As diversas violações, ataques e várias outras ameaças digitais que atingiram as empresas em 2014 deixaram claro que a conformidade e a segurança padrão não bastam para proteger as corporações. No entanto, a natureza das ameaças avançadas persistentes (APTs) e de outras formas de malware dificultam encontrar um investimento capaz de impedir que a próxima ameaça se transforme na próxima violação.
Como acontece em qualquer situação de segurança, encurtar o tempo entre a detecção e a proteção é fundamental para sobreviver a uma tentativa de ataque. Utilizando uma solução de Gestão de Segurança e Eventos de Informação (SIEM) e procurando por Indicadores de Ataque (IoAs, Indicators of Attack), as empresas podem economizar minutos no seu processo de detecção e bloquear as ameaças antes que elas se transformem numa violação completa.
Os IoAs são exatamente o que parecem: comportamentos comuns que podem indicar os rumores de um ataque. O objetivo por trás de identificar e enfrentar corretamente um IoA é impedi-lo de tornar-se um Indicador de Comprometimento (IoC, Indicator of Compromise). Se um IoA não for detectado e se tornar um IoC, a empresa em questão será confrontada com o risco de ganhar as manchetes de maneira constrangedora.
Mas como as empresas podem saber o que procurar? É preciso ficar atendo aos sinais de alerta dos principais indicadores de ataque a seguir:
- Computadores internos que se comunicam com destinos definidos como nocivos ou com um país estrangeiro no qual a sua empresa não faz negócios. Comunicações suspeitas de máquinas internas, quando um computador ou outro aparelho se conecta a uma rede, são um importante indicador de ataque. O motivo é que alguns programas mal-intencionados precisam se conectar com seus servidores de comando e controle, muitas vezes localizados em países diferentes, para transmitir informações e receber ordens.
- Computadores internos que se comunicam com computadores externos através de portas que não sejam padrão ou de incompatibilidades de protocolos/portas. Eventos como o envio de shells de comando (SSH) em vez de tráfego HTTP pela porta 80, a porta predefinida da Web, podem indicar que uma máquina infectada está tentando se comunicar com um servidor de comando e controle ou um atacante que está tentando extrair dados.
- Máquinas na zona de acesso público ou "desmilitarizada" (DMZ) que se comunicam com máquinas internas. A comunicação proveniente de máquinas externas, ou de máquinas na sua DMZ, com a sua rede interna podem indicar um ataque. Essa ação pode permitir que agentes externos saltem para a sua rede interna e voltem permitindo o roubo de dados e o acesso remoto aos seus recursos.
- Detecção de malware fora do expediente. A atividade da rede fora do horário de expediente nem sempre indica um ataque, mas comunicações de dispositivos específicos em horários estranhos podem ser um indicador de ataque. Configurar o seu SIEM para detectar essas comunicações suspeitas pode sinalizar uma máquina comprometida.
- Varreduras de rede por máquinas internas que se comunicam com várias máquinas num curto espaço de tempo. Comunicações velozes e varreduras de rede de máquinas internas para outras máquinas podem indicar que um atacante está tentando se movimentar lateralmente dentro de uma rede.
- Vários eventos de alarme de uma única máquina ou eventos duplicados em várias máquinas na mesma sub-rede num período de 24 horas. Vários eventos de alarme de uma única máquina, ou alarmes duplicados de várias máquinas, num curto espaço de tempo, podem indicar que um atacante está tentando comprometer uma rede ou um computador.
- Um sistema infectado novamente por malware cinco minutos após sua limpeza. Embora uma infecção seja claramente um ataque, uma nova infecção poucos minutos após a limpeza da máquina comprometida pode indicar a presença de um APT (Advanced Persistent Threat), um problema muito mais grave do que um simples malware.
- Uma conta de usuário tenta iniciar uma sessão em vários recursos em poucos minutos de ou para regiões diferentes. Um usuário que tenta rapidamente conseguir acesso a vários recursos, ou de regiões diferentes, pode indicar que um atacante ativo está tentando extrair dados.
A partir dessas análises críticas, as soluções de SIEM podem ajudar a impedir que os vários tipos de IoAs se tornem IoCs ou violações puras e simples, uma evolução que pode acontecer em questão de minutos e se transformar rapidamente numa situação de "tudo ou nada".
Bruno Zani, gerente de engenharia de sistemas da McAfee do Brasil, empresa da Intel Security.