Página 20 – Think Big

O fim do escritório como o conhecemos chegou?

Miguel Ángel Martos 9 octubre, 2020

O ano de 2020 começou difícil. Aprendemos que o que era «normal» pode não ser o melhor. Devemos reconsiderar a ideia de «escritório» como o centro da empresa. Essa crise pode ser a chave para demonstrar que um prédio físico de escritórios é coisa do passado, principalmente quando o trabalho remoto pode ser a garantia da perenidade da empresa.

Em tempos de crise, a tecnologia nos permite trabalhar em qualquer lugar e em qualquer dispositivo. Assistimos a uma mudança de enfoque para um modelo de trabalho a distância impulsionado pela necessidade e por empresas que procuram tirar partido dos seus potenciais benefícios. Mas, embora os trabalhadores pensem que o trabalho remoto é algo óbvio hoje, ainda precisamos de uma mudança cultural na forma como as empresas pensam sobre o trabalho remoto.

O trabalho remoto obriga as empresas e os funcionários a mudar. Existem duas áreas onde as mudanças se destacam por seu impacto nas pessoas: interação pessoal e coletiva e segurança. Alguns temem que trabalhar remotamente possa matar a cultura corporativa. Não é incomum que alguém nos diga que «estar no escritório é a chave para colaborar e promover a cultura corporativa» ou «Adoro ir ao escritório para ver meus colegas».

Em muitas empresas, é normal sair para tomar café da manhã em grupo. Permite-nos desfrutar do aspecto social do trabalho e da cultura de conversar com os nossos colegas, mas ajuda-nos a ser mais eficazes? As pessoas pensam que o trabalho é mais eficaz se o fizermos juntos, e assim é. Mas a cultura corporativa é desenvolvida por meio de princípios sólidos adotados por gestores e trabalhadores. A interação e execução desses princípios ocorrem remotamente e no escritório, especialmente quando se usam excelentes ferramentas de colaboração, como O365, Slack, Zoom, etc.

Segurança física: ao entrar no escritório, a empresa oferece um ambiente “seguro”: controla o acesso ao edifício, o clima, os espaços, etc. Trabalhar em casa permite-me controlar o meu próprio ambiente e mantém-me motivado e eficaz quando trabalho, também me protege numa crise em que não é aconselhável estar junto com outras pessoas no mesmo local.
Segurança técnica: a empresa também fornece ferramentas e serviços necessários para a execução do nosso trabalho. Garante (espero) o acesso às suas informações e serviços, como e-mail, compartilhamento de arquivos, aplicativos, Internet, etc.

Os métodos se concentram em oferecer o mais alto grau de segurança possível, controlando acessos, conexões e fornecendo visibilidade sobre o que acontece ao interagir com os aplicativos corporativos. Está se tornando essencial para as empresas serem capazes de proteger seus serviços, aplicativos e os dados que neles residem das ameaças atuais, que também aproveitaram as circunstâncias e aumentaram em número. No entanto, em um mundo em constante evolução, as ferramentas e recursos disponíveis para garantir a segurança dentro e fora do local de trabalho também estão melhorando e se adaptando às novas condições de ambientes descentralizados e distribuídos.

Para onde vamos: teletrabalho, confiança zero e SASE

As empresas devem aplicar dois modelos principais para proteger o trabalho remoto: Secure Access Service Edge (SASE) e Zero Trust. Ambos os modelos são baseados em conectividade direta. Eles oferecem rotas rápidas e seguras para acessar qualquer aplicativo.

No modelo anterior (agora com mais de 30 anos), um perímetro seguro protegia o data center, os aplicativos e os dados de ameaças externas. Com os aplicativos na nuvem, a Internet das Coisas (IoT) se tornando mais comum e os usuários se conectando de muitos lugares, esse modelo não é mais sustentável e não é tão seguro. Como um perímetro é imposto em torno dos dados fora da rede corporativa?

O Secure Access Service Edge (SASE) aborda especificamente a realidade de segurança enfrentada pelas organizações que optam pela nuvem. O SASE protege o tráfego entre o usuário e o aplicativo. O mais importante é a jornada e não o objetivo. Com o modelo SASE, as empresas digitais podem fornecer segurança em todos os momentos, independentemente da localização do usuário, sem pilhas complexas e caras de hardware de dispositivo de segurança que exigem manutenção e atualização constantes.

A confiança zero fornece um modelo de acesso único e fácil para os usuários, independentemente de onde eles estejam e o que estejam tentando acessar. Crítico, pois as empresas transferem rapidamente os funcionários para ambientes de trabalho remotos. Usar o princípio da confiança zero permite que as empresas isolem e segmentem quem tem acesso a quê. Não há mais espaços compartilhados, cada acesso deve ser validado antes de ser habilitado. As conexões são efêmeras: o usuário e o aplicativo se conectam apenas para uma comunicação específica e nada mais.

DIARIO já detecta macros “stomped”, mas o que são exatamente?O lado sombrio do WebAssembly

DIARIO já detecta macros “stomped”, mas o que são exatamente?

Área de Inovação e Laboratório ElevenPaths 8 octubre, 2020

Algumas semanas atrás, apresentamos o DIARIO, o detector de malware que respeita a privacidade dos usuários, e continuamos a aprimorá-lo para que ele detecte mais e melhor. Recentemente, adicionamos a capacidade de detectar malware em documentos de escritório cujas macros usam a técnica conhecida como VBA stomping. Do que trata essa técnica e por que ela é tão importante?

Já sabemos que o e-mail com anexos é uma das rotas de entrada mais populares para malware , especificamente anexos do tipo office. Isso é possível, em grande medida, graças à capacidade de programar código nas macros de documentos de escritório. As razões pelas quais esta técnica continua a funcionar duas décadas depois de começar a ser usada são diversas:

As macros são fáceis de ocultar.
As macros são legítimas. Mesmo desativado por padrão, é fácil para o usuário ativá-los.
O sandbox é mais complexo para emulá-los.
Eles são enviados por e-mail, portanto, geralmente são analisados apenas estaticamente.
O usuário não acha que um documento ou planilha pode ser perigoso.
Continua a ser uma via muito lucrativa para os ciber ataques.

E mesmo que tanto tempo tenha se passado, ainda há inovação nessa técnica. A técnica de stomped é um teste. Vamos primeiro ver do que é feita uma macro «recente». Encontraremos um arquivo binário, com extensão .bin dentro do arquivo .zip que hoje são os documentos. Pelo menos nas versões mais recentes do Office.

A primeira coisa a ter em mente é que naquele arquivo .bin não existem «macros» como tais, mas todo um sistema pronto para ser compilado e executado pelo próprio Office . Sim, pode ser comparado a qualquer projeto feito com Visual Studio, onde temos o código-fonte, as definições, o código compilado… O sistema Office atual, como Word ou Excel, possui um motor de compilação e execução para esse código.

Na verdade, dentro desse arquivo .bin, encontramos (se o analisarmos com as ferramentas apropriadas):

PROJETO: fluxo (arquivo): é como o arquivo de configuração.
VBA_PROJECT: fluxo com as instruções para o motor VBA. Não documentado.
Dir: comprimido e tem o layout do projeto.
Fluxos de módulo do tipo VBA / ThisDocument / NewMacros /… / __ SPR_1 / Module1, que contém o código a ser executado. Cada módulo do código é composto de PerformanceCache e CompressedSourceCode, que é o código-fonte da macro compactada.

Para que serve tudo isso?

Isso atende à obsessiva compatibilidade com versões anteriores da Microsoft. Vamos imaginar que criamos um documento com macros em uma versão recente do Office, por exemplo Word 2016. Criamos a macro e ela é compilada no sistema, mas o código-fonte também é armazenado com ela. Quem recebe o documento pode ter um Office 2016, caso em que para ir mais rápido, a macro compilada será executada diretamente. Mas e se você quiser abrir o documento com o Word 2003? Portanto, para compatibilidade, você precisará pegar o código-fonte VBA da macro, compilá-lo em seu mecanismo e executá-lo. E é por isso que encontramos o código-fonte das macros nos documentos «claros».

Isso tem sido uma vantagem histórica para quem analisa esse tipo de malware : eles podem acessar o código facilmente, analisá-lo com mais facilidade etc. Os antivírus até contam com esse código-fonte para classificar as amostras. Mas ocorreu a alguém que o documento ainda poderia infectar se o código compilado fosse mantido, mas o código-fonte fosse excluído. E assim foi. Essa técnica de apagamento de código-fonte é usada pelo VBA e permite que o malware passe despercebido, com pouco impacto em sua infectividade. Apenas os usuários com versões sem suporte ou muito antigas do mecanismo VBA (afinal, versões do Office) se livrariam da infecção.

Já existe a ferramenta Evil Clippy, capaz de facilitar o stomping do VBA e automatizar todos os processos necessários.

Como você pode ver, o DIARIO já detecta este tipo de documento e mostra o código mesmo que esta técnica tenha sido usada:

Nova versão do TheTHE com plug-ins URLScan e MalwareBazaarO fim do escritório como o conhecemos chegou?

Nova versão do TheTHE com plug-ins URLScan e MalwareBazaar

Área de Inovação e Laboratório ElevenPaths 7 octubre, 2020

Um COI chega às suas mãos pela primeira vez. Vamos colocar um hash , URL, IP ou domínio suspeito. Você precisa saber algumas informações básicas. É malware ? Está em um repositório? Desde aquela data? País de origem? Está no pastebin ? Agora, com a nova versão, ficou ainda mais fácil.

Você começa a abrir abas, inserir senhas nos diversos serviços e as consultas começam. Esperançosamente, você tem uma API compartilhada com um colega de trabalho e após consultar vários sistemas, você abre um TXT para limpar as informações para a plataforma de inteligência. Seu colega de trabalho, com quem você compartilha essas APIs e senhas, mas que está em outra parte do mundo no seu computador, faz o mesmo porque o mesmo IOC também chegou. Isso acabou com TheTHE.

O que há de novo?

Trabalhamos para melhorar substancialmente a ferramenta. Algumas dessas melhorias interessantes são:

Adicionamos um mecanismo de pesquisa global para IOCs: agora é possível pesquisar qualquer IOC que esteja no TheTHE a partir de um mecanismo de pesquisa que será expandido com novos recursos.

Melhoramos a interface de seleção de projetos: agora inclui informações adicionais e a lista pode ser classificada de várias maneiras.

Criamos um novo gerenciador de tags que inclui a criação de tags com ícones. Além disso, agora é possível excluir uma tag criada e propagar as alterações por todo o sistema.
Agora, o instalador (install.sh) solicitará as variáveis de sistema que você deseja definir se não detectar a presença de um arquivo .env com as variáveis necessárias para iniciar o ambiente.
Criamos um scanner IOC que detecta e extrai IOCs dos resultados do plug – in . Além disso, agora é possível excluir da lista de detectados os IOCs nos quais não estamos interessados.

Os seguintes plug-ins são adicionados com suas respectivas visualizações na interface: URLScan e MalwareBazaar.

O ambiente de caça às ameaças

Apresentamos esta ferramenta na Black Hat 2019 em Londres , onde foi muito bem recebida pelo seu público-alvo: pesquisadores, SOCs, equipes de Threat Hunting , empresas de segurança, CERTs, etc. OTHE é um ambiente livre e aberto projetado para ajudar analistas e caçadores durante os estágios iniciais de seu trabalho para torná-lo mais fácil, rápido e unificado. Um dos maiores problemas ao caçar ou pesquisar IOCs (Indicadores de Compromisso) é lidar com a coleta inicial de uma quantidade tão grande de informações de tantas fontes, públicas e privadas.

Todas essas informações geralmente são dispersas e às vezes até voláteis. Talvez em algum momento não haja informações sobre um determinado COI, mas essa situação pode mudar em questão de horas e tornar-se crucial para uma investigação. Com base em nossa experiência em Threat Hunting , criamos esta estrutura de código aberto e gratuita para simplificar os primeiros estágios da investigação:

Os IOCs são seus: eles não saem de sua plataforma nem são compartilhados.
Grátis e grátis: encaixado e totalmente seu.
Arquitetura cliente-servidor: a pesquisa pode ser compartilhada com sua equipe.
Os resultados são armazenados em cache para que as solicitações às APIs não sejam desperdiçadas.
Alimente melhor sua plataforma de inteligência de ameaças: OTHE torna as investigações preliminares mais rápidas e fáceis.
Plugins fáceis – Tudo o que você precisa pode ser facilmente incorporado na interface.
Ideal para SOCs, CERTS e qualquer equipe.
As chaves API são armazenadas em um banco de dados e podem ser compartilhadas por uma equipe a partir de um único ponto.
Automação de tarefas e pesquisas.
Processamento rápido de APIs de várias ferramentas.
Unificação de informações em uma única interface: para que capturas de tela, planilhas, arquivos de texto, etc. não estão espalhados.
Monitoramento periódico de um IOC caso apareçam novas informações ou movimentos relacionados a ele (disponível em versões futuras).

OTHE possui uma interface onde o analista entra nos IOCs que serão enviados ao back – end. O sistema buscará automaticamente esses recursos (por meio de plugins) em várias plataformas já configuradas para obter informações uniformes de diferentes fontes e acesso a relatórios relacionados ou dados existentes.

Cibersegurança para a digitalização Industrial: chaves para uma abordagem com êxitoDIARIO já detecta macros “stomped”, mas o que são exatamente?

Cibersegurança para a digitalização Industrial: chaves para uma abordagem com êxito

ElevenPaths 24 septiembre, 2020

As tecnologias digitais, e em particular o que foi acordado para chamar IoT (Internet das Coisas), trazem consigo um mundo de possibilidades que
as organizações de qualquer setor não podem deixar de aproveitar para
aumentar sua flexibilidade e capacidade de se adaptar aos gostos e hábitos de seus clientes, melhorar os serviços que prestam através do monitoramento contínuo ou serem mais eficientes.

Todas essas tecnologias têm em comum a necessidade de maior conectividade no ambiente das organizações, tanto com o exterior, ou seja, com seus clientes e fornecedores, quanto internamente, alcançando maior coordenação e integração entre diferentes organizações e departamentos.

Esse aumento da interconexão entre áreas recentemente isoladas (por exemplo, sistemas de informação e sistemas operacionais) bem como entre organizações que até agora utilizavam processos de interoperação menos digitais e automatizados significa que, paralelamente ao processo de transformação digital, há um aumento em sua superfície de ataque e, consequentemente, os riscos de cibersegurança aos quais está exposto.

Ao contrário das ondas de transformação digital anteriores (explosão de
sistemas de TI, dispositivos pessoais, nuvem), desta vez, estão ocorrendo
mudanças no núcleo das organizações industriais, em seus sistemas
operacionais, que são responsáveis pelo monitoramento e controle dos
processos produtivos, que tradicionalmente eram mais isolados.

A Telefónica vem acompanhando seus clientes nesse processo de
transformação digital a partir das próprias origens, oferecendo-lhes soluções e serviços especializados para enfrentar os riscos da cibersegurança e, da mesma forma, continuamos a adaptar e melhorar nossa oferta de ficar à frente da curva.

Este documento começa explicando as forças que empurram o setor para
a transformação digital e riscos associados à cibersegurança e, em seguida,
apresenta a metodologia da ElevenPaths para ajudar nossos clientes a enfrentar esse desafio, destacando os aspectos diferenciais da proposta. Finalmente, dois cenários do tipo são apresentados que exemplificam dois tipos diferentes de projetos de cibersegurança: organizações com fábricas tradicionais que têm que se adaptar ao novo ambiente e organizações que estão construindo novas fábricas onde a conectividade celular é um elemento-chave.

Click to access elevenpaths-ciberseguranca-digitalizacao-industrial-pt.pdf

Indicadores de Compromisso, chave para detectar e resolver incidentes de forma ágilNova versão do TheTHE com plug-ins URLScan e MalwareBazaar

Indicadores de Compromisso, chave para detectar e resolver incidentes de forma ágil

Equipe Cytomic, unidade da Panda Security 23 septiembre, 2020

A resposta rápida e ágil a incidentes é um aspecto básico de uma boa estratégia de segurança cibernética. Aos poucos, mais e mais empresas vão tomando consciência disso, e isso se demonstra na evolução favorável que o tempo de remediação está tendo.

Essa afirmação é corroborada pelo último estudo publicado pela SANS sobre incident response, que mostra que, pelo segundo ano consecutivo, houve uma melhoria na forma como as equipes respondem aos incidentes. 67% dos entrevistados indicam que passaram da detecção à contenção em menos de 24 horas, um aumento de 6% em relação ao ano anterior. Além disso, 89% dos esforços de remediação ocorrem no primeiro mês, período que, dependendo da natureza do incidente, pode ser considerado razoável. No entanto, como resultado desses números, ainda há espaço para melhorias.

Para proteger e manter uma infraestrutura de TI (Inteligência de Ameaças), a estratégia de defesa cibernética deve ser capaz de detectar todas as atividades anômalas o mais rápido possível, identificá-las e reagir rapidamente ao incidente. Além disso, também é essencial realizar análises avançadas de todos os eventos de segurança para reunir padrões e informações potencialmente maliciosas no que é chamado de Indicador de Compromisso (IOC), que ajuda contextualizando a descrição do incidente para que as empresas desvendar a natureza do dano que você sofreu e reagir a ele.

Pesquise IOCs, uma obrigação

Considerando a velocidade com que o crime cibernético progride, a rapidez com que um incidente é detectado e mitigado é crucial para a sobrevivência de qualquer empresa. Para agilizar a identificação do dispositivo e a resposta a ameaças, não é possível ter um provedor de serviços com suporte de pesquisa em tempo real e retrospectiva para IOCs, bem como regras avançadas de hunting (Yara) no endpoint, não é uma opção a escolher, mas uma necessidade.

Mas, a que se deve essa importância? No caso de um incidente em uma organização, a capacidade de pesquisar indicadores de comprometimento em tempo real em todo o conjunto de endpoints da empresa permite a identificação mais rápida dos dispositivos que estão sendo atacados e tomar as medidas de remediação pertinentes para conter a violação o mais rápido possível e reduza o tempo de exposição.

Em suma, com a busca pelos IOCs, a equipe de TI e o CISO têm maior visibilidade do ambiente e do que está acontecendo, podendo antecipar o problema e detê-lo antes que as consequências se agravem.

Fortalecimento da estratégia com um plano de Incident Response

O pessoal de segurança cibernética não deve apenas usar esses indicadores de comprometimento em seu benefício, mas também reforçar sua estratégia com um plano de Incident Response e soluções de ponta que lhes permitam manter uma abordagem proativa e responder às ameaças de forma eficaz.

Para atender – e superar – os padrões de eficácia na resposta a incidentes de segurança cibernética, há cinco etapas a serem consideradas: preparar um plano de resposta robusto com antecedência que ajude a prevenir violações; assim que a ameaça for detectada, determine a causa do incidente para tentar contê-la; avaliar todos os esforços realizados e necessários para dar a melhor resposta (triagem e análise); conter o dano, erradicá-lo e recuperá -lo; e aplique as mudanças apropriadas à estratégia de segurança cibernética para evitar que aconteça novamente.

Visibilidade e inteligência ao serviço da resposta a incidentes

Neste contexto em que se vêem as vantagens da procura de IOCs e de um plano de resposta e remediação firme e atualizado para mitigar os danos, é muito importante dispor da tecnologia de ponta disponível. Por exemplo, existem soluções no mercado que são capazes de acelerar a resposta a incidentes e a busca por ameaças malwareless com base em análises comportamentais em escala da nuvem.

Nesse sentido, tecnologias como as bibliotecas de Threat Hunting ou Jupyter Notebooks são recursos que devem estar presentes para dar visibilidade e inteligência à busca efetiva de ameaças, investigação acelerada e ação imediata no endpoint. As investigações pré-construídas, os Jupyter Notebooks, também favorecem uma curva de aprendizado curta para analistas e hunters por serem autoexplicativas, extensíveis e repetíveis.

Uma detecção precoce é definitivamente a primeira etapa para conter e erradicar uma rede de invasores, mas isso é inútil sem uma ação imediata nos endpoints , como o mecanismo de resposta, e é aí que entram em jogo as ferramentas dos postos avançados que são capaz de amplificar as capacidades do SOC para distinguir entre a atividade esperada e ações anômalas que podem indicar a presença de uma ameaça.

Adversarial Attacks, o inimigo da inteligência artificial (II)Cibersegurança para a digitalização Industrial: chaves para uma abordagem com êxito

Adversarial Attacks, o inimigo da inteligência artificial (II)

Franco Piergallini Guida 21 septiembre, 2020

Em Machine e Deep Learning, como em qualquer sistema, existem vulnerabilidades e técnicas que permitem manipular seu comportamento à mercê de um invasor. Conforme discutimos na primeira parte deste artigo sobre Adversarial Attacks, uma dessas técnicas são os exemplos de adversários : entradas geradas cuidadosamente por um invasor para alterar o comportamento de resposta de um modelo. Vejamos alguns exemplos:

O mais simples pode ser encontrado nos primeiros dias da detecção de spam, classificadores padrão como Naive Bayes foram muito bem-sucedidos contra e-mails que continham textos como: Ganhe dinheiro rápido!, Refinancie sua hipoteca, Viagra… Como eles foram detectados automaticamente e classificados como spam , os spammers aprenderam a enganar os classificadores inserindo pontuação, caracteres especiais ou código HTML como comentários ou mesmo tags falsas. Assim, eles começaram a usar “fantasias” como: v.ia.g.ra, ¡H4G4 D|nero r4p1do!, Inçrèmēntä la tęštõśtĘröná 250%…

E foram além, resolvido esse problema para os classificadores, os atacantes inventaram um novo truque : para contornar os classificadores que se baseavam na análise do texto, eles simplesmente embutiam a mensagem em uma imagem.

Várias contra-medidas foram desenvolvidas rapidamente com base em hashes de imagem conhecidos como spam usando OCRs para extrair texto de imagens. Para contornar essas defesas, os atacantes começaram a aplicar filtros e transformações às imagens com ruído aleatório, dificultando o reconhecimento de personagens nas imagens.

Como na criptografia, nos encontramos em um jogo sem fim em que técnicas de defesa e técnicas de ataque são continuamente encontradas. Vamos parar neste ponto.

Classificação de imagens e Adversarial Attacks

Na classificação de imagens, os atacantes aprenderam a gerar de forma meticulosa e estratégica «ruído branco», usando algoritmos para maximizar o impacto nas redes neurais e passar despercebidos ao olho humano. Ou seja, conseguem um estímulo nas camadas internas da rede que alteram completamente sua resposta e impedem que sejam processados de forma inteligente.

Um dos motivos para esses tipos de ataques às imagens é devido às suas dimensões e às infinitas combinações possíveis que uma rede neural pode ter como input . Embora possamos aplicar técnicas como data augmentation para aumentar o tamanho e a variedade de nossos conjuntos de dados de treinamento, é impossível capturar a grande complexidade combinatória que o espaço real de possíveis imagens implica.

Figura 3: https://arxiv.org/abs/1412.6572

Mas como esse ruído branco é gerado? Primeiro, vamos formular os exemplos adversários matematicamente, de uma perspectiva de otimização. Nosso objetivo fundamental na aprendizagem supervisionada é fornecer um mapeamento preciso de uma entradapara uma saída otimizando alguns parâmetros do modelo. Isso pode ser formulado como o seguinte problema de otimização:

〖min 〗_θ loss(θ,X_i 〖,Y〗_i )

O que normalmente é conhecido como treinamento de rede neural. Algoritmos como stochastic gradient descent, entre outros, são usados para realizar essa otimização.

Uma abordagem muito semelhante pode ser usada para fazer com que um modelo classifique incorretamente um input específico. Para gerar um exemplo de adversário, usamos os parâmetrosem que a rede convergiu após o processo de treinamento e otimizamos no espaço possível de entrada . Isso significa que vamos procurar um distúrbioque pode ser adicionado à entrada e maximizar a função de perda do modelo:

〖max 〗_(δ∈∆) loss(θ,X_i+ δ〖,Y〗_i )

Exemplo de brinquedo «Toy example»

Vamos pensar por um momento sobre um exemplo simples onde temos um neurônio de regressão linear, com um input 6-dimensional:

Que, passando pelo processo de treinamento, convergiram com os seguintes pesos: W=(0,-1,-2,0,3,1),b=0. Se dermos o input:

O neurônio irá produzir:

Então, como mudamos x→x* para que y_x^* mude radicalmente, mas o quê x*≅x? Se tomarmos a derivada de ∂y/∂x=W^T, isso nos dirá como pequenas mudanças nox impacto sobre y. Para gerar x^*, adicionamos uma pequena perturbação εW^T,ε=0.5 ao input x da seguinte forma:





E se fazemos forward propagation para nosso novo input x^*, se tivermos sorte, notaremos uma diferença com relação à saída que o modelo nos fornece x.







Na verdade, para a input x^* obtemos 6.5 como output,quando para x nós -1. Esta técnica (com algumas pequenas diferenças em relação ao toy example que acabamos de ver) é chamada de fast gradient sign method e foi introduzida por Ian Goodfellow no artigo intitulado Explaining and Harnessing Adversarial Examples em 2015.



Adversarial Attacks do futuro: carros autônomos



Os adversarial examples são uma característica inata de todos os problemas de otimização, incluindo o deep learning. Mas se voltarmos cerca de 10 anos, o deep learning nem mesmo fez um bom trabalho com dados normais e não perturbados. O fato de agora estarmos procurando e investigando maneiras de "hackear" ou "quebrar" redes neurais implica que elas se tornaram incrivelmente avançadas.



Mas esses ataques podem ter um impacto no mundo real, como o sistema de piloto automático de um carro? Elon Musk deu sua opinião sobre o podcast de Lex Fridman garantindo que esses tipos de ataques podem ser facilmente controlados. Em um ambiente black-box, onde os invasores não têm acesso aos detalhes internos da rede neural, como arquitetura ou parâmetros, a probabilidade de sucesso é relativamente baixa, aproximadamente 4% em média. No entanto, pesquisadores da Keen Labs já conseguiu gerar adversarial examples por alterar o sistema de piloto automático dos carros de Tesla. Por outro lado, em ambientes de white-box, os adversarial examples podem ser gerados com uma taxa média de sucesso de 98% (Uma Análise de Ataques e Defesas Adversários em Modelos de Direção Autônoma). Isso implica uma alta suscetibilidade em self-driving open-source, como comma.ai , onde a arquitetura e os parâmetros dos modelos são totalmente expostos. Waymo, um desenvolvedor de veículos autônomos pertencentes ao conglomerado Alphabet Inc expõe uma série de dados de sensores imagens de alta resolução coletadas por seus carros em uma ampla variedade de condições, a fim de ajudar a comunidade de pesquisa a desenvolver essa tecnologia. Esses dados poderiam ser usados para treinar uma ampla variedade de modelos e gerar adversarial attacks que em alguns casos poderiam afetar as redes utilizadas pela Waymo devido à transferibilidade, uma propriedade das redes neurais em que indica que dois modelos vão com base nas mesmas características para atingir o mesmo objetivo.



Devemos mencionar que existe uma grande lacuna entre trapacear um modelo e trapacear um sistema que contém um modelo. Muitas vezes, as redes neurais são mais um componente de um ecossistema no qual diferentes tipos de análise interagem na tomada de decisões. Continuando com o caso dos carros autônomos, a decisão de reduzir a velocidade devido à detecção de um possível objeto próximo, detectado na análise da câmera frontal, não poderia coincidir com os dados obtidos de outro componente como um LIDAR no caso de um adversarial attack. Mas em outros tipos de tomada de decisão, como analisar sinais de trânsito, apenas a análise de vídeo poderia intervir e ter um efeito realmente perigoso ao converter um sinal de trânsito.pare em um dos, por exemplo, o limite de 50 quilômetros por hora.



Figura 4: Sinal de parada



Sem dúvida, essa técnica representa uma ameaça latente para o mundo do deep learning. Mas isso não é tudo, porque existem outros tipos de ataques para cada um dos estágios do pipeline de machine learning em que um invasor pode tirar vantagem, como:



Etapa de treinamento: envenenamento do conjunto de dados.
Parâmetros aprendidos: ataques de manipulação de parâmetros.
Estágio de inferência: adversarial attacks.
Teste de outputs: roubo de modelo.







Você quer saber mais sobre Adversarial Attacks? Primeira parte deste artigo disponível aqui:




Adversarial Attacks, o inimigo da inteligência artificial



			
						
				Blockchain, criptomoedas, zkSTARKs e o futuro da privacidade em um mundo descentralizadoIndicadores de Compromisso, chave para detectar e resolver incidentes de forma ágil



	
		
		
		
	Segurança da informaçãoCibersegurança para todosHackers SoloHackingPrevenção de segurança da informaçãoSoftware de segurança da informaçãoVulnerabilidades
 Deja un comentario en Adversarial Attacks, o inimigo da inteligência artificial (II)					
				
				  
				  
				    Franco Piergallini Guida
				    Security Researcher. Área de Inovação & Laboratório na ElevenPaths.




	
		Blockchain, criptomoedas, zkSTARKs e o futuro da privacidade em um mundo descentralizado
Gonzalo Álvarez Marañón    17 septiembre, 2020 		 
	


	
		
					

		
	
		
			
				
	

					
									

			
		
Na Itália renascentista, duelos entre matemáticos eram comuns , mas não cruzando aços, mas problemas de difícil resolução. Um dos ossos mais difíceis de quebrar na época eram as equações cúbicas . Saber o método para sua resolução conferia uma enorme vantagem nesses duelos, nos quais os dois duelistas matemáticos apostavam não apenas seu prestígio, mas também recompensas suculentas e às vezes até a cadeira .



Um dos confrontos mais famosos foi realizado pelos matemáticos Niccolo Fontana, apelidado de Tartaglia por sua gagueira, e Girolamo Cardano. Em 1535, em um duelo contra outro matemático, Antonio Maria del Fiore, Tartaglia esmagou seu rival após resolver 30 questões relacionadas às equações cúbicas, enquanto del Fiore não resolveu um único de seus 30 problemas. Estava provado, sem qualquer dúvida razoável, que Tartaglia conhecia um método para resolver cúbicas, sem que ele o tivesse revelado. Impressionado com sua vitória, Cardano ofereceu a Tartaglia para encontrá-lo patrono se ele revelasse o cobiçado método de resolver equações cúbicas. Tartaglia acedeu em 1539, prometendo nunca mais publicá-lo. Seis anos depois, Cardano publicou em sua obra Ars Magna, alegando que ele havia aprendido com outro matemático, Scipione del Ferro, e desencadeando a ira de Tartaglia. Ele desafiou Cardano para um duelo matemático, com a presença de seu discípulo, Lodovico Ferrari, que derrotou Tartaglia. Como resultado, Tartaglia acabou sem prestígio e sem dinheiro.



No mundo da segurança da informação, muitos cenários semelhantes surgem em que uma entidade conhece um segredo e precisa provar a outra entidade que o conhece, mas não é conveniente para ela revelar o segredo ou qualquer informação parcial sobre o segredo:



Quem ganha mais dinheiro, seu cunhado ou você? Como você pode provar isso para a satisfação de toda a família, mas sem nenhum de vocês revelar a figura?
Como demonstrar a legitimidade de uma transação em uma Blockchain pública, mas sem revelar nem o emissor, nem o receptor, nem o valor transferido?
Como você pode provar para um aplicativo instalado em seu smartphone que sabe a senha para se autenticar em um site, mas sem fornecer a senha para aquele aplicativo, ou para seu smartphone, ou mesmo para o site?
Como você pode provar que é maior de idade para acessar um serviço para adultos, mas sem revelar sua idade?
Como pode provar que é cidadão da União Europeia para ter acesso a um serviço de saúde comunitário, mas sem saber de que nacionalidade?
Como você pode convencer um aplicativo de pagamento de que tem fundos suficientes em sua conta para uma transação, mas sem revelar seu saldo?
Como um estado pode convencer outros de que destruiu seu arsenal militar nuclear sem permitir que inspetores neutros entrem em suas instalações?
Como votar eletronicamente para que seu voto seja contado, mas sem saber em quem votou?
Como provar que um teorema está correto sem fornecer sua prova matemática?
Como mostrar que sabe a solução para o quebra-cabeça de Sudoku mais complicado do mundo, sem revelá-lo?



Felizmente, a criptografia fornece uma resposta para esses e muitos outros dilemas semelhantes: as provas de conhecimento nulo ( Zero Knowledge Proof , ZKP). Vamos ver com dois exemplos mundanos como esses testes funcionam.



Provas de conhecimento nulo interativas e não interativas



Seu cunhado afirma ser capaz de distinguir a olho nu a água benta de Lourdes da água da torneira, mas a verdade é que você não confia muito em seus poderes místicos. Imagine que você tem dois copos cheios de água, um de Lourdes e outro da torneira. Como seu cunhado pode provar a você que ele sabe qual é qual sem mesmo revelar qual é qual? Muito fácil! Apenas siga os passos abaixo:



Você o vende e joga uma moeda. Se der cara, você troca a posição dos óculos; se as caudas saírem, você as deixa como estão.
Você retira a venda e pergunta se os óculos foram trocados ou se ainda estão no mesmo lugar.



Obviamente, desafiar seu cunhado apenas uma vez não é suficiente, pois ele pode ser atingido por acaso em 50% das vezes. Por outro lado, se você realmente tiver clarividência, estará correto 100% das vezes. Portanto, se você repetir as duas etapas dos ntempos de teste , a probabilidade de seu cunhado sempre acertar por puro acaso é reduzida a . Por exemplo, se for réveillon e não passar nada na TV, pode-se repetir o teste 100 vezes, com o que, ou seja, praticamente nulo.p = (1/2)ⁿp = 7,38×10^‒31



Este protocolo para identificação de embarcações é um exemplo de sistema de prova interativa: um testador (seu cunhado) e um verificador (você) trocam várias mensagens (desafios e respostas), normalmente dependentes de números aleatórios (de preferência, os resultados do lançamento de moedas incontáveis), até que o testador convença (comprove o verificador) a verdade de uma afirmação, com probabilidade esmagadora.



Um problema (ou vantagem, dependendo de como você olha para isso) com esses testes interativos é que apenas o verificador é convencido pelo teste. Sua irmã pode pensar que você e seu cunhado entraram em conflito para animar o jantar de Réveillon e você combinou com antecedência a troca de taças. A única maneira de o testador testar outra pessoa que conhece o segredo é essa outra pessoa agir como verificador, propondo trocas de copos aleatórias. E o mesmo acontece com cada uma das pessoas que seu cunhado quer convencer de que conhece o segredo. Que exaustivo! Como convencer a todos de uma só vez?



Existem outros protocolos mais eficientes que permitem que você teste seu conhecimento do segredo em uma única etapa e para a satisfação de um número arbitrário de observadores. Eles são conhecidos como provas de conhecimento nulo não interativas.



Por exemplo, imagine que um prêmio milionário seja oferecido para resolver um quebra-cabeça de sudoku e você o resolveu! Mas seu cunhado, que busca a glória mais do que dinheiro, está disposto a pagar o dobro por sua solução. Como você pode provar a ele e a todos os seus parentes de uma vez que conhece a solução, mas sem que eles vejam antes de pagar por ela? Tem alguns baralhos de cartas em mãos? Então será fácil!



Em um jogo de sudoku, existem nove linhas, nove colunas e nove caixas. Em cada um desses grupos devem aparecer os nove valores de 1 a 9. No total, cada número aparece 9 vezes. Se você tiver sete baralhos idênticos, poderá selecionar 27 cartas para cada número, independentemente do naipe: 27 ases, 27 duques, …, 27 noves, um total de 243 cartas.



Você desenha com um marcador indelével na toalha de mesa do enxoval da avó o jogo do sudoku do concurso, de forma que em cada número dado (são as pistas ou números conhecidos) você coloca três cartas viradas para cima com o valor correspondente.
Você pede a todos que saiam da sala e secretamente coloque três cartas com o valor apropriado voltado para baixo em cada quadrado a ser resolvido. Assim que todas as pilhas de três cartas forem colocadas, você pede a todas elas para entrarem novamente e a mágica começa!
Primeiro, você remove uma carta de cada linha e faz nove pilhas com as nove cartas de cada linha.
Você então remove uma carta de cada coluna e faz nove pilhas com as nove cartas de cada coluna.
Finalmente, você faz nove pilhas com as nove cartas em cada caixa.
Você embaralha bem cada uma das 27 pilhas separadamente e espalha as cartas de cada pilha com a face para cima na mesa. Se você conhecesse a solução para o Sudoku, cada uma das 27 pilhas conterá nove cartas de 1 a 9!



Encantado de alegria, seu cunhado faz de você um bizum e sua avó esquece o desprazer da toalha de mesa.



Este exemplo demonstra como uma prova de conhecimento nulo não interativa funciona na prática. Eles são cruciais ao procurar um grande número de verificadores para verificar um teste com eficiência.



Tudo isso é bom para entreter a família na véspera de ano novo, mas para que eles servem no mundo real?



A ideia do ZKP foi proposta há mais de 30 anos pelos criptógrafos do MIT Goldwasser, Micali e Rackoff. Foi considerado tão revolucionário que mereceu o primeiro Prêmio Gödel em 1993 e o Prêmio Turing em 2012. No entanto, não viu nenhuma aplicação prática na indústria … até hoje! O ZKP foi durante décadas um poderoso martelo em busca de pregos e finalmente os pregos estão surgindo com a progressiva descentralização dos serviços graças aos blocos de blocos.



Blockchain e provas de conhecimento nulo no mundo real



Não, Bitcoin, Litecoin, Ethereum e até Monero não são anônimos como dinheiro vivo, mas pseudo anônimos , ou seja, as transações deixam um rastro no blockchain público. No entanto, nem todas as criptomoedas são pseudo-anônimas : o uso mais proeminente de ZKPs até agora é o ZCash , uma das criptomoedas mais populares, que permite transações anônimas. Especificamente, ZCash usa testes de conhecimento não interativos zero Concise ( Zero-Knowledge Succinct Argumento não interativo do Conhecimento, zkSNARK), que permite que você teste o conhecimento de um segredo em milissegundos usando uma única mensagem enviada pelo testador ao verificador. Graças ao zkSNARK, no ZCash a única informação registrada após um pagamento é que uma transação válida foi feita : não há informações sobre o remetente, o destinatário ou o valor.



Ethereum também começou a integrar zkSNARKs, especificamente na forma de contratos pré-compilados. Um contrato inteligente é basicamente um depósito de fundos que é ativado assim que uma determinada tarefa é executada. Por exemplo, seu cunhado coloca 100 ETH em um contrato inteligente com você, de modo que, quando você concluir a tarefa acordada, receberá 100 ETH do contrato inteligente. E se o dever de casa que você precisa fazer for confidencial e você não quiser revelar seus detalhes ao seu cunhado? Graças a zkSNARK, Ethereum prova que a tarefa do contrato inteligente foi concluída sem revelar quais são seus detalhes.



Em princípio, os zkSNARKs podem ser aplicados a qualquer tipo de blockchain, em uma camada de segurança de conhecimento zero ( ZSL), útil em muitos casos de uso em qualquer empresa. Um dos mais interessantes é a identidade descentralizada.



Blockchain, identidade descentralizada e provas de conhecimento zero



Nossos dados pessoais se tornaram a mercadoria que os gigantes da tecnologia comercializam para manipular nosso comportamento por meio de publicidade e mídia social. O zkSNARK e o Blockchain podem funcionar muito bem juntos , proporcionando privacidade, segurança e transparência na troca e verificação de informações, em áreas como saúde, comunicações e finanças.



O truque está nas soluções de identidade baseadas em blockchain. Tradicionalmente, uma miríade de servidores pertencentes a organizações públicas ou privadas armazenam e compartilham dados sobre você, como identidade, data de nascimento, saldo na conta bancária, senha (ou seu hash ), grau de deficiência, nacionalidade, contatos, número de telefone, etc.



Por outro lado, em uma solução descentralizada, credenciais verificáveis são armazenadas : elas permitem que você execute operações simples sobre elas, mas sem ver seu valor. Por exemplo: você é maior de idade? Você pode estacionar no estacionamento para deficientes? Você tem fundos para este pagamento? Você pode voar para este país? Você sabe a senha para fazer login? Etc. Desta forma, o serviço não obtém nenhum conhecimento sobre você , pois seus dados pessoais não são enviados em momento algum!



Conseqüentemente, não pode ser roubado, não pode ser compartilhado ilicitamente, não pode ser comercializado . Você é o proprietário e senhor de seus dados. O Corda da R3 é um bom exemplo do trabalho que está sendo feito nesta linha.



Garantindo o futuro dos ZKPs



Não pense que tudo que reluz é ouro. Os zkSNARK também têm seus pontos fracos , entre eles, os três maiores são:



Eles dependem de uma configuração inicial de confiança entre testador e verificador : um conjunto de parâmetros públicos é necessário para construir os testes de conhecimento nulo e, portanto, as transações privadas. Esses parâmetros são tão críticos que geralmente são gerados por um grupo muito pequeno no qual a confiança absoluta é colocada, criando um possível problema de centralização. Por exemplo, no Zcash, essa fase inicial de configuração é conhecida como Cerimônia de Geração de Parâmetros.
A escalabilidade dos zkSNARKs pode ser melhorada : conforme aumenta o tempo de execução, aumenta o tempo necessário para gerar e principalmente verificar os testes.
A criptografia subjacente é baseada em curvas elípticas , o que as torna vulneráveis à computação quântica .



A superação dessas fragilidades veio em 2018 das mãos do criptógrafo Eli Ben-Sasson, inventor de testes de conhecimento interacticas transparentes e escaláveis não zero ( Zero-Knowledge Arguments of Knowledge Scalable Transparent, zkSTARK). Esses testes são transparentes no sentido de não exigirem uma configuração de confiança inicial, pois são baseados em criptografia mais simples por meio de funções de hash resistentes a colisões. Essa abordagem também é computacionalmente menos cara e, portanto, mais escalonável. E também é resistente a ataques de futuros computadores quânticos por contar com a criptografia pós-quântica.Uma de suas desvantagens é que o tamanho do teste é maior, o que pode ser limitante dependendo de quais aplicativos. Sasson fundou uma empresa em torno do zkSTARK, STARKWARE, para melhorar a escalabilidade e a privacidade das tecnologias de blockchain.



Claro, blockchains não são o único escopo de provas de conhecimento nulo. Recentemente, foi estabelecido o ZKProof, uma iniciativa aberta que reúne a academia e a indústria para promover o uso seguro, eficiente e interoperável de tecnologias à prova de conhecimento nulo. Sua principal missão é padronizar protocolos para facilitar sua adoção pela indústria.



Os dados finalmente estão sob controle do usuário



As provas de conhecimento nulo têm um potencial imenso para devolver às pessoas o controle de seus dados, permitindo que outros verifiquem certos atributos desses dados sem revelar os próprios dados. Os ZKPs atuais e futuros, sem dúvida, terão um grande impacto nas finanças, saúde e outras indústrias, permitindo todos os tipos de transações enquanto protegem a privacidade dos dados.

			
						
				Adquirimos o iHackLabs para promover o treinamento de nossos hackers éticosAdversarial Attacks, o inimigo da inteligência artificial (II)
			

			
 


			
		
 
	


	
		
		
		
	Segurança da informaçãoCibersegurança para todosElevenPaths para empresasFerramentas de segurança da informaçãoHackers SoloSoftware de segurança da informação
 Deja un comentario en Blockchain, criptomoedas, zkSTARKs e o futuro da privacidade em um mundo descentralizado					
				
				  
				  
				    Gonzalo Álvarez Marañón
				    Escritor, cientista e conferencista. Embaixador da Área de Inovação e Laboratório na ElevenPaths.
				     
				  
				
			

			




	
		Adquirimos o iHackLabs para promover o treinamento de nossos hackers éticos
Alberto Cuesta Partida    16 septiembre, 2020 		 
	


	
		
					

		
	
		
			
				
	

					
									

			
		
Após a recente aquisição da Govertis, continuamos buscando startups com iniciativas interessantes que possam nos ajudar a continuar crescendo e nos estabelecendo como líderes em serviços de segurança cibernética. Com a criação da Telefónica Tech e com o objetivo de nos tornarmos uma empresa ainda mais independente que nos permita crescer em todas as formas possíveis, anunciamos hoje a compra da iHackLabs, empresa especializada na formação e formação de profissionais em cibersegurança.



Como responsável pelos serviços de detecção e resposta (MDR, Managed Detection & Response) e segurança ofensiva (OSS, Offensive Security Services), que inclui o Blue Team e o Red Team da Telefónica, cuja missão é responder a incidentes e realizar simulações de ataques reais aos nossos clientes, estou entusiasmado com esta nova aquisição. Com ele, nossa equipe de especialistas dará um passo à frente na segurança ofensiva, defensiva e de gestão de incidentes, aprimorando suas competências e crescendo como profissionais de segurança cibernética.. Em um ambiente em constante mudança, como as ameaças cibernéticas, é muito importante ter os melhores profissionais de segurança cibernética e vamos conseguir isso tendo a próxima geração de profissionais de segurança cibernética dentro da equipe ElevenPaths.



Além disso, o iHackLabs conta com diversas plataformas e laboratórios de treinamento em nuvem sob o modelo SaaS (Security as a Service), no qual recriam ambientes de ameaças reais adaptados às necessidades específicas das empresas e organizações. Eles têm plataformas com a capacidade de recriar um ciclo completo de ataques de ransomware e negação de serviços.



Uma relação com a história



Nosso relacionamento com o iHackLabs começou em 2018, quando assessoramos o Wayra, hub global de inovação aberta da Telefónica, a fazer um investimento no startup de Miguel Rego, CEO do iHackLabs. Acabamos de desembarcar na Espanha no início daquele ano, não deixamos de nos relacionar com eles em busca de colaborações e investimentos, e finalmente conseguimos. Os recursos das plataformas e soluções desenvolvidas por iHackLabs estão na vanguarda do treinamento de segurança cibernética. A combinação destas características com a nossa equipa de profissionais altamente qualificada irá garantir que temos os melhores talentos do sector à medida que a empresa cresce. Além disso, vamos ampliar a oferta de treinamento para nossos clientes, tanto no setor privado como no setor público.



Esperamos formar uma única equipe com esta aquisição para capacitar nossos profissionais e os de nossos clientes , oferecendo as soluções mais específicas às suas necessidades. Uma de nossas prioridades é o treinamento contínuo para antecipar e lidar com os tipos cada vez mais frequentes e diversos de ciberataques.

			
						
				Prevenir  um ataque cibernético se torna uma decisão vitalBlockchain, criptomoedas, zkSTARKs e o futuro da privacidade em um mundo descentralizado
			

			
 


			
		
 
	


	
		
		
		
	Segurança da informaçãoCibersegurança para todosElevenPaths para empresasEquipe ElevenPathsHackers SoloSoftware de segurança da informação
 Deja un comentario en Adquirimos o iHackLabs para promover o treinamento de nossos hackers éticos					
				
				  
				  
				    Alberto Cuesta Partida
				    Head of Managed Detection Response & Offensive Security Services na ElevenPaths.
				     
				  
				
			

			




	
		Prevenir  um ataque cibernético se torna uma decisão vital
Diego Samuel Espitia    14 septiembre, 2020 		 
	


	
		
					

		
	
		
			
				
	

					
									

			
		
Nos últimos anos, o número de incidentes em redes de infraestrutura crítica e sistemas industriais aumentou significativamente . Já ocorreram ataques com alto grau de complexidade e conhecimento sobre os elementos afetados e sobre como aproveitar a deficiência histórica em implementações de segurança que este tipo de rede possui. Isso gera um alto risco para a vida das pessoas que trabalham nessas indústrias ou que delas dependem, bem como nas infraestruturas críticas dos países.



Em artigos anteriores, falamos sobre como as redes industriais baseiam sua segurança em manter os sistemas industriais isolados. Isso é o que conhecemos como AirGap , mas é um isolamento cada vez mais improvável e ineficiente. A falsa confiança de segurança que esse isolamento gera permitiu que os ciberataques aproveitassem as ferramentas de controle remoto (RAT) para se infiltrar nas redes de TI e chegar às redes OT , de onde se aproveitam de vulnerabilidades em sistemas industriais sem serem detectados.



As medidas de segurança demoraram a chegar a esses tipos de ambientes devido à falta de conhecimento em segurança cibernética de OT , ao isolamento que é gerado nas empresas entre as equipes de TI e OT ou simplesmente por causa da suposição errônea de que eles dispositivos não podem ser alcançados por criminosos . No entanto, no início deste ano, o MITER publicou o framework conhecido como ATT & CK (Tactics, Techniques and Common Adversary Knowledge), especializado para sistemas de controle industrial.



Fonte: https://collaborate.mitre.org/attackics/index.php/Main_Page



Essa matriz tem sido muito importante nas investigações de incidentes ocorridos nos últimos seis meses, conforme apontado por nossa parceira Nozomi Networks em seu relatório do primeiro semestre de 2020 . Este relatório mostra como a pandemia COVID-19 está sendo usada para realizar ataques de ransomware e expansão de botnet em sistemas OT e IoT, além de analisar as táticas e técnicas utilizadas.



Estudo de caso com MITER ATT & CK passo a passo



Para entender como essa matriz é aplicada, é melhor analisar um ataque com ela. Neste caso, vamos pegar uma ameaça persistente avançada (APT) chamada GreyEnergy , que foi tornada pública em novembro de 2018, mas cujas primeiras detecções são em incidentes na rede elétrica polonesa em 2015 e posteriormente em incidentes no setor financeiro durante 2018 .



O ataque inicial utilizou uma técnica bem conhecida por todos nós que trabalhamos com segurança e à qual todos os usuários da Internet estão permanentemente expostos, que é o phishing . É também uma técnica cujo uso aumentou significativamente nesta época de pandemia. Portanto, o acesso inicial ao mapa ATT & CK encontra-se no Anexo SpearPhishing , já que o ataque começa com um documento do Word que contém uma macro maliciosa com os comandos necessários para as seguintes fases de execução, evasão e persistência.



Como a carga maliciosa está em uma macro, o que requer interação do usuário, na seção de execução do mapa ATT e CK, a Execução do usuário deve ser marcada . Para conseguir persistência, o malware procura servidores web com vulnerabilidade para se esconder, conseguindo disfarçar-se na rede, portanto no mapa ATT & CK, o Hooking é marcado em Persistência e Mascaramento em Evasão , devido ao empacotador que utiliza para ocultar o código malicioso real.



Para detectar alvos na rede afetada, o malware usa várias ferramentas amplamente conhecidas que podem ser agrupadas na descoberta de mapas ATT e CK, como varredura de serviço de rede e detecção de rede , gerenciando para detectar os serviços vulneráveis mencionados acima para movimento lateral, que no mapa ATT & CK seria Exploração de Serviços Remotos.



Para a execução de comandos, utiliza uma técnica bem conhecida entre os sistemas C&C, que é implantar proxy dentro da rede para redirecionar solicitações a computadores externos da rede, ocultando o tráfego dos sistemas de monitoramento de segurança da rede entre tráfego interno. Portanto, na fase de inibição das funções de resposta, os mapas de Download de Programa e Supressão de Alarmes são marcados no mapa ATT & CK , pois utilizam um programa externo como procy e suprimem o alarme após se esconder no tráfego interno.



As duas últimas fases dentro do mapa ATT & CK são mais complexas de analisar porque, sendo um malware modular, é possível que o processo que ele controla que deseja prejudicar mude dependendo do caso e, portanto, de seu impacto final. Porém, nas amostras coletadas, constatou-se que se procurava interromper os serviços gerando apagamento nos discos rígidos dos sistemas de interface humana (HMI), de forma que o impacto final seria dano patrimonial ou negação de controle. Desta forma, o que deveríamos marcar seria Parada do Serviço e Danos à Propriedade .



Nas redes industriais esse impacto é muito crítico, pois ao perder o controle ou visibilidade dos controles operacionais, não há outra saída a não ser interromper o serviço em uma parada de emergência para mitigar a possibilidade de perdas humanas, danos ambientais ou danos físicos. , o que costuma gerar perdas econômicas e de reputação muito graves para as empresas afetadas.



Conclusões



Como se pode verificar, o MITER ATT & CK permite determinar com clareza as táticas e técnicas utilizadas pelos cibercriminosos nos ciberataques dirigidos a ambientes industriais, além de possibilitar a obtenção de informações comuns coletadas em outros incidentes que auxiliem na implantação de sistemas de monitoramento especializados e aplicação de sistemas de inteligência de ameaças para minimizar os impactos que podem ocorrer no caso de um incidente.



Em cada uma das fases, existem possíveis indicadores de comprometimento, como o hash do arquivo usado em phishing (f50ee030224bf617ba71d88422c25d7e489571bc1aba9e65dc122a45122c9321) onde, como você pode ver abaixo, a macro contém o malware . Isso teria sido detectado com nossa ferramenta DIÁRIO e os sistemas de controle teriam permitido evitar o início do incidente.







Esta metodologia permite garantir as três etapas de controle dos sistemas industriais, conforme explicamos nos artigos introdutórios aos sistemas industriais há alguns anos. A correta medição dos dados deve ser garantida para que a sua avaliação e processamento garantam o cumprimento das normas de trabalho seguro.



Devido à gravidade de um incidente em ambientes industriais, é fundamental que esses frameworks de segurança comecem a ser considerados nesses ambientes para que o monitoramento e resposta a incidentes cibernéticos, bem como os sistemas de controle remoto, gerenciem melhor os requisitos de segurança e evite literalmente colocar vidas em risco.

			
						
				Nossa história com GovertisAdquirimos o iHackLabs para promover o treinamento de nossos hackers éticos
			

			
 


			
		
 
	


	
		
		
		
	Segurança da informaçãoElevenPaths para empresasEmbaixadores ElevenPathsFerramentas de segurança da informaçãoHackers SoloMalwarePrevenção de segurança da informaçãoVulnerabilidades
 Deja un comentario en Prevenir  um ataque cibernético se torna uma decisão vital					
				
				  
				  
				    Diego Samuel Espitia
				    Engenheiro Electrónico, Especialista em Segurança de Redes, HEC, Auditor ISO27000, RHCT. Chief Security Ambassador - CSA de ElevenPaths na Colômbia.
				     
				  
				
			

			




	
		Nossa história com Govertis
Carmen Dufur    10 septiembre, 2020 		 
	


	
		
					

		
	
		
			
				
	

					
									

			
		
Desde novembro passado, José Mª Álvarez Pallete anunciou a criação da Telefónica Tech , em ElevenPaths aceleramos para arrancar a complicada e, ao mesmo tempo, emocionante missão que nos foi confiada pela alta direção da empresa. Foram meses de trabalho em que, em equipa, conseguimos ser uma empresa independente que nos permite criar valor e crescer orgânica e inorgânica, de forma mais ágil.



No quadro deste crescimento inorgânico, ontem anunciámos a compra da Govertis, empresa de origem valenciana com presença e projecção internacional que conseguiu tornar-se uma empresa líder em consultoria de cibersegurança especializada em GRC (Government, Risk and Compliance) e IRM ( gestão eletrónica de ativos digitais) e que oferece uma solução abrangente capaz de unificar as perspetivas jurídicas e tecnológicas da cibersegurança.



Uma relação que começou há mais de oito anos quando, em 2012, Eduard Chaveli e Óscar Bou, fundadores da Govertis, realizaram com sucesso vários projetos para a Telefónica. Três anos depois, a relação entre as duas empresas foi consolidada com a compra, pela Telefónica, do GesConsultor GRC (que em ElevenPaths chamaríamos mais tarde de SandaS GRC),Plataforma de gestão e compliance da Govertis. Esta operação foi um claro compromisso com a tecnologia desenvolvida pela Govertis, que foi reforçada com a assinatura de uma aliança estratégica para melhorar e evoluir a plataforma em 2018. Nessa altura, para além da atualização do Sandas GRC, um investimento de A Telefónica na empresa através da Wayra. Govertis tornou-se uma empresa detida pela telco, que detém 5% do seu capital.



Nos últimos anos, a equipe ElevenPaths tem trabalhado na identificação de oportunidades de colaboração e investimento com startups relacionadas ao mundo da cibersegurança e inovação neste mesmo campo, colaborando em alguns investimentos com a equipe Wayra, como em o caso da Govertis em 2018, e encerrando as operações próprias como com a compra da empresa Dinoflux também em 2018.



A compra de 100% da Govertis pela ElevenPaths foi a evolução natural de uma relação estratégica que ambas as partes cultivam há anos. Com esta aquisição posicionamo-nos, a partir de agora, como líderes em consultoria especializada em cibersegurança, governança, risco, conformidade regulatória e segurança da informação, capacidades complementares à nossa oferta consolidada na integração e gestão de serviços de segurança.



Este é um excelente trabalho em que participou uma equipa multidisciplinar de profissionais da ElevenPaths e que não culmina na compra da empresa. O trabalho começa agora. 100 novos colegas, profissionais de nível superior ingressam na ElevenPaths. É uma grande oportunidade para recebê-los, torná-los mais fáceis de conhecer a cultura ElevenPaths e enriquecer nosso know-how com sua grande experiência e conhecimento.

			
						
				Análise de APPs relacionados a COVID19 usando Tacyt (II)Prevenir  um ataque cibernético se torna uma decisão vital
			

			
 


			
		
 
	


	
		
		
		
	Segurança da informaçãoCasos de sucesso ElevenPathsElevenPaths para empresasEquipe ElevenPathsInovação da segurança da informaçãoProdutos de segurança da informação
 Deja un comentario en Nossa história com Govertis					
				
				  
				  
				    Carmen Dufur
				    Head of Cybersecurity Strategy en ElevenPaths.
				     
				  
				
			

			



	
		Navegación de entradas
		Entradas anteriores
Entradas siguientes