Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Detectando indicadores de um ataqueDiego Samuel Espitia 3 febrero, 2021 Em segurança, sempre optamos por implementar mecanismos de prevenção e dissuasão, em vez de contenção. No entanto, a implementação desses mecanismos nem sempre é eficiente ou fácil de configurar ou manter. No mundo físico, podemos ver muitos exemplos disso, como células fotovoltaicas, alçapões ou câmeras de vídeo. Todas essas medidas previnem ou dissuadem os criminosos de entrar em uma propriedade, mas para cumprir sua função requerem configuração prévia e manutenção ou monitoramento constante.Além disso, esses mecanismos não podem detectar por si próprios se um criminoso está estudando possíveis fraquezas. Que você pode usar para seu objetivo criminal. Portanto, para que sejam verdadeiramente preventivos, é necessário que estejam sob constante monitoramento e investigação de anomalias ou comportamentos suspeitos armazenados nos vídeos ou nas ocorrências dos mecanismos instalados. Configurando sistemas para prevenir e impedir O mesmo acontece com os sistemas de segurança da informação, onde todos os recursos técnicos que se configuram procuram prevenir ou dissuadir, para os quais tomam como base de configuração as características que permitem detectar os ataques que se conhecem e que, dependendo de cada um. mecanismo de proteção, eles são configurados dentro dos mecanismos de detecção e alerta, para que os sistemas de monitoramento possam ser notificados da presença de uma ameaça.Portanto, como na segurança física, são mecanismos que se não forem mantidos monitorados e atualizados em suas configurações de detecção, passam a sersistemas que podem ser analisados por criminosos para detectar falhas que podem ser exploradas.Para manter essas atualizações, cada tecnologia tem maneiras automáticas ou manuais de atualizar os sensores de detecção. Por exemplo, os sistemas antivírus tradicionais recebem constantemente atualizações sobre os métodos de detecção e os sistemas atualizados que usam o aprendizado de máquina aprendem a detectar ameaças usando amostras de diferentes tipos de malware, como os que temos em nossa ferramenta CARMA para ameaças Android. Indicadores de compromisso (IoC) como mecanismo de atualização No entanto, um dos mecanismos que mais se difundiu para manter as configurações constantemente atualizadas são os indicadores de comprometimento (IoC), que são peças de evidência forense que foram coletadas após um incidente e que permitem identificar padrões comuns como Endereços IP, domínios ou hashes que foram usados anteriormente e, portanto, atualizam os sensores de detecção para que se qualifiquem como uma ameaça a qualquer ação dentro da rede que contenha uma dessas evidências. Uma das técnicas de prevenção é a realização de investigações de alertas dos sistemas de monitoramento que possibilitem determinar se as ações coletadas podem estar relacionadas a incidentes anteriormente reportados no mundo, método este em segurança da informação conhecido como Threat Hunting, sendo a metodologia mais completo e complexo para a detecção de possíveis intrusões que tenham ignorado os controles estabelecidos, utilizando os IoCs como base de comparação. De detectores reativos a detectores proativos Mas, o que acontece se o criminoso usar mecanismos totalmente desconhecidos? O que acontece se o malware não tocar o disco e o antivírus não puder se comparar com suas assinaturas? O que acontecerá se o IPS não tiver esse quadro de dados dentro de seu Comparações de alerta? O que acontece é que nada é alertado, o monitoramento, por mais persistente que seja, não receberá nenhum alarme de anomalia e, o criminoso, após uma análise rigorosa de nossos sistemas de segurança, teria encontrado a violação ou a técnica para ocultar e obter seu objetivo. Em muitas ocasiões, é o que está acontecendo nos incidentes cibernéticos relatados neste ano, por isso é necessário que as áreas de segurança da informação comecem a mudar o foco dos detectores reativos , como o IoC, para os detectores proativos, que permitem que ameaças ou incidentes sejam detectados ao mesmo tempo em que ocorrem e que não dependem do conhecimento prévio de outros incidentes. Indicadores de ataque (IoA) É o que tem sido chamado de Indicadores de Ataque (IoA), que permite às equipes de detecção (Equipe Azul ) identificar eventos por padrões de comportamento, por exemplo, uma varredura de rede, uma comunicação para um C&C ou qualquer comportamento que forneça sinais de que algo ultrapassou as defesas da rede. Devido a esta particularidade, é difícil ter uma lista ou um banco de dados comum de IoAs , uma vez que eles estão vinculados às táticas apresentadas na matriz ATT&CK de Mitre e às características de segurança de cada empresa, usando o contexto para determinar quando um a ação é ou não um indicador de ataque. Por este motivo, a implementação não é simples e requer um conhecimento profundo das atividades normais de TI de todos os departamentos de uma organização, a implementação de sistemas Zero Trust Network Access e a implementação de controles de tráfego de rede em todos sistemas que gerenciam informações, a fim de ter as atividades básicas mencionadas abaixo para a detecção de IoAs: Análise de todas as conexões cujo destino se encontra fora da rede corporativa, priorizando destinos marcados como maliciosos ou locais onde não devam ser feitas comunicações desde a empresa.Qualquer tentativa de tráfego na rede por meio de portas ou serviços não convencionais que foram habilitados na rede ou fora do horário comercial.Qualquer equipamento que tenha múltiplas conexões ativas ou tenta se conectar com computadores dentro da rede para os quais eles não têm permissão ou que não têm em seu histórico de conexão.Relatório de eventos repetidos , como malware ou tráfego malicioso, em um ou mais computadores por sistemas de detecção.Processos de autenticação do usuário , envolvendo qualquer conexão simultânea ou tentativas malsucedidas. Com essas investigações permanentes, a geração da base de conhecimento IoA começa e os processos de resposta a incidentes são aprimorados. Desta forma, o sistema se baseia não em dados ocorridos e que podem ser evitados pelos atacantes, mas em atividades e técnicas associadas tanto às táticas de ataque quanto às características da rede da organização. CVE 2020-35710 ou como o RAS Gateway Secure revela o espaço de endereçamento interno da sua organizaçãoCriptografia Informante: como quebrar dispositivos invioláveis
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...