Analysis
Daniel Wiley, Head of Incident Response da Check Point, aborda o 'trabalho de detetive' que leva a cabo nas empresas quando são atacadas e refere que a cibersegurança das organizações depende da proatividade
Por Rui Damião . 29/06/2021
Como é que as organizações podem identificar um ataque cibernético? A maioria dos clientes não tem a visibilidade necessária para ver as impressões digitais do crime que está a ser cometido. Se utilizar a sua casa como exemplo, tem sua campainha com uma câmara, terá fechaduras nas portas, pode ter câmaras em casa... O problema é que a maioria dos clientes não sabe o que procurar no crime cibernético que estamos a presenciar. Não sabem as impressões digitais ou as táticas que o invasor está a utilizar e que não podem ver. Isso é um desafio e, normalmente, o que é necessário é de uma equipa de especialistas para entrar e reconstruir a cena do crime para que seja possível obter todas as evidências digitais, reconstruir e fazer a engenharia inversa de como é que o atacante invadiu o sistema, que ações realizaram, que dados roubaram, se se moveram lateralmente e qual foi o impacto. Tornamo-nos detetivas e essa é a única maneira de reconstruir a cena do crime para descobrir exatamente o que aconteceu. Num caso típico, quanto tempo levam para identificar que houve um ataque cibernético? Infelizmente, no lado do ransomware, é sempre a mesma história; é realmente muito fácil porque já se conhecem as técnicas, as táticas e os procedimentos que o atacante utiliza contra a vítima. Portanto, em casos de ransomware, uma ou duas semanas, talvez três. Em ataques de Estados-nação muito grandes, como o que aconteceu com a SolarWinds, podem-se levar anos para contar toda a história, porque o impacto foi enorme, afetou muitas vítimas e existe muitas partes móveis. Acho que neste ataque em particular, vai levar muito tempo para montar a cena do crime virtual em termos globais. Há empresas que, por vezes, utilizam software comprometido. As organizações sabem que também podem estar vulneráveis? Não, e isso volta ao mesmo ponto. Não estão à procura das coisas certas. O que quero dizer aplica-se a ransomware, ao ataque da SolarWinds ou qualquer ataque após o comprometimento inicial. Existe uma técnica de ataque comum, chamada movimento lateral, que se move de uma máquina para outra. O fio condutor de todas essas vítimas é o Active Directory. O atacante tem técnicas, comandos e processos que servem para danificar ou utilizar o Active Directory, para elevar as permissões e se mover dentro do ambiente. E essa é a parte fundamental que está avariada em todos os nossos clientes. Na Internet, todos, não quero saber quem, têm o Active Directory danificado. É simples. E esta peça fundamental dá acesso a literalmente tudo no ambiente que não está a ser monitorizado, não está a ser controlado, não está a ser vigiado, não está a ser auditado, porque não temos controlos suficientes para poder observar o que está a acontecer dentro do Active Directory. Como é que se arranja o Active Directory? Destrói-o, faço-o explodir. Pegue numa bomba nuclear e faça-o explodir. Depois começa a separar os componentes do Active Directory. O Active Directory é um diretório; tem todos os utilizadores, PC, impressoras, servidores, toda a sua infraestrutura num só lugar. Também dá autorização, dá contabilidade, dá permissões, dá acesso. Só dá, dá, dá, dá e dá. Tem todas estas coisas que oferece ao ambiente para tornar a sua vida mais fácil de gerir. O que é uma coisa boa do ponto de vista do suporte de help desk, mas é muito, muito mau para a segurança porque coloca todos os seus ovos na mesma cesta. O que estou a dizer à maioria de nossos clientes é começar a remover alguns desses ovos dessa cesta. Comece a executar autenticação multifator para separar o nome de utilizador e a senha do Active Directory. Limite como executa scripts de PowerShell ou quais as permissões que concede para montar partilhas, ou não conceda privilégios administrativos elevados num PC. Todas estas coisas, e há literalmente milhares de controlos que são geridos no Active Directory, e eu começaria a separar essas funções e isso está a acontecer. Ao mesmo tempo que os clientes se estão a mover para a cloud, estão a começar a separar esses componentes. Portanto, o impacto torna-se num pouco menor cada vez que removem um componente do Active Directory. É por isso que se olhar para empresas como Octa ou Duo, ou outros mecanismos de autenticação, estão muito na moda agora. Existem produtos importantes no espaço de segurança de IT e o motivo é que os clientes estão a começar a deixar de colocar tudo no Active Directory. O 'trabalho de detetive' é solicitado de forma proativa por parte dos clientes ou apenas quando eles acham que pode haver algo errado? Temos abordagens diferentes: uma é a reação – parte o vidro, nos chegamos num cavalo branco, fazemos a investigação, damos um relatório e recomendações. Mas, para todos os nossos clientes, dizemos que precisam de ser proativos. Precisam de estar na frente de ataque. Precisamos de estar à frente do incidente. E esses são nossos serviços proativos, portanto, o planeamento de exercícios que todos odeiam, mas que ajudam a preparar a organização para quando algo dá errado. E se a organização não se preparou e não sabe onde estão os seus pontos fracos e fortes, estará numa posição muito má quando o ataque realmente ocorrer. O principal é planear não apenas dentro da organização de IT, mas também com os advogados, com as companhias de seguros, com o contabilista que diz se vai pagar algo ou não e a representação da empresa que sabe o que a equipa executiva quer fazer. Se não estiverem todos alinhados, os resultados podem ser maus, significativamente maus, tanto do ponto de vista de relações públicas, como de uma perspetiva de resposta técnica. O que dizemos é para se reunir todos, trabalharem como equipa, entender os pontos fortes e fracos e torná-los mais fortes. As organizações continuam a ver a segurança cibernética apenas como uma despesa ou já começam a ver como um investimento? Infelizmente, ainda não veem como um investimento; veem como um item de despesa no qual não querem incorrer. Isso é um problema porque o que acontece é que, se não está a investir, torna-se em negligência. E quando negligencia, tem um cancro. E quando tem um cancro, ele espalha-se e a organização morre. Isto é o que está a acontecer num cenário de IT. Investe-se em algo que, inicialmente, se acha que é bom o suficiente, mas não se lida com nenhuma das dívidas nas quais se incorrem com qualquer tecnologia executada ou com a infraestrutura que tem e, simplesmente, deixa-se estar parada até morrer. Esta é a maneira como um atacante entra na infraestrutura. Se tomar atalhos em cibersegurança, será atacado. É preciso ser proativo. Sempre que digo isto as pessoas riem-se, mas é como escovar os dentes três vezes ao dia. É o que o dentista diz para fazer. Também diz para parar de comer comida gordurosa e fazer exercícios, certo? É exatamente a mesma coisa com a segurança de IT. É preciso fazer o básico todos os dias, ou vai ficar nesta situação. Faltam talentos em TI, principalmente em cibersegurança. Isso tem impacto na segurança das organizações? Sim, sim, sim e sim. É por isso que estamos a construir a nossa plataforma de serviço gerida de resposta e deteção. Estamos a construir uma plataforma em que a Check Point fornece a monitorização, deteção e resposta 24 horas por dia, sete dias por semana dentro do ambiente do cliente. Estamos a construir um ecossistema de Parceiros à volta torno disso. Não é apenas a Check Point que entrega o serviço, há tecnologia, Parceiros de integração, Parceiros de Canal que têm a oportunidade de participar e criar um ecossistema. Se as organizações não conseguirem encontrar o pessoal da segurança, forneceremos elementos do seu ciclo de vida de segurança como um serviço. Acho que esse é o futuro. É muito complicado. Tenho alguns seres humanos incrivelmente inteligentes a trabalhar nisto e, mesmo para nós, há momentos em que é um desafio, porque os atacantes estão cada vez melhores no que fazem. Uma empresa de pequena ou médio dimensão não tem nenhuma chance. Esta oferta já está disponível? Vamos lançar o nosso MDR e já estamos a levar clientes e Parceiros. O lançamento oficial ainda não foi definido, mas é em meados de julho. Estará disponível em Portugal? Sim, para que possamos apoiar qualquer cliente, em qualquer lugar do mundo na nossa arquitetura. É a ideia que temos. A capacidade de prestar o serviço em qualquer lugar com conhecimentos linguísticos é obviamente sempre um desafio, especialmente em Portugal, por isso tudo está em inglês, mas estamos a trabalhar na conversão de alguma desta capacidade para a língua. Uma parte das organizações quer apenas uma solução para o seu problema pelo menor preço possível. Também sente isso? Vejo isso todos os dias e são os mesmos clientes que estão a ficar comprometidos. Supondo que ocorre um ataque e é chamado para o analisar. Como é que se faz a contenção do mesmo? A solução passa por desligar tudo, como aconteceu, por exemplo, na Colonial Pipeline? Cada caso é um caso. A nossa abordagem é adaptada pelo envolvimento, mas posso dizer que temos um conjunto completo de recursos desde a desconexão da Internet até à correção em vigor ou reconstrução. Novamente, isso realmente depende do tamanho da violação, até onde foi movida lateralmente e qual o impacto. Fazemos essa avaliação e descobrimos onde estão os limites do ataque e colocamos os controlos no lugar. Uma coisa que fazemos para qualquer um dos nossos clientes de resposta a incidentes é que todos os produtos da Check Point são gratuitos durante o incidente, para que possamos implementar tecnologias e recursos de Check Point adicionais e até mesmo o nosso serviço MDR para monitorizar o ambiente. Obviamente, após o incidente, o cliente tem a opção de assinar o serviço ou comprar o produto, mas queremos disponibilizar isso para poder lidar com as ameaças que estamos a assistir. A sua equipa teve algum tipo de caso em que teve de trabalhar para uma empresa portuguesa? Não posso entrar em detalhes, obviamente, mas posso dizer que tivemos várias vítimas em Portugal. Variam de uma espécie de empresa de pequeno a médio porte a extremamente grande. Nos verticais, finanças é uma delas, assim como logística. O que as empresas devem fazer para aumentar sua segurança cibernética? Seja proativo! Preste atenção à sua volta. Estou a tentar ser muito honesto. Não sei quanto danos mais têm de ser causados. Já morreram pessoas por causa disto. A comida já deixou de ser entregue. Durante a pandemia, centenas de hospitais foram afetados. Tivemos conflitos geopolíticos. Não estou a dizer que nos estamos a aproximar de um estado de guerra, mas estamos em estado de guerra, certo? Estamos literalmente em estado de guerra no espaço cibernético a tentar defender contra um atacante onde não podemos atacar de volta. Estamos literalmente apenas a levar murros na cara todos os dias. Não pode retaliar porque não é um governo, então tem de ser proativo. Isso significa ter a certeza de que os seus controlos de segurança estão ativados corretamente; na maioria dos casos em que trabalhamos, não estão. Atualize o seu ambiente. Certifique-se que entende o que está vulnerável e atualize-o continuamente. Coloque um programa à volta disso. Não assuma que apenas um produto vai resolver esse problema; precisa de um programa de segurança e, se precisar de ajuda para desenvolvê-lo, ligue para nós. Podemos ajudá-lo a desenvolver um programa que não tem de custar um braço e uma perna. Significa apenas que está a gastar 5/10% do seu tempo de IT a aplicá-lo à segurança. Mas apenas ligar um produto e presumir que funcionará é uma missão parva. Isso não vai funcionar. É precisa ter um plano. |