Neste artigo iremos abordar Triagem de Incidentes de Segurança, como combinar inteligência de ameaças local e global para uma triagem eficaz.
Ao analisar e categorizar incidentes de segurança da informação é importante pensar como o hacker. No que diz respeito à prevenção, não podemos supor exatamente qual o caminho que um hacker seguirá para acesso à rede de dados, no entanto cada ataque funciona por meio de um determinado padrão, que segundo Lockheed Martim é denominado de “cyber kill chain.”
The “cyber kill chain” é uma sequência de estágios necessários para que um hacker entre e obtenha dados de uma rede, sendo que cada estágio revela um objetivo específico ao longo do percurso. Projetar o plano de monitorização e resposta em torno do modelo de cadeia de destruição cibernética é um método eficaz, pois foca-se nos atuais cenários e vetores de ataque.
Esta abordagem para pensar como o potencial Hacker, pode ser resumida em 4 etapas:
1 - Attacker’s Goal - Reconhecimento e Scan: Encontrar o alvo e desenvolver plano de ataque com base nas oportunidades para exploração.
2 - Delivery & Attack - Colocar o mecanismo de entrega online e utilizar a engenharia social para induzir o alvo a aceder malware ou outro exploit.
3 - Exploitation & Installation - Explorar vulnerabilidades em sistemas alvo para adquirir acesso, escalar os privilégios do utilizador e instalar payload.
4 - System Compromise - Filtrar dados de elevado valor sem ruido e o mais rápido possível. Utilizar o sistema comprometido para obter acesso adicional, “roubar” recursos de computação e / ou utilizar como ataque contra outro ativo.
Quais os eventos de segurança que a sua organização se deve preocupar?
Para ajudar a categorizar cada tipo de incidente, poderá alinhar os tipos de eventos à “Cyber Kill Chain” para determinar a prioridade apropriada e a estratégia de resposta a incidentes.
A tabela abaixo exemplifica como poderá ser feito:
| Tipo de Incidente | Etapas Cyber Kill Chain | Nível de Prioridade | Recomendações |
|---|---|---|---|
| Port Scanning Activity (pre‑incident) | Reconnaissance & Probing | Baixa | Ignore a maioria destes eventos, exceto quando o IP de origem tenha uma reputação maliciosa e que haja vários eventos desse mesmo IP num pequeno intervalo de tempo. |
| Malware Infection | Delivery & Attack | Média-Baixa | Corrija qualquer infeção por malware o mais rápido possível antes que estas progridam. Faça um scan na rede de forma a procurar indicadores de comprometimento associados a este evento (ex. MD5 hashes). |
| Distributed Denial of Service | Exploitation & Installation | Alta | Configurar servidores expostos na web para proteger contra solicitações de pedidos extremos por HTTP e SYN. Coordene com o seu ISP durante um ataque para bloquear os IPs de origem. |
| Unauthorized Access | Exploitation & Installation | Média | Detete, monitorize e investigue as tentativas de acesso não autorizado - com prioridade para aquelas que são essenciais e / ou contêm dados confidenciais. |
| Insider Breach | System Compromise | Alta | Identifique os utilizadores com privilégios para todos os domínios, servidores, aplicações e dispositivos críticos. Certifique-se de que a monitorização está ativada para todos os sistemas e para todos os eventos do sistema e também certifique-se de que está a alimentar a sua infraestrutura de monitorização (SIEM). |
Combine a inteligência de ameaças local e global para uma eficaz triagem
Frequentemente pensamos na resposta a incidentes como um trabalho forense detalhado e meticuloso, observando de perto um sistema de cada vez. No entanto, a grande maioria do trabalho de monitorização da segurança pode ser resolvida por meio de uma visão maior e mais holística do estado e da atividade na sua infraestrutura.
Cyber Threath Intelligence permite afastar do foco nas vulnerabilidades, explorações e patches e concentrar nos elementos que estão ativamente causar danos à confidencialidade, integridade e disponibilidade dos dados da sua organização.
A primeira etapa é entender o máximo possível sobre o seu atual ambiente. Alguns especialistas referem-se a isso como consciência ambiental, situacional ou contextual.
Na Hardsecure a abordagem refere-se como inteligência de ameaças face ao cenário em análise.
Depois de combinar informações valiosas sobre sua própria rede com a mais recente inteligência de ameaças globais (detalhes sobre ferramentas, técnicas e tendências do hacker), a sua organização poderá alcançar uma triagem eficaz e preditiva. Para ir de encontro com esta abordagem a Hardsecure possui uma equipa dedicada - Intelligence and Security Analysis Team (ISAT).
Para saber mais sobre os serviços de Cyber Threat Intelligence da Hardsecure entre em contato connosco.
