semana ocorridos em 2011.
NA WEB
As empresas vitimadas por violaes de dados em grande

escala enfrentam custos imensos, incluindo:
Custos forenses e de investigao
Custos em comunicaes com clientes e parceiros
Custos em relaes pblicas
Perda de lucros por danos reputao
Multas regulamentares
Custos jurdicos e com indenizao de vtimas
No que se refere defesa contra ataques cibernticos, aplica-se
um velho ditado melhor prevenir do que remediar.
As empresas devem a si mesmas, a seus clientes e a seus
acionistas incorporar uma proteo contra as ameaas da
prxima gerao em sua arquitetura de defesa em profundidade
As empresas e os rgos governamentais enfrentam atualmente

dezenas de ataques cibernticos. Vamos resumir o cenrio de
ameaas agrupando os ataques cibernticos em duas amplas
categorias ameaas tradicionais e ameaas da prxima gerao.
Ameaas tradicionais
Os ataques cibernticos tradicionais descritos nesta seo so
velhos conhecidos, mas nem por isso menos nocivos. Embora
eles possam normalmente ser detectados por dispositivos
passam pelas frestas.
Um worm
autnomo que replica a si mesmo tipicamente por meio de
vulnerabilidades em sistemas operacionais em uma rede
ao consumir sua largura de banda, mas tambm geram um
vetor de ataque colateral que pode infectar sistemas internos
supostamente protegidos ou vazar dados. Diferentemente
programas ou arquivos.
Um cavalo de Troia (ou Trojan) tipicamente se faz passar
o usurio a conceder acesso a um computador. Os cavalos
infectado, mas no podem se propagar, por si ss, para outros
computadores vulnerveis. Eles costumam integrar redes com
outros computadores infectados (chamadas redes de bots;
consulte a prxima seo), onde aguardam instrues adicionais
e para as quais enviam informaes roubadas. Os cavalos de
mdias sociais, ou podem estar disfarados como um instalador
pirateado de um jogo ou aplicativo bem conhecido.
Um vrus de computador um cdigo malicioso que varia em
gravidade, desde apenas inconveniente at completamente
devastador. Ele se anexa a um programa ou arquivo, o que lhe
permite espalhar-se de um computador para outro, deixando
infeces ao longo de seu caminho. Contudo, diferentemente de
Spyware
do usurio atravs de uma conexo com a Internet sem o
anncios (quando se chama Adware, por exibir anncios pop-up),
como nomes de usurio, senhas e nmeros de carto de crdito.
a atividade do usurio e, ento, transmite secretamente, em

segundo plano, essas informaes para mais algum.
PAPO TCNICO
Uma rede de bots um conjunto de computadores

em execuo. Cada dispositivo comprometido chamado
de bot (rob) ou zumbi, e a pessoa que controla uma rede de
bots chamada de bot herder ou botmaster (mestre de bots).
O comando e controle de uma rede de bots costuma envolver
servidores Web (chamados de servidores command-andcontrol ou CnC
controlar bots, embora algumas redes de bots mais antigas
sejam dirigidas pelo mestre de bots utilizando IRC (Internet
Relay Chat). Os bots so frequentemente utilizados para
perpetrar ataques de negao de servio, transmitir spam,
adicional no computador hospedeiro infectado.
Ataques de engenharia social como phishing e baiting
so extremamente comuns. Como discutimos no captulo 3,
esses ataques, quando bem-sucedidos, podem levar a ataques
Phishing uma tentativa de capturar informaes
(e, indiretamente, dinheiro) como nomes de usurio, senhas,
informaes de carto de crdito e nmeros de seguridade
comunicao via e-mail. Aps clicar em um hiperlink
(aparentemente inocente), o usurio instrudo a fornecer
dados pessoais em um site falso cujo comportamento
e aparncia so quase idnticos aos do site legtimo.
O phishing pode ser especializado, por exemplo:
O spearphishing tem como alvo uma pessoa ou pessoas
costumam coletar informaes pessoais antecipadamente
sobre seus alvos para aumentar suas chances de xito.
O whaling
seniores e outros alvos importantes dentro de
uma organizao.
O baiting ocorre quando um criminoso deixa casualmente
um pen drive USB ou CD-ROM em um estacionamento ou
cibercaf. Esse pen drive ou disco rotulado com palavras
despertar o interesse de quem o encontrar. Quando a vtima
Duas tcnicas frequentemente empregadas que exploram

vulnerabilidades so os ataques de estouro de buffer e injeo
de SQL.
Um estouro de buffer um ataque ciberntico no qual o hacker
grava mais dados em um buffer de memria do que este
capaz de armazenar. Alguns desses dados transbordam para
a memria adjacente, fazendo com que o aplicativo desktop ou
com base na Web execute um cdigo arbitrrio com ampliao
de privilgios, ou at mesmo trave. Os estouros de buffer
costumam ser desencadeados por comandos de hackers ou
por arquivos e objetos Web maliciosos que so projetados para
executar cdigo ou alterar a forma como o programa opera.
Uma injeo de SQL ataca bancos de dados atravs de um site
ou aplicativo com base na Web. O atacante envia instrues
SQL em um formulrio Web em uma tentativa de fazer com que
o aplicativo Web passe o comando SQL esprio para o banco
de dados. Um ataque bem-sucedido de injeo de SQL pode
revelar o contedo do banco de dados (como nmeros de carto
de crdito ou seguridade social, senhas e mais) ao atacante.
Ameaas da prxima gerao

Defesas de segurana tradicionais baseadas em assinaturas
principalmente para detectar ameaas conhecidas. Mas hoje
em dia so as ameaas desconhecidas que esto tendo
mais repercusso.
DICA
Esta seo descreve detalhadamente os ataques cibernticos

mais perigosos que as empresas e rgos governamentais
enfrentam atualmente. No captulo 2 descrevemos porque
as defesas de segurana tradicionais so inadequadas para
detectar e prevenir esses ataques.
Uma ameaa de dia zero um ataque ciberntico contra uma

vulnerabilidade publicamente desconhecida de um sistema
operacional ou aplicativo, assim chamada porque o ataque
lanado no dia zero (ou at antes) do conhecimento do
pblico sobre a vulnerabilidade e, em muitos casos, antes
mesmo que o fornecedor tome conhecimento. (Embora em
alguns casos o fornecedor j saiba da vulnerabilidade, esta no
divulgada publicamente por ainda no ter sido corrigida.)
NO ESQUEA
podem permanecer indetectados por longos perodos de tempo

(normalmente vrios meses e, ocasionalmente, alguns anos)
da vulnerabilidade ainda leva dias ou mesmo semanas.
As ameaas persistentes avanadas (APTs, Advanced

ataques
direcionados avanados ou ATAs
pessoa no autorizada obtm acesso a uma rede e permanece
indetectado por um longo perodo de tempo. A inteno de uma
visam organizaes em setores com informaes de grande
valor, como empresas de processamento de cartes de crdito,
anterior sobre phishing e baiting) para obter o acesso inicial

rede. Uma vez que um host inicial tenha sido comprometido,
lenta e furtiva para
evitar deteco.
DICA
lenta e furtiva em algumas das maiores violaes de dados

da histria.
(como China e Rssia) por motivaes polticas, reservando
Uma
um ataque ciberntico como
constantemente (morphing), o que o torna quase impossvel

de detectar com defesas base de assinaturas. A evoluo
como mudanas de nome de arquivo e compactao
(tamanho do arquivo).
Embora a aparncia do cdigo dentro de uma ameaa
normalmente continua a mesma. Por exemplo, um programa de
keylogger
autorizado que registra pressionamentos de teclas) continuar
a desempenhar essa funo, mesmo que sua assinatura mude.
Os fornecedores que vendem produtos de segurana base de

assinaturas precisam criar e distribuir constantemente novas
assinaturas de ameaas (algo muito caro e demorado, convm
dizer), enquanto empresas e rgos governamentais
frequentemente com milhares de hosts para proteger
cibernticos) esto constantemente distribuindo as
assinaturas produzidas por seus fornecedores de segurana.
um crculo vicioso que est sempre atrs dos criminosos
cibernticos, sem perspectiva de acabar.
Uma ameaa mista um ataque ciberntico que combina

emprega vrios vetores de ataque (diversos caminhos e alvos
de ataque) para aumentar a gravidade do dano e a velocidade
exemplos bem conhecidos de ameaas mistas.
Uma ameaa mista costuma incluir:
Vrios meios de propagao
Explorao de vulnerabilidades do sistema
A inteno de causar dano a hosts de rede
CUIDADO
As ameaas mistas so amplamente consideradas por

de redes desde o surgimento dos vrus, pois a maioria das ameaas
mistas no requer interveno humana para se propagar.
Por que o Windows to suscetvel

a ataques cibernticos
Quando voc l sobre violaes de
dados de alto padro na imprensa
especializada pelo menos aquelas
em vez de envolver laptops ou pen
fosse sua maior prioridade, falando

permitir que o usurio reinasse
livremente sobre todo o sistema
praticamente todas elas resultam

de um ataque ciberntico contra
Ento, isso significa que os hosts
do zero como um sistema operacional
a ataques cibernticos?
preservar a compatibilidade com

programas desenvolvidos para as
pensam que sim e geralmente do

duas explicaes ambas as quais
Ao faz-lo, a Microsoft deixou

A primeira explicao est
relacionada simplesmente ao
quase monoplio da Microsoft no
mercado de sistemas operacionais
para desktops, especialmente
variem, a maioria mostra que
aproximadamente nove entre cada
dez dispositivos de computao
de usurio final possui um sistema
q u a n d o h a c ke rs s o f i s t i c a d o s
(vulnerabilidades) para os hackers

que a segunda tera-feira de cada ms
(tera-feira das correes), quando
a Microsoft lana novas correes
(atravs dos boletins de segurana
da Microsoft) principalmente para
resolver vulnerabilidades dentro de
comeado em 2004, ainda est em
Troia, redes de bots e ataques de

o p e ra c i o n a i s q u e n o s e j a m
A segunda explicao tem um
bem como o Microsoft DOS
que o antecedeu, foi projetado
para ser um sistema operacional
monousurio sem que a segurana
e o Linux foram projetados desde

considerao, estas plataformas so
Captulo 2
Neste captulo
Categorize trs tipos de inimigos cibernticos
Saiba como os atacantes contornam defesas de
segurana tradicionais
Se voc conhece o inimigo e a si mesmo, no precisa
temer o resultado de cem batalhas. Se voc conhece
a si mesmo, mas no ao inimigo, para cada vitria
conquistada sofrer tambm uma derrota.
Sun Tzu, A arte da guerra
onhea o seu inimigo, um ditado importante do notrio

manuscrito A arte da guerra de Sun Tzu, certamente se
aplica bem atual guerra contra ataques cibernticos (e o atual
terrorismo ciberntico). Antes de investigarmos a anatomia
das ameaas persistentes avanadas (no captulo 3) e como nos
defendermos contra elas (no captulo 4), vamos dedicar algum
tempo a conhecer os inimigos, o que inclui compreender suas
motivaes e porque eles so bem-sucedidos.
Quem o inimigo?
com a passagem de cada dcada. Nos anos 1970 e 1980, o phone
phreaking (manipulao no autorizada de equipamentos de
centrais telefnicas com o objetivo principal de fazer ligaes
telefnicas de longa distncia gratuitas) era a sensao do
ento jovem Matthew Broderick, apresentou ao pblico em geral
o hacking de computadores atravs de um modem, e a lenda
dos hackers como heris cibernticos teve incio.
Nos anos 1990 houve a ampla adoo da Internet, incluindo

o surgimento da World Wide Web. Os hackers de ento
adulteravam sites pblicos principalmente para se
vangloriarem de seus feitos at a virada do sculo.
NO ESQUEA
Atualmente o hacking tornou-se uma indstria multibilionria.

A poca do hacking por diverso j passou h muito tempo.
Hoje em dia so essencialmente trs os tipos de atacantes
cibernticos com os quais as empresas e rgos governamentais
precisam lidar criminosos cibernticos, autores de ameaas
patrocinados por governos e hacktivistas.
Criminosos cibernticos
Em poucas palavras, criminosos cibernticos so indivduos
que praticam o hacking por dinheiro. Na maioria dos casos,
eles invadem redes de empresas com o objetivo de roubar
nmeros de cartes de crdito (s vezes em quantidades que
chegam a dezenas ou mesmo centenas de milhares) e vendlos no mercado aberto. Embora no sejam to lucrativas,
credenciais de contas de Facebook, Twitter e e-mail tambm
podem render uns trocados.
Um dos criminosos cibernticos mais famosos j condenados
hacking em bancos de dados de uma empresa regional de
processamento de pagamentos de cartes de crdito, tendo
roubado mais de 170 milhes de nmeros de cartes de
de priso a pena mais dura j imposta at ento a um
criminoso ciberntico.
Autores de ameaas patrocinados

por governos
Supostamente a mudana mais notvel na comunidade de
hackers na ltima dcada foi o surgimento de autores de ameaas
patrocinados por governos. Tratam-se de indivduos a servio
de um governo (no necessariamente seu prprio governo) para
penetrar sistemas de computadores de empresas e/ou governos
de outros pases para comprometer dados, sabotar sistemas de
computadores ou mesmo praticar guerra ciberntica.
China e Rssia esto entre os pases mais frequentemente
citados por recrutar autores de ameaas patrocinados por
governos. Mas no so os nicos. Veja a seguir exemplos bem
conhecidos de ataques cibernticos supostamente cometidos
por pases, incluindo os Estados Unidos:
Captulo 2 : Compreenso do inimigo | 13
O Ir acusado de ataques cibernticos contra bancos

e empresas petrolferas dos Estados Unidos na Arbia
Estados Unidos e Israel so acusados de criar o malware
Estados Unidos e Israel so acusados de lanar

o worm Stuxnet contra uma instalao de
de ativistas de direitos humanos chineses. O mesmo
China rouba os planos dos novos avies de caa norteRssia ataca sites do parlamento, ministrios, bancos
e jornais da Estnia quando da relocao do memorial
O Ir lanou recentemente um ambicioso programa

governamental de US$ 1 bilho para incrementar as
capacidades cibernticas nacionais. Especialistas acreditam
que, embora as capacidades de guerra ciberntica da China
e da Rssia sejam muito superiores s do Ir, politicamente
muito mais provvel que o Ir venha a visar a infraestrutura
ciberntica dos EUA, considerando-se o atual impasse
internacional em relao ao programa nuclear iraniano.
Hacktivistas
Hacktivismo o uso de ferramentas digitais visando objetivos
polticos. Ao contrrio de criminosos cibernticos que so
motivados por dinheiro, os hacktivistas so motivados por
ideologia poltica. Ataques cibernticos tpicos cometidos
por hacktivistas so adulterao de sites, redirecionamentos,
roubo de informaes e piquetes virtuais atravs de ataques
de negao de servio distribudos (DDoS, Distributed
Denial-Of-Service), que consistem em inundar os sites com
centenas ou milhares de conexes simultneas e repetitivas.
Alguns hacktivistas se uniram para atacar suas vtimas
por vrios ataques cibernticos de alto padro, incluindo

vrios ataques contra a Sony e a derrubada do site da agncia
de inteligncia norte-americana CIA (Central Intelligence
por derrubar vrios sites do governo israelense aps os
Mercenrios cibernticos de aluguel

Em um relatrio Defense
Dossier (Dossi de defesa) de
agosto de 2012, o American
Foreign Policy Council (AFPC;
w w w. a f p c . o r g ) a f i r m o u q u e
a Rssia est supostamente
terceirizando parte de seu trabalho
pelo governo para criminosos
cibernticos, incluindo membros
da ento famosa Russian Business
Network (RBN). At seu aparente
desaparecimento em 2008,
a RBN esteve envolvida em quase
todo tipo de esquema de crime
malware, ataques de DDoS e mais.
computadores do governo. Isso

particularmente desconcertante
para muitos ocidentais que no
conseguem imaginar um governo to
envolvido com elementos criminosos.
a fazer parceria com criminosos
cibernticos. A especialista em
encontrou evidncias que apoiam

uma teoria comum de que a China
est trabalhando em parceria com
acesso a mquinas j infectadas
como uma maneira mais fcil de
Segundo o relatrio do AFPC, so

terceiriza trabalho para criminosos
chamo, mercenrios cibernticos.
Primeiro, extremamente
econmico, pois esses mercenrios
cibernticos ganham dinheiro por
fora quando no esto trabalhando
para o governo. Segundo, mesmo
no podem ser rastreados at
Em 2011, pesquisadores da FireEye

descobriram uma classe APT de
malware associado Ghostnet,
ciberntica em grande escala com
uma infraestrutura de comando
e controle com base na China,
em uma mquina que tambm
Coincidncia? No creio.
Captulo 2 : Compreenso do inimigo | 15
Como o inimigo bem-sucedido

Agora que voc tem uma compreenso slida dos trs tipos
principais de atacantes cibernticos criminosos cibernticos,
autores de ameaas patrocinados por governos e hacktivistas
vamos discutir porque eles so to bem-sucedidos.
Contornando as defesas com base

em assinaturas
Os produtos tradicionais de segurana de redes e terminais
antivrus dependem da correlao de padres de assinaturas
ataques cibernticos conhecidos e, em alguns casos, ataques
desconhecidos que visam vulnerabilidades conhecidas.
deteco de ataques cibernticos tradicionais e conhecidos,
como worms, cavalos de Troia, spyware, redes de bots e vrus
de computador bsicos. Mas, como discutimos no captulo 1,
elas so completamente ineptas na deteco da atual nova
safra de ataques cibernticos, como ataques de dia zero,
e APTs. De fato, na maioria dos casos, a atual nova safra
de ataques cibernticos passa pelas defesas de segurana
tradicionais como se estas no existissem! Isso ocorre
simplesmente porque no h assinatura para detectar as
tticas avanadas utilizadas no primeiro estgio de um
ataque completo que, em ltima instncia, d aos atacantes
cibernticos controle total dentro da rede.
CUIDADO
No me entenda mal. Defesas tradicionais com base em

assinaturas so componentes fundamentais de uma estratgia
equilibrada de defesa em profundidade. Estou simplesmente
a atual nova safra de ataques cibernticos que atravessam canais
de comunicao (por exemplo, Web e e-mail) e se manifestam
em vrios estgios.
Contornando defesas com base

em anomalias
Solues melhores em IPS e anlise do comportamento
da rede (NBA, Network Behavior Analysis) incorporam
mtodos de deteco com base em anomalias para ajudar
cFlow) de switches e roteadores de rede e tomando como

referncia o trfego de rede normal ao longo de dias
ou mesmo semanas. Uma vez estabelecida uma linha de
referncia, possvel detectar anomalias de rede, como um
host enviando quantidades exorbitantes de dados para fora
da organizao ou um dispositivo de computao de usurio
Embora as defesas de segurana com base em anomalias

possam detectar determinados eventos causados por
ameaas da prxima gerao, elas costumam fracassar
porque frequentemente esto propensas a falsos positivos
como legtimo) devido natureza lenta e furtiva das
ameaas persistentes avanadas.
Captulo 3
Anatomia dos ataques

cibernticos avanados
Neste captulo

o captulo 1 discutimos as diferenas entre ataques

cibernticos tradicionais e a atual nova safra de ataques
cibernticos. No captulo 2 discutimos porque as ameaas da
prxima gerao so to bem equipadas para contornar defesas
de segurana tradicionais. Agora eu gostaria de discutir a categoria
de ataques cibernticos avanados que supera todas as demais
em repercusso. Estou falando, naturalmente, das ameaas
persistentes avanadas, ou APTs (Advanced Persistent Threats).
captulo 1. Vamos detalhar algumas das maiores repercusses
que as APTs produziram na imprensa nos ltimos anos e,
em seguida, discutiremos seu impacto danoso nas empresas
e rgos governamentais vitimados. Concluiremos o captulo
descrevendo o ciclo de vida dos ataques APT e forneceremos
uma lista de indcios para ajud-lo a determinar se a sua rede
foi comprometida por um ataque APT.
APTs em profundidade
a uma rede e permanece indetectada por um longo perodo de
tempo. Embora isso seja verdadeiro, apenas parte da histria.
As APTs so como nenhum outro ataque ciberntico visto antes.
criada por analistas de segurana da informao da Fora

Area dos EUA em 2006. Ela descreve trs aspectos dos
Avanada: O atacante um especialista em mtodos

de intruso ciberntica e capaz de criar ferramentas
e exploraes personalizadas.
Persistente: O atacante tem um objetivo de longo
prazo e trabalhar persistentemente para atingi-lo
sem ser detectado e sem se preocupar com prazos.
Ameaa:
bem treinado e altamente motivado.
NO ESQUEA
As APTs so amplamente consideradas o tipo mais perigoso

de ataque ciberntico atualmente. Os criminosos cibernticos
que empregam APTs so um caso especial. Eles so
e rgos governamentais.
Infelizmente, a maioria das organizaes no sabe que foi
comprometida por um ataque APT at ser tarde demais.
De acordo com o mesmo relatrio de investigaes sobre
violaes de dados da Verizon de 2012 mencionado no
captulo 1, 59% das organizaes pesquisadas que sofreram
a violao por uma agncia de investigao policial!
O que as APTs no so
Por mais importante que seja entender o que so as APTs,
igualmente importante compreender o que elas no so.
Uma APT no um elemento isolado de malware ou mesmo
um conjunto de elementos de malware. Ela no uma nica
objetivo em mente.
As APTs so campanhas bem coordenadas e extensas sejam
nacionais voltadas para atingir um objetivo contra um alvo
incorporam vrias tcnicas de ataque ciberntico e ocorrem em
diversos estgios para formar um nico ataque coordenado.
Trs mitos dos ataques de APT

As APTs esto entre os tpicos mais
Mito n 1: Somente indstrias

combatidas com defesas de
APTs nos noticirios

Nos dias de hoje, parece que no se passa uma semana
sem notcias de uma grande violao de dados em uma
empresa, universidade ou rgo governamental. Veja a seguir
descries dos ataques de APT mais noticiados em cada um
dos ltimos quatro anos.
NA WEB
organizaes comerciais e governamentais, altamente

recomendvel ler o blog sobre violao de dados da SC Magazine
em www.scmagazine.com/the-data-breach-blog/section/1263/.
Flame (2012)
Flame, tambm conhecido como Flamer, sKyWiper
2012 pelo MAHER Center of Iranian National CERT, pela
Kaspersky Lab e pela Universidade de Tecnologia e Economia
de Budapeste. A Kaspersky Lab foi requisitada pela Unio
de Telecomunicaes das Naes Unidas para investigar
relatrios de um vrus que estava afetando computadores
do Ministrio do Petrleo do Ir.
Especialistas em computadores consideram o Flame a causa
de um ataque em abril de 2012 que fez os agentes iranianos
desconectarem da Internet seus terminais petrolferos.
Atualmente amplamente aceito que os Estados Unidos
e Israel desenvolveram conjuntamente o malware Flame para
coletar inteligncia em preparao para sabotagem ciberntica
com o objetivo de retardar a capacidade do Ir de desenvolver
uma arma nuclear.
Aps o estgio de explorao inicial, o Flame inicia um
conjunto complexo de operaes, incluindo comunicao
com seus servidores de comando e controle para fazer
download de outros mdulos de malware. Quando
completamente implantado, o Flame um programa
tamanho aproximadamente 20 a 30 vezes maior que um
vrus de computador tpico. Ele amplamente considerado
que o Flame, desenvolvido para se fazer passar por uma
atualizao de software rotineira da Microsoft, foi criado para
mapear e monitorar secretamente as redes de computadores
e preparao para uma campanha de guerra ciberntica.
Ataque ao SecurID da RSA (2011)

Em maro de 2011, a RSA Security (uma diviso da EMC)
os clientes de sua autenticao de dois fatores SecurID
e aconselh-los a trocar seus tokens comprometidos. Nos meses
seguintes comearam a surgir relatos de violaes de dados
causadas, em parte, pelos tokens SecurID comprometidos.
Surpreendentemente, a Lockheed Martin divulgou uma

comprometido. Alguns especialistas em segurana, porm,
so cticos quanto ao maior fornecedor de defesa dos EUA ser
completamente sincero em relao a uma violao sobre a qual
o prprio presidente Obama foi informado pessoalmente.
NA WEB
Logo aps a RSA Security divulgar publicamente o ataque,

um representante da empresa postou um blog fornecendo
detalhes complexos sobre como o ataque APT foi perpetrado
em diversos estgios. Para saber mais, leia a barra lateral
mais adiante neste captulo.
No formulrio 10-Q da EMC, foi revelado que o ataque APT
contra a RSA Security custou empresa US$ 81,3 milhes
para substituir tokens SecurID, monitorar clientes, reforar
sistemas internos e administrar as consequncias da violao
de segurana.
Stuxnet (2010)
Stuxnet
descoberto em junho de 2010 que se acreditava estar
atuando havia mais de um ano e sendo utilizado em conjunto
com um ataque APT contra a infraestrutura iraniana de
enriquecimento de urnio. No primeiro estgio, o Stuxnet
espalhou-se explorando uma vulnerabilidade do Microsoft
Windows e, em seguida, disseminou-se lateralmente na
rede para, eventualmente, atingir equipamentos e software
industrial da Siemens, causando mau funcionamento. Embora
essa no seja a primeira vez que hackers atacam sistemas
industriais, o primeiro caso documentado de malware que
inclui um rootkit de controlador lgico programvel (PLC).
A Siemens informou que o worm no causou dano algum a seus
clientes, mas a instalao nuclear iraniana obteve secretamente
equipamentos da Siemens sob embargo, os quais foram
observar que os vrios mecanismos de disseminao do
Stuxnet permitiram que o mesmo eventualmente escapasse
da instalao nuclear iraniana e infectasse a Chevron, gigante
da rea de energia. No entanto, representantes da empresa
inocente e que foi programado para no lanar sua carga viral,
encerrando, assim, o ciclo de vida do ataque. Por isso no houve
danos aos sistemas da Chevron e a empresa pde remov-lo.
Especialistas encontraram evidncias dentro do cdigo fonte

do Stuxnet vinculando o ataque APT aos Estados Unidos
negado a acusao.
Operao Aurora (2009)

A Operao Aurora foi um ataque APT de alto padro que
comeou em meados de 2009 e continuou at dezembro de
2009. Foi divulgado pela primeira vez pela Google em janeiro
de 2010 em uma postagem de blog, indicando que o ataque
originou-se da China e que tinha como alvo as contas de
Gmail de ativistas de direitos humanos chineses. Dezenas de
outras organizaes, incluindo Yahoo, Symantec, Northrop
Grumman, Morgan Stanley e Dow Chemical, tambm foram
visadas por esse ataque.
Dois dias aps o ataque, a McAfee informou que os atacantes
tinham explorado uma vulnerabilidade de dia zero no Microsoft
Quando o sistema de uma vtima era comprometido, o estgio
seguinte do ataque consistia em uma conexo backdoor, que se
fazia passar por uma conexo SSL, com servidores de comando
e controle funcionando em Illinois, Texas (EUA) e Taiwan,
incluindo mquinas que funcionavam sob contas roubadas
de clientes do Rackspace. A mquina da vtima iniciava, ento,
sua busca lateral por fontes de propriedade intelectual, mais
O efeito de propagao de um
ataque APT em mbito nacional
comuns que as empresas enfrentam quando submetidas a uma
violao de dados em grande escala, incluindo custos forenses,
multas regulamentares e perda de lucros. Mas e se os autores de
ameaas APT decidissem visar algo um pouco mais estratgico
que dados corporativos?
Imagine, por exemplo, um ataque APT coordenado contra
empresas de energia em uma grande regio dos Estados
Unidos, como a nordeste. Imaginemos ainda que os autores
do ataque fossem bem-sucedidos em comprometer os sistemas
SCADA (Supervisory Control And Data Acquisition) que
controlam redes de energia em vrios estados, deixando-os
s escuras por dias ou mesmo semanas. Consegue imaginar
As redes de energia eltrica param de funcionar

Os postos de gasolina no conseguem
vender combustvel
Os caixas eletrnicos no podem fornecer dinheiro
Os hospitais e servios de emergncia no do conta

da demanda
Acha que um ataque assim impossvel? Pense bem. Segundo
Power Delivery System (Terrorismo e o sistema de fornecimento
de energia eltrica) do National Research Council dos EUA,
um ataque ciberntico bem-sucedido contra uma rede regional
de energia eltrica faria o furaco Sandy parecer brincadeira.
Um malware fornecido via Internet e projetado para destruir
sistemas de controle deixaria s escuras grandes regies dos
EUA durante semanas ou meses, causando ampla agitao civil.
Segundo o relatrio, os danos causados por tal ataque custariam
muitos bilhes de dlares a mais que a destruio causada pelo
furaco Sandy na Costa Leste em 2012.
NA WEB
Para ter acesso ao relatrio do National Research Council,

visite www.nap.edu/catalog.php?record_id=12050
O ciclo de vida das APTs

A anatomia das ameaas persistentes avanadas varia tanto
quanto as vtimas por elas visadas. Contudo, especialistas em
segurana ciberntica que tm pesquisado APTs nos ltimos
cinco anos descobriram um ciclo de vida de ataque bastante
Estgio 1: Intruso inicial atravs de explorao

do sistema
Estgio 2: O malware instalado no sistema
comprometido
Estgio 3: A conexo de sada iniciada
Estgio 4: O atacante dissemina-se lateralmente
Estgio 5: Dados comprometidos so extrados
Agora vamos explorar mais detalhadamente cada um desses

cinco estgios do ciclo de vida das APTs.
Estgio 1: Intruso inicial atravs

de explorao do sistema
A explorao do sistema o primeiro estgio de um ataque
APT para comprometer um sistema da organizao visada.
Quando se consegue detectar com sucesso uma tentativa
e mitigao do ataque APT muito mais simples. Se as suas
defesas no conseguem detectar a explorao inicial do
sistema, a mitigao do ataque APT torna-se mais complicada
porque o atacante consegue comprometer com xito
o terminal, perturbar as medidas de segurana do terminal
e ocultar seus atos enquanto o malware se espalha dentro
da rede e estabelece contato com o exterior.
As exploraes de sistema costumam ser veiculadas atravs
da Web (explorao remota) ou de e-mail (explorao local),
como um anexo. O cdigo de explorao incorporado
dentro de um objeto Web (por exemplo, JavaScript, JPG) ou
arquivo (por exemplo, XLS, PDF) para comprometer o sistema
operacional ou aplicativo vulnervel, permitindo que o atacante
execute cdigo, como um cdigo shell para conexo de retorno
com servidores CnC, e faa download de mais malware.
No ataque contra a RSA Security em 2011, um funcionrio foi
plan.xls (plano de recrutamento para 2011) e que continha um
anexo malicioso de planilha do Microsoft Excel que explorava
o sistema utilizando uma vulnerabilidade de dia zero do Adobe
Flash. (Para obter mais detalhes, leia a barra lateral intitulada
adiante neste captulo.)
PAPO TCNICO
O cdigo de explorao do sistema desenvolvido pelos

atacantes para corromper a memria ou causar uma condio
de estouro de buffer dentro do sistema operacional ou aplicativo
vulnervel, permitindo a execuo de cdigo arbitrrio. No caso
de exploraes locais, frequentemente se utiliza engenharia
social para iniciar a interao com o usurio necessria para
concluir a infeco. No caso de exploraes remotas, como
downloads de passagem da Web, nenhuma interao com
o usurio necessria alm de visitar a pgina da Web.
Estgio 2: O malware instalado

no sistema comprometido
Uma vez que o sistema da vtima explorado, um cdigo
arbitrrio executado, permitindo que o malware seja
instalado no sistema comprometido. Basta visitar uma pgina
da Web ou simplesmente clicar duas vezes com o mouse para
que o sistema do usurio seja comprometido e infectado com
a carga viral do malware.
PAPO TCNICO
Nem todos os e-mails de spearphishing oriundos de um autor

de ameaa APT contm anexos. Muitos contm hiperlinks
que, quando clicados pelo usurio, abrem um navegador da
Web (ou, s vezes, um outro aplicativo, como Adobe Reader,
Microsoft Word ou Microsoft Excel). Cada link , ento,
redirecionado para um endereo oculto com uma chave de
dropsite,
o qual avalia o navegador quanto a vulnerabilidades
conhecidas e retorna um downloader de cavalo de Troia.
Quando executado, o downloader veicula uma instruo
entrega um cavalo de Troia (malware).
Estgio 3: A conexo de sada

iniciada
O malware instalado no estgio anterior costuma conter
uma ferramenta de administrao remota, ou RAT (Remote
Administration Tool). Quando instalada e em execuo,
o computador infectado e um servidor CnC operado pelo
autor da ameaa APT. Os autores de ameaas APT tm esse
trabalho todo para estabelecer uma comunicao de retorno
gerao, os quais permitem trfego bidirecional caso este
Uma vez que a RAT tenha se conectado com xito ao servidor
CnC, o atacante tem total controle sobre o host comprometido.
Instrues futuras do atacante so veiculadas para a RAT
ou vice-versa. O segundo mtodo normalmente preferido,
pois um host iniciando uma conexo externa de dentro da
rede bem menos suspeito.
Estgio 4: O atacante dissemina-se

lateralmente
estratgicos. Portanto, o atacante APT precisa se disseminar
lateralmente atravs da rede para procurar hosts operados
por administradores de TI (em uma tentativa de roubar
credenciais administrativas) e servidores e bancos de dados
PAPO TCNICO
O movimento lateral no envolve necessariamente o uso de

malware ou ferramentas alm das j fornecidas pelo sistema
operacional do host comprometido, como shells de comando,
comandos NetBIOS, VNC, Servios de Terminal do Windows
ou outras ferramentas semelhantes utilizadas por
administradores de rede para manuteno de hosts remotos.
de credenciais de login adequadas, o trabalho rduo
e a determinao do atacante comeam a compensar.
Estgio 5: Dados comprometidos

so extrados
Nesse estgio da violao da rede, o atacante APT tem trs
obstculos a superar. Primeiro, a transferncia de todos os dadosalvo de uma vez (os dados visados costumam atingir volumes de
gigabytes) poderia disparar um alerta de anomalia baseada em
a um volume anormalmente grande de trfego iniciado pelo
servidor ou banco de dados visado. Segundo, o atacante precisa
assegurar que o host que recebe os dados no possa ser vinculado
de volta para ele. Terceiro, a transferncia de dados como texto
puro poderia disparar um alerta de um sistema de preveno
contra vazamento de dados (DLP). Vamos explorar como autores
experientes de ameaas APT superam esses trs obstculos.
Para superar o primeiro obstculo, um atacante APT
habilidoso vaza dados do servidor ou banco de dados alvo
Uma estratgia agrupar arquivos ou registros em arquivos
RAR compactados e protegidos por senha.
PAPO TCNICO
Alguns arquivos RAR podem ser parte de sequncias de

mltiplos volumes, permitindo que o atacante divida uma grande
quantidade de dados em volumes. Cada arquivo RAR teria uma
extenso indicando o nmero do volume, como part1.rar
(o primeiro volume), part2.rar, part3.rar e assim por diante.
quer retirar os dados do local o mais rapidamente possvel,

mas no pode arriscar envi-los para um host que possa ser
precisa selecionar como rea temporria um host virtual
que seja hospedado por um provedor de servios com base
na nuvem. Dessa forma, o host pode ser instantaneamente
destrudo aps os dados serem extrados.
O terceiro e ltimo obstculo dessa fase pode ser superado
criptografando-se cada arquivo RAR antes de transferi-los
(frequentemente via FTP) para o host temporrio. A maioria
O atacante apaga seus rastros,

permanecendo indetectado
NO ESQUEA
Se uma empresa ou rgo governamental tem alguma

esperana de detectar uma APT por si s, isso bem mais
provvel enquanto o ataque ainda est em andamento.
Isso porque a maioria dos atacantes APT extremamente
competente em apagar seus rastros.
Veja a seguir tticas que os atacantes APT empregam durante
Plantar malware para distrair a equipe de segurana

de TI e mant-los ocupados com outras coisas.
Disseminar-se em compartilhamentos de arquivos em
rede, os quais so relativamente desprotegidos e que
s so completamente apagados em casos extremos.
Excluir os arquivos compactados aps estes serem
extrados do servidor temporrio.
Excluir o servidor temporrio caso o mesmo esteja
hospedado na nuvem ou tir-lo do ar caso esteja sob
controle do atacante.
Desinstalar o malware no ponto inicial de entrada.
RSA Security vem a pblico

descrever seu ataque APT
operado por um administrador de
De acordo com um representante

comprometeu os mesmos
Indcios de um ataque APT

Embora as APTs sejam extremamente difceis de detectar,
temos a seguir uma lista de indcios comuns de que a sua
organizao pode ter sido comprometida por uma APT.
Descoberta de cdigo de explorao do sistema
incorporado em anexos de e-mail ou fornecido via
pginas da Web.
Aumento na quantidade de logons durante a noite.
Conexes de sada para servidores CnC conhecidos.
Cavalos de Troia de backdoor disseminados por
terminais e/ou compartilhamentos de arquivos em rede.
Fluxos de dados grandes e inesperados de dentro da
rede de servidor para servidor, de servidor para
cliente, de cliente para servidor ou de rede para rede.
Descoberta de grandes blocos de dados (estamos
falando de gigabytes, e no de megabytes) em lugares
nos quais no deveria haver tais dados.
CUIDADO
Fique particularmente atento caso encontre dados

compactados em formatos que normalmente no so
utilizados pela sua organizao.
Entradas no log de eventos de aplicativos do Windows
DICA
Uma grande razo pela qual as organizaes falham na

examinar o trfego de entrada no permetro. Adquirir e/ou
detectar APTs e outros ataques cibernticos.
Espero que voc nunca tenha de lidar com a limpeza de um
que voc ter feito na sua carreira de segurana da informao.
Preveno e deteco antecipada pelo uso de tecnologia
de preveno de ameaas da prxima gerao a melhor
maneira de minimizar o potencial de ser vitimado por um ataque
APT. Para saber mais sobre essa nova e inovadora categoria de
concomitantemente as duas
Captulo 4
Introduo proteo
contra ameaas da
prxima gerao
Neste captulo
Visualize uma soluo ideal para mitigar a nova safra de
ataques cibernticos

com base em assinaturas
s corporaes, universidades e rgos governamentais

hoje em dia esto presenciando uma atividade de ataque
ciberntico sem precedentes tanto em quantidade quanto em
de defesa de segurana de rede que at recentemente nem
Do que o mundo realmente precisa

empresas, universidades e rgos governamentais no precisariam
hacktivistas e autores de ameaas patrocinados por governos
Defesas no baseadas em assinaturas

em profundidade incorpore uma camada no baseada em
Proteo e no apenas deteco
proteo contra ameaas avanadas que no apenas detecte
Arquitetura de proteo de
mltiplos estgios
preocupar com ataques cibernticos oriundos de fora da rede,
BYOD,
contra ameaas avanadas que no apenas monitore ataques

cibernticos de fora para dentro, mas tambm de dentro para
Mecanismo de deteco
altamente preciso
Como nas defesas tradicionais com base em assinaturas,
CUIDADO
Apoiada por uma inteligncia global

sobre ameaas
permita aos sistemas de proteo contra ameaas avanadas
ameaas da prxima gerao

Proteo contra ameaas da prxima gerao
representa uma nova camada na arquitetura de defesa em

ameaas que defende contra os ataques cibernticos que passam
CUIDADO
Chamem o esquadro antibomba!

Eu sempre fui um grande f do
uso de analogias da vida real
e, em alguns casos, de clichs
p a ra d e s c reve r co m o u m a
determinada tecnologia funciona
ou as vantagens que ela oferece.
No que se refere proteo contra
ameaas da prxima gerao, acho
que encontrei uma boa analogia.
Inicialmente, pensei na analogia de
achar uma agulha em um palheiro.
Isso certamente se aplica discusso
sobre solues NGTP, mas nos
dias de hoje, grandes empresas
e rgos governamentais so
visados com ataques cibernticos
avanados vrias vezes por dia.
Portanto, em vez de procurar uma
agulha em um palheiro de ataques
procurando dezenas.
Pensei, ento, em uma analogia
com um boneco de testes de
impacto, na qual o boneco
representasse o componente de
trfego suspeito (malware suspeito)
e o carro representasse a sesso
de Microsoft Windows executada
no mecanismo de execuo virtual
(replicando o ambiente-alvo).
Essa analogia tambm no m,
mas no se aplica porque o carro
sempre bate, independentemente
do que se encontra dentro dele.
F re q u e nte m e nte o s a rq u i vo s
examinados por um appliance
NGTP so simplesmente benignos.
Aps procurar bastante por

uma analogia melhor, acho que
encontrei uma boa. J ouviu nos
noticirios casos de esquadres
antibomba sendo chamados para
examinar uma mochila suspeita
deixada em um aeroporto ou em
uma rea movimentada, como
Times Square, na cidade de Nova
York? Nesses casos, o esquadro
antibomba envia um rob para
examinar a mochila suspeita e, se
necessrio, peg-la e coloc-la em
um caminho apropriado, capaz
de suportar fortes exploses sem
afetar os arredores.
Comparando essa analogia com
uma soluo NGTP, a pessoa que
chama o esquadro antibomba
como o algoritmo de deteco
de malware. O rob anlogo
ao subsistema responsvel por
redirecionar o malware suspeito
para o caminho de descarte de
bombas. E o caminho como
a sesso virtual utilizada para
sondar o malware suspeito (a
mochila suspeita) para determinar
quaisquer efeitos potencialmente
danosos (uma exploso), mas em
um ambiente seguro e protegido.
Espero que essa analogia ajude voc
a compreender como a tecnologia
NGTP funciona e sirva como uma
maneira de voc explicar isso para
colegas leigos.
Comparao com defesas

tradicionais com base em assinaturas
safra de ataques cibernticos consegue contornar defesas
de segurana tradicionais com base em assinaturas, como
camada no baseada em assinaturas na sua arquitetura, para
Comparao de protees
Solues
NGTP
Defesas
tradicionais
Detectam malware conhecido

utilizando assinaturas do tipo IPS
Reproduzem trfego suspeito em

um ambiente virtual seguro
Inspecionam o trfego de sada
comunicao externa (callback)
Geram automaticamente
inteligncia sobre ameaas para
DICA
Tabela 4-1: Comparao de NGTP com defesas tradicionais.
Comparao com tecnologias de

rea restrita
sandbox
verso pequena e estanque de um ambiente de computao
testassem novos cdigos de programao em um ambiente

manualmente
CUIDADO
CUIDADO
Alguns fornecedores de NGTP

exaltam suas capacidades de realizar
anlise de malware virtual na nuvem,
minimizando o poder computacional
(CPU, memria e disco) necessrio
em seus appliances de hardware.
Nesse caso, os appliances do
fornecedor inspecionam apenas um
pequeno subconjunto do trfego
e redirecionam objetos suspeitos
para a nuvem, em vez de examinar
o objeto em um ambiente de teste
virtual fechado.
Isso soa bem, uma vez que
a arquitetura com base na nuvem
assume o trabalho de anlise,
mas quando se descascam as
camadas dessa cebola, existem trs
problemas com essa metodologia:
cobertura de segurana,
expansibilidade e privacidade.
Po d e h a v e r c d i g o m a l i c i o s o
arquivo e objetos da Web diferentes,
mas a anlise de malware virtual na
nuvem costuma analisar somente dois
NGTP com base na nuvem costumam
ser fceis de contornar simplesmente
incorporando-se o cdigo malicioso
dentro de um formato de arquivo
no analisado.
Alm da cobertura de segurana

limitada, sem uma deteco precisa
de exploraes ou heurstica prfiltragem, a exportao de todos
os binrios ou PDFs para a nuvem
para que sejam colocados em uma
fila de inspeo (entre milhares de
outras solicitaes) no proporciona
ex p a n s i b i l i d a d e . E s s a a n l i s e
que voc encontrou malware, alm de
fcil de desvio. Eles simplesmente
provocam uma enxurrada de binrios
ou PDFs benignos.
Finalmente, quando os binrios ou
PDFs so exportados para a nuvem
para inspeo, h sempre o risco de
seja exportado para a nuvem, sem
o conhecimento da sua organizao
para determinados pases europeus
com leis rigorosas sobre privacidade.
Por essas razes, os fornecedores de
NGTP lderes de mercado oferecem
appliances de alto desempenho e
apenas inspecionam e bloqueiam
ameaas, mas que tambm realizam
testes de malware virtuais dentro do
seu prprio ambiente.
Principais componentes
Sistema de proteo contra malware
CUIDADO
Mecanismo de execuo virtual
CUIDADO
PAPO TCNICO
Sistema de gerenciamento central
Rede de inteligncia sobre ameaas

na nuvem
a rede de inteligncia sobre ameaas na nuvem
rede de inteligncia
sobre ameaas na nuvem
DICA
Captulo 5
A proteo contra
ameaas da prxima
gerao explicada
Neste captulo
Entenda como a NGTP minimiza ameaas da prxima
gerao em mensagens de e-mail, comunicaes via Web
e arquivos estacionrios
Explore os principais recursos das melhores solues NGTP
Integre a NGTP na sua infraestrutura de rede existente
s defesas tradicionais com base em assinaturas

simplesmente no so preo para a atual nova safra
de ataques cibernticos, como ataques de dia zero, malware
Como funciona
ltima linha de defesa para inspecionar trfego de Web e/ou
para inspecionar compartilhamentos de arquivos e, com isso, deter

Servio na nuvem
(e-mail)
Internet
Gateway
antispam
Servidores
de e-mail
Roteador
de sada
Firewall
MPS de Web
(verifica se h
contedo malicioso
nos URLs)
CMS
MPS de e-mail
Switch principal
(procura APTs
em anexos
de e-mail)
Usurios
SIEM
Figura 5-1: Diagrama tpico de implementao de NGTP.

NO ESQUEA
Passo 1:
Captulo 5 : A proteo contra ameaas da prxima gerao explicada | 43

Passo 2:
DICA
Passo 3:
Passo 4:
de dia zero, a mquina virtual captura o restante do ciclo de
atividades de host e o trfego de rede gerados pelo malware
bloquear o trfego de callback associado pela rede, um alerta
de alta prioridade registrado, dados forenses sobre o malware
NO ESQUEA
Passo 5:
Distribuies em linha e fora de banda
fora de banda em modo de somente monitoramento, no qual

de TCP
DICA
CUIDADO
outra forma, o trfego continuar a passar por suas interfaces
Principais recursos
ela funciona, vamos rever os principais recursos que tipicamente
DICA
esses recursos, tome nota de quais so particularmente
Execuo virtual de objetos suspeitos
CUIDADO
Bloqueio rpido
agora conhecidas anda de mos dadas com a anlise no
base em assinaturas, tambm reconhecemos sua importncia
no bloqueio de ataques conhecidos em uma estratgia
incorporem ambas as tcnicas com base em assinaturas e sem
detecte um ataque que contenha malware amplamente

conhecido, a capacidade de bloqueio rpido de um appliance
Figura 5-2: Exemplo de atividade de callback da FireEye.

NO ESQUEA
Quarentena de arquivos maliciosos
Gerenciamento centralizado
altamente recomendvel adquirir um appliance de
sistema de
gerenciamento central
de gerenciamento de incidentes ou outros
Compartilhamento de inteligncia
sobre malware
Muitos chamam isso de imunidade coletiva
um desconto do fornecedor em suas assinaturas anuais da rede
NO ESQUEA
importante compreender que em nenhum momento
Suporte para regras personalizadas

personalizadas criadas com o uso da linguagem de regras
NA WEB
Integrao com pacotes antivrus
Figura 5-3: Exemplo de integrao de plataforma antivrus

da FireEye.
Controles de acesso com base

em papis
usurio para assegurar que os privilgios administrativos
Administrador de sistema total controle

Administrador regional controle administrativo
Analista de segurana acesso somente a dashboards
Dashboard
ser acessados atravs de navegadores da Web e so fceis de
Figura 5-4: Exemplo de dashboard da FireEye.
Relatrios
e convenientes de pesquisar e gerar relatrios sobre tipos
os hosts mais infectados e os maiores eventos de callback
momento ou podem ser criados automaticamente em

NO ESQUEA
Alertas
Web do appliance do sistema de gerenciamento centralizado
Figura 5-5: Exemplo de resumo de alertas da FireEye.

DICA
Quando um novo ataque ciberntico com um callback associado
para neutralizar o ataque, importante acompanhar e remediar
Integrao da NGTP sua

infraestrutura de TI existente
sobre o ambiente sendo protegido e, em ltima instncia,
SIEM
das plataformas mais frequentemente requisitadas para
DICA
Os gerenciadores de registros costumam ser escolhidos para

satisfazer alguma norma de conformidade regulatria
Inteligncia e anlise de segurana

de rede, captura cada pacote individual que atravessa a rede
Monitoramento e anlise de perda de dados
forma de malware, o analista pode empregar tcnicas de

anlise de grandes volumes de dados e consultar o banco
Gerenciamento de incidentes
formatados especialmente, do sistema de gerenciamento
Experimentos em laboratrios dos EUA com

proteo contra ameaas da prxima gerao
Alguns dizem que ignorncia
felicidade. Bem, no para o CSO
de um laboratrio nacional dos
EUA encarregado de promover
descobertas cientficas nas reas
de energia, meio ambiente
e segurana nacional. Diariamente,
esse laboratrio lida com um
portflio imenso de segredos
nacionais e dados confidenciais,
o que faz dele um alvo preferencial
p a ra c r i m i n o s o s c i b e r n t i co s
Para se proteger contra possveis
violaes de dados, o laboratrio
distribuiu uma gama abrangente de
dispositivos de segurana de nvel
corporativo, incluindo firewall, IPS
e solues AV. Contudo, um dia
o veterano CSO do laboratrio leu um
maior na deteco de ameaas

avanadas do que todos os outros
fornecedores juntos a FireEye
Mais tarde nesse mesmo dia, um
membro da equipe contactou
a FireEye para marcar uma reunio,
a qual logo resultou em uma
avaliao no local. Levando apenas
um dia para implementar um
plano-piloto para monitoramento
do trfego de rede, o appliance
MPS de Web da FireEye apresentou
resultados positivos imediatos.
Em questo de horas, alertas foram
gerados por cdigo malicioso
q u e p a s s ava c o m p l e t a m e n t e
sem deteco pelas defesas de
segurana existentes no laboratrio.
da informao sobre uma organizao

com aproximadamente o mesmo
porte que a dele e que tinha sido
arrasada por uma APT. Ele tambm
aprendeu como operam as APTs
e porque as defesas de segurana
tradicionais no so preo para elas.
Semanas depois, o appliance MPS da

FireEye entrou em plena produo
em linha. A capacidade de bloqueio
rpido do appliance interrompe
ataques de entrada e callbacks de
malware conhecidos, enquanto seu
poderoso mecanismo de execuo
virtual detecta com preciso ataques
Aps consultar sua equipe de

ex p e r i e n t e s p ro f i s s i o n a i s d e
segurana, ele tomou conhecimento
de uma categoria relativamente
nova de defesa de segurana de
rede a proteo contra ameaas
da prxima gerao. Ele tambm
soube que um fornecedor, em
O CSO do laboratrio agora pode

ficar tranquilo, sabendo que no
encontrar to cedo o nome de seu
laboratrio na sua revista favorita
sobre segurana da informao.
Captulo 6
Seleo da soluo
NGTP certa
Neste captulo
Saiba o que evitar ao avaliar solues NGTP
Faa a sua prpria lista de critrios de compra de NGTP
xistem literalmente dezenas de fornecedores de segurana

ciberntica no mercado, neste exato momento, alardeando
suas capacidades de deteco e bloqueio de ataques cibernticos,
Embora cada um desses fornecedores possa detectar
e bloquear ataques conhecidos, poucos so capazes de bloquear
ataques desconhecidos especialmente quando estes visam
vulnerabilidades desconhecidas (pelo menos para o pblico
importante saber o que procurar e, talvez mais importante
O que evitar
Veja a seguir uma lista de coisas a serem evitadas ao se avaliar
Evite solues de apenas deteco.
para ter um nvel de conforto inicial e, em seguida, evoluem para
conhecidas, callbacks de malware e recorrncias de malware
Evite ofertas com base em sandbox.

Estes desenvolvem malware para detectar a presena de
tecnologia sandbox tradicional e suprimem a carga viral
Evite anlise de malware com base na nuvem.
aproveitam a nuvem para compartilhamento de inteligncia
e no para anlise de malware, como o caso de solues de
segurana de rede multifuncionais que oferecem capacidades
feita diretamente no local, melhorando consideravelmente
Evite appliances MPS que concentram funes.

separados devem ser adquiridos para proteo de e-mail,
so importantes para qualquer organizao que se preocupa
Critrios de compra importantes

devem ser levados em considerao por todas as empresas
DICA
Captulo 6 : Seleo da soluo NGTP certa | 57
Plataforma NGTP integrada para

inspeo de Web, e-mail e arquivos
Embora tenhamos abordado esse assunto mais de uma
fundamental ter protees integradas em todos os pontos
e exclusivos) para deteco de malware incorporado em

mensagens de e-mail, trfego da Web e arquivos estacionrios,
enquanto correlacionam as descobertas para bloquear o ataque
Embora seja possvel economizar alguns trocados a curto prazo
cobrir duas ou trs dessas mdias, a longo prazo o risco de
Monitora trfego de entrada e de sada

entrada oriundo
sada e, surpreendentemente,
somente
NO ESQUEA
O monitoramento de ambos os trfegos de entrada e de sada

uma capacidade importante encontrada somente nas
adicional de defesa especialmente para dispositivos mveis
potencialmente infectados trazidos mo pela porta de
Inspeciona uma ampla variedade

de tipos de arquivo
Voc talvez se surpreenda ao saber que algumas solues
o malware pode ser incorporado em dezenas de tipos de
NO ESQUEA
Exploraes de documentos hbridos evidenciam a necessidade
e algoritmos de deteco de malware para revelar malware

avanado em pginas da Web, bem como em dezenas de tipos
de arquivo, incluindo com, doc, docx, gif, jpg, mov, mp3, mp4,
Soluo para anlise de

malware manual
O mecanismo de execuo virtual contido dentro do appliance
forenses sobre a explorao, incluindo a vulnerabilidade

explorada para criar uma condio de estouro de buffer,
tentativas de ampliar privilgios dentro do Windows
preferem analisar malware manualmente para ter uma

viso de 360 graus do ataque, desde a execuo do malware
e explorao inicial a tentativas de download de binrios
tipicamente, acondicionado em um conveniente appliance
os analistas estudem em profundidade binrios suspeitos

(ou sabidamente infectados) para obter uma compreenso
maior da inteno e dos alvos dos atacantes cibernticos,
Captulo 6 : Seleo da soluo NGTP certa | 59
Nenhum falso positivo ou falso negativo
impedido de chegar a seu destino, resultando em perda de

como bom) ainda pior, pois um arquivo infectado com malware
No entanto, tais ocorrncias devem ser muito raras e espaadas

NO ESQUEA
ao mesmo tempo utilizando o mesmo trfego de produo
Suporte para regras personalizadas

para disparar anlises de todos os objetos correspondentes
a expansibilidade da soluo e sua compatibilidade com
Interface de usurio intuitiva

No importa o quo poderoso ou repleto de recursos um
a criao de conjuntos de regras de poltica, como um appliance

que o dashboard seja simples e fcil de usar e que a construo
Bom suporte ao cliente

de alta qualidade frequentemente citado por empresas
e rgos governamentais como um critrio de escolha
DICA
No deixe de avaliar a qualidade do servio de suporte ao

fornecedor pelo menos duas vezes durante a fase de avaliao,
em vez de ao engenheiro de sistemas designado para a sua
isso, avalie a experincia e a receptividade do representante

de suporte tcnico e anote quanto tempo se passou at voc
para falar com um representante e essa pessoa no conseguiu
Glossrio
ameaas da prxima gerao: a atual nova safra de
ataques cibernticos, dificilmente detectada por defesas
de segurana com base em assinaturas. Exemplos so
malware polimrfico, ameaas de dia zero e APTs.
ameaa de dia zero: um ataque ciberntico contra uma
vulnerabilidade desconhecida (ou no divulgada) de um
sistema operacional ou aplicativo.
ameaa mista: um ataque ciberntico que incorpora uma
combinao de ataques contra diversas vulnerabilidades.
ameaa persistente avanada (APT, Advanced
Persistent Threat): um ataque ciberntico sofisticado
que emprega tcnicas avanadas de ocultao para evitar
deteco por longos perodos de tempo.
ameaa polimrfica: malware que muda sua assinatura
(padro binrio) toda vez que se replica, para evitar
deteco por um aplicativo ou dispositivo de segurana.
ataque de estouro de buffer: um ataque realizado
pela colocao de mais dados em um buffer do que este
configurado para armazenar, o que acaba permitindo
que o atacante execute um cdigo personalizado
(frequentemente com privilgios ampliados concedidos
ao aplicativo ou servio de rede vulnervel).
ataque de injeo de SQL: uma forma de ataque contra
um aplicativo Web com acesso a banco de dados na qual
o atacante executa comandos SQL no autorizados para
explorar cdigo desprotegido.
ataque de negao de servio (DoS, Denial-OfService): um ataque ciberntico voltado para interromper
ou desativar um host-alvo inundando-o com solicitaes de
comunicao benignas a partir de um nico host.
ataque direcionado avanado (ATA, Advanced
Targeted Attack): um outro nome para ameaa
persistente avanada.
autor de ameaas patrocinado por governos:
um criminoso ciberntico empregado por um pas para
realizar ataques cibernticos contra inimigos do estado
por questes de motivao poltica.
baiting: um ataque de engenharia social no qual
uma mdia fsica (como um pen drive USB) contendo
malware deliberadamente deixado nas proximidades

da organizao-alvo.
bot: um computador (ou terminal) infectado, controlado
de maneira centralizada por um servidor de comando
e controle (CnC).
BYOD (bring your own device): uma poltica
organizacional segundo a qual os funcionrios levam seus
prprios dispositivos para o local de trabalho para acessar
os dados da organizao.
cavalo de Troia: malware que se faz passar por um arquivo
legtimo ou aplicativo til com a finalidade de conceder a um
hacker acesso no autorizado a um computador.
criminoso ciberntico: um hacker que rouba dados de
um outro computador para ganho financeiro pessoal.
de mltiplos estgios: um ataque ciberntico que incorpora
mltiplos tipos de malware desenvolvidos para serem lanados
em fases diferentes de um ataque ciberntico avanado.
de mltiplos vetores: um ataque ciberntico
desenvolvido para visar mltiplos hosts alvos dentro da
mesma organizao utilizando mltiplas tcnicas de ataque.
estratgia de defesa em profundidade: instalao de
uma srie de defesas de segurana ciberntica de maneira
que uma ameaa que passe por uma camada de segurana
possa ser capturada por outra.
fail open: a capacidade de interfaces de fio de cobre de
um appliance de rede de preservar a conectividade e evitar
a interrupo da rede caso o appliance fique sem energia
ou desativado.
falso negativo: classificao errnea de um arquivo que
contm malware como se fosse benigno.
falso positivo: classificao errnea de um arquivo
benigno como se contivesse malware.
ferramenta de administrao remota RAT (Remote
Administration Tool): software que proporciona ao
hacker uma backdoor (porta dos fundos) para o sistema
infectado, para espiar ou assumir controle sobre o host.
guerra ciberntica: hacking com motivao poltica
para realizao de sabotagem e/ou espionagem contra
um determinado pas.
hacktivismo: o uso de computadores e redes de
computadores como meio de protestar e/ou promover
objetivos polticos.
keylogger: um aplicativo que registra pressionamentos

de teclas em um computador, normalmente sem
o conhecimento do usurio.
malware: software malicioso (como um cavalo de Troia,
worm ou vrus de computador) criado para perturbar a
operao do computador, coletar informaes confidenciais
ou obter acesso a sistemas de computadores privados.
Consulte tambm spyware, cavalo de Troia e worm.
mecanismo de execuo virtual: um componente
de um appliance MPS que responsvel pela anlise no
baseada em assinaturas de objetos suspeitos, na segurana
de uma mquina virtual.
modo em linha: colocao de um appliance de rede
diretamente na linha do trfego de rede, permitindo
que o mesmo bloqueie ataques cibernticos.
modo fora de banda: o modo de operao de um
appliance de rede que o permite analisar o trfego copiado
de um TAP de rede ou de uma porta SPAN de um switch.
phishing: o ato de enviar um e-mail para um usurio,
fazendo-se passar por uma entidade legtima em uma tentativa
de induzir o usurio a fornecer informaes privadas, como
nmeros de carto de crdito e de seguridade social.
preveno contra vazamento de dados (DLP, Data
Leakage Prevention): um sistema desenvolvido para
detectar, de maneira imediata, possveis perda de dados
com base em padres (como nmeros de seguridade social).
proteo contra ameaas da prxima gerao
(NGTP, Next-Generation Threat Protection):
software instalado em appliances para montagem em rack
e com finalidades especficas, desenvolvido para detectar
e bloquear a atual nova safra de ataques cibernticos.
rede de inteligncia sobre ameaas na nuvem:
um servio com base na Internet gerenciado por
um fornecedor de NGTP para distribuir (e receber)
inteligncia sobre ataques cibernticos para os (e dos)
appliances MPS de seus clientes.
sandbox: um aplicativo de software desenvolvido
para analisar binrios suspeitos na segurana de uma
mquina virtual, apesar de ser frequentemente evitado
por atacantes cibernticos sofisticados.
servidor CnC (de comando e controle): um servidor
operado por um criminoso ciberntico para fornecer
instrues a bots.
sistema de anlise de malware (MAS, Malware

Analysis System): appliance equipado com um mecanismo
de execuo virtual que permite aos usurios inspecionar
manualmente objetos suspeitos de conter malware.
sistema de deteco de intruses (IDS, Intrusion
Detection System): um dispositivo de segurana com
base em assinaturas e fora de banda que monitora trfego
de rede e alerta ao detectar ataques cibernticos conhecidos.
sistema de gerenciamento central (CMS, Central
Management System): um appliance para montagem
em rack, responsvel pelo monitoramento e gerenciamento
de appliances MPS dentro de um ambiente NGTP.
sistema de proteo contra intruses (IPS,
Intrusion Protection System): um dispositivo de
segurana com base em assinaturas e em linha (ativo) que
monitora trfego de rede e bloqueia ataques cibernticos
conhecidos ao detect-los.
sistema de proteo contra malware (MPS,
Malware Protection System): um appliance
para montagem em rack responsvel pela deteco de
objetos de rede suspeitos e pelo seu encaminhamento ao
mecanismo de execuo virtual (que ele tambm hospeda)
para anlise no baseada em assinaturas.
spearphishing: uma tentativa de phishing voltada para
uma organizao ou para uma ou mais pessoas especficas
dentro da organizao.
spyware: um tipo de malware que coleta informaes
sobre os usurios, com ou sem seu conhecimento.
terrorismo ciberntico: o uso de ataques baseados
na Internet para realizao de atividades terroristas,
incluindo atos de interrupo deliberada e em grande
escala de redes de computadores.
trfego de entrada: trfego de rede de computadores
que flui de fora da rede para hosts de dentro da rede.
trfego de sada: trfego de rede de computadores que
flui de dentro da rede para hosts fora da rede.
whaling: um ataque ciberntico voltado especificamente
contra executivos seniores e outros alvos de alto padro
dentro de empresas.
worm: uma forma de malware que explora vulnerabilidades
de rede para se propagar para outros computadores.
A NOVA SAFRA DE
ATAQUES CIBERNTICOS
J PENETROU 95% DE TODAS AS REDES.
VOC ACHA QUE FAZ PARTE DOS 5%?
Voc talvez ache que as suas defesas de segurana

existentes impedem que a atual nova safra de ataques
cibernticos entre na sua rede e roube os seus dados.
Mas no impedem. Os ataques cibernticos de hoje
contornam facilmente gateways, AV, IPS e firewalls
tradicionais e da prxima gerao.
A FireEye a sua melhor defesa. D um basta na atual
nova safra de ataques cibernticos com proteo
contra ameaas da prxima gerao. Visite-nos hoje
mesmo em www.FireEye.com e deixe-nos ajud-lo
a fechar a brecha na sua rede.
2013 FireEye, Inc. Todos os direitos reservados.
Lutando uma batalha perdida contra a atual nova
TM
sobre
Apesar de gastarem mais de US# 20 bilhes por ano em defesas de segurana
tradicionais, as organizaes esto enfrentando uma nova safra de ataques
persistentes avanadas liderando o assalto. Para que tenhamos alguma
precisamos pensar diferente. Se voc encarregado de proteger a rede da
compare os ataques
Proteo contra ameaas

da prxima gerao
e como eles contornam defesas de segurana tradicionais
conhea os cinco
estgios do ciclo de vida dos ataques avanados e descubra indcios
para deteco de APTs
Introduo NGTP
NGTP e compare a NGTP com defesas tradicionais
em mensagens de e-mail, comunicaes via Web e arquivos estacionrios
Seleo da soluo NGTP certa
e o que evitar ao avaliar solues NGTP
Sobre o autor
Steve Piper um veterano da segurana da informao, com mais
Cumprimentos de:
e consultor, Steve autor de vrios livros sobre segurana da
informao, infraestrutura de redes e Big Data (grandes volumes
2
,
alm de bacharelado em cincias e MBA pela Universidade
Revenda proibida

FireEye DGNGTP PT PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

FireEye DGNGTP PT PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Lutando uma batalha perdida contra a atual nova

Proteo contra ameaas

VOC ACHA QUE FAZ PARTE DOS 5%?

e oferece a nica proteo do mundo no baseada em

integrada do mercado que interrompe ataques em cada

so distribudas em mais de 40 pases e mais de 25% das

Voc talvez ache que as suas defesas de segurana

Mas no impedem. Os ataques cibernticos de hoje

2013 FireEye, Inc. Todos os direitos reservados.

proteo contra ameaas

Steve Piper, CISSP

e o logotipo da CyberEdge Press so marcas comerciais da CyberEdge Group, LLC nos

Para obter informaes gerais sobre os servios de consultoria em pesquisa e marketing do

o me reunir com lderes e clientes de todo o mundo,

Toda a indstria de segurana precisa de uma mudana

precisamos educar uns aos outros e agir quanto realidade

O aumento considervel em incidentes cibernticos globais

os ltimos anos, empresas e rgos governamentais tm

gastarem mais de US$ 20 bilhes por ano em defesas de

adversrios altamente motivados ataquem nossos sistemas,

nova, inovadora e comprovada para ajudar a vencer a guerra

Sumrio dos captulos

trs tipos de inimigos cibernticos criminosos cibernticos,

Quer aprender mais? Siga o URL correspondente para

j vistos. No ano passado, testemunhamos violaes

sobre proteo contra as ameaas da prxima gerao

Vrias organizaes respeitveis de pesquisa de segurana

ameaas da prxima gerao, publicou seu relatrio de

Apesar dos aumentos globais nos gastos com segurana da

A menos que empresas e rgos governamentais adotem uma

Consulte a barra lateral RSA Security vem a pblico

Ataques a rgos governamentais

sobre proteo contra as ameaas da prxima gerao

Para combater tanto as ameaas tradicionais quanto as da

As empresas vitimadas por violaes de dados em grande

As empresas e os rgos governamentais enfrentam atualmente

sobre proteo contra as ameaas da prxima gerao

a atividade do usurio e, ento, transmite secretamente, em

Uma rede de bots um conjunto de computadores

Duas tcnicas frequentemente empregadas que exploram

Ameaas da prxima gerao

Esta seo descreve detalhadamente os ataques cibernticos

sobre proteo contra as ameaas da prxima gerao

Uma ameaa de dia zero um ataque ciberntico contra uma

podem permanecer indetectados por longos perodos de tempo

As ameaas persistentes avanadas (APTs, Advanced

anterior sobre phishing e baiting) para obter o acesso inicial

lenta e furtiva em algumas das maiores violaes de dados

(como China e Rssia) por motivaes polticas, reservando

um ataque ciberntico como

constantemente (morphing), o que o torna quase impossvel

Os fornecedores que vendem produtos de segurana base de

Uma ameaa mista um ataque ciberntico que combina

sobre proteo contra as ameaas da prxima gerao

As ameaas mistas so amplamente consideradas por

Por que o Windows to suscetvel

fosse sua maior prioridade, falando

praticamente todas elas resultam

do zero como um sistema operacional

preservar a compatibilidade com

pensam que sim e geralmente do

Ao faz-lo, a Microsoft deixou

(vulnerabilidades) para os hackers