20121022_CNASI_Tutorial_v2_SpeakerDeck.pptx

2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.

Auditando as falhas das camadas de proteo/deteco

Marcelo de Souza Consultor Forense Snior

CNASI-SP, 22 de Outubro de 2012

Sobre o tutorial

Obje%vo Apresentar e discu.r falhas encontradas na abordagem comumente

empregada para SegInfo. Auditar, ou seja, realizar anlise cr.ca sobre a ecincia e eccia das

tecnologias e processos de SegInfo convencionais. Compar.lhar conhecimento e experincia sobre como melhorar o

processo de SegInfo como um todo, e no somente apontar os problemas.

Metodologia Explanaes tericas. Demonstraes pr.cas (cenrios e ferramentas).

Tpicos

3

l Parte I Entendendo a problem%ca l Mo.vao

l Teorias e pr.cas convencionais de SegInfo

l Analisando a SegInfo convencional

l Auditando as falhas

l Parte II Encontrando solues

l Premissas para uma abordagem diferenciada de SegInfo

l SegInfo baseada em Resposta a Incidentes

Tpicos (cont.)

4

l Parte III Viabilizando Resposta a Incidentes efe%va l Viso Geral de Resposta a Incidentes e Forense Digital

l Processos

l Pessoas

l Tecnologia

l Parte IV Concluindo

Parte I

Entendendo a problem.ca

Motivao

Incidentes... sempre!

Incidentes de segurana con%nuam acontecendo, apesar dos esforos

Disseminao do malware STUXNET para sabotar usinas nucleares do Ir

Invases e DoS a websites do Governo

Estamos mesmo nos esforando?

Conhecimento dos Atacantes vs. Sos%cao dos Ataques Ao passar dos anos o conhecimento necessrio para o mal diminui, mas a

sos.cao dos ataques aumentou. Se cou mais fcil atacar, no h algo errado com os esforos em SegInfo?

Quo fcil atacar hoje em dia?

Dois exemplos:

Invaso para roubo de dados (bancrios, etc.), criao de botnets, etc. 1. Copiar artefato malicioso j disponvel na Internet ou criar um 2. Enviar e-mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a mquina (explorar browsers, Java,

Acrobat Reader, etc.) 4. Receber os resultados

Ataques de DDoS 1. Alugar uma botnet, ou ter uma (at mesmo a do exemplo anterior) 2. Especicar um alvo e disparar o ataque

Quo sofisticado?

Malware e mecanismos de Comando e Controle (C&C)

V%ma Criminosos

Envio de comandos e atualizaes

Data Exfiltration

Im here, infec.on successful Wai.ng for instruc.ons

Stay quiet, be pa.ent. Send applica.on creden.als. Use user account, transfer funds. Install new malware, new orders. Look for high prole assets. Send plans, formulas, secrets

Command-and-Control

(C&C)

Transaes Fraudulentas

Propriedade Intelectual

Credenciais de Aplicaes / Clientes

Teorias e Prticas Convencionais de SegInfo

Definies e conceitos

Obje.vo da Segurana da Informao Proteger a%vos de informao contra ameaas que possam afetar a sua:

Condencialidade: apenas usurios autorizados podem ter acesso informao

Integridade: informao deve ser man.da no estado deixado pela l.ma operao vlida e autorizada

Disponibilidade: informao deve estar acessvel aos usurios autorizadas no momento em que for necessria

Anlise de riscos

Modelo matem.co R = V x A / C

Permetro / DMZ

Rede Interna Acesso Remoto

Internet

Rede Wireless

Segurana em profundidade

Analisando a SegInfo Convencional

SegInfo convencional

Evitar que algo acontea

Detectar o que pode estar acontecendo

Reagir a um incidente, realizando conteno

Recuperar o ambiente e corrigir

problemas

Obje%vos das etapas (processo) e camadas (tecnologia)

SegInfo convencional (cont.)

Vou sempre prevenir, detectando apenas as possveis excees, reagindo e remediando conforme necessrio.

Presume-se que a preveno, via de regra, sempre

funciona

Deteco age como backup da preveno

Reao somente quando a

preveno e deteco falharem

Remediao aps a reao

SegInfo convencional (cont.)

Ou ainda: Vou remediar como forma de reagir a algo que detectei, quando eventualmente no conseguir prevenir.

A segurana do ambiente est toda baseada na preveno...

...e na deteco

A reao acaba sendo...

...a prpria remediao

SegInfo, as we know it

Estou constantemente reagindo e/ou remediando, j que no pude detectar a tempo e minha preveno no foi ecaz.

Preveno falhou Deteco tardia, ou noZcia

Reao constante e no

susto

Remediao constante

SegInfo, as we know it (cont.)

Na pr%ca acaba se tornando:

Auditando as falhas

Listando as falhas em geral

Falhas da abordagem convencional de SegInfo:

Preveno no 100% efe.va, logo no funciona como deveria.

Basta uma possvel exceo ter sucesso para toda abordagem falhar.

Reao muitas vezes desfavorecida, pois a organizao prioriza a preveno.

Remediao constante, tambm muitas vezes inecaz.

Cria-se a falsa sensao de segurana ao conar nessa abordagem.

Listando as falhas em geral (cont.)

Em outras palavras:

Sempre haver mais ameaas do que se pode enfrentar.

Preveno inglria

Enxerga-se menos do que realmente acontece.

Deteco mope Impossvel reagir de

forma completa sem saber exatamente quando, o que e como algo aconteceu.

Reao tardia e limitada

Impossvel remediar em deni.vo sem conhecer a extenso dos danos.

Remediao palia.va

Falhas especficas: firewall

Solues convencionais de ltragem de protocolos de rede

Funcionamento: Normalmente libera o trfego que explicitamente permi.do na organizao,

bloqueando todo o resto.

Falhas: Muitas vezes possui congurao excessivamente permissiva. Trfego web e e-mail, obviamente liberado, concentra pra.camente a

totalidade dos vetores de ataque. Talvez no possa ser considerada uma soluo de segurana at all, apesar de

muitos discordarem.

Falhas especficas: antivrus

Solues de an%vrus, an.-malware, etc.

Funcionamento: Verica se um arquivo possui padro malicioso j conhecido. necessrio que a base de assinaturas seja constantemente atualizada. Para cada novo malware e suas variantes, o fabricante precisa lanar

atualizaes.

Falhas: Padres devem ser previamente conhecidos (modelo de segurana nega.vo

blacklist). Proteo suscervel a anulao mesmo em pequenas modicaes de

malware. Alto ndice de falsos nega.vos. Nenhuma proteo em casos de zero day.

Falhas especficas: antivrus (cont.)

Estudo mostra: se o AV no detectar um malware novo em 6 dias, ele nunca ir (hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)

O estudo tambm mostrou que aps 30 dias, as solues de AV detectaram menos do que no primeiro dia de testes.

Falhas especficas: antivrus (cont.)

Demonstrao

1. Cdigo-fonte de um malware simples

2. Vdeo do funcionamento do malware

3. Vdeo da vericao u.lizando VirusTotal (www.virustotal.com)

4. Relatrio da vericao do malware u.lizando GFI Sandbox (www.threasrack.com)

Falhas especficas: IDS/IPS

Solues de deteco de intruso em rede

Funcionamento: Capturam o trfego e vericam a equivalncia com conjunto de assinaturas

pr-denido.

Falhas: Padres devem ser previamente conhecidos. Deteco suscervel a anulao mesmo em pequenas modicaes. Nenhuma deteco em casos de zero day. Deteco suscervel a falsos nega.vos. Alto ndice de falsos posi.vos, dicultando sua monitorao.

E as tecnologias levam a culpa?

No se esqueam que SegInfo mais que um produto... ProPeTec!

Pessoas

Tecnologia

Processos

ProPeTec e as falhas

De forma detalhada, o impacto de cada domnio e suas relaes

Processos Pessoas Tecnologia

Preveno Congurao, atualizao e manuteno irregular

No existe equipe Head count

insuciente No exclusivas

para SegInfo Ausncia de

preparao e treinamento

Inecaz, no funcionando como deveria

Muitos falsos nega.vos

Deteco Procedimentos de monitorao no so denidos / seguidos

Ineciente, no funcionando como deveria

Muitos falsos posi.vos e falsos nega.vos

Reao Procedimentos raramente existem

Muitas vezes ausente

Remediao

ProPeTec e as falhas (cont.)

Resumindo

Processos

No existem Quando existem, no so bem denidos e divulgados

Procedimentos e ro.nas de incompletas

Pessoas

No existe equipe Quando existe, pouco preparada / treinada

Head count insuciente

No exclusivas para SegInfo

Tecnologia

Sistemas de preveno inecazes

Sistemas de deteco tradicional inecientes

Muitos falsos posi.vos e falsos nega.vos

Ausncia de soluo de reao e/ou remediao

Parte II

Encontrando solues

Premissas para uma abordagem diferenciada de SegInfo

Outra tica: Time Based Security

Seguindo o conceito de TBS: Um sistema de proteo/preveno (p) pode ser considerado seguro se

funcionar por mais tempo que o tempo de deteco (d) somado ao tempo de reao (r) a um incidente: