Um profissional de segurança não familiarizado com as técnicas utilizadas pelos criminosos provavelmente fará um mau trabalho
O renomado criptógrafo e criador do PGP, Phil Zimmerman certa vez disse: “Nunca confie num algoritmo criptografado criado por alguém que não seja reconhecido por gastar muito tempo quebrando códigos”.
Seja isso verdade ou não, é complicado verificar de fora da Agência Nacional de Segurança (NSA, em inglês). Contudo, essa afirmação nos faz pensar em algo que normalmente é esquecido em muitas áreas da segurança: a dicotomia do invasor e defensor geralmente é falsa.
Ou seja, um profissional de segurança não familiarizado com as técnicas utilizadas pelos criminosos provavelmente fará um mau trabalho em manter um hacker experiente do lado de fora. Por outro lado, se o cibercriminoso desconhece as capacidades defensivas de seu alvo, logo será detectado.
Bons invasores conhecem bem isso.
Desde 2010/2011, o comportamento dos invasores mais habilidosos tornou-se amplamente conhecido. As metodologias Lockheed-Martin’s Cyber Kill Chain™ e Computer Network Defense (CND) evidenciaram os grandes golpes de operações avançadas, geralmente aperfeiçoadas por anos de experiência defendendo clientes do governo e da Base Industrial de Defesa. Essa vivência, e o período considerável observando invasores em ação, transforma-se hoje em senso comum nas áreas de indústria e comércio, que também enfrentam ameaças.
Nesse artigo, vou usar o Lockheed Martin Cyber Kill Chain para descrever as fases de um ataque. Assim como organizações mais cautelosas sabem esperar violações de segurança, um bom invasor prevê sempre uma boa defesa. O que evidencia uma dualidade: um atacante deve saber também se defender. Na etapa de reconhecimento, a maioria dos hackers usará informações públicas e privadas visando compreender as prováveis capacidades defensivas a serem confrontadas. Alguns exemplos bem comuns são:
● Busca no LinkedIn para compreender qual o quadro atual de empregados nas funções de segurança de arquitetura e operação.
● Qual experiência desses funcionários e o conjunto de ferramentas que eles declaram utilizar?
● Garantia dos Fornecedores: Esses parceiros apontam a organização alvo como uma “vitória” ou site de referência?
● Bancos de dados comerciais compilados por empresas de marketing, indicando os produtos de TI comprados por companhias específicas, com base em pesquisas por telefone.
● Pesquisas sobre endereços de e-mail específicos em fóruns de segurança, revelando problemas e o modo operante dos funcionários.
A lista não é exaustiva, e representa uma fase de reconhecimento puramente passiva. Quando realizado de forma ativa, em que o contato direto com a empresa pode ser feito por meio de vários canais anônimos, a eficácia é ainda maior, embora o risco seja mais elevado. Organizações mais prudentes sabem que suas informações públicas podem ser usadas como armadilha para detectar ataques, e programam seus web logs em mídias sociais para que os avisem sempre que perceberem um padrão comum à fase de reconhecimento de um hacker.
Uma vez armado com o conhecimento sobre a sofisticação da defesa-alvo, o ataque segue pelas etapas armamentista, de entrega, exploração e instalação. Uma vez que os canais de comando e controle estiverem implantados, o invasor está dentro. E é nesse ponto que um bom cibercriminoso ficará imediatamente na defensiva, provavelmente executando três ações numa rápida sucessão:
1. Traçar imediatamente um panorama no ambiente e iniciar o processo de mapeamento do movimento lateral, definindo seus objetivos.
2. Planejar a abertura de um segundo ponto de ingresso, que deverá ser detectado e repelido pelos sistemas de proteção;
3. Atacar os serviços de autenticação, buscando credenciais que lhe permita assumir a identidade de um usuário legítimo ou que irá abranger ainda mais suas atividades.
Mas por quê traçar um panorama no ambiente? Simples: para ter certeza de que o ataque não foi detectado.
Estabelecer uma porta SPAN, implantar ferramentas em servidores e colocar as interfaces em modo indiscriminado não podem dar pistas ao atacante sobre uma possível detecção. Uma vez que haja suspeita, o próximo passo é dirigir-se à base, desligar os canais C2 (com uma reinicialização programada), e parar todas as operações. Desse modo, encontrá-los vai ser extremamente difícil.
Nesse sentido, como arquiteto de uma estrutura CND eficaz para uma moderna e sofisticada empresa, é fundamental ampliar a visibilidade de toda rede, objetivando:
● Habilitar o acesso para qualquer ferramenta CND a qualquer hora e para qualquer parte da rede;
● Não precisar de qualquer mudança para a infraestrutura existente quando implantada taticamente. Isso inclui hardwares, softwares e mudanças de configuração;
● Ser capaz de implantar ferramentas relativamente lentas nas redes altamente velozes;
● Poder alimentar o tráfego de rede para quantas ferramentas forem necessárias, em paralelo isso deve ser totalmente invisível para os invasores.
Funcional, um tecido de visibilidade funciona como um diodo de dados: é possível direcionar o fluxo apenas para passar por portas de rede (anexadas à TAP invisível ao invasor) até as ferramentas. Esse movimento de tráfego unidirecional significa que não importa qual ferramenta você implante, o cibercriminoso não irá vê-la. Por outro lado, quem está na posição de defesa conta com completa visibilidade. E mais: seu oponente não é capaz de saber disso.
De fato, uma arquitetura de visibilidade em uma rede de fibra pode funcionar bem com as luzes de transmissão em portas da rede completamente desconectadas, e as de recebimento na porta da ferramenta também sem conexão. É possível implantar esses aplicativos numa zona de segurança altamente protegida, e, para segurança máxima, as mesmas podem ser air gapped inteiramente a partir da rede, com trânsito de dados apenas em meios físicos. Quando isso é impossível, é altamente recomendado o uso de firewalls mais potentes entre o restante da rede e essa localidade em questão.
É comum ouvimos dos clientes de segurança coisas como “eu queria que nós tivéssemos mais visibilidade para responder aos incidentes”. Então, vamos todos parar de pensar apenas sobre defesa, mas abraçar a ideia da dualidade de se tornar um invasor também. Não somos apenas a presa: precisamos pensar como o predador ao mesmo tempo. Não é possível se defender daquilo que não vê. E, se o inimigo não ver suas ferramentas, então desconhecerá suas capacidades de defesa, detecção e expurgo. Deixe que o invasor descubra como fazer isso do jeito difícil.
*Ian Farquhar é Distinguished Sales Engineer da Gigamon.
