• A Falsa Sensação de Segurança: Quem Está Usando suas Contas?

    Com a maioria dos ataques cibernéticos que vem ocorrendo, o estrago causado por eles pode ser de proporções tão grandes que, talvez, não haja tempo para que sejam tomadas as providências necessárias. Ou seja, em muitos casos, a equipe de segurança chega tarde demais. Em face disso, os processosde gerenciamento de identidade e os procedimentos de acesso, são uma parte essencial de qualquer programa de segurança. No entanto, mesmo quando a identidade e o acesso são muito bem gerenciados e a atividade do usuário está dentro da política estabelecida, reformular os processos de uso das credenciais e o comportamento do indivíduo interfere de alguma forma nos negócios?

    Se você não pode interpretar a atividade do usuário dentro do contexto da identidade e do que é um (de fato), comportamento normal, a sua organização pode estar vivendo e convivendo com uma falsa sensação de segurança, funcionando como uma enorme porta aberta de oportunidades para os atacantes cibernéticos, que estão cada dia mais audaciosos em suas investidas.


    Percepção em Relação às Ameaças, Comprometimento de Contas e Intrusão em Redes

    A questão da segurança já está focada em "compartimentar" dados sensíveis. Porém, as ameaças de hoje em dia seguem um caminho muito menos linear em relação ao que acontecia até há uns 3, 4 anos. No de 2009, por exemplo, uma conta do Gmail, serviço de e-mail do Google, conta esta pertencente a um funcionário do Twitter, foi comprometida. Normalmente, isso não seria um problema corporativo; o que aconteceu foi uma violação relacionada a uma conta pessoal, e assim, tirado proveito para se infiltrar no Google Apps do funcionário e nas contas de outros funcionários também. Nesse sentido, é muito válido lembrar que o compartilhamento de arquivos pessoais usando a nuvem é uma prática bastante comum.


    O Twitter estaria usando o Google Apps, como uma maneira de compartilhar documentos corporativos sensíveis e outras informações, para ter acesso aos documentos que não estivessem de acordo com as políticas estabelecidas, com referência às contas comprometidas de usuários. No entanto, não havia a capacidade para detectar qualquer tipo de atividade anormal, devido à ocorrência de recolhimento de informações. Vale ressaltar que estes tipos de ataques de colheita de informações de longa duração, usando credenciais obtidas por "hijacking", tornaram-se cada vez mais comuns.

    Em janeiro de 2013, o New York Times informou que um grupo de crackers se infiltrou em suas redes, em uma tentativa de descobrir as fontes de uma história que envolvia o primeiro ministro da China e membros de sua família. Eles se infiltraram nas redes durante quatro meses, e de acordo com especialistas em segurança, os criminosos usaram métodos consistentes com os serviços militares da China. Além disso, eles conseguiram roubar todas as senhas corporativas dos funcionários, e conseguiram se infiltrar nos computadores de 53 deles. Para isso, a tática usada foi enviar links ou anexos com um keylogger, com a intenção de monitorar tudo o que o usuário digita.

    O ataque inicial, ao que tudo indica, teria sido lançado por uma campanha de spear phishing direcionada, o que permitiu que os atacantes pudessem plantar ferramentas de acesso remoto (RATs), a fim de facilitar ainda mais o acesso dos atacantes. De acordo com a empresa de segurança Mandiant, contratada pelo NYT, os crackers chineses tentaram esconder sua identidade, encaminhando seus ataques contra o veículo de comunicação através de universidades nos Estados Unidos. Além do mais, outros ataques anteriores já utilizaram este método, e muitos deles tinham como origem a China.

    Porém, outros exemplos assim não são difíceis de encontrar. Mesmo o ataque altamente divulgado contra a Target no ano passado, começou com um e-mail de phishing com malware anexo.


    Segurança Casino-Style? É Possível implementar?

    Como é possível acompanhar, estas ameaças supracitadas tem alcançado um grande êxito, principalmente onde as credenciais podem ser comprometidas através de táticas de engenharia social. À medida que consideramos a melhor forma de responder a esses ataques, talvez estejamos precisando buscar a uma inspiração maior, através dos mestres do "mixing security" e "social access" - Las Vegas.

    Mas aí a pessoa pergunta: Como isso poderia ser feito? Em primeiro lugar, o teto de cada casino é cravejado com centenas de sentinelas eletrônicos - câmeras que vigiam todos os presentes no ambiente - tanto clientes quanto empregados. E, claro, há funcionários pagos para vigiar a outros funcionários, e também aos convidados que estão no local. Portanto, se você sempre quis um exemplo de segurança em camadas projetadas com a intenção de derrotar uma ameaça interna, dê um passeio por uma sala de jogos.


    Sistemas de Monitoramento e Parâmetros Estabelecidos

    Mas, apesar de todo esse aparato, Las Vegas não é um lugar que vem à mente quando pensamos em "segurança". É possível arrumar um "wild time" dentro de um cassino e permanecer na ignorância, no que diz respeito ao processo de monitoramento que gira torno da pessoa, porque, no final de tudo, o trabalho da equipe de segurança é justamente para ter certeza de que você se divertiu - dentro dos limites do que você veio fazer no estabelecimento - obedecendo certos parâmetros. No entanto, é pisar fora desses parâmetros estipulados e sua diversão pode ser fortemente comprometida.

    A abordagem que é implementada é simples - fornecer guarda-corpos, definir expectativas, tudo isso para monitorar o comportamento anômalo e assim, responder rapidamente. Os hóspedes não estão constantemente conscientes sobre a segurança que os circunda - longe disso, mas ao mesmo tempo, os cassinos são locais extremamente seguros (supondo que você não se importa, nem um pouco, em perder sua camisa nas "blackjack tables"). Portanto, a segurança está presente, de forma eficaz, e em sua maior parte, de forma transparente - um modelo que para muitas equipes de segurança empresariais (e usuários) seria bem-vindo.


    Automação é Parte Fundamental do Processo

    Uma ação de resposta rápida, é algo bem mais fácil de dizer do que fazer, ou seja, a teoria parece apresentar menos desfaios do que na hora de colocar em prática. As falhas críticas de segurança podem surgir tão rápido, que você pode não contar com a intervenção humana para responder em tempo hábil. Portanto, um processo de automação é fundamental para tornar possível, a resposta às ameaças, em tempo real.


    Detectando e Identificando Comportamento Anômalo

    Além disso, o ideal é que um conjunto de políticas pode ser estabelecido, de modo que um sistema possa monitorar constantemente o comportamento e imediatamente identificar e alertar sobre qualquer atividade anormal. Por exemplo, se um empregado que normalmente trabalha a partir de um escritório começa a baixar um banco de dados ou outros arquivos sensíveis às 2 da manhã de uma universidade em uma cidade próxima, essa atividade deve ser sinalizada como anormal e encaminhada para que a equipe de operações de segurança analise o que realmente está acontecendo.


    Políticas de Segurança e Importância da Automação

    Mas como são criadas essas políticas de segurança? As equipes de segurança não podem esperar uma consideração para cada possível cenário ameaçador e criar regras para responder a todos eles. Assim, para que o processo de automação possa ter viabilidade, até mesmo para fazer valer o investimento, ele deve ir mais longe no que diz respeito a detectar tendências de normalidade/anormalidade por identificação. Certamente, este é o lugar onde o futuro da pesquisa e o desenvolvimento devem fazer grandes progressos. Em um mundo ideal, o seu sistema de segurança deve ser capaz de identificar ações inusitadas e eliminá-las automaticamente, em tempo real. Portanto, independentemente de quem está usando suas contas - insiders ou alguém que tem feito um "hijacking" em suas credenciais, sua sensação de segurança não pode, em hipótese alguma, ser falsa. Você precisa sentir-se segura de forma plena, e tendo a certeza disso.

    Portanto, a identificação automática de comportamento anômalo é uma promessa significativa, que tem a intenção de reduzir o tempo que suas contas estiveram comprometidas e o tempo que foi usado para colher as suas informações confidenciais.


    Considerações Executivas

    As declarações, sugestões e considerações de um modo geral que foram dissertadas ao longo desta publicação, são oriundas das análises feitas pelo executivo Travis Greene, estrategista de soluções de identidade da NetIQ. Ele possui uma mistura de operações de TI e experiência em segurança da informação, design de processos, liderança organizacional e habilidades técnicas. Depois de uma carreira de 10 anos como um oficial da Marinha dos Estados Unidos, Greene começou em TI como gerente de Data Center para uma empresa de hospedagem.

    No início de 2002, Travis se juntou a um provedor de serviços gerenciados, como o líder do nível de serviço em equipe, alavancando processos de melhoria contínua. Hoje, Travis realiza pesquisas com os clientes da NetIQ, analistas da indústria e parceiros, com a finalidade de entender mais sobre os processos de gerenciamento e acesso, que são um grande desafio da atualidade cibernética. O foco desse trabalho é em soluções de provisionamento, de governança e de monitoramento de atividade do usuário. Além do mais, Travis é especialista certificado em ITIL e é bacharel em Ciência da Computação pela Academia Naval dos Estados Unidos.


    Saiba Mais:

    [1] Security Week http://www.securityweek.com/false-se...-your-accounts