Igor Gutierrez

Information Security Officer - CRISC

O que tem de novo no cenrio de

ataques avanados
Gostaria de relatar brevemente o painel em que participei no ultimo frum Security
Leaders sobre o que tem de novo no cenrio de ataques avanados e persistentes e qual
a maturidade da SI em responder aos sofisticados incidentes de segurana.
Alfred Lee, VP Product Management da Palo Alto, iniciou a discusso destacando a
importncia da massiva quantidade de informaes que as empresas vem gerando e
armazenando.

Ele citou um caso em que a Netflix lanou um desafio chamado Netflix Prize. O
objetivo era estimular equipes a desenvolverem o melhor algoritmo de recomendao de
filmes para os usurios. O prmio era de US$ 1 milho, juntou 13 mil colaboradores e
levou trs anos. Pouco tempo depois, os alunos da Universidade de Stanford

desenvolveram um algoritmo similar em apenas dez meses. O motivo: eles conseguiram

reunir muito mais informaes que os demais. O ponto que quanto maior o nmero
de informaes, maior a criticidade da Segurana.

Vamos ento direto ao ponto, quanto mais informaes uma empresa possui,
principalmente de terceiros, maior o interesse dos cybercriminosos em obt-las. E as
APTs esto cada vez mais sofisticadas e colaborativa utilizando entre as mais variadas
tcnicas e tecnologias para tornar o ataque eficaz. Porm, dentre tantos recursos a
Engenharia Social tem sido o principal meio para elaborar os tipos de Malwares a serem
distribudos e instalados em seus alvos, onde em alguns casos as aes no so
detectadas por meses justamente pelo planejamento que os cybercriminosos possuem,
tornando uma ao maliciosa como vlida.

Muitos planejamentos so realizados na DeepWeb, e alguns ataques so colaborativos

no sentido de iniciar-se em um IP alocado em uma determinada Geolocalizao e
termina em outra, tudo isso justamente para se dificultar a engenharia reversa e
deteco.
Sim! Provavelmente voc j sabe que as linhas de defesas tradicionais no esto mais
protegendo sua empresa, porque os APTs so desenvolvidos de forma personalizada
para sua empresa, sendo assim sua defesa tambm precisa ser personalizada e
avanada, mas como?

O primeiro passo reconhecer que voc pode efetivamente ter sido vtima de um APT,
ou voc acredita que no? Bom, segundo o Instituto Ponemom, 67% das organizaes
admitem que seus recursos de proteo atuais so insuficientes para impedir um ataque
direcionado ou mesmo nem sabem se esto sendo vitimas ou no.

Para criarmos uma nova camada de segurana frente as linhas de defesas j existentes
temos de aplicar o que temos definido como cyber intelligence, que consiste no knowhow tecnolgico, business e intelectual do seu Eco Sistema Empresarial.
Quando estes 3 elementos estiveram claramente identificados e alinhados, aplique como
sugesto o modelo de 5 passos para defesa avanada:
1 - Anlise de Trfego de Rede - Tcnicas para a anlise de trfego de rede. Padres de
trfego DNS anmalos so um forte indcio de atividade botnet. Registros NetFlow
fornecem a capacidade de estabelecer linhas de base dos padres de trfego normal e
para destacar padres anmalos que representam um ambiente comprometido;

2 - Forensics de rede - Fornecem a captura e armazenamento do trfego de rede e de

pacotes nos dando a possibilidade e reter e extrair metadados;
3 - Anlise Payload - Usando um ambiente sandbox, a tcnica de Anlise Payload
usada para detectar malwares e ataques direcionados em uma base quase em tempo real;
4 - Anlise do Comportamento Endpoint Podemos resumir como um baseline ou
hardening desde memria a processos e aplicaes que podem rodar;
5 - Endpoint Forensics Ir auxiliar melhor a equipe de CSIRT com a coleta de dados
especficos dos endpoints infectados.
Lembre-se que no adianta ter todo este aparato se por exemplo os firmwares dos
equipamentos que protegem sua rede esto na verso zero.

Finalizando este post, lembre-se que os cybercriminosos tem utilizado muitas

informaes que as empresas e seus colaboradores postam e publicam em redes sociais
como combustvel para elaborar algumas das ramificaes de seus ataques. Pretendo
falar mais a respeito de ataques elaborados no prximo post sobre Spear Phishing.

Assista ao painel no link:

http://www.securityleaders.com.br/Videos2014_dia23.html
Matria pela Decision Report em:
:
http://www.decisionreport.com.br/publique/cgi/cgilua.exe/sys/start.htm?infoid=17598&
query=simple&search_by_authorname=all&search_by_field=tax&sear