Detecção de Ameaças 101

Transcript

1. Click to edit Master title style 1 Detecção de Ameaças

   101 Isso é para mim? Seminários de Informática Nichols Jasper 19/05/2023

2. Click to edit Master title style 2 Agenda 2 •

   Introdução • O que é? • Por que é necessário? • Como? • Logs, a matéria-prima • Arquitetura de Detecção • Métodos de Detecção • O que detectar? • Filosofia e Desafios • Dúvidas e Respostas

3. Click to edit Master title style 4 4 Introdução

4. Click to edit Master title style 5 Recordar é Viver.....

   5 Uma ameaça é qualquer evento adverso e indesejado: • Acesso não autorizado • Abuso de privilégios • Destruição • Divulgação • Negação de Serviço • Modificação indevida Um incidente é uma ocorrência que compromete o CID de um sistema de informação ou das informações que o sistema processa, armazena ou transmite, é uma violação de segurança. [1] Segurança da Informação Confidencialidade Integridade Disponibilidade

5. Click to edit Master title style 6 Logo, detectar ameaças

   é…. 6 • O processo de monitorar os eventos que ocorrem em um sistema de computador ou rede e analisá-los em busca de sinais de possíveis incidentes. [1] • A capacidade das organizações de identificar com rapidez e precisão ameaças à rede, computadores, aplicativos ou outros ativos dentro da rede. • Sem a capacidade de reconhecer intrusos (adversários mal- intencionados) na sua rede em tempo hábil, os analistas de segurança de TI não têm esperança de responder aos incidentes de segurança e mitigar seus danos com eficácia. [2]

6. Click to edit Master title style 7 Por que é

   necessário? 1) Digitalização Exponencial Evolution of the Desk - https://www.youtube.com/watch?v=rszCQwOvHT0 7

7. Click to edit Master title style 8 Por que é

   necessário? 1) Digitalização Exponencial 8 [3] • 79861 por minuto Novos hosts • 7620 por minuto Novos dispositivos IOT • 150 por minuto Novos domínios • 53 por minuto Novos certificados SSL LetsEncrypt • 23 por minuto Novos aplicativos móveis [4]

8. Click to edit Master title style 9 Por que é

   necessário? 2) Inovações sob Ameaça 9 Computação em Nuvem Internet das Coisas Complexa Cadeia de suprimentos de SW e HW Pujante Transformação Digital IA generativa Ciência de Dados Blockchain / DeFi Ataques contra infraestrutura em nuvem Comprometimento e uso de IoT em Botnets Intrusão indireta para prejudicar clientes Danos à reputação da empresas e marcas Vazamento de informações confidenciais e PI Corrupção de dados de pesquisa Uso não autorizado de recursos para mineração

9. Click to edit Master title style 10 Por que é

   necessário? 3) Vasto cenário de Ameaças 10 [5] [6]

10. Click to edit Master title style 11 11 [4] Por

    que é necessário? 3) Vasto cenário de Ameaças

11. Click to edit Master title style 12 12 Como?

12. Click to edit Master title style 13 Logs, a matéria-prima

    13 Evento Qualquer ocorrência observável em uma rede ou sistema de informação Log Um registro dos eventos que ocorrem nos sistemas de informação e redes de uma organização [1], [7] A partir da análise destas informações é possível: ✓ Registrar as atividades normais ✓ Detectar problemas de hardware ou nos programas e serviços instalados no computador ✓ Detectar um ataque ✓ Detectar o uso indevido do sistema

13. Click to edit Master title style 14 Exemplos de Logs

    – Autenticação SSH 14

14. Click to edit Master title style 15 Exemplos de Logs

    – Secure Web Gateway (SWG) 15 "2023-05-16 18:56:28","Nichols Jasper ([email protected])", “XXX.XXX.203.181",“XXX.XXX.45.138",“XXX.XXX.36.178","","ALLOWED","htt ps://www.google-analytics.com/g/collect","https://it.umich.edu/", "Software/Technology,Computers and Internet ([email protected]),XXXXX92",",Roaming Client","POST","ALLOWED" Neste log de navegação web podemos mapear: ✓ Informações de identidade. ✓ Origem e destino (IPs, hostnames) ✓ Categoria do conteúdo sendo acessado. ✓ Ação requisitada (POST) no Google Analytics embutido na página da universidade de Michigan, ação permitida pela plataforma de segurança.

15. Click to edit Master title style 16 Logs, a matéria-prima

    16 Exemplos de eventos para registrar: ✓ Logins e autenticação com e sem sucesso. ✓ Alterações de senha. ✓ Falhas de autorização durante tentativas de acesso. ✓ Mudanças de membros do grupo. ✓ Acesso do usuário a dados restritos. ✓ Modificação de dados sensíveis (por exemplo, configuração de sistemas sensíveis ou críticos, transações financeiras). ✓ Ações de contas privilegiadas dos sistemas. ✓ Acessos a sites e conteúdo web. ✓ Detecção de atividade suspeita ou maliciosa de sistemas de segurança. [8]

16. Click to edit Master title style 17 Arquitetura de Detecção

    17 Antimalware / EDR Aplicações Servidores Bases de Dados Mainframe Firewall / Proxy de Internet SIEM

17. Click to edit Master title style 18 Abuso Ameaça Anomalia

    Métodos de Detecção 18 Conhecido Desconhecido Volátil Complexo [9] Ambiente Difícil Evasão Fácil Evasão Oneroso Limitado Indicadores • Assinaturas de ataques passados. • Conteúdo estático (hashes, domínios, IPs) Comportamento • Indicadores de Ataque • Modus Operandi de ataques prévios Controle de Mudanças • Comparações entre o aferido e o desejável • Investigação de Desvios Modelagem • Estatística Descritiva • Inteligência Artificial e Aprendizado de Máquina

18. Click to edit Master title style 19 Frameworks – NIST

    Cybersecurity Framework (CSF) 19 [10]

19. Click to edit Master title style 20 Frameworks - MITRE

    ATT&CK 20 É uma base de conhecimento de táticas e técnicas usadas por adversários baseadas em observações do mundo real. Táticas: 14 Técnicas: 196 Sub-técnicas: 411 [11] e [12]

20. Click to edit Master title style 21 “ “Algumas invasões

    são realmente óbvias. Se você está preocupado com alguém vandalizando seu site corporativo, então a defesa óbvia é ter uma máquina em algum lugar que busque a página regularmente, inspecione-a e soe um alarme muito alto quando ela mudar. Mas, no caso geral, detecção de intrusos é bem mais difícil que isso.” Security Engineering: A Guide to Building Dependable Distributed Systems Profº Ross Anderson – professor na Universidade de Cambridge e Edimburgo [13] 21

21. Click to edit Master title style 22 “ A detecção

    de algo malicioso envolve detectar a intenção e não a atividade. Isso equivale a intuição e inferência, algo que exige habilidades de pessoas e não de máquinas. Um exemplo: aqui está uma conexão com a porta 443 deste IP. Bom, mau? Adicionar contexto pode ajudar, mas ainda pode ser insuficiente em nossa tentativa de deduzir a intenção. Isso torna a detecção ainda mais difícil.” Why is Threat Detection Hard? Anton Chuvakin – especialista em segurança no Google e ex-líder de pesquisa no Gartner [14] 22

22. Click to edit Master title style 23 Referências I •

    [1] NIST Cybersecurity Glossary - https://csrc.nist.gov/glossary • [2] SumoLogic - https://www.sumologic.com/glossary/threat-detection-response/ • [3] Statista - https://www.statista.com/chart/25443/estimated-amount-of-data- created-on-the-internet-in-one-minute/ • [4] Cyberthreat Minute 2022 - https://www.microsoft.com/en- us/security/business/security-insider/threat-briefs/cyberthreat-minute-2022/ • [5] Reliaquest - https://www.reliaquest.com/blog/your-data-at-risk-fbi-cyber- division-shares-top-emerging-cyber-threats-to-your-enterprise/ • [6] Threat Actor - https://cyberhoot.com/cybrary/threat-actor/ • [7] Fundamentos de Segurança da Internet e da Informação - https://www.cert.br/docs/palestras/certbr-egijur-bsb2017.pdf

23. Click to edit Master title style 24 Referências II •

    [8] Universidade de Michigan - https://it.umich.edu/information-technology- policies/general-policies/DS-19 • [9] The four types of Threat Detection - https://www.dragos.com/wp- content/uploads/The_Four_Types-of_Threat_Detection.pdf • [10] NIST CSF - https://www.nist.gov/cyberframework • [11] ATT&CK Techniques - https://attack.mitre.org/techniques/enterprise/ - • [12] F5 – ATT&CK Explained - https://www.f5.com/labs/learning-center/mitre- attack-what-it-is-how-it-works-who-uses-it-and-why • [13] Ross Anderson – Security Engineering 2nd - https://www.cl.cam.ac.uk/~rja14/Papers/SEv2-c21.pdf • [14] Why is Threat Detection Hard? - https://medium.com/anton-on-security/why-is- threat-detection-hard-42aa479a197f

24. Click to edit Master title style 25 Perguntas são muito

    bem- vindas! • Muito obrigado pela oportunidade!