Detectando indicadores de um ataque

Em segurança, sempre optamos por implementar mecanismos de prevenção e dissuasão, em vez de contenção. No entanto, a implementação desses mecanismos nem sempre é eficiente ou fácil de configurar ou manter. No mundo físico, podemos ver muitos exemplos disso, como células fotovoltaicas, alçapões ou câmeras de vídeo. Todas essas medidas previnem ou dissuadem os criminosos de entrar em uma propriedade, mas para cumprir sua função requerem configuração prévia e manutenção ou monitoramento constante.

Além disso, esses mecanismos não podem detectar por si próprios se um criminoso está estudando possíveis fraquezas. Que você pode usar para seu objetivo criminal. Portanto, para que sejam verdadeiramente preventivos, é necessário que estejam sob constante monitoramento e investigação de anomalias ou comportamentos suspeitos armazenados nos vídeos ou nas ocorrências dos mecanismos instalados.

Configurando sistemas para prevenir e impedir

O mesmo acontece com os sistemas de segurança da informação, onde todos os recursos técnicos que se configuram procuram prevenir ou dissuadir, para os quais tomam como base de configuração as características que permitem detectar os ataques que se conhecem e que, dependendo de cada um. mecanismo de proteção, eles são configurados dentro dos mecanismos de detecção e alerta, para que os sistemas de monitoramento possam ser notificados da presença de uma ameaça.

Portanto, como na segurança física, são mecanismos que se não forem mantidos monitorados e atualizados em suas configurações de detecção, passam a sersistemas que podem ser analisados ​​por criminosos para detectar falhas que podem ser exploradas.

Para manter essas atualizações, cada tecnologia tem maneiras automáticas ou manuais de atualizar os sensores de detecção. Por exemplo, os sistemas antivírus tradicionais recebem constantemente atualizações sobre os métodos de detecção e os sistemas atualizados que usam o aprendizado de máquina aprendem a detectar ameaças usando amostras de diferentes tipos de malware, como os que temos em nossa ferramenta CARMA para ameaças Android.

Indicadores de compromisso (IoC) como mecanismo de atualização

No entanto, um dos mecanismos que mais se difundiu para manter as configurações constantemente atualizadas são os indicadores de comprometimento (IoC), que são peças de evidência forense que foram coletadas após um incidente e que permitem identificar padrões comuns como Endereços IP, domínios ou hashes que foram usados ​​anteriormente e, portanto, atualizam os sensores de detecção para que se qualifiquem como uma ameaça a qualquer ação dentro da rede que contenha uma dessas evidências.

Uma das técnicas de prevenção é a realização de investigações de alertas dos sistemas de monitoramento que possibilitem determinar se as ações coletadas podem estar relacionadas a incidentes anteriormente reportados no mundo, método este em segurança da informação conhecido como Threat Hunting, sendo a metodologia mais completo e complexo para a detecção de possíveis intrusões que tenham ignorado os controles estabelecidos, utilizando os IoCs como base de comparação.

De detectores reativos a detectores proativos

Mas, o que acontece se o criminoso usar mecanismos totalmente desconhecidos? O que acontece se o malware não tocar o disco e o antivírus não puder se comparar com suas assinaturas? O que acontecerá se o IPS não tiver esse quadro de dados dentro de seu Comparações de alerta? O que acontece é que nada é alertado, o monitoramento, por mais persistente que seja, não receberá nenhum alarme de anomalia e, o criminoso, após uma análise rigorosa de nossos sistemas de segurança, teria encontrado a violação ou a técnica para ocultar e obter seu objetivo.

Em muitas ocasiões, é o que está acontecendo nos incidentes cibernéticos relatados neste ano, por isso é necessário que as áreas de segurança da informação comecem a mudar o foco dos detectores reativos , como o IoC, para os detectores proativos, que permitem que ameaças ou incidentes sejam detectados ao mesmo tempo em que ocorrem e que não dependem do conhecimento prévio de outros incidentes.

Indicadores de ataque (IoA)

É o que tem sido chamado de Indicadores de Ataque (IoA), que permite às equipes de detecção (Equipe Azul ) identificar eventos por padrões de comportamento, por exemplo, uma varredura de rede, uma comunicação para um C&C ou qualquer comportamento que forneça sinais de que algo ultrapassou as defesas da rede.

Devido a esta particularidade, é difícil ter uma lista ou um banco de dados comum de IoAs , uma vez que eles estão vinculados às táticas apresentadas na matriz ATT&CK de Mitre e às características de segurança de cada empresa, usando o contexto para determinar quando um a ação é ou não um indicador de ataque.

Por este motivo, a implementação não é simples e requer um conhecimento profundo das atividades normais de TI de todos os departamentos de uma organização, a implementação de sistemas Zero Trust Network Access e a implementação de controles de tráfego de rede em todos sistemas que gerenciam informações, a fim de ter as atividades básicas mencionadas abaixo para a detecção de IoAs:

• Análise de todas as conexões cujo destino se encontra fora da rede corporativa, priorizando destinos marcados como maliciosos ou locais onde não devam ser feitas comunicações desde a empresa.
• Qualquer tentativa de tráfego na rede por meio de portas ou serviços não convencionais que foram habilitados na rede ou fora do horário comercial.
• Qualquer equipamento que tenha múltiplas conexões ativas ou tenta se conectar com computadores dentro da rede para os quais eles não têm permissão ou que não têm em seu histórico de conexão.
• Relatório de eventos repetidos , como malware ou tráfego malicioso, em um ou mais computadores por sistemas de detecção.
• Processos de autenticação do usuário , envolvendo qualquer conexão simultânea ou tentativas malsucedidas.

Com essas investigações permanentes, a geração da base de conhecimento IoA começa e os processos de resposta a incidentes são aprimorados. Desta forma, o sistema se baseia não em dados ocorridos e que podem ser evitados pelos atacantes, mas em atividades e técnicas associadas tanto às táticas de ataque quanto às características da rede da organização.