Inteligência Cibernética é um dos termos da atualidade tecnológica. Como toda tecnologia relacionada a comportamento humano, pode ser explorada de todas as formas e para diversos usos, sejam lícitos ou ilícitos.

Os relatórios anuais relacionados a vazamentos de informações e incidentes elaborados por diversas instituições governamentais, privadas ou de pesquisa, possuem diversos pontos de convergência. Dentro desse contexto, a Inteligência Cibernética tem sido utilizada com frequência, independente se motivada para fins de espionagem ou crimes comuns, com o intuito de obter informações e dados sensíveis. Muitos destes eventos são iniciados por pura oportunidade ou erros operacionais.

Exemplos claros são as formas direcionadas, inteligentes e muito bem-sucedidas para comprometer redes dos terminais de cartões de crédito em diversos segmentos de pequenas ou grande lojas. Estas ocorrências passaram a ser chamadas de “Ram Scrapers”. Lembram-se do caso da Target em 2013/2014?

Outros casos seguem padrões similares que não necessariamente focalizam empresas de um mesmo setor, mas sim a cadeia produtiva que, uma vez comprometida, poderia afetar diversas empresas em curto espaço de tempo. Um exemplo ocorrido em 2014 envolveu alguns dos maiores fabricantes de SIM CARDS (os chips de celular). Estes estavam em foco sobre a possibilidade de lotes inteiros terem sido comprometidos. Nada foi comprovado até o momento, mas conseguem imaginar a possibilidade de centenas de milhares de pessoas terem o seu sigilo comprometido?

Estas situações são possíveis graças a uma pesquisa de inteligência direcionada ao comportamento dos usuários e mapeamento dos ativos tecnológicos. Em muitos dos casos o vetor inicial de ataque é um simples e bem conhecido “phishing” muito bem elaborado e direcionado. Em outros, são estudados os tipos de sites que funcionários acessam para identificar o elo mais fraco e tentar afetar o maior número de profissionais ao mesmo tempo.

Muitas empresas imaginam que o simples fato de possuírem uma ferramenta de AntiSpam as mantenham seguras. Entretanto, este pode ser o primeiro passo para facilitar o incidente, abrir as portas para um ataque lento, silencioso e de possíveis grandes proporções. Infelizmente, situações deste tipo podem levar várias semanas ou até meses para serem percebidas.

Pesquisas comportamentais de segurança divulgadas no relatório DBIR de 2015 indicam que 50% das pessoas envolvidas em um ataque direcionado de “phishing” abrem o e-mail e seu conteúdo. Outro dado é a velocidade. Em menos de 1 hora após o envio do e-mail, as pessoas começam a abrir seu conteúdo e anexos. Nestes casos, um usuário bem treinado se torna parte do organismo de defesa da organização e agrega inteligência pela sua percepção de eventos.

O principal item da discussão não são os ataques, mas sim como tentar se proteger quando estes utilizam a inteligência cibernética como vetor de exploração.

Alguns vão imediatamente dizer análises de risco. Estas ajudam, mas contra os ataques direcionados que mudam regularmente, tem apenas a função de tratar as boas práticas e certamente mitigam ou tratam diversos pontos. Mas elas sozinhas não são capazes de endereçar adequadamente as ameaças associadas a inteligência cibernética.

No caso de Ram Scrapers, apenas com análises constante de comportamento, tendências dos terminais de venda e dos usuários, associadas ao bom treinamento de analistas seria possível tentar detectar a ocorrência em seu estágio incipiente. As análises de risco certamente ajudam em identificar pontos específicos de falha e boas práticas, mas não tem condição de identificar ocorrências em andamento.

Na perspectiva do comportamento vs. tecnologia, alguns vislumbram o advento do Big Data para segurança como insumo para análise comportamental, identificação de tendências, ações suspeitas nas redes e usuários. Alguns chamam esta tecnologia de SIEM 3.0. É de tamanha complexidade e incerteza que é impossível dizer hoje se realmente trará benefícios em agilidade para empresas tratarem os incidentes no momento em que se iniciam ou poucos minutos/horas depois. A implementação de um SIEM convencional é considerada complicada e tem um tempo de maturação mínima próxima a um ano. Normalmente com resultados pouco expressivos em sua fase pós maturação, exceto em ambientes bem estruturados, organizados e documentados. Muitas empresas, sem planejamento/organização adequadas, acabam aposentando seu uso prematuramente. Um dos principais fatores é que o SIEM só monitora comportamentos inseridos em sua rotina manualmente e isso consome tempo e apresenta um desafio: como monitorar o que não se conhece ou o que está em constante mutação?

Desta forma, restam dois pontos para serem usados, monitorados, explorados e cobrados pelas organizações. Um deles é o famoso clichê: “Todos são parte da segurança”. Muitas vezes, o usuário final é o primeiro a perceber algo anômalo que pode estar associado a ataques direcionados. Mas pela falta de treinamento e em muitos casos comprometimento interno/externo, seja específico de TI ou não, estes eventos são desconsiderados e esquecidos. Catalogar e analisar todos os eventos é o primeiro ponto que deve ser focado, pois além de melhorar a percepção de segurança, irá gerar dados que muitas vezes não são vislumbrados. Muitos falsos positivos serão reportados – ossos do ofício. Só é possível monitorar o que se conhece.

O melhor foi deixado para o final. Aqueles patches que perturbam nossas vidas com novas vulnerabilidades e que a imprensa resolve enaltecer sempre trazem grande dor de cabeça. Neste caso, o velho ditado “segurança é inversamente proporcional ao tempo”, cai como uma luva, e as análises de risco não atendem adequadamente a estes cenários. Agilidade e proatividade são a chave.

As vulnerabilidades reportadas pelos canais oficiais e registradas no NIST e CVSS costumam ter um tempo de aproximadamente um ano até que sejam amplamente exploradas, exceto quando são massivamente divulgadas. Nesta situação, a identificação dos ativos envolvidos e o tratamento devem ser rapidamente endereçados, visto que o mapeamento dos alvos já está em curso. Como muitas organizações demoram para tratar estas vulnerabilidades, elas são exploradas e mantidas abertas. O objetivo é executar um trabalho de inteligência cibernética onde ataques de forma massiva aos ativos internos não são executados. Ao invés disso, é iniciado um garimpo de informações, que visa identificar dados classificados e meios de afetar outras empresas.

Nestas situações, caso não seja feito um controle agressivo e constante das vulnerabilidades existentes no parque tecnológico, apenas atividades de monitoramento realizadas com parâmetros específicos analisados por profissionais capacitados teriam alguma condição de identificar anomalias no seu comportamento e investigar o possível incidente. Lembram do SIEM 3.0?

Conclusões:

Ações de proteção contra os ataques que envolvam Inteligência Cibernética necessitam ser orquestradas e organizadas para estarem em constante evolução acompanhando o cenário de vulnerabilidades. Pensar em proteção, análises de risco, testes com usuários apenas durante ou logo após uma crise tende a não surtir efeito, pois normalmente visam achar responsáveis e não tratar do problema.

O melhor caminho é manter uma equipe, quando possível destinada para avaliações constantes das vulnerabilidades reportadas, e caso estas tenham metaexploits associados, independente da classificação dada pelo CVSS ou NIST, devem ser priorizadas em seu tratamento. Quantos já trataram ou direcionaram a vulnerabilidade Venom?

Acima de tudo mantenha os profissionais de todas as áreas orientados às questões de segurança. Quanto maior a aderência à causa de um ambiente seguro, menor tende a ser a exposição e mais rápida tende a ser a identificação de algum incidente.

andre-dutraAndré Dutra é Consultor de Projetos da Módulo desde 2008 e com 14 anos de experiência profissional no mercado. É certificado MCSO, ITIL, Convergence+ e Security+. Pós-graduado em Segurança da Informação pela UFRJ/NCE e especializado em Data Centerspela BICSI/Datacenter Dynamics (Data Center Design Awerness). Executou projetos relacionados a Gestão de Riscos com foco em Continuidade de Negócios nos segmentos de Telecomunicações, Transporte Público, Indústrias e Órgãos Públicos.

Veja também:
>>Como construir um diferencial competitivo com a Gestão de Segurança da Informação
>>Faça dos seus colaboradores seus maiores aliados e proteja sua organização!

Compartilhe conhecimentoShare on LinkedInShare on FacebookTweet about this on TwitterShare on Google+
http://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/05/20150527_inteligencia_blog.jpghttp://segurancadainformacao.modulo.com.br/wp-content/uploads/2015/05/20150527_inteligencia_blog.jpgAndré DutraSegurança da Informaçãocibersegurança,inteligencia cibernetica,phishing
Inteligência Cibernética é um dos termos da atualidade tecnológica. Como toda tecnologia relacionada a comportamento humano, pode ser explorada de todas as formas e para diversos usos, sejam lícitos ou ilícitos. Os relatórios anuais relacionados a vazamentos de informações e incidentes elaborados por diversas instituições governamentais, privadas ou de pesquisa,...