Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

A Importância da Segurança Cibernética em Startups

A segurança cibernética é crucial para startups, independentemente do seu tamanho ou setor de atuação. Ela protege os ativos digitais e garante a continuidade dos negócios. É por esse motivo que lançamos o Guia de Segurança para Startups, um Ebook gratuito que pode ajudar qualquer startup a melhorar seus processos de segurança. 

Abaixo, alguns pontos que destacamos neste conteúdo e que podem ajudar startups na frente de segurança. 

Proteção dos Ativos Digitais:

  1. Startups dependem de dados confidenciais, propriedade intelectual e informações estratégicas.
  2. A falta de segurança cibernética pode expor esses ativos a violações de dados, roubo de propriedade intelectual e perda de informações comerciais.
  3. Investir em segurança cibernética protege esses ativos e preserva a vantagem competitiva da startup.

Manutenção da Confiança dos Clientes:

  • A confiança dos clientes é essencial para o sucesso de qualquer startup.
  • Os clientes compartilham dados pessoais e financeiros, esperando que sejam tratados com segurança.
  • Uma violação de segurança cibernética pode resultar em perda de confiança, danos à reputação e perda de base de clientes.
  • Priorizar a segurança cibernética é fundamental para manter a confiança dos clientes e proteger a reputação da empresa.

Cumprimento de Regulamentações e Requisitos Legais:

  • Muitas startups estão sujeitas a regulamentações de privacidade de dados e segurança cibernética.
  • É essencial garantir a conformidade com essas regulamentações, pois o não cumprimento pode resultar em penalidades financeiras e legais significativas.
  • Adotar medidas de segurança cibernética adequadas pode ajudar a evitar violações regulatórias e demonstrar o compromisso da startup com a proteção dos dados dos clientes.
  • Um ataque cibernético bem-sucedido pode interromper as operações da startup, resultando em perdas financeiras significativas. Isso pode incluir custos de recuperação de dados, tempo de inatividade do sistema, perda de produtividade, perda de clientes e danos à reputação.
  • Investir em medidas de segurança cibernética robustas pode ajudar a prevenir essas interrupções e minimizar o impacto financeiro de potenciais ataques.

A segurança cibernética é essencial para proteger ativos digitais, manter a confiança dos clientes, cumprir regulamentações e prevenir interrupções e perdas financeiras. Priorizar a segurança cibernética desde o início é fundamental para a sustentabilidade e o sucesso a longo prazo de uma startup. Ao implementar políticas, processos e tecnologias de segurança apropriados, as startups podem proteger seus ativos digitais, construir confiança com os clientes e se destacar em um ambiente empresarial cada vez mais digital e ameaçador.

Desafios de Segurança Específicos para Startups

Embora a segurança cibernética seja importante para todas as empresas, as startups enfrentam desafios únicos devido às suas características particulares. Ao compreender e abordar esses desafios, as startups podem proteger melhor seus ativos digitais e garantir a continuidade de suas operações. Abaixo estão alguns dos principais desafios de segurança enfrentados pelas startups:

Orçamento Limitado:

Muitas startups têm recursos financeiros limitados, o que pode dificultar o investimento em medidas abrangentes de segurança cibernética.

Isso pode resultar em uma falta de ferramentas avançadas de segurança e na impossibilidade de contratar especialistas em segurança.

Superar esse desafio requer uma abordagem estratégica, focada em soluções de segurança acessíveis, como softwares de código aberto, serviços de segurança em nuvem e parcerias com provedores de segurança confiáveis.

Consciência e Conhecimento Limitados:

Em muitos casos, as startups têm equipes enxutas e recursos limitados para treinamento em segurança cibernética. Isso pode levar a uma falta de consciência e conhecimento sobre as melhores práticas de segurança cibernética.

É fundamental que os fundadores e as equipes das startups sejam educados sobre os conceitos básicos de segurança cibernética e recebam treinamento adequado para identificar e mitigar riscos de segurança. Buscar orientação de consultores de segurança ou profissionais externos pode ser benéfico para ajudar as startups a enfrentarem esses desafios.

Crescimento Rápido e Ambiente em Constante Mudança:

As startups geralmente experimentam um rápido crescimento e operam em ambientes dinâmicos e em constante evolução. Essa natureza empreendedora pode levar a uma falta de estrutura de segurança adequada e à adoção de soluções de curto prazo. É importante que as startups desenvolvam uma mentalidade proativa em relação à segurança cibernética e incorporem medidas de segurança desde o início.

Isso inclui a implementação de políticas e procedimentos de segurança, a adoção de boas práticas de desenvolvimento seguro de software e a realização de avaliações regulares de risco.

Terceirização e Parcerias:

Muitas startups terceirizam serviços e fazem parcerias com fornecedores externos para agilizar suas operações. No entanto, isso também introduz desafios de segurança adicionais, uma vez que as startups precisam confiar nesses parceiros para proteger os dados e ativos compartilhados. 

É fundamental realizar uma due diligence adequada ao selecionar parceiros de negócios e fornecedores de serviços para garantir que eles mantenham altos padrões de segurança. Além disso, é importante estabelecer acordos claros de responsabilidade e segurança cibernética por meio de contratos e acordos de confidencialidade.

Ameaças Internas e Acesso Privilegiado: 

Em uma startup, o acesso aos sistemas e dados pode ser concedido a um número limitado de funcionários, aumentando o risco de ameaças internas. Embora seja essencial confiar nos membros da equipe, é importante implementar controles de acesso adequados e adotar uma abordagem de privilégios mínimos. Isso significa fornecer acesso apenas aos recursos necessários para realizar as funções específicas de cada indivíduo e monitorar regularmente as atividades de usuários privilegiados.

Estratégias para Fortalecer a Segurança Cibernética em Startups

Apesar dos desafios, as startups podem implementar estratégias eficazes para fortalecer sua postura de segurança cibernética. Abaixo estão algumas práticas recomendadas:

Desenvolvimento de uma Cultura de Segurança Cibernética:

A cultura de segurança cibernética é fundamental para o sucesso de qualquer iniciativa de segurança. As startups devem promover a conscientização sobre segurança cibernética entre todos os funcionários, desde os fundadores até a equipe operacional. Isso pode ser alcançado por meio de workshops de treinamento, campanhas de conscientização e integração de práticas de segurança cibernética no processo de integração de novos funcionários.

Implementação de Políticas e Procedimentos de Segurança:

Políticas e procedimentos de segurança bem definidos fornecem uma estrutura para gerenciar o risco cibernético. Essas políticas devem abordar o uso aceitável de tecnologia, acesso a dados, gerenciamento de senhas, incidentes de segurança e resposta a incidentes. É importante manter essas políticas atualizadas e revisá-las regularmente para garantir sua eficácia.

Proteção de Dados e Sistemas:

É crucial implementar medidas de proteção de dados e sistemas para salvaguardar os ativos digitais da startup. Isso pode incluir o uso de criptografia de dados, firewalls, software antivírus e anti-malware, bem como backups regulares de dados.

Gestão de Riscos Cibernéticos:

A gestão de riscos cibernéticos é um processo contínuo que ajuda as startups a identificar, avaliar e mitigar os riscos de segurança cibernética. Isso envolve a realização de avaliações regulares de vulnerabilidade, testes de penetração e monitoramento contínuo da rede.

Manutenção e Atualização de Software:

Manter o software atualizado é essencial para corrigir vulnerabilidades de segurança conhecidas. As startups devem implementar um processo para aplicar prontamente atualizações de software para sistemas operacionais, aplicativos e firmware.

Plano de Resposta a Incidentes:

É fundamental ter um plano de resposta a incidentes bem definido para lidar com violações de segurança cibernética. O plano deve descrever os passos a serem tomados para detectar, conter, erradicar e se recuperar de um incidente.

Conclusão

A segurança cibernética é uma preocupação crítica para startups de todos os tamanhos. Ao compreender os desafios específicos de segurança e implementar as estratégias recomendadas, as startups podem proteger seus ativos digitais, construir confiança com os clientes e estabelecer uma base sólida para o sucesso a longo prazo. Investir em segurança cibernética não deve ser visto como um custo, mas sim como um investimento na continuidade dos negócios e na estabilidade da startup.

Não deixe de baixar nosso Ebook Grátis: O Guia de Segurança para Startups para aprender mais sobre os desafios de segurança. 

DNS Cache Poisoning: Entendendo a ameaça cibernética e suas consequências

O DNS Cache Poisoning, ou envenenamento de cache DNS, é uma forma de ataque cibernético que visa manipular os caches de DNS para redirecionar o tráfego da web para servidores maliciosos. Esse tipo de ataque é especialmente perigoso, pois pode resultar em sérias consequências, incluindo roubo de dados sensíveis, instalação de malware e comprometimento da integridade dos sistemas.

Como o DNS Cache Poisoning Funciona?

O envenenamento de cache DNS ocorre quando um atacante consegue inserir informações falsas nos caches de DNS de um servidor. Isso pode ser feito de várias maneiras, incluindo a exploração de vulnerabilidades nos protocolos de comunicação DNS ou o uso de técnicas de engenharia social para enganar os servidores de DNS.

Uma vez que o cache DNS é comprometido, os usuários que tentam acessar um determinado site podem ser redirecionados para um site malicioso, controlado pelo atacante. Isso pode resultar em roubo de dados, instalação de malware e outras atividades maliciosas.

Exemplos de Ataques de DNS Cache Poisoning

Um exemplo famoso de ataque de DNS cache poisoning ocorreu em 2008, quando o site de um grande banco foi redirecionado para um site falso, controlado por hackers. Isso resultou na exposição de milhares de dados de clientes e causou danos significativos à reputação da instituição financeira.

Outro exemplo é o ataque DNSChanger, que ocorreu em 2012 e afetou milhões de usuários em todo o mundo. Nesse ataque, os hackers conseguiram alterar as configurações de DNS de milhões de computadores, redirecionando o tráfego da web para servidores maliciosos.

Consequências do DNS Cache Poisoning

As consequências do envenenamento de cache DNS podem ser graves. Além do roubo de dados e da instalação de malware, esse tipo de ataque também pode resultar em danos à reputação de uma empresa e perda de confiança dos clientes. Além disso, o envenenamento de cache DNS pode ser usado como parte de um ataque mais amplo, como um ataque de negação de serviço (DDoS), que pode causar danos significativos a uma organização.

Como o DNS Cache Poisoning foi Descoberto?

O envenenamento de cache DNS foi descoberto pela primeira vez em meados da década de 1990, quando os pesquisadores de segurança perceberam que era possível manipular os caches de DNS para redirecionar o tráfego da web. Desde então, várias técnicas e ferramentas foram desenvolvidas para detectar e mitigar esse tipo de ataque, incluindo o uso de DNSSEC (DNS Security Extensions), que adiciona uma camada adicional de segurança aos sistemas de DNS.

Em resumo, o DNS Cache Poisoning representa uma séria ameaça à segurança cibernética, pois pode resultar em roubo de dados, instalação de malware e danos à reputação de uma empresa. É importante que as organizações estejam cientes desse tipo de ataque e implementem medidas adequadas para proteger seus sistemas e dados contra ele.

Prevenção do Cache Poisoning

Prevenir o envenenamento de cache DNS é fundamental para proteger a integridade e a segurança dos sistemas de DNS e da web. Existem várias medidas que podem ser adotadas para reduzir o risco e mitigar os impactos desse tipo de ataque.

1. Implementar DNSSEC

O DNS Security Extensions (DNSSEC) é uma das principais medidas de segurança para proteger contra o envenenamento de cache DNS. O DNSSEC adiciona uma camada de autenticação e integridade aos registros DNS, garantindo que as informações de DNS sejam legítimas e não tenham sido alteradas por terceiros mal-intencionados. Ao implementar o DNSSEC, os servidores DNS podem verificar a autenticidade dos registros DNS, reduzindo significativamente o risco de envenenamento de cache. Aprenda mais sobre DNSSEC. 

2. Usar firewalls e filtros de DNS

Firewalls e filtros de DNS podem ajudar a detectar e bloquear tentativas de envenenamento de cache DNS. Essas ferramentas podem ser configuradas para monitorar o tráfego de DNS em busca de padrões suspeitos ou tentativas de manipulação de DNS. Ao bloquear o tráfego malicioso, os firewalls e filtros de DNS podem ajudar a proteger os sistemas contra ataques de envenenamento de cache.

3. Limitar as consultas recursivas

Limitar as consultas recursivas nos servidores DNS pode ajudar a reduzir a exposição ao envenenamento de cache DNS. Os servidores DNS podem ser configurados para aceitar consultas recursivas apenas de fontes confiáveis, como outros servidores DNS internos. Isso pode impedir que atacantes externos explorem vulnerabilidades nos servidores DNS para envenenar caches.

4. Monitorar e atualizar regularmente os servidores DNS

Monitorar e manter os servidores DNS atualizados é essencial para proteger contra o envenenamento de cache DNS. Os administradores de rede devem estar atentos a sinais de atividade suspeita nos servidores DNS, como consultas incomuns ou tentativas de manipulação de DNS. Além disso, manter os servidores DNS atualizados com as últimas correções de segurança pode ajudar a proteger contra vulnerabilidades conhecidas que podem ser exploradas por atacantes.

5. Educar os usuários sobre segurança de DNS

Educar os usuários sobre os riscos do envenenamento de cache DNS e as melhores práticas de segurança de DNS pode ajudar a reduzir o impacto desses ataques. Os usuários devem ser orientados a verificar a autenticidade dos sites que visitam, evitando clicar em links suspeitos ou fornecer informações pessoais em sites não verificados. Além disso, os usuários devem ser incentivados a manter seus sistemas atualizados com as últimas correções de segurança e a usar uma VPN ao navegar na web para proteger sua privacidade e segurança.

Em resumo…

O envenenamento de cache DNS representa uma séria ameaça à segurança cibernética, comprometendo a integridade e a confiabilidade dos sistemas de DNS e da web. Compreender essa ameaça e implementar medidas preventivas adequadas é essencial para proteger usuários e sistemas contra ataques maliciosos. A implementação de DNSSEC, como por exemplo, a solução da GoCache, o uso de firewalls e filtros de DNS, a limitação de consultas recursivas, a monitoração e atualização regular dos servidores DNS, e a educação dos usuários sobre segurança de DNS são algumas das medidas que podem ser adotadas para mitigar o risco de envenenamento de cache DNS e proteger a infraestrutura de DNS contra ataques.

DNS Hijacking: Entendendo a Ameaça

O DNS hijacking é um ataque malicioso que envolve a alteração das configurações de DNS de um dispositivo, redirecionando suas consultas de DNS para um servidor DNS falso controlado pelo atacante. Esse tipo de ataque pode levar os usuários a sites falsos, interceptar seu tráfego ou roubar informações sensíveis. Compreender como o DNS hijacking funciona e como preveni-lo é crucial para manter a segurança online.

Como o DNS Hijacking Funciona

O DNS hijacking geralmente ocorre quando os atacantes comprometem o dispositivo ou a rede de um usuário e alterar suas configurações de DNS para apontar para um servidor DNS malicioso. 

Quando o usuário tenta acessar um site, seu dispositivo envia uma consulta de DNS para resolver o nome de domínio em um endereço IP. Em vez de receber o endereço IP legítimo, o dispositivo do usuário recebe o endereço IP de um servidor malicioso controlado pelo atacante. Isso permite que o atacante intercepte o tráfego do usuário, redirecionando-o para sites falsos e roubar suas informações.

Exemplos de DNS Hijacking

Um exemplo de DNS hijacking é quando os atacantes usam malware para alterar as configurações de DNS de um dispositivo. Por exemplo, um usuário pode baixar e instalar inadvertidamente um aplicativo malicioso que modifica as configurações de DNS de seu dispositivo. Outro exemplo é quando os atacantes comprometem o servidor DNS de uma rede e alteram suas configurações para redirecionar os usuários para sites maliciosos.

Consequências do DNS Hijacking

As consequências do DNS hijacking podem ser graves. Os usuários redirecionados para sites falsos podem inserir informações sensíveis, como nomes de usuário, senhas ou detalhes de cartão de crédito, que podem ser roubados pelo atacante. Além disso, o DNS hijacking pode ser usado para entregar malware ao dispositivo de um usuário, comprometendo sua segurança e privacidade.

Como o DNS Hijacking é Descoberto

O DNS hijacking pode ser descoberto por meio de várias formas. Os usuários podem notar que estão sendo redirecionados para sites inesperados ou que sua conexão com a Internet está anormalmente lenta. Os administradores de rede podem usar ferramentas de monitoramento de DNS para detectar atividades de DNS incomuns ou alterações nas configurações de DNS. Além disso, os pesquisadores de segurança podem descobrir ataques de DNS hijacking por meio da análise do tráfego de rede ou de amostras de malware.

Prevenção do DNS Hijacking

A prevenção do DNS hijacking requer uma combinação de medidas de segurança. Os usuários devem garantir que seus dispositivos estejam protegidos com software antivírus atualizado e devem ter cuidado ao baixar arquivos ou clicar em links de fontes desconhecidas. Os administradores de rede devem monitorar regularmente as configurações de DNS e o tráfego em busca de sinais de alterações não autorizadas. Além disso, a implementação de medidas de segurança de DNS, como o DNSSEC, pode ajudar a proteger contra o DNS hijacking, garantindo a autenticidade das respostas de DNS. Inclusive, neste quesito vale citar que a GoCache é uma solução que oferece uma zona de DNS com suporte nativo para DNSSEC. 

Em resumo…

O DNS hijacking é uma ameaça séria que pode comprometer a segurança e a privacidade dos usuários. Ao entender como o DNS hijacking funciona e implementar medidas de segurança apropriadas, os usuários e os administradores de rede podem se proteger contra esse tipo de ataque. Manter-se informado sobre as últimas ameaças de segurança e as melhores práticas é essencial para se manter seguro online.

O que é Syslog, e como ele me ajuda a gerenciar aplicações web

O Syslog foi originalmente desenvolvido como parte do sistema operacional BSD, mas muitos outros sistemas operacionais e dispositivos de rede o adotaram desde então. Ele é usado para rastrear eventos do sistema, alertas de segurança e outras mensagens importantes, e fornece um local central para armazenar e gerenciar dados de log.

Antes de nos aprofundarmos nos formatos do Syslog, precisamos aprender mais sobre os Syslogs.

O que é o protocolo Syslog?

As mensagens do Syslog são tipicamente enviadas usando o Protocolo de Datagrama de Usuário (UDP) e são recebidas por um servidor de syslog, que pode então processar e armazenar as mensagens conforme necessário. O protocolo syslog inclui um conjunto de regras e convenções para formatação e transmissão de mensagens de syslog, e essas regras são seguidas por dispositivos e servidores que usam syslog. Ele define a estrutura e o conteúdo das mensagens de syslog, bem como as regras para enviá-las e recebê-las.

No diagrama acima, o “device” é um dispositivo de rede que gera mensagens de syslog. Essas mensagens são geradas por aplicativos e pelo kernel em execução no dispositivo e são passadas para a camada UDP para transmissão. O servidor de syslog recebe as mensagens e as processa conforme necessário. O cliente de syslog pode então recuperar e visualizar as mensagens de log armazenadas no servidor de syslog.

O protocolo syslog inclui vários formatos de mensagem, incluindo o formato de syslog BSD original, o formato de syslog IETF mais recente e o formato de syslog IETF estendido. Ele também define um conjunto de prioridades e gravidades de mensagem que podem ser usadas para classificar mensagens de syslog com base em sua importância.

Caso queira aprender mais sobre diferentes formatos de logs, recomendamos a leitura do artigo: Diferentes formatos de logs utilizados em SIEM

Além de seu uso como sistema de registro, o syslog também pode ser usado para encaminhar mensagens para outros servidores ou dispositivos para processamento ou análise adicionais. 

Isso permite que as organizações centralizem seus dados de log e facilitem o gerenciamento e a análise.

E quais os benefícios do Syslog?

Alguns dos principais benefícios do registro são os seguintes:

  • Melhoria no desempenho da rede: ter um sistema padronizado e centralizado, como um coletor de syslog, simplifica o gerenciamento de logs para dispositivos de rede. Isso ajuda a economizar tempo, acelerar o processo de revisão de logs e implementar a solução de problemas preventiva.
  • Segurança: Você pode configurar eventos de autenticação avançados para o servidor de logs, como o servidor de syslog para Linux, em todos os dispositivos inativos sem a necessidade de instalar e configurar um agente de monitoramento separadamente. Ao fazer isso, você pode garantir que eventos críticos relacionados a dispositivos de rede sejam armazenados longe do servidor original, o que impede que os atacantes excluam as informações da violação.
  • Monitoramento avançado de aplicativos: O monitoramento de aplicativos usando a ferramenta de monitoramento pode ajudá-lo a obter insights sobre como o aplicativo está sendo executado em um servidor, mas isso poderia ser restrito a aspectos específicos, como alta utilização da CPU ou aumento no uso da memória. No entanto, ao contrário disso, eventos registrados no servidor de syslog para Linux ou Unix podem fornecer informações mais granulares e aprofundadas sobre muitos outros problemas, como erros devido a uma nova gravação de banco de dados ou tentativa de acessar um arquivo bloqueado.

Formato e mensagens do Syslog

O formato da mensagem do syslog é especificado pela RFC 5424, o protocolo syslog. É comum para dispositivos de rede e aplicativos. O formato de syslog padrão garante uma comunicação mais rápida entre dispositivos de rede e o servidor de logs. Uma mensagem de syslog tem os seguintes componentes:

  • Cabeçalho: O cabeçalho contém detalhes como versão, timestamp, nome do host, aplicativo, ID do processo, ID da mensagem, aplicativo e prioridade.
  • Dados estruturados: Contém os blocos de dados em uma ordem específica “chave=valor” conforme o formato do syslog.
  • Mensagem: De acordo com o formato da mensagem do syslog, você deve codificar mensagens no formulário UTF-8. O protocolo syslog usa um valor de prioridade calculado (PRI) para categorização de mensagens. Os dados PRI são calculados com base em dois valores: Facility e Severity. O valor da Facility ajuda a determinar a origem da mensagem em uma máquina específica. Por exemplo, o valor da Facility “1” refere-se à mensagem de nível do Kernel. Em comparação, o valor de Severidade indica a importância ou criticidade da mensagem por meio de um valor numérico entre 0 e 7.
  • Mensagens de emergência (valor de severidade 0): O sistema não está disponível para uso.
  • Mensagens de alerta (valor de severidade 1): Ação imediata necessária para a estabilidade do sistema.
  • Mensagens críticas (valor de severidade 2): Problemas graves do sistema, como perda de conexão do ISP primário.
  • Mensagens de erro (valor de severidade 3): Erros do sistema que requerem atenção em um determinado período de tempo.
  • Mensagens de aviso (valor de severidade 4): Erro do sistema pode ocorrer se a ação apropriada não for tomada.
  • Mensagens de notificação (valor de severidade 5): O sistema está estável, mas uma condição significativa persiste. Ação imediata geralmente não é necessária.
  • Mensagens informativas (valor de severidade 6): Relatórios e mensagens de medição do sistema.
  • Mensagens de depuração (valor de severidade 7): Mensagens específicas de depuração de aplicativos.

A prioridade da mensagem é decidida combinando os valores da Facility e Severity. Além disso, a mensagem de log não pode ser maior que 1024 bytes, conforme o formato da mensagem do syslog. Além disso, o conteúdo real da mensagem não é especificado pelo protocolo.

Servidores de Syslog

O servidor de Syslog, também conhecido como coletor ou receptor de syslog, armazena centralmente as mensagens de syslog e as armadilhas SNMP de vários dispositivos de rede. Com armazenamento centralizado, você pode facilmente pesquisar, filtrar e visualizar as mensagens de syslog. Um servidor de syslog geralmente contém os seguintes componentes:

  • Syslog Listener: Ele coleta os dados do evento para permitir que o coletor comece a receber mensagens pela rede.
  • Banco de dados: O coletor de syslog gera um grande volume de dados. Um bom servidor geralmente possui um banco de dados grande para operações de leitura/gravação rápidas.

Os coletores de syslog oferecem um recurso de alerta inteligente projetado para notificá-lo sobre problemas iminentes com mensagens de log para evitar tempo de inatividade ou falha da rede. Ele também pode acionar respostas automatizadas às mensagens, como executar scripts e encaminhar mensagens de syslog. Além disso, um coletor de syslog de qualidade suporta o arquivamento de dados de log para ajudá-lo a cumprir os padrões de segurança da informação, como SOX, PCI-DSS e FISMA.

O syslog suporta todas as variantes do Linux, Unix e macOS. Você pode configurar facilmente servidores nessas plataformas, como o servidor de syslog para Linux. No entanto, o Windows OS não fornece suporte nativo para este protocolo de registro. 

Caso você seja cliente GoCache e queria centralizar seus logs dentro do seu SIEM preferido, consulte nossa página de Log Streaming.

Monitoramento de arquivos de log do Syslog

O monitoramento de syslog é uma abordagem passiva para o gerenciamento. Você pode usar ferramentas de monitoramento e alerta para configurar respostas automatizadas para determinadas mensagens de evento, como execução de scripts automatizados e envio de alertas por e-mail para administradores. Isso ajuda a acelerar o processo de controle de danos e melhorar a disponibilidade do aplicativo durante o horário comercial de pico.

O protocolo Syslog suporta vários dispositivos, incluindo componentes de rede como roteadores e switches, servidores web e vários sistemas operacionais como Linux e macOS. 

Você pode gerenciar redes complexas com grandes volumes de dados facilmente usando ferramentas de monitoramento de syslog. Além disso, essas ferramentas podem dividir automaticamente as mensagens de eventos para exibir os detalhes do remetente, mensagem, gravidade e facilidade para análise detalhada.

Diferentes formatos de logs utilizados em SIEM

Uma solução de Segurança da Informação e Gestão de Eventos (SIEM) é fundamental para manter a segurança da rede de uma organização, monitorando diversos tipos de dados. Os registros de log são essenciais, pois registram todas as atividades nos dispositivos e aplicativos em toda a rede. Para avaliar adequadamente a postura de segurança de uma rede, as soluções SIEM devem coletar e analisar diversos tipos de dados de log. Além disso, é importante ressaltar que os diferentes tipos de logs fornecem uma visão abrangente dos diferentes componentes da infraestrutura da organização. Os formatos dos logs também variam de acordo com a ferramenta de SIEM utilizada, o que requer uma compreensão detalhada das diferentes plataformas disponíveis para uma implementação eficaz da SIEM.

Este artigo explora os diferentes tipos de dados de log que você deve coletar e analisar usando uma solução SIEM para garantir a segurança da rede.

Tipos de dados de log:

Diferentes tipos de logs são gerados por uma variedade de dispositivos e aplicativos, cada um fornecendo informações valiosas sobre a saúde e segurança da rede. Neste contexto, exploraremos os principais tipos de logs, desde dispositivos de perímetro até dispositivos IoT, destacando a importância de cada um e como eles contribuem para a compreensão e proteção da infraestrutura de rede de uma organização.

1. Logs de dispositivos de perímetro

Os dispositivos de perímetro monitoram e regulam o tráfego de e para a rede. Firewalls, redes privadas virtuais (VPNs), sistemas de detecção de intrusões (IDSs) e sistemas de prevenção de intrusões (IPSs) são alguns dos dispositivos de perímetro. Esses dispositivos geram logs contendo uma grande quantidade de dados, e os logs de dispositivos de perímetro são vitais para entender os eventos de segurança que ocorrem na rede. Os dados de log no formato syslog ajudam os administradores de TI a realizar auditorias de segurança, solucionar problemas operacionais e entender melhor o tráfego que passa pela rede corporativa.

2. Logs de eventos do Windows

Os logs de eventos do Windows registram tudo o que acontece em um sistema Windows. Esses dados de log são classificados em:

– Logs de aplicativos do Windows

– Logs de segurança

– Logs do sistema

– Logs de serviços de diretório

– Logs do servidor DNS

– Logs do serviço de replicação de arquivos

3. Logs de endpoints

Os endpoints são dispositivos conectados à rede que se comunicam com outros dispositivos por meio de servidores. Alguns exemplos incluem desktops, laptops, smartphones e impressoras.

4. Logs de aplicativos

As empresas executam vários aplicativos, como bancos de dados, servidores web e outros aplicativos internos, para realizar funções específicas. Todos esses aplicativos geram log data que fornece insights sobre o que está acontecendo dentro dos aplicativos.

5. Logs de proxy

Os servidores proxy desempenham um papel importante na rede de uma organização, fornecendo privacidade, regulando o acesso e economizando largura de banda. Como todas as solicitações e respostas da web passam pelo servidor proxy, os logs do proxy podem revelar informações valiosas sobre estatísticas de uso e o comportamento de navegação dos usuários finais.

6. Logs de IoT

A Internet das Coisas (IoT) refere-se a uma rede de dispositivos físicos que trocam dados com outros dispositivos na Internet. Esses dispositivos são incorporados com sensores, processadores e software para permitir a coleta, processamento e transmissão de dados. Assim como os endpoints, os dispositivos que compõem um sistema IoT geram logs.

Os logs de todas as fontes acima geralmente são encaminhados para a solução de log centralizada que correlaciona e analisa os dados para fornecer uma visão geral da segurança de sua rede. Os logs são armazenados e transmitidos em diferentes formatos, como CSV, JSON, par de chaves e formato de evento comum.

Formatos de log diferentes: 

Existem diversos formatos de log, como por exemplo CSV (Comma-Separated Values), JSON (JavaScript Object Notation), Syslog, entre outros. É necessário entender que cada formato possui características específicas que o tornam adequado para diferentes tipos de análises e aplicativos. Neste contexto, exploraremos a importância e as características de cada formato de log, destacando como eles contribuem para o gerenciamento eficaz de logs em ambientes de rede.

CSV (Comma-Separated Values): O CSV é um formato de arquivo que armazena valores separados por vírgula. É um formato de arquivo de texto simples, o que permite que os arquivos CSV sejam facilmente importados para um banco de dados de armazenamento, independentemente do software usado. Como os arquivos CSV não são hierárquicos ou orientados a objetos, também são mais fáceis de converter em outros tipos de arquivos.

JSON (JavaScript Object Notation): O JSON é um formato de texto para armazenar dados. É um formato estruturado, o que facilita a análise dos logs armazenados. Também pode ser consultado por campos específicos. Esses recursos adicionais tornam o JSON um formato muito confiável para o gerenciamento de logs.

Par de Chaves (Key-Value Pair): Um par de chaves consiste em dois elementos: uma chave e um valor mapeado para ela. A chave é constante e o valor é variável em diferentes entradas. A formatação envolve a agrupamento de conjuntos semelhantes de dados sob uma chave comum. Ao executar a consulta para uma chave específica, todos os dados sob essa chave podem ser extraídos.

Formato de Evento Comum (Common Event Format – CEF): O Formato de Evento Comum, comumente referido como CEF, é um formato de gerenciamento de logs que promove a interoperabilidade tornando mais fácil coletar e armazenar dados de log de diferentes dispositivos e aplicativos. Ele usa o formato de mensagem syslog. Este formato de log é amplamente utilizado, é suportado por uma variedade de fornecedores e plataformas de software, e consiste em um cabeçalho CEF e uma extensão CEF que contém dados de log em pares de chave-valor.

ETFL (Extended Tag Format Log): O ETFL é um formato de log que estende o formato de log tradicional, como o syslog, adicionando informações adicionais e estruturadas aos registros de log. Ele é projetado para fornecer informações mais detalhadas e contextuais sobre eventos de segurança, permitindo uma análise mais profunda e eficaz. O ETFL é especialmente útil em ambientes de segurança cibernética, onde a compreensão completa de um evento é crucial para a resposta adequada a incidentes.

Syslog: O syslog é um protocolo padrão usado para enviar mensagens de log em uma rede IP. Ele é comumente usado para registrar eventos do sistema e de segurança em dispositivos de rede, servidores e aplicativos. O syslog também é usado como um formato de log, onde as mensagens são estruturadas em diferentes níveis de gravidade (como informações, avisos, erros e críticos) e contêm informações sobre o tempo, o dispositivo de origem e o conteúdo da mensagem. O syslog é altamente flexível e pode ser configurado para enviar mensagens para um servidor de log centralizado, facilitando a análise e o gerenciamento centralizado de logs em uma rede.

Coletar manualmente esses logs de todas as diferentes fontes em uma rede e correlacioná-los é um processo tedioso e demorado. Uma solução SIEM pode ajudá-lo com isso. Uma solução SIEM analisa os logs coletados de diferentes fontes, correlaciona os dados de log e fornece insights para ajudar as organizações a detectar e se recuperar de ciberataques.

Packet Capture (PCAP): Arquivos de captura de pacotes, comumente criados por ferramentas como Wireshark, contêm dados brutos de tráfego de rede capturados de uma interface de rede. Embora não seja estritamente um formato de log, os arquivos PCAP são frequentemente usados para análise de segurança de rede e investigações forenses.

API Rate Limit – Melhores Práticas

Quer você saiba ou não, se você navega na internet, você interagiu com uma API. As interfaces de programação de aplicativos (APIs) são conjuntos de protocolos que permitem que aplicativos de software se comuniquem entre si. Se o seu site tem muito tráfego, muitas pessoas podem estar interagindo com sua API. Então, como você faz para garantir o uso justo? A limitação de taxa de API pode ajudar.

Desenvolvedores web experientes definem limites para o número de solicitações que suas APIs podem lidar com os usuários, protegendo suas aplicações e garantindo maior disponibilidade. 

Vamos dar uma olhada mais aprofundada sobre o que são as limitações de taxa de API.

O que é limitação de taxa de API?

A limitação de taxa de API é um conjunto de medidas implementadas para ajudar a garantir a estabilidade e o desempenho de um sistema de API. Funciona definindo limites para quantas solicitações podem ser feitas dentro de um determinado período de tempo – geralmente alguns segundos ou minutos – e quais ações podem ser realizadas.

Se forem feitas muitas solicitações durante esse período, o sistema de API retornará uma mensagem de erro informando que o limite de taxa foi excedido.

A Importância da Limitação de Taxa de API

A limitação de taxa de API ajuda a garantir o desempenho e a estabilidade de um sistema de API. Você pode evitar tempo de inatividade, respostas lentas e ataques maliciosos. Além disso, a limitação de taxa pode prevenir o uso acidental ou não intencional de uma API. Isso ajuda a mitigar riscos de segurança ou perda de dados.

Ao implementar a limitação de taxa, as empresas podem proteger seus recursos e dados valiosos – tudo isso enquanto fornecem um desempenho confiável para seus usuários. Além disso, a limitação de taxa pode ajudar as empresas a economizar nos custos associados à gestão de um sistema de API. Você pode evitar que solicitações desnecessárias sejam processadas, o que economiza dinheiro.

Agora, vamos explorar as melhores práticas a serem seguidas ao definir limites de taxa.

Melhores Práticas de Limitação de Taxa de API

1. Avalie o tamanho e a frequência das chamadas da sua API.

Analise que tipo de tráfego você está recebendo e o que é razoável quando se trata de limitação de taxa. APIs frequentemente têm limites de uso ou planos de preços com base na frequência das chamadas. Ao entender o escopo da frequência das chamadas da sua API, você pode otimizar o uso. Isso ajuda os usuários a permanecerem dentro dos limites alocados e a evitar custos adicionais desnecessários.

Fazer chamadas frequentes à API pode impactar o desempenho e a capacidade de resposta de sua aplicação. Avaliar o tamanho permite identificar possíveis gargalos e otimizar seu código de acordo.

2. Crie limitações granulares 

Ao implementar um sistema de Rate Limit em sua API, é essencial criar limitações granulares para diferentes paths e métodos HTTP. Isso permite uma abordagem mais refinada e específica para o controle de acesso e uso da API, garantindo que recursos críticos sejam protegidos adequadamente contra abusos e ataques. Uma abordagem eficaz é definir limites específicos para cada path da API, levando em consideração a frequência e a intensidade esperadas de uso. 

3. Monitore a atividade dos usuários da API.

Ao abordar a limitação de taxa de API, acompanhe quem está usando sua API e o que eles estão fazendo. Isso pode ajudá-lo a identificar qualquer abuso potencial ou pessoas tentando sobrecarregar sua API. Acompanhe quais limites de taxa foram definidos, quais solicitações foram feitas e quais tempos de resposta foram experimentados.

Se você deseja ir além, crie uma lista de usuários ou serviços confiáveis que podem exceder o limite de taxa padrão.

4. Ajustes finos e gradativos 

Para aplicar as melhores práticas de API Rate Limit em seu sistema, é fundamental realizar ajustes finos e gradativos. Isso significa que você deve monitorar constantemente o desempenho e o comportamento do seu sistema por meio de dados observáveis e fazer ajustes incrementais com base nessas observações. Desta forma é é possível identificar e corrigir problemas de desempenho e otimizar a eficiência do sistema de forma mais precisa. 

Bons Exemplos de Limitação de Taxa de API

1. Facebook

O Facebook usa a limitação de taxa de API para controlar a taxa na qual desenvolvedores de terceiros podem acessar os recursos de sua plataforma. Essa prática garante a estabilidade, segurança e equidade do ecossistema do Facebook, ao mesmo tempo em que proporciona uma boa experiência ao usuário.

Por exemplo, o Facebook estabelece limites predefinidos para o número de solicitações de API que podem ser feitas por usuário dentro de um intervalo de tempo especificado. Esses limites podem variar com base em fatores como o tipo de endpoint de API, o nível de acesso à API e as configurações de privacidade do usuário. Ao impor limites de taxa, o Facebook impede o uso excessivo e possíveis abusos.

2. Twitter

O Twitter ajusta dinamicamente os limites de taxa com base em padrões de uso, carga do sistema e outros fatores. Isso permite que o Twitter se adapte às condições em mudança e aloque recursos de forma eficaz. Se um aplicativo mantiver um bom comportamento e não violar os limites de taxa, poderá obter permissões mais altas ao longo do tempo. Além disso, quando uma solicitação de API excede o limite permitido, o Twitter responde com um código de erro para indicar que o limite foi alcançado.

3. Google Maps

Ao implementar estratégias de limitação de taxa de API, o Google Maps garante que sua plataforma permaneça acessível e disponível para todos os seus usuários e desenvolvedores.

O Google fornece um Console de Desenvolvedor e painel para gerenciar projetos de API e monitorar o uso. Os desenvolvedores podem acompanhar o uso de sua API, visualizar quotas e limites, e receber relatórios e alertas de uso. O console também permite aos desenvolvedores analisar métricas de desempenho da API para otimizar suas aplicações.

Alguns serviços de API do Google Maps podem ter custos associados e cobrança baseada no uso. Nesses casos, a limitação de taxa de API desempenha um papel na gestão do uso para evitar cobranças inesperadas e garantir conformidade com planos e acordos de faturamento. 

Os desenvolvedores também podem ter a opção de comprar quota ou créditos adicionais para estender o uso de sua API além dos limites gratuitos.

Para resumir, um limite de taxa de API é um conjunto de regras que limita com que frequência um usuário ou aplicativo pode interagir com uma API para manter seu desempenho e protegê-la contra abusos.

É importante considerar que tipo de limite de taxa você precisa para garantir que seu sistema permaneça seguro e responsivo. Entender o que é um limite de taxa de API e como ele funciona ajudará você a fazer a escolha certa para sua aplicação ou serviço.

Ransomware – Guia Básico

Ransomware é um malware que emprega criptografia para manter as informações da vítima sob resgate. Os dados críticos de um usuário ou organização são criptografados para que eles não possam acessar arquivos, bancos de dados ou aplicativos.

Um resgate é então exigido para fornecer acesso. O ransomware geralmente é projetado para se espalhar por uma rede e ter como alvo bancos de dados e servidores de arquivos, podendo assim paralisar rapidamente uma organização inteira. É uma ameaça crescente, gerando milhares de milhões de dólares em pagamentos a cibercriminosos e infligindo danos e despesas significativas a empresas e organizações governamentais.

Segundo o relatório da “IBM Security X-Force Threat Intelligence Index 2023”, os ataques de ransomware representaram 17% de todos os ataques cibernéticos em 2022.

Além disso, o relatório indica que nos últimos anos, os ataques de ransomware evoluíram para incluir ataques de extorsão dupla e de extorsão tripla, o que aumenta consideravelmente os riscos. Mesmo as vítimas que mantêm rigorosamente backups de dados ou pagam o pedido de resgate inicial estão em risco. Os ataques de dupla extorsão acrescentam a ameaça de roubar os dados da vítima e vazá-los online. Além disso, os ataques de extorsão tripla ameaçam usar os dados roubados para atacar os clientes ou parceiros de negócios da vítima.

Um pouco sobre a história do Ransomware

Chantagear e extorquir desta forma as empresas não é uma invenção do século XXI. No final da década de 1980, os criminosos já mantinham arquivos criptografados como reféns em troca de dinheiro enviado pelos correios. Um dos primeiros ataques de ransomware já documentados foi o trojan AIDS (PC Cyborg Virus), lançado em disquete em 1989. As vítimas precisavam enviar US$189 para uma caixa postal no Panamá para restaurar o acesso aos seus sistemas, mesmo sendo um vírus simples que utiliza criptografia simétrica. 

Os primeiros casos concretos de ransomware foram relatados na Rússia em 2005. Desde então, o ransomware se espalhou por todo o mundo, com novos tipos continuando a ter sucesso. Em 2011, foi observado um aumento dramático nos ataques de ransomware. No decorrer de novos ataques, os fabricantes de software antivírus têm concentrado cada vez mais os seus antivírus em ransomware, especialmente desde 2016.

Muitas vezes, diferenças regionais podem ser vistas nos vários ataques de ransomware. Por exemplo:

  • Mensagens incorretas sobre aplicativos não licenciados: Em alguns países, os Trojans notificam a vítima de que software não licenciado está instalado no seu computador. A mensagem então solicita que o usuário efetue um pagamento.
  • Alegações falsas sobre conteúdo ilegal: Em países onde os downloads ilegais de software são uma prática comum, esta abordagem não é particularmente bem-sucedida para os cibercriminosos. Em vez disso, as mensagens de ransomware afirmam ser provenientes de agências de aplicação da lei e que pornografia infantil ou outro conteúdo ilegal foi encontrado no computador da vítima. A mensagem também contém a exigência do pagamento de uma multa.

E na prática, como funciona o ataque de Ransomware? 

Em média, o ciclo de vida do ransomware tem seis estágios gerais: distribuição e infecção de malware; comando e controle; descoberta e movimento lateral; roubo malicioso e criptografia de arquivos; extorsão; e resolução.

Estágio 1: Distribuição e infecção de malware

Antes que os invasores possam exigir um resgate, eles devem se infiltrar nos sistemas das vítimas e infectá-las com malware. Os vetores de ataque de ransomware mais comuns são phishing, Remote Desktop Protocol (RDP) e abuso de credenciais, além de vulnerabilidades de software exploráveis:

  • Phishing: Este é o tipo mais popular de engenharia social e continua a ser o principal vetor de ataque para todos os tipos de malware. Os invasores associam e-mails aparentemente legítimos a links e anexos maliciosos para induzir os usuários a instalar malware involuntariamente. Ataques de smishing, vishing, spear phishing e watering hole são formas de phishing e golpes de engenharia social que os invasores usam para enganar as pessoas e fazê-las iniciar a instalação de malware.
  • RDP e abuso de credenciais: Envolve o uso de ataques de força bruta ou de preenchimento de credenciais ou a compra de credenciais na dark web, com o objetivo de fazer login nos sistemas como usuários legítimos e, em seguida, infectar a rede com malware. O RDP, um dos favoritos dos invasores, é um protocolo que permite aos administradores acessar servidores e desktops de praticamente qualquer lugar e permite que os usuários acessem remotamente seus desktops. Implementações de RDP inadequadamente protegidas, no entanto, são um ponto de entrada comum de ransomware.
  • Vulnerabilidades de software: Eles também são alvos frequentes de infecções por ransomware. Os invasores se infiltram nos sistemas da vítima atacando software sem correção ou desatualizado. Um dos maiores incidentes de ransomware da história, o WannaCry, está ligado à exploração EternalBlue, uma vulnerabilidade em versões não corrigidas do protocolo Windows Server Message Block (SMB).

Etapa 2: Comando e controle

Um servidor de comando e controle (C&C) configurado e operado pelos invasores do ransomware envia chaves de criptografia ao sistema alvo, instala malware adicional e facilita outros estágios do ciclo de vida do ransomware.

Etapa 3: Descoberta e movimento lateral

Esta fase de duas etapas envolve primeiro que os invasores coletem informações sobre a rede da vítima para ajudá-los a entender melhor como lançar um ataque bem-sucedido e, em seguida, espalhem a infecção para outros dispositivos e aumentem seus privilégios de acesso para buscar dados valiosos.

Estágio 4: Roubo malicioso e criptografia de arquivos

Nesse estágio, os invasores exfiltram dados para o servidor C&C para uso em ataques de extorsão no futuro. Os invasores então criptografam os dados e sistemas usando as chaves enviadas de seu servidor C&C.

Etapa 5: Extorsão

Os invasores exigem o pagamento de um resgate. A organização agora sabe que é vítima de um ataque de ransomware.

Etapa 6: Resolução

A organização vítima deve entrar em ação para enfrentar e recuperar do ataque. Isto pode envolver a restauração de backups, a implementação de um plano de recuperação de ransomware, o pagamento do resgate, a negociação com os invasores ou a reconstrução de sistemas do zero.

E como posso me proteger contra Ransomware?

Para se defenderem contra ameaças de ransomware, agências federais como CISA, NCIJFT e o Serviço Secreto dos EUA recomendam que as organizações tomem certas medidas de precaução, tais como:

  • Manter backups de dados confidenciais e imagens do sistema, de preferência em discos rígidos ou outros dispositivos que possam ser desconectados da rede.
  • Aplicar patches regularmente para ajudar a impedir ataques de ransomware que exploram vulnerabilidades de software e sistema operacional.
  • Atualização de ferramentas de segurança cibernética, incluindo software antimalware e antivírus, firewalls, ferramentas de monitoramento de rede e gateways web seguros. Além disso, usando soluções corporativas de segurança cibernética, como orquestração, automação e resposta de segurança (SOAR), detecção e resposta de endpoint (EDR), gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta estendida (XDR). Essas soluções ajudam as equipes de segurança a detectar e responder a ransomware em tempo real.
  • Treinamento de funcionários em segurança cibernética para ajudar os usuários a reconhecer e evitar phishing, engenharia social e outras táticas que podem levar a infecções por ransomware.
  • Implementação de políticas de controle de acesso, incluindo autenticação multifatorial, arquitetura de confiança zero, segmentação de rede e medidas semelhantes. Essas medidas podem impedir que o ransomware atinja dados particularmente confidenciais e evitar que os criptoworms se espalhem para outros dispositivos na rede.

Os maiores ransomwares da história

Os ataques de ransomware são um pesadelo digital que parece saído de um filme, mas infelizmente é uma realidade severa enfrentada por organizações em todo o mundo. Em diferentes setores, da saúde ao ensino superior, todos estão sujeitos a este tipo de crime cibernético.

É comum que ataques de ransomware tragam perdas financeiras relevantes para uma companhia, além de diversos prejuízos que podem impactar na reputação e confiabilidade de uma marca.

Neste postblog separamos os 11 principais ransomware da última década, trazendo em mais detalhes as estratégias engenhosas dos atacantes, a magnitude das perdas financeiras, e a necessidade de medidas proativas de cibersegurança que podem evitar que sua empresa passe por algo do tipo.

1. ExPetr / NotPetya

  • Tipo de Ataque: Ransomware (um wiper explorando uma vulnerabilidade do SMB)
  • Ano: 2017
  • Atacantes: Provavelmente atores de ameaça patrocinados pela Rússia
  • Empresa Alvo: Diversas, mas impactou severamente a Maersk e a Merck
  • Impacto Monetário: Estimado em $10 bilhões

Em junho de 2017, o ataque de ransomware ExPetr, também conhecido como NotPetya, varreu o mundo, causando significativas interrupções e danos. Ao contrário do ransomware convencional, o ExPetr não foi projetado para extorquir dinheiro; em vez disso, foi projetado para causar destruição máxima. Ele foi projetado para atacar a Ucrânia, mas foi muito eficaz para ser contido.

O NotPetya logo foi descoberto como sendo um wiper – malware projetado para apagar dados – disfarçado. Ele visava sistemas Windows, explorando uma vulnerabilidade do SMB chamada EternalBlue, que também foi explorada pelo famoso ransomware WannaCry um mês antes.

O wiper se espalhou rapidamente, criptografando o registro de inicialização mestre (MBR) para tornar os sistemas afetados não inicializáveis. Uma vez dentro de uma rede, ele usava uma variedade de métodos, incluindo a ferramenta Mimikatz, para coletar credenciais e se espalhar lateralmente.

A Maersk, uma empresa de transporte global, e a gigante farmacêutica Merck foram algumas das mais afetadas, com a Maersk relatando perdas de aproximadamente $300 milhões. O dano financeiro total causado pelo NotPetya foi estimado em cerca de $10 bilhões, tornando-o o ataque conhecido mais caro da história.

2. WannaCry

  • Tipo de Ataque: Ransomware (vulnerabilidade no protocolo SMB)
  • Ano: 2017
  • Atacantes: Acredita-se ser o Grupo Lazarus
  • Empresa Alvo: Múltiplas (ataque global); usuários do Microsoft Windows
  • Impacto Monetário: estimado em $4 bilhões.

Em maio de 2017, o ataque de ransomware WannaCry se espalhou por 150 países, afetando mais de 200.000 computadores. As estimativas iniciais de custo atingiram cerca de $4 bilhões, mas alguns grupos afirmaram que as perdas futuras potenciais apenas nos EUA poderiam exceder $7 trilhões.

O ataque de ransomware WannaCry foi particularmente eficaz e danoso devido ao seu método de propagação e às vulnerabilidades que explorou. O WannaCry capitalizou uma vulnerabilidade crítica na implementação da Microsoft do protocolo Server Message Block (SMB) chamado EternalBlue. A vulnerabilidade acredita-se ter sido desenvolvida pela Agência de Segurança Nacional dos EUA (NSA) e vazada posteriormente por um grupo chamado Shadow Brokers.

O objetivo do WannaCry, como todo ransomware, era criptografar arquivos no computador da vítima, tornando-os inacessíveis. Uma vez que os arquivos foram criptografados, o ransomware exibia uma tela informando a vítima sobre a criptografia e exigindo um resgate em Bitcoin em troca de uma chave de descriptografia. A demanda padrão era de $300, que seria dobrada se o pagamento não fosse feito dentro de três dias.

Depois de infectar um sistema, o WannaCry agia como um worm, movendo-se lateralmente através de redes e se espalhando automaticamente sem nenhuma interação do usuário. Isso lhe dava a capacidade de se propagar rapidamente em uma escala global massiva, causando danos generalizados e interrompendo infraestruturas críticas como serviços de saúde, finanças, logística e redes de transporte.

3. GandCrab

  • Tipo de Ataque: Ransomware-as-a-service (RaaS) (phishing, exploit kits)
  • Ano: 2018-2019
  • Atacantes: Desconhecidos, operadores anunciaram ‘aposentadoria’ em 2019
  • Empresa Alvo: Diversas, incluindo empresas e indivíduos (PCs usando MS Windows)
  • Impacto Monetário: Estimado em ter extorquido mais de $2 bilhões de vítimas

O GandCrab surgiu em 2018 e rapidamente se tornou um dos ataques de ransomware mais difundidos e lucrativos. O que diferenciava o GandCrab era seu modelo RaaS, onde o malware era licenciado para afiliados que então conduziam ataques e compartilhavam uma porcentagem dos lucros com os desenvolvedores do GandCrab.

O ransomware era principalmente propagado por meio de e-mails de phishing e kits de exploit, especialmente os kits GrandSoft e RIG. Uma vez no sistema de uma vítima, o GandCrab criptografava arquivos e exigia um resgate em criptomoeda Dash para descriptografá-los.

4. Locky

  • Tipo de Ataque: Ransomware (e-mails de phishing distribuindo uma macro em um documento do Word)
  • Ano: 2016 – 2018
  • Atacantes: Desconhecidos, possivelmente os hackers Dridex (também conhecidos como Evil Corp ou TA505)
  • Empresa Alvo: Diversas (predominantemente provedores de saúde nos EUA, Canadá, França, Japão, Coreia e Tailândia)
  • Impacto Monetário: Estimado em $1 bilhão.

O Locky, ativo principalmente entre 2016 e 2018, foi uma das cepas de ransomware mais prolíficas, se espalhando por meio de campanhas massivas de phishing. Era entregue por meio de um e-mail com um anexo de documento Word malicioso. Uma vez que o usuário abria o documento e habilitava as macros, o payload do ransomware era baixado e executado.

O Locky criptografava uma ampla gama de tipos de arquivos de dados, embaralhava os nomes dos arquivos e exigia um pagamento em Bitcoin para descriptografia. Notavelmente, também podia criptografar arquivos em compartilhamentos de rede, amplificando seu potencial de danos. O Locky usava uma combinação de criptografia RSA e AES, tornando os arquivos da vítima inacessíveis até que um resgate fosse pago. Normalmente, os atacantes exigiam entre 0,5 a 1 Bitcoin.

5. Ryuk

  • Tipo de Ataque: Ransomware (comprometimento inicial, geralmente infecção por TrickBot)
  • Ano: 2018-presente
  • Atacantes: Não está claro, possivelmente vários grupos usando o malware Ryuk ou Wizard Spider (Rússia)
  • Empresa Alvo: Diversas, principalmente saúde e municípios.
  • Impacto Monetário: Algumas fontes afirmam que eles fizeram mais de $150 milhões; demandas de resgate individuais relatadas de 15 a 500 Bitcoin.

Emergindo em meados de 2018, o ransomware Ryuk rapidamente se tornou uma grande ameaça para grandes organizações. Ao contrário de muitas campanhas de ransomware que usam distribuição em massa automatizada, o Ryuk é entregue manualmente após uma comprometimento inicial da rede. Os atacantes realizam extenso mapeamento de rede, exfiltração de dados e coleta de credenciais antes de lançar o ransomware Ryuk, causando máxima interrupção.

O Ryuk usa uma combinação de RSA-2048 e AES-256 para criptografia, tornando-a virtualmente inquebrável sem as chaves de descriptografia. O malware também é projetado para criptografar unidades de rede, recursos e hosts remotos. O Ryuk foi responsável por numerosos ataques de alto perfil, com demandas de resgate variando de 15 a 500 Bitcoin (aproximadamente $100.000 a $3,7 milhões). A lista de comunidades que pagaram resgate inclui o condado de Jackson, Geórgia ($400.000), Riviera Beach, Flórida ($594.000) e o condado de LaPorte, Indiana ($130.000). Bedform, MA, e Nova Orleans se recusaram a pagar.

6. REvil/Sodinokibi

  • Tipo de Ataque: Ransomware (vulnerabilidade zero-day)
  • Ano: 2019-2021
  • Atacantes: Grupo REvil
  • Empresa Alvo: Kaseya e clientes downstream; JBS
  • Impacto Monetário: Exigiram $70 milhões de resgate por código de descriptografia universal.

O grupo REvil surgiu como uma grande ameaça de ransomware em 2019, mas suas operações mais disruptivas começaram em 2020. Suas táticas evoluíram ao longo do tempo, mas os principais métodos eram visar vulnerabilidades em software ou enganar usuários para baixar o ransomware por meio de e-mails de phishing ou explorando fraquezas no Protocolo de Área de Trabalho Remota (RDP). Uma vez dentro de uma rede, o REvil se movia lateralmente, escalando privilégios, ganhando controle administrativo e, em seguida, implantando o ransomware para criptografar arquivos no sistema afetado.

O REvil é conhecido por usar um método de dupla extorsão. Antes de lançar o processo de criptografia, eles roubavam dados sensíveis das redes-alvo. Após criptografar os arquivos da vítima, eles exigiam um resgate em troca da chave de descriptografia. Se as vítimas hesitassem ou se recusassem a pagar, o REvil ameaçava vazar os dados roubados em seu “Happy Blog” para aumentar a pressão sobre as vítimas.

Um de seus ataques mais notórios foi o ataque à cadeia de suprimentos do Kaseya VSA em 2021. O REvil explorou uma vulnerabilidade zero-day no software Kaseya VSA, uma ferramenta usada por organizações de TI para gerenciar e monitorar a infraestrutura de TI. Ao explorar essa vulnerabilidade, eles puderam distribuir ransomware para muitos dos clientes da Kaseya, afetando até 1.500 empresas em todo o mundo.

Outro ataque significativo envolveu a JBS, a maior processadora de carne do mundo. Nesse caso, o REvil usou uma campanha bem-sucedida de spear-phishing para obter acesso aos sistemas da JBS, levando a JBS a pagar $11 milhões para evitar o vazamento de dados.

7. DoppelPaymer

  • Tipo de Ataque: Ransomware (spear-phishing, vulnerabilidades não corrigidas)
  • Ano: 2019-Presente
  • Atacantes: Grupo DoppelPaymer
  • Empresa Alvo: Diversas, incluindo a cidade de Torrance, CA, Pemex (Companhia Petrolífera Mexicana) e o Hospital Universitário de Düsseldorf (resultando na morte de um paciente)
  • Impacto Monetário: Estimado em dezenas de milhões; a Europol relata pelo menos €40 milhões

O DoppelPaymer surgiu em 2019 e, ao contrário de muitas campanhas de ransomware que usam sistemas automatizados para distribuição em massa, ele é entregue manualmente após uma comprometimento inicial da rede. Para maximizar a interrupção, os atacantes realizam extenso mapeamento de rede, exfiltração de dados e escalonamento de privilégios antes de iniciar o ransomware DoppelPaymer.

O ransomware usa multithreading para criptografia mais rápida, e também pode operar offline, criptografando arquivos sem precisar se comunicar com seus servidores de comando e controle. O DoppelPaymer foi responsável por vários ataques de alto perfil, com demandas de resgate variando de 2 a 100 Bitcoin, e violações de dados levando a informações sensíveis sendo vendidas na dark web.

8. SamSam

  • Tipo de Ataque: Ransomware (implantação manual após penetração na rede)
  • Ano: 2016-2018
  • Atacantes: Os EUA indiciaram Faramarz Shahi Savandi e Mohammad Mehdi Shah, do Irã.
  • Empresa Alvo: Mais de 200 vítimas, incluindo municípios, hospitais e instituições públicas.
  • Impacto Monetário: Mais de $6 milhões em pagamentos de resgate e $30 milhões em outras perdas foram estimados.

De 2016 a 2018, o ransomware SamSam visou uma variedade de setores, especificamente saúde, governo e educação. Ao contrário de outros ataques de ransomware que geralmente são automatizados, os atacantes implantaram manualmente o SamSam após obter acesso às redes-alvo por meio de servidores JBoss ou explorando vulnerabilidades em VPNs ou conexões RDP. Eles então escalavam privilégios e se moviam lateralmente pela rede antes de implantar o ransomware.

A cidade de Atlanta e o Hancock Health estão entre as vítimas notáveis, com demandas de resgate muitas vezes superiores a $50.000. O ataque causou uma grande interrupção, com a cidade de Atlanta gastando mais de $2,6 milhões em esforços de recuperação.

9. NetWalker/UCSF

  • Tipo de Ataque: Ransomware (phishing, exploração de vulnerabilidades VPN)
  • Ano: 2020
  • Atacantes: NetWalker (também conhecido como “Malito”, também conhecido como Sebastien Vachon-Desjardins, um nacional canadense)
  • Empresa Alvo: Dezenas de vítimas, especificamente a Universidade da Califórnia, São Francisco (UCSF)
  • Impacto Monetário: Dezenas de milhões; um resgate de $1,14 milhão da UCSF)

O NetWalker, uma empresa RaaS, é conhecido por mirar aqueles que provavelmente pagariam grandes resgates devido à natureza crítica de seus dados. O ransomware é normalmente entregue por meio de e-mails de phishing com anexos maliciosos, explorando vulnerabilidades em dispositivos de rede privada virtual (VPN) ou forçando as credenciais do Protocolo de Área de Trabalho Remota (RDP). Uma vez dentro da rede, o NetWalker pode se mover lateralmente, escalar privilégios e, em seguida, implantar o ransomware.

Em junho de 2020, a UCSF foi vítima de um ataque de ransomware NetWalker que interrompeu significativamente suas operações. O ataque à UCSF, que afetou principalmente a infraestrutura de TI da Escola de Medicina, não comprometeu o atendimento ao paciente ou a pesquisa em andamento sobre COVID-19, mas o ransomware criptografou dados acadêmicos críticos e registros importantes.

10. Colonial Pipeline

  • Tipo de Ataque: Ransomware (phishing, exploração remota de sistemas)
  • Ano: 2021
  • Atacantes: Acredita-se ser o grupo de hackers conhecido como DarkSide.
  • Empresa Alvo: Colonial Pipeline
  • Impacto Monetário: $4,4 milhões de resgate

Em maio de 2021, um grupo de hackers chamado DarkSide lançou um ataque de ransomware na rede de TI da Colonial Pipeline. O grupo explorou uma conta VPN exposta com uma senha reutilizada, roubando 100 gigabytes de dados em duas horas. Para isolar os sistemas de tecnologia operacional da rede de TI comprometida, a Colonial Pipeline desligou suas operações, causando uma interrupção no fornecimento de combustível ao longo da costa leste.

Para recuperar o controle de seus sistemas, a empresa pagou um resgate de 75 Bitcoin, aproximadamente $4,4 milhões naquela época. Isso marcou o maior ataque cibernético divulgado na infraestrutura crítica dos EUA. Em resposta, o governo dos EUA lançou iniciativas como stopransomware.gov e a Força-Tarefa Conjunta de Ransomware para reforçar as defesas cibernéticas da nação.

11. CryptoLocker

  • Tipo de Ataque: Ransomware (Cavalo de Troia)
  • Ano: 2013-2014
  • Atacantes: Evgeniy Mikhailovich Bogachev (Rússia) é procurado pelo FBI por este papel
  • Empresa Alvo: Diversas, principalmente usuários do Windows
  • Impacto Monetário: Aproximadamente $3 milhões em pagamentos de resgate.

O ransomware CryptoLocker é um Cavalo de Troia entregue principalmente às vítimas por meio de anexos de e-mail maliciosos, geralmente na forma de um arquivo ZIP se passando por um PDF. Uma vez que a vítima abria o arquivo, o malware criptografava uma variedade de tipos de arquivos, incluindo documentos e fotos, no computador da vítima e em unidades de rede mapeadas. A vítima então via uma exigência de resgate, geralmente cerca de $300 em Bitcoin ou por meio de um voucher pré-pago, com um prazo para pagamento. Se o resgate não fosse pago dentro do prazo estipulado, a chave de descriptografia era excluída, deixando os arquivos permanentemente inacessíveis.

O ransomware era único para a época por usar métodos avançados de criptografia, tornando virtualmente impossível para as vítimas recuperarem seus arquivos sem pagar o resgate. Ele também usava uma infraestrutura descentralizada para comando e controle, aproveitando a botnet Gameover ZeuS, o que tornava difícil para as autoridades interrompê-lo.

O CryptoLocker foi eventualmente neutralizado em maio de 2014 por meio da Operação Tovar, um esforço conjunto de aplicação da lei internacional e empresas de cibersegurança.

O Papel do Pentest na Prevenção ao Crime Cibernético

Depois de ler os detalhes, fica claro porque as empresas precisam de testes de penetração como parte de sua estratégia de cibersegurança.

Os pentests são peça fundamental na identificação e correção de vulnerabilidades,  melhorando a postura de segurança de uma organização e ajudando-as a construir resiliência cibernética, seja contra ransomware ou outros tipos de ciberataques.

As melhores práticas em WAF: O que considerar e como escolher

Muitas organizações implementam um firewall de aplicação web (WAF) para atender a requisitos de conformidade, mas para a maioria, o principal motivo para implementar um WAF é proteger servidores e aplicações web contra exploração por meio de vulnerabilidades de aplicação. Deve-se levar em consideração que a maioria das aplicações possui vulnerabilidades. Em um estudo recente, a equipe Trustwave identificou pelo menos uma vulnerabilidade em 100% das aplicações que investigaram. E a maioria tinha mais de uma.

Você pode se perguntar “por que não corrigir as vulnerabilidades e dispensar o WAF?” Embora haja uma tendência de incorporar o desenvolvimento seguro no início do processo de desenvolvimento de aplicações, o nível de expertise em segurança dentro das equipes de desenvolvimento varia amplamente. Práticas de desenvolvimento também podem introduzir vulnerabilidades. Além disso, é fundamental levar em consideração que aplicações legadas são alvos fáceis de atacantes, e muitas vezes os times de desenvolvimento evitam realizar alterações pela falta de confiança em corrigir algo em nível de segurança e prejudicar o funcionamento da aplicação.

Vulnerabilidades podem passar despercebidas em novas aplicações, à medida que os desenvolvedores são pressionados a entregar aplicações mais rapidamente do que nunca. O uso de componentes de código aberto e/ou código de terceiros pode levar a bugs e falhas desconhecidos se tornando parte das aplicações. No futuro previsível, organizações que desenvolvem aplicações devem esperar que essas aplicações tenham vulnerabilidades.

Por esse motivo, um WAF é uma ferramenta necessária para proteger servidores e aplicações web contra ataques. Como qualquer ferramenta de segurança, um WAF precisa ser implementado e gerenciado de forma eficaz para fornecer valor sustentável.

Melhores práticas de implementação do WAF

Quanto mais tempo você dedicar ao planejamento da implementação do seu WAF, mais eficaz será sua implementação ao longo do tempo. Trabalhe nessas melhores práticas antes e durante a implementação.

Documente sua tolerância a riscos de segurança web:

A tolerância ao risco da sua organização deve impactar como você configura suas políticas de WAF. Por exemplo, se sua organização é uma grande operação de comércio eletrônico, você pode ter uma tolerância alta para riscos. Você não quer que nenhum tráfego legítimo seja bloqueado, pois a receita que você obtém do seu negócio de comércio eletrônico supera o risco de ser atacado com sucesso. Por outro lado, se você suporta uma instituição financeira, sua tolerância ao risco pode ser muito baixa. Você está disposto a permitir que alguma atividade de usuário legítimo seja bloqueada como uma troca para evitar um ataque e a má publicidade que poderia vir com ele.

Documente aplicações e proprietários:

Diferentes aplicações servem a propósitos diferentes, então a tolerância ao risco geral da sua organização pode não se aplicar a cada aplicação. Fale com cada proprietário sobre que proteção sua aplicação requer. Ter o conhecimento sobre as aplicações e seu propósito ajudará você, como profissional de segurança, a apoiar seu negócio, em vez de impedi-lo. Também ajudará você a identificar rapidamente os proprietários se algo der errado.

Sua organização pode querer aplicar uma única política de segurança para todas as aplicações, ou você pode estar aberto a definir políticas diferentes para diferentes aplicações, conforme fizer sentido. 

Entender as aplicações também pode ajudar a definir políticas de WAF. 

  • Implemente políticas de WAF que façam sentido para suas aplicações. Seu fornecedor de WAF provavelmente fornecerá um conjunto abrangente de políticas para uma variedade de aplicações e tecnologias. Dedique tempo para ajustar essas políticas. Por exemplo, se seu site é desenvolvido em um CMS conhecido, aplique as melhores práticas conhecidas. Isso economizará tempo na revisão de eventos, reduzirá a complexidade e os falsos positivos. Também economizará recursos de computação ao reduzir a carga no seu WAF e melhorará a responsividade do ponto de vista da latência.
  • Se você conhece os serviços que estarão por trás do WAF, estenda as políticas do WAF para incluir todos eles (ou faça com que algum tráfego do serviço ignore o WAF). Frequentemente vemos implementações de WAF que procuram tráfego HTTP, mas ignoram o tráfego de aplicativos proveniente de aplicativos iOS ou Android.
  • Você pode configurar a maioria dos WAFs para bloquear ou ignorar o tráfego usando métodos de conexão não utilizados por suas aplicações. Digamos que suas aplicações usem GET, POST e HEAD, mas não OPTIONS, PROPFIND ou PUT. Bloqueie aqueles que não são usados para evitar tráfego indesejado. Isso também protegerá sua aplicação para que métodos usados no desenvolvimento não sejam enviados para produção por engano.

Identifique o que você deve restringir e o que deve permitir

A implementação é um bom momento para identificar coisas básicas que você deseja restringir e permitir através do seu WAF. Restrições geográficas são um começo fácil. Se sua empresa opera em geografias específicas, restrinja o acesso aos portais de RH apenas aos países onde você tem funcionários. Isso reduzirá a carga no seu WAF e servidores web. Atacantes ao redor do mundo estão constantemente escaneando vulnerabilidades em sites para explorar. Restringir geografias onde você não opera pode reduzir a carga nos seus servidores web.

Da mesma forma, mas do ponto de vista de whitelist, configure seu WAF para permitir tráfego confiável. Um exemplo é permitir que seu scanner de vulnerabilidades interaja completamente com as aplicações web de back-end e não seja bloqueado pelo WAF. Fazendo isso, você poderá identificar vulnerabilidades em aplicações web que estão atualmente mitigadas pelo WAF. Do ponto de vista da varredura de aplicações, você obterá maior visibilidade e identificará vulnerabilidades que podem ser bons candidatos para os desenvolvedores abordarem em futuras versões.

Escolha uma solução de WAF aderente ao seu cenário 

Os WAFs têm diferentes modos de operação. Existem modos em linha, como proxy reverso e ponte transparente, onde o WAF fica entre as solicitações web e os servidores web. Um WAF em linha pode ter muito controle sobre as solicitações web, como bloquear e/ou mascarar o tráfego que não atende às políticas (tanto de entrada quanto de saída). Há também o modo fora de linha (às vezes chamado de modo fora de banda), onde o WAF investiga uma cópia do tráfego web. Nesse modo, a capacidade do WAF de bloquear o tráfego é limitada. Ele só pode enviar pacotes TCP-reset para interromper o tráfego, o que significa que algum tráfego malicioso pode chegar ao seu servidor web antes que o TCP-reset aconteça.

Como prática recomendada, escolha um modo em linha. Do ponto de vista de segurança, o risco com um WAF fora de linha de que o tráfego malicioso alcance seu servidor web e uma resposta bem-sucedida aos atacantes é muito grande. É melhor implantar um WAF em modo em linha de uma forma que atenda aos seus requisitos de segurança e aplicação do que assumir esse risco. Também há um problema em poder registrar o tráfego. Um WAF fora de linha não será capaz de descriptografar o tráfego Diffie-Hellman, que é o método de criptografia mais comum em uso hoje. Então, além do risco de segurança aumentado, você ficará cego para grande parte do seu tráfego web.

Crie uma conta para seus desenvolvedores 

Os desenvolvedores de aplicações podem se beneficiar das informações provenientes do WAF, então faz sentido configurar uma conta (ou contas) para eles. Embora um WAF seja, em primeiro lugar, um controle de segurança, a maioria dos WAFs fornece informações valiosas sobre o desempenho da aplicação. Essas informações incluem coisas como alertas de alteração da aplicação, métricas de desempenho, identificação de dados sensíveis e links quebrados.

Alguns mensagens de erro do WAF também serão de interesse para os desenvolvedores. O tráfego que parece malicioso é frequentemente criado por usuários não maliciosos que interagem com aplicações de formas que o desenvolvedor não antecipou. Mensagens de erro do WAF que contenham detalhes como configurações padrão do WAF ou listagens de diretórios de pastas e arquivos podem indicar problemas na aplicação que precisam ser resolvidos.

Na GoCache, oferecemos nossa solução de WAF que pode te ajudar a proteger seus sites e aplicações contra ataques que podem comprometer a integridade de dados sensíveis e privados. Nossos recursos são personalizados, permitindo que você adapte o nosso WAF para as regras de negócio de sua aplicação. E claro, se você precisar de ajuda e quiser que nosso time crie e monitore políticas de WAF para suas aplicações, recomendamos nossos serviços do GoCache Managed Security, onde nossa equipe realiza a monitoração contínua de seus serviços. 

Antes de bloquear, comece com o “simular”. 

A maioria dos WAFs oferecem opções para monitorar e/ou bloquear o tráfego de aplicações web, bem como, também possuem opções para gerar logs, sem necessariamente tomar ações. Escolha as opções de monitoramento e bloqueio que melhor suportam sua tolerância ao risco. Por exemplo, a instituição financeira que citamos no início do artigo poderia:

  • Configurar seu WAF para bloquear o tráfego para todas as aplicações web.
  • Configurar regras personalizadas, como o tempo que um visitante tem acesso ao seu site após completar um desafio-resposta como um teste CAPTCHA.
  • Apresentar páginas de erro instrutivas, para que se um usuário legítimo for bloqueado, ele verá informações sobre outras formas de se envolver com o negócio.
  • Configurar o WAF para gerar logs de eventos, e após coletar uma boa amostragem, decidir quais tipos de ação são mais compatíveis em cada situação. 
  • Integrar sua aplicação com SIEM para analisar melhor os falsos positivos, e depois de ter tratado tudo, utilizar opções de desafiar, que é um modo mais leve, e depois, sem ocorrências de reclamações, alterar as regras para bloqueio.

Falsos Positivos em Cyber Security

Imagine que você alertou sua equipe de TI sobre um erro crítico de infraestrutura que prejudica sua rede. Neste momento, você solicita que eles abandonem seu trabalho atual e se concentrem na correção imediata dessa vulnerabilidade detectada. Após uma investigação mais aprofundada, no entanto, descobriu-se que era um falso positivo.

Infelizmente, esses incidentes são comuns e custam tempo e mão de obra valiosos à sua organização. Mais preocupante ainda, eles desviam a atenção de questões legítimas de segurança.

É evidente que esta questão frustrante e crítica deve ser abordada. Neste artigo, exploraremos um pouco mais o que são Falsos Positivos em Cyber Security, abordando pontos importantes que devem ser analisados para que você possa restringir o foco de sua equipe para que eles possam identificar e responder às ameaças mais importantes.

O que é um alerta de falso positivo?

Um falso positivo na segurança cibernética refere-se a um alerta ou vulnerabilidade que foi sinalizado incorretamente, geralmente causado por um comportamento imprevisível desencadeado por um caso de teste. As imprecisões na resposta podem fazer com que as ferramentas de segurança destaquem uma falha onde na realidade, nenhuma está presente. Um exemplo disso seria um servidor web demorando 20ms a mais para responder, e o scanner acreditando que um teste de injeção de SQL baseado em tempo foi executado com sucesso.

Por que os falsos positivos são importantes na segurança cibernética?

Como vimos, os falsos positivos podem ter um impacto significativo na segurança cibernética. Eles podem enganar as equipes de segurança e desperdiçar tempo e recursos que poderiam ser melhor gastos na identificação e resposta a ameaças reais. Um estudo descobriu que 80% dos entrevistados afirmaram gastar muito tempo resolvendo alertas falsos positivos de seus sistemas de segurança. O relatório indicou uma tendência preocupante: 47% dos profissionais de segurança alegaram ter ignorado 50% ou mais desses avisos.

Os falsos positivos são especialmente problemáticos em sistemas de detecção e prevenção de intrusões (IDPS). Os IDPS são projetados para detectar e bloquear atividades maliciosas, mas geralmente geram falsos positivos. Esses diagnósticos errados muitas vezes fazem com que o IDPS seja desativado ou totalmente ignorado, deixando uma organização vulnerável a ataques.

Os falsos positivos devem ser tratados como ameaças potenciais e investigados em conformidade. As equipes de segurança também devem ter processos para identificar e resolver falsos positivos rapidamente.

Como posso reduzir falsos positivos em Cyber Security? 

As organizações estão lutando para encontrar o melhor método para gerenciar o problema da sobrecarga de alertas. Muitos estão contratando mais analistas de segurança ou simplesmente desativando recursos de segurança para lidar com o volume de alertas. No entanto, esta não é a solução que toda a indústria procura.

Você poderia reduzir o número de regras no gerenciamento de eventos e informações de segurança (SIEM), especialmente regras que são explicitamente projetadas apenas para um dispositivo ou sistema de rede específico que você não possui. Se você não tiver mais esse sistema ou dispositivo em sua rede, mas mantiver a regra, isso poderá criar falsos positivos. 

Evite o uso de regras padrão em um SIEM, pois elas são propensas a cometer erros ou são rotuladas incorretamente em alguns produtos. Você deverá executar mais iterações se a regra ainda disparar falsos positivos. As regras devem ser divididas em múltiplas sub-regras de natureza mais específica. Os analistas devem testar continuamente as regras até que parem de gerar falsos positivos.

Priorizar alertas é uma das melhores técnicas que um SOC pode utilizar para reduzir o tempo perdido na investigação de falsos positivos. Os alertas que têm a mais alta confiabilidade e estão vinculados à detecção de ameaças de alto nível devem receber a prioridade máxima. Isso permite que as equipes de segurança analisem ameaças desde a prioridade mais alta até a mais baixa, garantindo que alertas importantes sejam tratados primeiro. Por último, o ajuste, a inclusão na lista de permissões e a filtragem podem ajudar uma regra a funcionar com mais precisão, juntamente com exclusões aceitáveis que não exigem alertas.

Atualmente, também é fundamental investigar se o seu fabricante e fornecedor possui ferramentas de IA que possam te ajudar a reduzir falsos positivos. Hoje, é possível reduzir significativamente o esforço operacional com falsos positivos de forma automática, apenas utilizando recursos de IA que lhe auxiliam com esse desafio. 

Como a GoCache ajuda?

Como fabricante de soluções de cibersegurança, o time de P&D da GoCache está constantemente evoluindo seus produtos para gerarem a menor quantidade de falsos positivos possíveis.

Além disso, a GoCache oferece ferramentas de observabilidade como o Edge Insights, que permite com que o cliente analise os eventos de segurança e identifique rapidamente padrões de falsos positivos. Também oferecemos a opção de integrar os eventos de segurança da GoCache e enviá-los para alguma ferramenta de SIEM (Security Information and Event Management) como Wazuh, QRadar, Splunk, entre outros.

Por último, para clientes com equipes enxutas ou sem especialização em cibersegurança, oferecemos o serviço GoCache Managed Security, onde os especialistas da GoCache irão assumir o gerenciamento da ferramenta e garantir que elas estejam mitigando ataques com o máximo de assertividade, sem bloquear usuários legítimos.