Texto por Geraldo Bravo, executivo de vendas da CyberArk.
A sua rede está totalmente protegida? Provavelmente você já deve ter cuidado de microssegmentações, políticas rígidas de firewall e ter algum tipo de solução EDR que forneça visibilidade e monitoramento para atividades suspeitas, como malware e ataques cibernéticos. Como também permitir acesso apenas em conexões seguras que dependam de protocolos criptografados.
- App para smartphone mostra alertas de ameaças de SIEM integrado ao SOC
- Complexidade e shadow IT são os principais desafios de segurança na nuvem, aponta IBM
- Como a crise do coronavírus está intensificando as ameaças internas
Se você é um daqueles que levam a sério a segurança de sua empresa, provavelmente deve realizar uma rotina regular de atualização dos sistemas de proteção, ou até mesmo ter uma equipe de SOC qualificada que monitora todos esses sistemas 24 horas por dia, 7 dias por semana e envia um relatório a cada semana mostrando todas as atividades realizadas no sistema, porém muitas vezes esses resultados podem ter sido examinados e caracterizados como falsos positivos. Mas e se esses processos não garantam que seus dados estejam totalmente seguros?
Um ataque hacker pode utilizar três técnicas para invadir seu sistema sem que seja percebido. Para isso, é importante que você aprenda a como expandir esse conhecimento de uma forma que permita manter sua rede sempre protegida de possíveis ataques. Para isso, é preciso entender como a mente de um hacker pensa para entender suas estratégias.
Perspectiva do hacker
Uma das características de um invasor habilidoso é a paciência. Manter o sigilo é um ingrediente importante em um ataque APT (Advanced Persistent Threat), pois isso permite que o invasor utilize técnicas e invasão contínuas e sofisticadas para obter acesso a um sistema e permanecer dentro dele por um período prolongado e potencialmente destrutivo.
Um invasor que conseguiu passar a primeira linha de defesa e obteve acesso inicial, se esforçará para escapar dos sistemas de defesa existentes. Enquanto isso, eles não farão um movimento até que tenham certeza de que não foram descobertos. E mais do que isso, quando eles fazem um movimento, irão se certificar de que você não esteja ciente de nada que está acontecendo.
Tudo depende da quantidade de dados que o invasor possui, um cenário fácil é quando ele tem informações suficientes para tomar decisões sobre seus movimentos e planos futuros. O cenário mais problemático é quando não há dados de inteligência suficientes. Nessa situação, a melhor maneira de um invasor permanecer fora do radar é utilizar os recursos “obrigatórios” de uma rede organizacional, como pastas compartilhadas, mensagens de ping e consultas DNS.
Mas por que um invasor usaria isso? Como esses protocolos são usados com muita frequência, não exigem um sistema de inteligência antes de sua operação. Mesmo que um de seus sistemas de defesa detecte algo incomum, é provável que sua equipe SOC tenha dificuldades em investigar exatamente o que aconteceu. Procurar um padrão incomum no tráfego de rede desses protocolos é como procurar uma agulha em um palheiro.
Existem três exemplos de protocolos comuns usados por um invasor para que ele consiga vantagem para acessar os sistemas. O primeiro deles é o SMB, que pode ser usado sobre o protocolo TCP/IP, permite acessar arquivos ou outros recursos em um servidor remoto; o segundo é o DNS, que permite a tradução de nomes de domínio em endereços IP; e por último o ICMP, que autoriza a criação de mensagens relativas ao IP, mensagens de erro e pacotes de teste.
O que fazer contra esses tipos de ataques
Existem dois métodos principais que valem a pena apontar e que podem ajudar a enfrentar esses desafios. O primeiro delas é a Inspeção Profunda de Pacotes (DPI), que é uma tecnologia usada para capturar pacotes de rede à medida que passam por roteadores e outros dispositivos de rede, além de realizar uma filtragem de pacotes para examinar os dados e detectar o uso malicioso de pacotes.
Outro método é a Segurança Baseada em Comportamento (Behavior Based Safety) que é uma metodologia para aumentar a atuação preventiva de segurança nas organizações, permitindo uma abordagem proativa automatizada, na qual é possível detectar anomalias comportamentais na rede.
No entanto, a questão mais importante é que você precisa adotar a perspectiva que um invasor pode usar para acessar seu sistema. Procure as propriedades na rede que são “óbvias”, os tipos triviais de tráfego e aquelas que são difíceis de filtrar os padrões incomuns.