A rápida identificação de ataques e vazamento de dados é importante para compensar as limitações de proteção da infraestrutura.
Quando o contexto do usuário, da aplicação e dos dados é acrescentado aos problemas de segurança, é possível deixar de monitorar atividades e passar a monitorar exceções, o que facilitará a descoberta de falhas.
Considerações básicas
Um típico ataque dirigido explorará diversas fragilidades para atingir seu objetivo (normalmente, furtar dados ou comprometer uma conta específica).
Como defesas perfeitas não são práticas nem executáveis, as organizações precisam aprimorar o gerenciamento de vulnerabilidades e se proteger com monitoramentos mais eficazes.
A adição de um contexto de usuário, aplicação ou dados ao monitoramento de falhas de segurança aumentará a probabilidade de identificações rápidas de ataques dirigidos.
Recomendações
Para obter um contexto do usuário, as organizações devem integrar a implantação de gerenciamento de eventos e informações de segurança com políticas de acesso e identidade, como diretórios corporativos, sistemas de aprovisionamento ao usuário e sistemas de gerenciamento de funções.
As organizações devem integrar a tecnologia SIEM (Security Information and Event Management, Gerencialmento de Segurança de Informação e Eventos) com funções de prevenção de perda de dados que podem já terem sido implantadas.
Empresas precisarão usar múltiplas abordagens para incorporar o contexto de aplicação ao monitoramento de falhas de segurança: uso da interface de integração de fonte de evento SIEM para aplicações desenvolvidas internamente; suporte de SIEM a aplicações oferecidas como pacotes e integração com monitoramento orientado a redes, em alguns casos.
O QUE VOCÊ PRECISA SABER
A rápida identificação de uma falha é essencial para minimizar o estrago causado por um ataque dirigido. A adição de um contexto de usuário, dados e aplicação às informações para monitoramento de segurança aumentará a capacidade de detectar atividades anormais associadas a falhas.
ANÁLISE
A tecnologia SIEM vem sendo amplamente utilizada para monitoramento de ameaças externas, gerenciamento de registros e verificação de conformidade. Porém mudanças no ambiente de ameaças estão criando novas exigências em áreas de monitoramento de atividades do usuário e de aplicações e de monitoramento de acesso a dados. O suporte a esses novos casos exigirá o acréscimo do contexto de usuário, aplicação e dados ao monitoramento de atividades gerais oferecido pelo SIEM. Organizações devem integrar fontes de eventos, monitoramento e políticas que possuam contexto de domínio específico em cada uma dessas áreas com a implantação do SIEM.
Ataques dirigidos
O ambiente de ameaças externas se tornou mais silencioso e muito mais perigoso. Os ataques de hoje em dia visam empresas, indivíduos e dados específicos. Um típico ataque dirigido explorará múltiplas fragilidades para atingir seu objetivo (normalmente, furtar dados ou comprometer uma conta específica). Um usuário específico pode se transformar em um alvo por e-mail e inadvertidamente pode ajudar na instalação de um código malicioso no seu computador, ou uma falha de segurança ou de configuração de um sistema acessível externamente ou de uma aplicação podem ser explorados, com o intuito de conseguir as credenciais do usuário ou de estabelecer um canal de vigilância. Durante um ataque dirigido, múltiplas fragilidades do sistema ou de aplicações podem ser diretamente exploradas. Uma vez que um único sistema ou conta está comprometido, o ambiente gradualmente é invadido até o ataque ser completado.
A importância e as limitações do gerenciamento de vulnerabilidades
Organizações precisam apresentar um alvo difícil para os criminosos. Isso implica uma combinação de proteção de rede, processos de gerenciamento de vulnerabilidades para identificar e corrigir falhas de segurança em sistemas e aplicações e a implantação de tecnologias de defesa para proteger sistemas e aplicações com fragilidades de longo prazo. Infelizmente, defesas perfeitas são existem e as organizações também precisam agir de acordo com o fato de que em algum momento sua proteção vai falhar.
Já que defesas perfeitas não existem, as organizações precisam aprimorar o gerenciamento de vulnerabilidades com monitoramentos mais eficazes. Isso é necessário para identificar ataques em estágios iniciais, antes de atingirem seu objetivo. Ataques dirigidos levam tempo para serem completados e, quanto mais se demora para descobri-los, piores as conseqüências. O Verizon Business Systems 2009 Data Breach Investigations Report analisou 90 falhas de dados confirmadas e encontrou evidências iniciais das fragilidades nos registros de acesso, mas as empresas afetadas em 70% dos casos não perceberam o perigo.
A urgência de um monitoramento mais eficaz
A fonte de um ataque dirigido pode ser externa ou interna, mas quando um sistema ou conta são comprometidos, o acesso ao sistema, a atividade de aplicações e o acesso a dados podem dar a impressão de serem internos e de estarem associados com credenciais de usuário comprometidas. Já que cada ataque dirigido é “único”, não podemos mais confiar em indícios evidentes de ataques. Precisamos ser mais eficazes ao descobrir as alterações nos padrões de atividades normais que representam sinais primários de um ataque ou falha de segurança.
Muitas organizações implementaram o SIEM para gerar monitoramento de atividade de usuários privilegiados ou monitoramento de acesso a recursos para partes específicas do ambiente, para se adequarem a diversas regulamentações. É relativamente lógico implantar a tecnologia SIEM para gerar monitoramento de atividade do usuário e relatórios de acesso de recursos a partir de dados de registro de rede e sistema. Uma visão compreensiva da atividade do usuário e do acesso a recursos é útil para a investigação feita após a descoberta de atividades anormais. A limitação dos relatórios de monitoramento de atividades está na identificação inicial da atividade estranha. Em muitos casos, existe a confiança em um especialista que nota quando há alteração em padrões. Infelizmente, há uma enorme probabilidade de que um padrão de atividade anormal seja omitido. A detecção de ataques em estágios iniciais exige o reconhecimento quase imediato da alteração de um padrão normal de atividade do usuário, atividade da aplicação ou contexto de dados. O monitoramento de exceções precisa de contexto do usuário, da aplicação e dos dados como referência para distinguir padrões de atividades normais dos anormais. Além disso, regras de correlação tradicionais podem ser potencializadas com a correlação estatística ou abordagens de detecção de atividade anormal que estabelecem uma base para atividades normais e alertas de variação.
Informações atualizadas sobre técnicas e fontes de ataques podem explicar características de atividades anormais. Essa informação pode ser incluída em sensores ou produtos de monitoramento, na forma de listas negras, listas de alertas, marcações ou regras de correlação, ou podem ser um componente de um serviço de gerenciamento oferecido por fornecedores de serviço externos. Provedores de conteúdo ou de serviços com uma compreensão das atuais técnicas de ataque e com uma ampla fonte de dados usados como referência para discernir entre atividades normais e anormais serão capazes de agregar valor às suas habilidades de monitoramento.
Contexto do usuário
Informações sobre a função de um usuário, o status do seu cargo e os seus direitos de acesso podem ajudar a estabelecer fronteiras para o acesso habitual a recursos que, quando ultrapassadas, sinalizam atividade anormal que requer investigação. O contexto do usuário é mantido em uma ampla variedade de repositórios: diretórios corporativos, sistemas de gerenciamento de identidade e acesso, configurações de sistemas operacionais, configurações de sistemas de gerenciamento de base de dados e aplicações. As organizações devem avaliar o suporte ao SIEM para a integração do contexto do usuário a partir desses repositórios e fontes de evento. A integração do gerenciamento de identidade e acesso (IAM)/SIEM deve suportar a inclusão do contexto do usuário em correlação a regras e relatórios. Mesmo quando a tecnologia SIEM pode examinar o conteúdo da política de usuário e eventos de administração de usuário em fontes de IAM, a implantação do monitoramento de exceção orientado ao usuário continuará exigindo uma personalização extensa. Isso ocorre porque muitas políticas de acesso não definem completamente as fronteiras do acesso normal, portanto regras de correlação e filtros de registro que determinem essas barreiras deverão ser criados.
Contexto de dados
O contexto de dados é importante porque o alvo de muitos ataques costuma ser informações privilegiadas. Isoladamente, um registro ou evento de acesso a arquivo é relativamente desinteressante, e é provável que seja ignorado, a menos que o registro ou arquivo contenham dados relevantes. Tecnologias de DLP oferecem a detecção de dados relevantes baseada em padrões e políticas e o monitoramento direto do acesso a esse conteúdo. Fornecedores que oferecem tanto tecnologias SIEM como DLP (como Symantec, EMC e CA) as estão integrando, e um crescente número de outros fornecedores de SIEM estão formando parcerias com fornecedores de DLP para incorporar o contexto de dados ao monitoramento de atividades e às análises oferecidas pelo SIEM. Dois fornecedores de SIEM (Q1 Labs e NitroSecurity) também oferecem métodos alternativos para obter contexto de dados por meio de monitoramento básico de dados a partir de sensores na rede. A integração DLP/SIEM deve incluir o exame SIEM de dados de registro de DLP, dados de eventos de DLP e alertas de DLP; além da habilidade para incorporar eventos orientados a dados em regras de correlação e listas de alertas.
Contexto de aplicação
O monitoramento da atividade de aplicações é importante porque as fragilidades da aplicação são frequentemente exploradas em ataques dirigidos, e porque a atividade anormal de aplicações pode ser o único sinal de uma falha ou atividade fraudulenta. A habilidade para definir e analisar correntes de atividades para aplicações customizadas permite o monitoramento de camadas da aplicação para aplicações desenvolvidas internamente. A habilidade de examinar correntes de atividades originárias de aplicações oferecidas em pacotes permite o monitoramento de camadas de aplicação para esses componentes. Organizações devem avaliar o suporte ao SIEM para aplicações oferecidas em pacotes, com a compreensão de que o suporte a esse tipo de aplicação com os produtos SIEM é extremamente fragmentado. Por exemplo, múltiplos fornecedores de SIEM podem analisar o registro de auditoria de segurança da SAP. Poucos fornecedores de SIEM já usaram APIs fornecidas pela SAP para atividade de transação ou para atividade de administração de usuário da SAP. A FairWarning é um exemplo de fornecedor que oferece suporte de monitoramento às aplicações entregues em pacotes à indústria de saúde, e alguns fornecedores de SIEM utilizando aplicações da indústria de geração de energia.
Existem muitas questões que precisam ser superadas para mudar de um monitoramento de atividade para um monitoramento de exceção. Muitas organizações descobrem que suas aplicações desenvolvidas internamente não estão produzindo auditorias de atividade adequadas. Solucionar este problema é, obviamente, trabalhoso e caro, porque envolve mudanças nas aplicações. Há abordagens alternativas, como monitoramento de atividade de aplicação a partir da rede ou usando um agente no sistema para monitorar a atividade da aplicação. Exemplos dessas abordagens alternativas podem ser encontrados no segmento de mercado de gerenciamento de fraudes. Alertas e dados de registro de sistemas de prevenção à invasão podem oferecer contexto sobre atividade de aplicação que podem ser interessantes para detectar ataques dirigidos. Também costumamos ver exemplos de monitoramento de rede com contexto de aplicação oferecido por soluções especializadas como a PacketMotion, e no espaço de SIEM, a Q1 Labs QFlow Collectors e o componente ADM da NitroSegurity. As limitações do monitoramento orientado à rede incluem “pontos cegos” associados com a atividade da aplicação que não se manifestam na rede, e a necessidade de estabelecer um grande número de pontos de monitoramento em redes extremamente segmentadas.
A segunda questão dominante é o monitoramento de exceção da atividade da aplicação. Todos os métodos de monitoramento externos exigem conhecimento sobre a arquitetura de dados e transação das aplicações específicas sendo monitoradas. Independentemente do método de coleta de dados, várias fronteiras devem ser determinadas para cada aplicação e podem ser expressas em termos de acesso a dados e contexto do usuário. Isso implica a customização extensiva e envolvimento daquele que compreendem a transação e os modelos de acesso do usuário de cada aplicação. Organizações que precisam implantar monitoramento de aplicação devem fazer com que a equipe que possui conhecimento do projeto se comprometa a oferecer suporte constante ao monitoramento da aplicação.
Contexto de ameaça externa
Informações atualizadas sobre ameaças externas podem ajudar uma organização a reconhecer atividades anormais. Por exemplo, uma pequena quantidade de atividade fora de curso para um endereço de IP externo pode parecer normal e facilmente passaria despercebida. Tudo muda se existe uma inteligência de ameaça a qual indica que a destinação está associada a um controle de botnet. Os provedores de análise de segurança, monitoramento de ameaças e serviços de segurança gerenciados podem oferecer dados de inteligência de ameaças para serem usados como referência na hora de identificar um padrão de ataque dirigido. A inteligência de ameaça externa pode ser incluída em listas negras, listas de alertas e regras de correlação da infraestrutura de SIEM da organização.
Correlação baseada em regras e detecção de anormalidades
Quando condições anormais são bem definidas, é possível definir regras de correlação que procuram um conjunto específico de condições. É muito difícil abranger todas as condições que são anormais com um método baseado em regras. A detecção de anormalidades pode complementar abordagens baseadas em regras, porque alerta para variação de parâmetros normais do ambiente. A detecção de anormalidades precisa de um período de “aprendizagem” durante o qual cria perfis de atividades normais. O período de aprendizagem alerta para variações. A detecção de anormalidades exige contínua adaptação para ser operacionalmente eficaz e precisa ser aplicada apropriadamente a áreas do ambiente que exibem fortes padrões de atividade normal.
O QUE VOCÊ PRECISA SABER
O reconhecimento de atividades do usuário, acesso a dados e atividades de aplicações anormais é fundamental para descobrir ataques em estágios iniciais. As organizações devem integrar a tecnologia SIEM com a infraestrutura de IAM para melhorar o monitoramento de atividades com o contexto do usuário. As companhias também devem implantar tecnologias específicas, como prevenção de perda de dados e prevenção de invasão para aprimorar suas capacidades de monitoramento. A integração dessas tecnologias com a infraestrutura do SIEM permite um monitoramento de atividades mais amplo e eficaz.
InfoAbril
Nenhum comentário:
Postar um comentário