Entendendo a dinâmica dos incidentes de segurança com ransomware

Martiniano Mallavibarrena    3 agosto, 2021

O Fenômeno ransomware

Se há um termo que ganhou os primeiros lugares nas manchetes da mídia nos últimos dois anos, o ransomware é certamente o vencedor claro. É rara a semana quando a mídia não nos fala sobre um incidente usando esse tipo de abordagem, e é raro o setor que se livrou desse tipo de maldição bíblica de última geração.

Se você realmente entende a fundo ou não, o público sempre traduz este termo como sinônimo de ataques graves de computador e um nível de danos significativos às empresas. Normalmente, a narrativa da mídia é um pouco confusa porque fala sobre o impacto (o site que não está operacionalizando ou a fábrica que não pode abrir) e não tanto sobre o incidente em si, que geralmente aconteceu há algum tempo e geralmente tem outras histórias para contar.

Esta publicação inicia uma série de quatro artigos onde tentaremos compartilhar nossa visão próxima ao fenômeno, narrando como a dinâmica desse tipo de incidentes de cibersegurança são vividas quando eles são uma realidade em nossa organização.

Resposta a incidentes do Ransomware em um relance

Em um incidente desse tipo, um ator terá tido acesso à infraestrutura do cliente e terá iniciado uma sequência de etapas facilmente previsíveis onde ferramentas serão baixadas (para analisar seu ambiente, detectar máquinas e endereços IP, listar sistemas e usuários etc.) e, em seguida, tentar fazer diferentes movimentos laterais para uma escalada progressiva de privilégios que otimizam sua atividade eliminando a resistência do ambiente. As conexões com o seu C2 (centro de operações do atacante, conhecido como Comando & Controle) serão frequentes nesses movimentos.

Os prazos necessários para realizar as múltiplas fases utilizadas para ocorrer várias semanas, embora nas últimas experiências durante 2021, conseguimos confirmar prazos mais curtos (em torno de uma semana no total, em muitos casos) o que torna, se possível, mais necessária e urgente as plataformas de detecção e resposta (EDR, XDR etc.).

Uma vez que o ator tenha o nível desejado de conhecimento e acesso, o ataque realmente ocorrerá, seja porque uma grande quantidade de dados é exfiltred e criptografado, ou porque ele é apenas filtrado (não todos os atores que seguem esse padrão exfiltrando os dados). Seja como for, em muito pouco tempo, um número significativo de pastas e arquivos de nosso cliente terão sido comprometidos e criptografados, aparecendo agora as famosas «notas de resgate» (análogas às tradicionais quando se trata de sequestros de pessoas) onde geralmente somos informados do ataque, sobre seus autores (que serão identificados por algum nome de guerra, organização etc.) e sobre as condições do «resgate».

A recuperação dos arquivos criptografados no ataque geralmente é muito complexa (os mecanismos de criptografia são muito robustos) e, portanto, o ator nos convidará a visitar uma página no TOR (Dark Web) onde podemos verificar quanto tempo temos que fazer o pagamento (contagem regressiva) e a maneira esperada de fazê-lo (geralmente, com criptomoedas, para dificultar o rastreamento).

É importante destacar o fato de que, nos últimos meses, a abordagem RaaS (Ransomware as a Service) tem sido usada de forma muito intensa. Nesses casos, um primeiro ator desenvolve um software para realizar ataques com ransomware e é compartilhado com um ator diferente que baseado em diferentes modelos (compartilhamento de benefícios, pagamento mensal etc.) finalmente realizará os ataques. Neste modelo, o primeiro ator dará suporte técnico ao segundo para que o ator realmente atacando não deve ter grande conhecimento de tecnologia ofensiva.

Uma vez que a organização seja vítima de um ataque com o Ransomware, um número significativo de computadores (geralmente sempre servidores e colateralmente, estações de trabalho) serão criptografados e sua operação começará a se degradar (os atacantes não criptografam completamente os sistemas para permitir que a nota de resgate seja exibida) ou paradas completamente.

Em muitos casos, os próprios serviços de TI/Segurança do cliente detectarão o ataque ou pelo menos alguns aspectos. Talvez eles possam conter um pouco do ataque. De qualquer forma, a situação será óbvia em questão de minutos o impacto sobre os serviços será absoluto.

Quando uma organização sofre um incidente de segurança baseado em ransomware, ela iniciará um processo de resposta a incidentes (IR) que normalmente segue várias práticas recomendadas de entidades internacionais como NIST (EUA) ou ENISA (Europa). Durante este processo, tentaremos essencialmente cobrir três etapas:

  1. Contenção (impedindo que os danos se espalhem e a ameaça cresça)
  2. Erradicação (remover a presença do ator/malware para que ele não seja reativado no futuro)
  3. Recuperação (de sistemas e serviços, com segurança).

É raro que a empresa/organização tenha recursos suficientes ou ativados (empresas de serviços já ativas) para enfrentar esse processo de IR apenas com recursos próprios e é por isso que a oferta de serviços DFIR (Perícia Digital, Resposta a Incidentes) da Telefónica Tech geralmente é necessária.

Como realizamos um processo de IR-Ransomware

A equipe de resposta a incidentes da Telefónica Tech possui recursos em vários países e oferece vários serviços de IR globalmente, tendo realizado trabalhos para clientes na Europa, EUA e LATAM. O serviço de RI é entregue em espanhol e inglês.

O principal elemento no qual todo o trabalho orbita é uma plataforma do tipo EDR (Endpoint Detection & Response). Caso o cliente não tenha um sistema desse tipo já implantado, a equipe ativa na nuvem e implanta em questão de minutos algumas das soluções de nossos parceiros tecnológicos.

A primeira reunião com o cliente é essencial para poder dar algumas primeiras diretrizes de orientação e apoiar a tomada de decisão do cliente: cortar ou minimizar as comunicações externas, implantar ou reutilizar alguma plataforma EDR, desligamento preventivo de outros sistemas e comunicações, comunicação com mídia, usuários, clientes etc. Bem como a comunicação correspondente com o órgão de proteção de dados que se aplica no caso específico.

Uma vez que o cliente toma as primeiras decisões, uma equipe de trabalho mista é formada na qual diferentes funções técnicas tanto da Telefónica Tech quanto do cliente (ou terceiros relacionados, como fabricantes ou prestadores de serviços) participam e que iniciarão uma rotina de trabalho e pontos de controle regulares no modo 24×7 (o tempo de reação é essencial).

Após um período que normalmente não cai abaixo de 15 dias, a situação é relativamente estável, a ameaça terá sido contida e erradicada e o nível de recuperação geralmente é alto ou total (talvez com alguma perda de dados devido ao impacto do ataque). É comum a realização de sessões paralelas para fornecer suporte ao cliente em paralegal, regulatório, reclamações às forças policiais ou ao processo de comunicação.

Nos seguintes artigos desta série veremos com mais detalhes a operação específica dos três principais grupos que da Telefónica Tech trabalham nesses processos de ir-ransomware:

  • O DFIR (coordenação geral, trabalho forense diversificado, análise de malware etc.)
  • A chamada Caça da Ameaça (que investigará e apoiará o processo de várias maneiras usando o console EDR como ponto focal)
  • O grupo de inteligência cujos relatórios e sugestões específicas permitirão concentrar-se de forma ideal todo o trabalho de contenção e investigação forense.

Assim que o processo de IR terminar, a equipe da Telefónica Tech concluirá a entrega da documentação relacionada, sempre incluindo um relatório final de investigação e vários relatórios de inteligência colateral. Na reunião final, o relatório será revisto, as preocupações da equipe de clientes serão resolvidas e as recomendações de segurança mais importantes serão revistas.

Entendendo fraudes de URL de hoje em dia

Telefónica Tech    27 julio, 2021

Após uma investigação interna, realizada pela equipe de analistas do serviço de Proteção de Riscos Digitais da Telefónica Tech, um esquema muito mais complexo foi descoberto a partir de uma URL fraudulenta onde uma empresa do setor varejistase. O que a princípio parecia ser um site fraudulento isolado, acabou sendo um dos milhares de sites fraudulentos direcionados contra diferentes empresas do setor varejista que usavam a mesma estrutura.

A partir de uma captura de tela enviada por um usuário que tinha percebido que uma URL que ele estava acessando era possivelmente um site fraudulento, fomos capazes de localizar um esquema de fraude bastante complexo que tentou obter dados dos usuários em troca de um suposto cartão de presente no valor de €500. Na imagem enviada por este usuário, que era realmente uma captura de tela de seu dispositivo móvel, embora você pudesse ver o conteúdo da web, apenas uma parte da URL podia ser vista.

Figura 1. Captura de tela enviada pelo usuário

Pela nossa experiência em lidar com esse tipo de fraude, sabíamos que sem a URL completa de acesso à página em questão era muito difícil localizá-la. Na imagem fornecida você só podia ver o domínio da URL, informações em princípio insuficientes para poder acessar a fraude.

Uma das opções levantadas foi entrar no domínio no mecanismo de busca web, mas em vez de no mecanismo de busca normal, que não deu nenhum resultado viável para localizar a web fraudulenta, decidiu-se entrar no domínio no mecanismo de pesquisa de imagens caso obtivesse qualquer dado que pudesse ser útil. Essa opção acabou sendo a chave para desvendar que este site não era nada mais do que um grão de areia no deserto.

Uma das imagens associadas à pesquisa entrou, devolveu o ícone de uma caixa de presente com o logotipo da empresa que estava sendo personificada. Quando abrimos o link associado, fomos encaminhados para uma página da rede social Pinterest,onde um usuário estava compartilhando imagens associadas a esses golpes. Embora a maioria dos links associados a essas imagens localizadas nesta página do Pinterest não estivesse mais disponível, um deles nos referiu à fraude que estávamos procurando. Além disso, graças a esta página do Pinterest também descobrimos que essa fraude em questão não foi apenas dirigida contra nossa empresa inicial, mas contra várias empresas pertencentes ao setor varejista e que não afetou apenas a Espanha, mas foi uma fraude a nível internacional.

Figura2. Página do Pinterest com imagens das fraudes

Uma vez que a URL completa foi localizada, além de pedir à nossa equipe de resposta para intervir para cancelar essa fraude, usamos uma ferramenta online popular que analisa qualquer URL e também é capaz de mostrar informações detalhadas de todos os recursos que solicita, para ver se conseguimos localizar mais fraudes semelhantes. Graças a essa pesquisa, encontramos uma série de URLs que utilizaram o mesmo esquema, suplantando várias das empresas do setor varejista que tínhamos localizado.

Nesse ponto e já tendo várias URLs diferentes para comparar, percebemos um fato crucial para a pesquisa e que foi que para todas as URLs localizadas para a mesma empresa, o mesmo identificador numérico estava sendo utilizado. Explicando de forma simples e para melhor compreensão, naquela época fomos capazes de replicar a fraude a partir de uma URL ou domínio que sabíamos que tinha esse engano associado, para cada uma das outras empresas cujo identificador único tínhamos localizado da seguinte forma:

http://dominio/c/identificadorempresa

Agora, apesar de tudo o que tínhamos descoberto, sabíamos que essa fraude tinha que ser muito maior. Portanto, uma vez que ficou claro que a estrutura utilizada nessas URLs era a mesma, pesquisamos e comparamos os endereços IP em que as fraudes estavam hospedadas, para ver se estavam hospedadas no mesmo endereço IP. Isso acabou sendo bastante benéfico, pois como achávamos, todas essas páginas estavam hospedadas no endereço IP 34.XX.XX.54. Procurando encontrar quais domínios estavam hospedados nesse endereço IP, conseguimos encontrar mais de 1500 domínios hospedados nele.

Figura 3. Lista de domínios hospedados no endereço IP 34.XX.XX.54

Finalmente, e a partir das informações de interesse que tínhamos: a lista dos domínios hospedados no endereço IP 34.XX.XX.54 e os identificadores exclusivos localizados para as diferentes empresas afetadas, desenvolvemos um script que estava formando as URLs para todos os domínios localizados adicionando o identificador correspondente e que, por sua vez, estava verificando as URLs resolvidas. Desta forma conseguimos localizar até 95 URLs ativos fraudulentos para nossa empresa inicial. A verificação se as páginas foram resolvidas ou não, nós introduzimos pelo simples fato de que muitas dessas fraudes não estavam mais disponíveis, entre outras razões porque nossa equipe de resposta já havia agido contra algumas delas.

Atualmente, embora muitas dessas fraudes não estejam mais ativas, muitas ainda estão operacionais e o serviço está procurando soluções para tentar agir em bloco contra todas as fraudes. Em suma, ao navegar pela Internet você tem que ter muito cuidado com esse tipo de sites fraudulentos que tentam obter informações de interesse e, em muitos casos, sensíveis de usuários sem noção.

Abraçando o poder do Big Data e IA no setor de turismo

Sabrina Muñoz    21 julio, 2021

As tecnologias de Big Data e as técnicas de Inteligência Artificial oferecem um mundo de oportunidades em todos os setores da economia e, principalmente, no turismo. Estamos falando de ter a capacidade de entender as reais necessidades dos turistas, além de possibilitar a otimização dos recursos das cidades, permitindo que a atividade seja mais sustentável com o meio ambiente.

O setor turístico, criador de 1 a cada 10 empregos no mundo, conhece as relevâncias da aplicação das Tecnologias de Informação e Comunicação nas suas áreas de atuação. Como citado oportunamente pela Organização Mundial de Turismo, aplicar a inovação na indústria turística permitirá ao setor continuar na vanguarda em modelos de negócios através da geração de iniciativas associadas à transformação digital, que aumentam o conhecimento dos turistas e melhoram a tomada de decisões.

Em paralelo a revolução tecnológica que todos os setores estão vivendo, existe a chamada revolução social presente em todos nós. Através dos dispositivos móveis, os turistas estão cada vez mais ocupados, mais conectados e em movimento. Através de suas conexões, eles nos deixam rastros para que possamos conhecê-los, o que chamamos “rastros digitais”. Esta informação, aplicada no âmbito da proteção de dados associada, permite as entidades públicas e privadas tomar decisões para o desenvolvimento inteligente dos destinos turísticos, ajudando a obter uma visão 360º do turista de forma a antecipar as suas necessidades e adaptar os serviços públicos a real demanda de visitantes.

A Telefónica, como empresa global de telecomunicações, através da sua empresa Telefónica Tech AI of Things, iniciou há vários anos o caminho de fornecer soluções de acordo com os rastros digitais que nossos clientes nos deixam. De forma anônima, agregada e extrapolada, com o consentimento prévio do cliente, conseguimos criar informações que ajudam na tomada de decisões do negócio.

Nas palavras de nosso diretor Global da Telefónica Tech AI of Things, Gonzalo Martín-Villa, a nossa missão como empresa de tecnologia sempre foi «promover a digitalização de empresas e organizações, para que, utilizando a tecnologia, sejam mais eficientes e competitivas«.

Mas, que informações os turistas nos deixam com suas conexões? Elas são obtidas a partir da análise do comportamento real de turistas nacionais, de dados dinâmicos da rede móvel, sempre de forma anônima, respeitando a proteção de dados, que permitem os seguintes insights:

Com base no estudo de variáveis como atividade dos turistas (Aonde eles vão? Locais onde eles se conectam?), tempo de permanência e origem, se pode responder a várias perguntas como as seguintes:

•. Quantos turistas visitaram minha cidade?

•. Quais períodos têm mais fluxo de turistas?

•. Quanto tempo os turistas permanecem no município?

•. Quais as áreas que eles escolhem para passar a noite?

Diante de um turista permanentemente conectado em busca de experiências personalizadas, os insights criados dos dados da rede móvel, junto com tecnologias de ponta como Big Data, Advanced Analytics e IoT, tornam-se aliados essenciais para ajudar o setor de Turismo a entender padrões de comportamento e melhorar a oferta.

Ser capaz de nos aproximar no momento certo, com as informações certas. Ser capaz de prestar serviços de acordo com as reais necessidades dos turistas trará, sem dúvida, vantagens competitivas. Eles nos permitirão ser organizações data-driven, ou seja, instituições onde os dados se tornam um ativo muito relevante para a tomada de decisões, que agora podem ser baseadas em fatos e não mais em inferências.

Para mais informação: https://tech.telefonica.com/

Artigo original: http://turismospot.com.br/abracando-o-poder-do-big-data-e-ia-no-setor-de-turismo/

Boletim semanal de cibersegurança 10-16 julho

Telefónica Tech    16 julio, 2021

Atualização de incidentes kaseya VSA

Depois de saber em 2 de julho o ataque realizado pelo grupo de ransomware REvil através da Kaseya VSA, no domingo, 11 de julho, Kaseya lançou o patch para seu software VSA (VSA 9.5.7a), disponível para clientes da VSA On-Premise e VSA SaaS. Esta atualização aborda vulnerabilidades categorizadas como CVE-2021-30116, CVE-2021-30119 e CVE-2021-30120, que permitiram vazamento de credenciais, Scripting cross-site (XSS) e evasão de autenticação de duplo fator, respectivamente. Esta nova versão também corrige um bug que permitia o upload de arquivos sem autorização para um servidor VSA, além de usar o indicador de segurança para cookies de sessão de portal do usuário, já que ele não estava sendo usado; melhorias também foram implementadas na segurança das respostas da API. Em relação ao incidente, vale ressaltar, por outro lado, a publicação neste sábado de um artigo na Bloomberg,que inclui depoimentos de vários ex-funcionários da empresa que alegaram que durante anos alertaram sobre problemas graves no software que não teriam sido levados em conta ou resolvidos.

SolarWinds corrige um novo 0-day ativamente explorado

A empresa de software SolarWinds, que no ano passado estava experimentando uma das campanhas de ciberespionagem mais sofisticadas dos últimos tempos, lançou uma atualização para uma vulnerabilidade de zero-day categorizada como CVE-2021-35211,o que estaria afetando seu produto Serv-U. Como relatado pela SolarWinds em seu próprio aviso, os pesquisadores da Microsoft informaram a tecnologia de uma vulnerabilidade remota de execução de código (RCE) que estava sendo explorada ativamente. Se explorado, um ator mal-intencionado pode ter acesso privilegiado ao hosting do produto Serv-U. A empresa não sabe o verdadeiro escopo da decisão, por isso não forneceu mais detalhes. Os produtos afetados são a transferência de arquivos gerenciados Serv-U e o Serv-U Secure FTP de sua versão 15.2.3 HF1 e anterior. O SolarWinds habilitou uma atualização segura na versão 15.2.3 HF2, para a qual é recomendado atualizar.

Após o lançamento da atualização de segurança do SolarWinds, a Microsoft divulgou novos detalhes da investigação realizada onde eles especificaram que detectaram uma exploração usada em ataques direcionados ao produto SolarWinds Serv-U e os atribuíram a um ator de ameaças chamado DEV-0322. De acordo com os pesquisadores, a atividade do grupo estaria localizada na China e empregaria soluções comerciais de VPN, bem como roteadores comprometidos como infraestrutura de ataque. Consequentemente, a Microsoft observou que os alvos da campanha eram entidades dos EUA nos setores de software e defesa.

Vulnerabilidade crítica do RCE no gerenciador de acesso ForgeRock ativamente explorado

As agências de segurança cibernética na Austrália e nos Estados Unidos estão alertando para uma vulnerabilidade crítica de execução de código remoto (RCE) no ForgeRock Access Management, um aplicativo de código aberto usado para gerenciamento de permissões em aplicativos internos, categorizado como CVE-2021-35464. Essa falha foi descoberta e divulgada em 29 de junho por Michael Stepankin, pesquisador de segurança daPortSwigger. ForgeRock indica que esse bug afetaria versões am de gerenciamento de acesso inferiores a 7.0 rodando Java 8. Da empresa recomenda-se aplicar os patches publicados em 29 de junho sem demora, uma vez que a vulnerabilidade é explorada ativamente.

Boletim Mensal da Microsoft

A Microsoft lançou seu boletim de segurança de julho, que inclui correções para 117 vulnerabilidades, treze delas críticas. Entre as falhas estão nove zero-day, quatro dos quais seriam ativamente explorados:

  • CVE-2021-34527 (PrintNightmare): Vulnerabilidade de execução remota do gerenciador de impressão do Windows Print Manager
  • CVE-2021-33771: Elevação do kernel do Windows da vulnerabilidade do privilégio
  • CVE-2021-34448: Vulnerabilidade de corrupção da memória do motor de scripting
  • CVE-2021-31979: Elevação do Kernel do Windows da Vulnerabilidade do Privilégio

Além disso, é importante mencionar três vulnerabilidades de execução remota de código (RCE) que estão afetando o Microsoft Exchange Server (CVE-2021-31206),o servidor Windows DNS (CVE-2021-34494) e o kernel do Windows(CVE-2021-34458). A Microsoft recomenda atualizar os ativos afetados.

Distribuição de ransomware   explorando firmware SonicWall

A SonicWall emitiu um aviso de segurança com urgência após a detecção de uma campanha de ransomware  baseada na exploração de uma vulnerabilidade no firmware de alguns de seus produtos. Especificamente, dispositivos vulneráveis seriam os produtos SMA (Secure Mobile Access) 100 series e Secure Remote Access (SRA) que estão executando as versões de firmware 8.x. A partir da assinatura, eles recomendam urgentemente atualizar produtos para a versão 9.x. Se não for possível atualizar, eles propõem as seguintes medidas de mitigação: desconexão imediata de dispositivos SMA e SRA vulneráveis, redefinição de senha e ativação de medidas multifatorial para autenticação (MFA). Apesar do fato de que o aviso SonicWall não fornece os detalhes da vulnerabilidade específica que seria explorada, os pesquisadores de segurança da Crowdstrike, que descobriram e alertaram sobre um bug neste firmware em junho passado, confirmam que seria a mesma vulnerabilidade que eles detalharam em seu artigo algumas semanas e que identificaram como CVE-2019-7481. Por sua vez, a equipe de resposta a incidentes da SonicWall também publicou um aviso para alertar sobre essa falha, sem sequer associar o identificador que eles vincularam da Crowdstrike em seu artigo, mas concedendo-lhe uma gravidade do CVSSv3 9.8.

Quando eu crescer, quero ser… um engenheiro

Elisa Rojas    13 julio, 2021

“O que você quer ser quando crescer?», um clássico. A grande questão. Tão simples, mas tão complexo, e curiosamente tão perguntado quando somos pequenos… quando talvez devêssemos criá-lo diariamente (mas falaremos sobre isso outro dia). No meu caso, quando criança, era bem claro, eu queria ser «pintor, como Picasso». Embora seja verdade que, em geral, eu sempre tive curiosidade sobre qualquer assunto e gostei de contar o que aprendi aos meus pais e irmão. Até joguei para ser professor e inventarexercícios, diria que foi um dos meus jogos favoritos. Eu nunca dei a ela muito mais voltas e eu não fiz errado, no final eu era uma menina, o importante era jogar. 

Até que um dia meus pais compraram um computador. Isso me fascinou. Especialmente, fui cativado por um certo aplicativo que permitiu que você fizesse desenhos infinitos, colorindo com um simples «clique» e fazendo formas, e, claro, digitando e escrevendo letras infinitas em uma tela. E claro, vídeo games (jogando).

Continuei sem dar muitas voltas, até que chegou a hora de decidir o que estudar. Eu cumpriria minha ideia, de quando era criança, de ser pintor ou professor? Mesmo que eu não fosse totalmente claro sobre isso, eu pensei que estudar engenharia poderia ser divertido, especialmente se tivesse um computador relacionado. Na verdade, eu não sabia que tipo de trabalho eu teria a seguir (levantar a mão quem faria), mas eu fiz a minha aposta (Engenharia de Telecomunicações) e acho que acertei. Eu gostei de fazer a corrida, mas no final eu me perguntava se eu poderia ir mais longe, eu tinha dificuldade em pensar que a estrada tinha terminado lá. Passei por vários trabalhos… e foi aí que comecei a encaixar as peças e decidi, que o que eu realmente gostaria era de ser professor de engenharia (2 em 1). Embora o caminho para isso tenha sido especialmente difícil, decidi voltar para a universidade novamente, desta vez para buscar um doutorado. E foi o que fiz, mas não antes de viajar por muitos países para conferências e pesquisas, conhecer muitas pessoas, e continuar a aprender. Acertei! Anos depois, sou professora de engenharia na Universidade de Alcalá. Mas não, este não é o fim ainda, é apenas mais um estágio na minha jornada. E por enquanto, a engenharia encontrou um panorama motivador, cheio de jogos de lógica e desafios, de chorar alguns dias, mas de grandes sorrisos em outros. Mas acima de tudo eu descobri que a engenharia não são apenas computadores, chips e cabos…, é também criatividade e imaginação, é ser capaz de resolver problemas de qualquer tipo: tecnológico, econômico, social…, é continuar jogando! Tenho sorte de me sentir «pintora» mesmo que minhas ferramentas não sejam pincéis, e estou animada para ajudar, na extensão das minhas habilidades, a resolver os problemas e grandes desafios do futuro da sociedade. O único problema é que vou precisar de ajuda, você ousa?  

Deja un comentario en Quando eu crescer, quero ser… um engenheiro
Elisa Rojas
Elisa Rojas

Elisa Rojas é professora assistente na Universidade de Alcalá, onde trabalha como pesquisadora e professora na área de engenharia telemática. Ela é PhD em Engenharia de Tecnologias de Informação e Comunicação desde 2013, e trabalhou anteriormente na Telefónica I+D, na IMDEA Networks, e como Diretora de Pesquisa na Telcaria Ideas S.L., uma start-up tecnológica focada na virtualização de redes. Ela tem cerca de 50 publicações em revistas e conferências de prestígio, assim como 5 patentes, e seus interesses atuais estão relacionados a redes definidas por software, data centers (nuvem), 5G e Internet das Coisas (IoT).

3 sinais de mudanças para a postura da segurança cibernética

Denny Roger    6 julio, 2021

O que as organizações estão vivenciando pode ser a chave para a mudança em detecção de ataques cibernéticos e resposta à incidentes.

Os sinais de mudança estão aí e não podemos ignorá-los. A recente paralisação da Colonial Pipeline e da JBS ilustraram esse ponto. Como consequência, a JBS pagou um resgate de US$ 11 milhões em bitcoin aos autores do ataque cibernético que interrompeu temporariamente o funcionamento de algumas de suas fábricas.

Tendências no aumento dos ataques cibernéticos como a epidemia de ataques de ransomware que temos experimentado nos últimos meses, maior adoção da nuvem e mudanças nos padrões de compra passaram por disrupções e foram aceleradas em um curto espaço de tempo. Este novo cenário combinado com as mudanças na infraestrutura de rede trazidas pela pandemia nos coloca diante de um ambiente de negócios para a reinvenção, principalmente em detecção e resposta aos incidentes cibernéticos.

Este cenário traz uma forte necessidade de olharmos para a Arquitetura de Segurança Cibernética atual e entendermos melhor a trajetória e impacto das mudanças que protegerão os negócios.

Redução de custos através da estratégia de resposta a incidentes

Para tomar decisões mais rapidamente durante um ataque, muitas organizações estão capturando novos conjuntos de dados e usando análises automatizadas para identificar, responder aos ataques cibernéticos e direcionar mudanças na postura e arquitetura de segurança cibernética.

As principais vantagens são:

  • Redução do Risco Cibernético & melhoria do MTTD (tempo de detecção) & MTTR (tempo de resposta)
  • Redução de custos através da identificação precoce de ameaças, fraudes e incidentes cibernéticos
  • Automatização através da capacidade de SOAR (Security Orchestration, Automation, and Response)
  • Redução de custos através da terceirização da operação:
    • Monitoramento 24×7 e resposta rápida aos ataques cibernéticos;
    • Hunting proativo de ameaças e assistência especializada para crises cibernéticas;
    • Processos e metodologia avançada para proteção, detecção e análise forense.

Hunting proativo de ameaças e o risco reputacional

As empresas estão implementando estratégias proativas para a tomada de decisão contra as “ameaças cibernéticas” e mitigação de risco reputacional, criando uma estrutura de equipes de elite que podem agir com velocidade e agilidade, incluindo:

  • Redução de custos através da identificação precoce de ameaças, fraudes e incidentes cibernéticos
  • Monitoramento da CLEAR WEB e da DEEP e DARK WEB, bem como feeds especializados, em busca de referências e menções ao patrimônio da sua organização
  • Detecção dos elementos que podem afetar negativamente a organização, tais como:
    • Exposição de dados sensíveis
    • Uso não autorizado da marca
    • Sites, aplicativos e e-mails falsos
    • Domínios suspeitos
    • Conteúdo ofensivo
    • Prevenção a fraudes:
      • Encerramento de sites que falsificam sua identidade para cometer fraude (phishing);
      • Remoção de contas de e-mail usadas para cometer fraude;
      • Fechamento de botnets ou painéis de controle relacionados a trojans;
      • Retirada de campanhas publicitárias falsas ou bilhetes com desconto fraudulentos;
      • Remoção de aplicativos móveis não oficiais que infringem sua identidade;
      • Remoção de perfis falsos em redes sociais que infringem sua marca ou seus VIPs.

Redução do tempo de crise e perícia forense digital

Para dar conta das expectativas de proteção contra ameaças cibernéticas, as organizações estão complementando e estendendo o serviço de segurança cibernética, reduzindo o tempo de crise e fortalecendo-se através de:

  • Acesso rápido a especialistas em resposta, análise forense e malware
  • Capacidades de análise de artefato digital ou dispositivo comprometido
  • Realização de atividades forenses e de relatórios como suporte para procedimentos legais
  • Assistência para implementar uma estratégia de remediação
  • Avaliação de comprometimento total proativa, depois que algum comportamento anormal for detectado internamente ou houver suspeitas de um ataque em andamento
  • Teste de Plano de Resposta a Incidentes para medir a eficácia de seu Plano de Resposta com cenários de incidentes reais simulados.

Principais medidas necessárias para garantir a segurança cibernética

As recomendações abaixo são os resultados de uma investigação do Departamento de Serviços Financeiros do Estado de Nova York sobre as ações tomadas por empresas financeiras de Nova York em resposta ao ataque da SolarWinds:

  • Realizar uma avaliação completa dos riscos apresentados por fornecedores terceirizados e sua correção
  • Política de confiança zero e segurança em todos os níveis
  • Correção de vulnerabilidades em tempo hábil, implantando patches, testando e validando
  • Planos de resposta a incidentes incluindo medidas a serem tomadas se a cadeia de suprimentos for comprometida

Como sabemos agora, as mudanças na postura de segurança cibernética podem desempenhar um papel muito maior na sua organização. Com a crescente pressão por transformação digital e gestão de riscos, as organizações estão explorando a terceirização, operação automatizada e rápida resposta na detecção e resposta à incidentes cibernéticos; promovendo redução de custos e redução do risco operacional e risco reputacional.

O que devemos nos lembrar no Dia Internacional da Mídia Social

Marina Salmerón Uribes    30 junio, 2021

Você sabia que existe uma teoria que explica que todas as pessoas que vivem no planeta estão conectadas através de seis pessoas? É chamada de teoria dos seis graus de separação e foi proposta em 1930 pelo escritor húngaro Frigyes Karinthy.

De acordo com esta teoria, cada pessoa conhece «em média» cerca de 100 pessoas. Se cada um desses conhecidos próximos estiver relacionado a outros 100 conhecidos, qualquer indivíduo pode ter um ponto de contato com até 10.000 pessoas. Assim, se esses 10.000 conhecerem mais 100, a rede se expandirá para 1.000.000.000 de pessoas ligadas em uma terceira etapa, 100.000.000.000.000 em uma quarta, 10.000.000.000.000 em uma quinta e 1.000.000.000.000.000.000 em uma sexta.

Se você ainda estiver lendo o post (obrigado por continuar dada minha explicação anterior), talvez esteja pensando no que esta teoria tem a ver com o dia internacional das redes sociais. Vamos parar e pensar por um momento: se esta teoria surgiu há mais de 100 anos sem a existência da tecnologia e, portanto, das redes sociais, estamos realmente conscientes do impacto que uma mensagem, postagem, comentário, etc., pode ter quando a tornamos pública em nossas redes sociais? A tecnologia torna possível que algo que publicamos possa alcançar quase qualquer indivíduo no planeta.

Segundo dados do último estudo publicado pela We are social, Digital 2020 Global Digital Overview, mais da metade da população mundial, especificamente 53% da população, está conectada à Internet. A maioria são usuários ativos de redes sociais, dados que ano após ano continuam a crescer.

Vivemos em um mundo conectado, 3 bilhões de pessoas estão conectadas via Internet, e na Telefónica sabemos que uma melhor conectividade significa uma melhor qualidade de vida. Entretanto, devido a barreiras econômicas, obstáculos sociais e falta de infra-estrutura, 2/3 do mundo ainda não está conectado. Aqueles de nós que, felizmente, já estão conectados, estamos cientes de que conseguimos as informações que estamos procurando com um único clique? Como podemos educar os futuros usuários da Internet a usar as redes sociais da maneira mais apropriada? Estamos colocando em prática um uso responsável das redes sociais, protegendo nossa identidade e pegada digital?

A resposta é simples: o uso responsável da tecnologia é tarefa de todos, e acima de tudo, eu me concentro naqueles de nós que são apaixonados por nossa profissão e trabalham diariamente com as mídias sociais. Devemos ser alto-falantes e explicar os benefícios destes e aumentar a conscientização sobre as precauções que devemos tomar para fazer uso responsável deles. Vamos simplificar, as mídias sociais tornaram-se uma ferramenta muito valiosa e necessária em nossa vida diária e com o uso adequado o impacto é positivo, no entanto, para usufruir dos benefícios, devemos primeiro conhecer os riscos.

Lembremos que quando publicamos algo, tornamos pública e visível uma mensagem que permanece na rede e «não nos pertence mais», de modo que perdemos o controle e podemos chegar a milhões de pessoas sem estarmos cientes disso.

Vamos educar e proteger nossos menores: grooming, sexting, etc. são termos que há apenas alguns anos eram conhecidos pelos profissionais de marketing digital, porém, infelizmente, são termos cada vez mais comuns nos quais devemos nos concentrar como adultos para educar. Estamos protegendo nossas crianças limitando o uso dos sites onde elas navegam? Tornando-as conscientes da importância da desconexão digital em nossa vida diária? Após a pandemia, La Red de Atención a las Adicciones (UNAD) lançou uma campanha chamada #GánaleLaPartida na qual afirmou que estar conectado pode nos desligar de tudo depois de verificar que durante a crise do coronavírus e devido ao confinamento foi detectado um aumento notável de pedidos de ajuda relacionados ao abuso de videogames, jogos on-line, exposição excessiva a celulares e Internet por crianças e adolescentes; comportamentos problemáticos exacerbados decorrentes do uso indevido de tecnologias.

Com este posto, eu realmente não quero dramatizar; mas como comecei a dizer, em muitas ocasiões devemos lembrar e … Eu emendo o mea culpa que até mesmo falar de mídia social para uso pessoal e profissional também para nossa cabeça é necessário para saber como se desconectar para se conectar.

Somos alto-falantes e temos uma responsabilidade, portanto, neste dia internacional das redes sociais eu queria reivindicar a importância de que, graças à tecnologia, no nosso dia-a-dia, as pessoas, as marcas e as empresas vão um passo além e esperar que, entre todos aqueles e não apenas os profissionais de marketing, consigamos mover e educar que a diversão, a informação e a comunicação não estejam em desacordo com a privacidade, a cibersegurança e a privacidade na rede através das redes sociais; é possível um uso responsável 🙂

Feliz Dia Internacional das Mídias Sociais para todos os usuários!

DIÁRIO: mais uma arma no arsenal do TheHive

Andrés Naranjo    28 junio, 2021

Já sabemos que o elo mais fraco na cadeia da segurança cibernética é o próprio usuário. Estudos a esse respeito mostram que o principal motivo do sucesso de um ataque cibernético a uma empresa se deve ao vetor de e-mail recebido. Todo o desastre geralmente começa com um e-mail e um anexo.

É por isso que a Telefónica Tech desenvolveu uma tecnologia que aborda o problema da análise de documentos de uma forma totalmente inovadora: DIARIAMENTE. Agora, a famosa plataforma de resposta a incidentes de segurança cibernética (SIRP) TheHive, incluiu a possibilidade de integrar DIARIO em seus sistemas.

DIARIO é uma tecnologia 100% desenvolvida pela Área de Inovação e Laboratório da ElevenPaths, integrante da nova Tecnologia da Telefónica, cujo motor de inteligência artificial é capaz de escanear documentos para detectar indícios de códigos maliciosos utilizados por cibercriminosos, retornando de forma rápida e confortável para o usuário, para obter um veredito sobre a sua periculosidade.

DAIRIO não é outro antivírus

Esta capacidade do DIARIO, por meio de inteligência artificial, de detectar elementos comuns usados ​​para introduzir código malicioso em documentos, é extremamente útil nas áreas onde o antivírus não pode ajudar, tornando um trabalho de detecção realmente eficaz. DIARIO não tenta substituir os antivírus tradicionais, mas os complementa fazendo um tipo de análise totalmente diferente sobre tudo o que não foi detectado com as metodologias antivírus tradicionais, normalmente baseadas em assinaturas. DIARIO é muito eficaz no que «escapa» à detecção do antivírus.

Privacidade como eixo de design do DIARIO

DIARIO está totalmente focado no seu uso comercial e, por isso, dada a possível confidencialidade dos documentos, foi pensado para a sua confidencialidade. Frequentemente, no caso de arquivos suspeitos, os funcionários usam plataformas de varredura de arquivos online como validação adicional da ausência de vírus que registram e armazenam as informações e os metadados dos documentos que recebem. Isso pode significar um sério problema de privacidade devido ao conteúdo sensível ou confidencial armazenado nesses documentos. DIARIAMENTE, entretanto, extrai apenas as partes dos documentos que possam ser suspeitas de serem analisadas, e nunca o conteúdo do próprio documento. Assim, as informações sensíveis ou confidenciais contidas no documento não viajam ou são armazenadas de qualquer forma fora do ambiente corporativo, mantendo a privacidade dessas informações.

TheHive

A inteligência artificial treinada do DIARIO também está disponível para uso ou integração por meio de outras ferramentas ou tecnologias, graças à sua interface de desenvolvedor (API). É por isso que é muito útil como parte do TheHive.

TheHive é uma plataforma de resposta a incidentes de segurança cibernética (SIRP) responsável por receber alertas de todas as nossas tecnologias de segurança cibernética (SIEM, IDS / IPS, firewalls, etc …). TheHive é uma plataforma altamente automatizável pronta para ser integrada com outras tecnologias para melhorar sua eficiência e funcionalidade. Desta forma, a partir do TheHive, utilizando a inteligência artificial do DIARIO, podemos escanear diretamente os arquivos suspeitos que estão anexados a um alerta, fazendo assim uma análise rápida e direta do conteúdo dos arquivos de escritório que permitem um aviso prévio automático no caso de arquivos maliciosos.

DIARIO é uma solução multiplataforma e funciona em Windows, Linux e MacOS, e pode ser executado diretamente na nuvem, a partir do cliente de webmail Office365, bem como do aplicativo de desktop Outlook.

Os recursos de análise de documentos do DIARIO podem ser testados de forma rápida e fácil em seu portal na web: diario.elevenpaths.com.

Se você está interessado em aproveitar as vantagens do DIARIO em alguma de suas formas de consumo, pode entrar em contato com a Telefónica Cybersecurity & Cloud Tech a partir do formulário do portal DIARIO: diario.elevenpaths.com ou do e-mail lab- [email protected].

Boletim semanal de cibersegurança 19-25 junho

ElevenPaths    25 junio, 2021

SonicWall corrige uma vulnerabilidade crítica que tinha sido parcialmente corrigida

Em outubro do ano passado, a SonicWall corrigiu uma vulnerabilidade crítica de estouro de buffer no SonicOS, sob o identificador CVE-2020-5135, afetando mais de 800.000 dispositivos VPN SonicWall. Essa falha permitiu que invasores não autenticados executasse remotamente o código no dispositivo afetado ou causassem uma negação de serviço enviando solicitações HTTP especificamente criadas para o firewall. No entanto, o pesquisador de segurança Craig Young agora revela que esse patch deixou um bug de exposição de informações de memória não mediado, que foi identificado como CVE-2021-20019 e não havia sido corrigido até a versão mais recente do SonicOS.

Zyxel alerta seus clientes sobre ataques contra seus dispositivos

A Zyxel alertou seus clientes, por e-mail, sobre uma série de ataques direcionados contra sistemas VPN, firewalls e balanceadores de carga que a empresa oferece e que permitiram o gerenciamento remoto via SSL-VPN. Especificamente, esses ataques atingiriam dispositivos de rede das séries USG, ZyWALL, USG FLEX, ATP e VPN que executam o  firmware ZLD no local. De acordo com Zyxel, o invasor tenta acessar o dispositivo via WAN e, se bem sucedido, tenta contornar sistemas de autenticação e estabelecer uma conexão VPN através de um túnel SSL com um usuário desconhecido (por exemplo, «zyxel_slIvpn», «zyxel_ts», «zyxel_vpn_test») para manipular a configuração do dispositivo. No momento, não se sabe se o vetor de entrada desses ataques é uma antiga vulnerabilidade presente em dispositivos não reparados ou se é uma nova vulnerabilidade de 0-day. Apesar disso, Zyxel compartilhou uma série de medidas de mitigação contra essa ameaça.

Matanbuchus: nuevo Malware-as-a-Service

Pesquisadores da Unidade 42 de Palo Alto publicaram os detalhes de um novo Malware-as-a-Service (Maas) chamado Matanbuchus Loader. Este MaaS, foi visto pela primeira vez em fevereiro deste ano em fóruns subterrâneos relacionados ao ator de ameaça BelailDemon, que estabeleceu um preço de 2500 dólares para sua aquisição. O vetor de distribuição inicial do artefato é um documento Excel com macros maliciosas, que executará um arquivo baixado de um domínio externo. Matanbuchus tem vários recursos, como executar .exe arquivos ou .dll na memória, aproveitar o serviço de tarefas programado schtasks.exe para alcançar persistência, executar comandos no PowerShell ou usar executáveis do sistema para carregar bibliotecas DLL. De Palo Alto identificaram várias organizações afetadas por esse malware nos Estados Unidos e na Bélgica.

DarkRadiation: novo ransomware voltado para sistemas GNU/Linux com funcionalidades de worm

Pesquisadores da Trend Micro analisaram a operação de um ransomware recentemente descoberto, que foi chamado de DarkRadiation e é destinado a sistemas GNU/Linux. É totalmente implementado no Bash e a maioria de seus componentes são destinados a distribuições Red Hat e CentOS, incluindo, em menor medida, distribuições baseadas em Debian. Este ransomware usa a API do Telegram para se comunicar com o servidor C&C e tem funcionalidades de worm usando o protocolo SSH. Para evitar detecções, faz uso da ferramenta de ofuscação de código aberto «node-bash-ofuscada», com a qual os atacantes obtêm zero detecções no VirusTotal. Pesquisadores observaram que esse ransomware está em desenvolvimento contínuo, com várias versões pertencentes a diferentes campanhas.

DevSecOps: 7 fatores-chave para implementar segurança em DevOps

Roberto Velasco    23 junio, 2021

DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC). DevSecOps vai além de uma ferramenta ou prática específica; favorecendo a automação da segurança, comunicação e escalabilidade.

DevSecOps nasceu como uma evolução da metodologia DevOps. Sua principal motivação é automatizar a segurança para responder à aceleração dos ciclos de lançamento de software impulsionados pela adoção do DevOps. DevSecOps não apenas adiciona elementos de segurança aos ciclos de DevOps, mas, quando aplicado corretamente, torna a segurança uma parte integrante de todo o processo, do início ao fim. Como consequência, a equipe de segurança se envolve muito mais com o restante das equipes envolvidas no SDLC, incluindo Desenvolvimento e Operações. Isso elimina o atrito, pois a tensão natural entre velocidade e segurança é compartilhada por todas as equipes.

Apesar, ou talvez por causa de sua ampla adoção, a metodologia DevSecOps recebe críticas por sua falta de especificidade ou orientação específica. Nesta postagem, queremos oferecer sete dicas diretamente aplicáveis ​​que resolvem os problemas mais comuns que vemos em equipes que adotam DevSecOps.

1. Use as ferramentas IAST para evitar falsos positivos e ajuste SAST

As ferramentas de teste de segurança de aplicativos (AST), como SAST e DAST, permitem que os desenvolvedores encontrem vulnerabilidades, sem serem especialistas em segurança. O problema é que, devido a abordagens desatualizadas e pouco sofisticadas, essas ferramentas não oferecem um nível ideal de precisão. Para evitar essa falta de precisão, recomendamos o uso de uma ferramenta de detecção mais precisa, como IAST (Interactive Application Security Testing). As ferramentas IAST não requerem «ajuste fino» ou revisões manuais, pois não geram falsos positivos.

2. Integre falhas de segurança em ferramentas de colaboração para melhorar a coordenação

Integre o rastreador de bug que sua equipe está usando, por exemplo Jira, com ferramentas de segurança para que os desenvolvedores possam ver os bugs de segurança como tarefas comuns. O objetivo por trás dessa recomendação é que os desenvolvedores não se desviem do ambiente que normalmente usam.

3. Defina métricas e limites para garantir a qualidade se a cadência de implantação acelerar

Da mesma forma que os erros de compilação paralisam a implantação, os erros de segurança também paralisam. Conhecidos como «controles de segurança«, esses pontos de verificação garantem que o código que atinge o CI / CD respeite os padrões de segurança. Crie pontos de verificação de segurança automáticos para atender aos objetivos de qualidade e paralise a construção se o número de vulnerabilidades exceder um limite.

4. Automatize a proteção contra erros de design para reduzir a verificação manual (teste de pentest)

Para mitigar o gargalo da verificação manual desses erros, recomendamos automatizar a validação usando soluções e arquiteturas que são seguras desde o início. As equipes de Pentest são mais produtivas quando têm uma visão clara de onde atacar.

5. Adote relatórios contínuos para obter visibilidade sobre o histórico de segurança

Os relatórios contínuos envolvem a geração de relatórios e métricas de segurança que rastreiam a evolução, o número e a gravidade das vulnerabilidades de cada versão. O objetivo é mitigar a falta de visibilidade do histórico de segurança à medida que novas versões do software são lançadas. É aconselhável usar ferramentas como Jenkins Reports ou Web Reports e melhorar os relatórios incluindo a evolução das falhas de segurança.

6. Integre a segurança do aplicativo para melhorar o suporte à nuvem

A adoção de «segurança como código» versus a abordagens dependentes de hardware ou rede significa que os aplicativos permanecem seguros aonde quer que vão, sem a necessidade de alterações de configuração para acomodar uma nova implantação ou nova versão do aplicativo.

7. Garantir escalabilidade linear e custos acessíveis

Certifique-se de que a infraestrutura de segurança de seu aplicativo não seja um gargalo de desempenho. Procure soluções de segurança que possam ser escalonadas de forma constante e linear ao longo do tempo.

As sete recomendações que apresentamos neste artigo têm como objetivo principal capacitar os desenvolvedores para que possam criar código com segurança graças à automação da segurança. A Hdiv Security foi criada por e para desenvolvedores desde o seu início. As chaves descritas neste artigo, e até mesmo nosso DNA como empresa, sempre perseguiram a filosofia DevSecOps, mesmo antes de o termo existir. Para qualquer dúvida relacionada à automação de segurança em aplicações, não hesite em nos contatar.