Foram muitas as notícias de incursões em bases de dados corporativas e redes no ano passado, que ditam a transformação da indústria da segurança
Até o momento, 2012 foi o ano dos esqueletos saindo de dentro do armário de segurança de TI. As manchetes ficaram cheias de histórias de empresas cujas redes e bases de dados foram tomadas completamente por invasores por meses e, às vezes, anos.
Muitas companhias se esforçam para manter tais violações em segredo se não há PII (Personally Identifiable Information – Informação que pode comprometer dados pessoais; N. da T.) roubada, mas nest ano, muitas delas viram suas entranhas obscuras de segurança serem iluminadas pela luz do dia. A Dark Reading analisou alguns dos comprometimentos de longo termo de maior impacto que forma revelados durante esse ano e o que esses eventos significaram para os profissionais de TI.
1. Câmara do Comércio dos Estados Unidos
Nos últimos dias de 2011, explodiu a notícia de que a Câmara do Comércio dos Estados Unidos havia sido vítima de uma invasão de um ano por hackers chineses – uma origem comum de muitos ataques de longo termo descritos aqui. Nesse caso, o FBI alertou à câmara que os invasores estavam usando servidores na China para roubar informações de sua rede. A organização nunca conseguiu apontar o ponto inicial de entrada, mas conforme investigava, descobriu que os invasores tinham armado sua rede toda com backdoors para roubar com mais eficiência seus dados armazenados.
A publicidade desse ataque deu às manchetes assunto por todo o Ano Novo sobre a maneira que os invasores haviam subido de nível em estratégia, tendo como alvo organizações de todos os tipos. Mostrou um “novo nível de sofisticação”, afirmou Joe Gottlieb, presidente e CEO da Sensage, para a Dark Reading.
“Os invasores conseguiram escolher sua organização alvo: a Câmara do Comércio dos Estados Unidos. Conseguiram escolher as pessoas dentro da organização que importavam a eles: as pessoas que trabalhavam com política na Ásia. Conseguiram obter todo o conteúdo de e-mail, incluindo anexos, trocados entre essas pessoas e outras empresas, vários dos quais devem ter sido de grande relevância”.
2. Nortel
Se um ano de comprometimento de rede e database parece ruim, o que pensar de dez vezes isso? A indústria de segurança teve suas piores suspeitas confirmadas sobre o tempo de invasão sustentada dentro de uma infraestrutura corporativa, quando o The Wall Street Journal publicou informações que revelavam a década que a Nortel passou sob o dedo de invasores chineses antes da empresa ser dividida pela Avaya e várias outras empresas de tecnologia em vendas ao longo de 2009 e 2010. Curiosamente, a Nortel sabia da invasão de sua rede, mas nunca deixou que seus compradores soubessem da má notícia.
Especialistas em segurança dizem que a Nortel não é uma exceção nas empresas americanas.
“A triste realidade é que isso mostra que é bem provável que a Nortel não seja a única empresa que foi violada por um longo tempo e só agora decidiu revelar, disse Marcus Carey, perquisador em segurança para a Rapid7, à Dark Reading.
A história do WSJ foi apoiada por um ex-funcionário da empresa que liderou investigações internas sobre os ataques e que foi continuamente ignorado por executivos que diziam que ele era alarmista. Esse cenário de fato destaca a necessidade de construção de um consenso e comunicação qualificada provenientes do departamento de segurança para filtrar as mudanças necessárias para detectar e parar as invasões.
3. Ministérios de Finanças japonês
Em julho, o Ministério de Finanças do Japão deixou escapar que havia sido alvo de uma incursão de longo termo que durou dois anos em sua rede, em 2010 e 2011, por invasores usando um acesso remoto Troia. O malware não foi descoberto até que estivesse ativo, mas funcionários japoneses disseram que sua investigação inicial descobriu 123 dos dois mil computadores verificados estavam infectados.
A viabilidade de longo termo de um Troia em PCs do governo japonês oferece um bom exemplo de como os invasores de hoje estão acostumados a se camuflar para conduzirem ataques de roubo.
“Para chegar à raiz do problema, os profissionais de segurança devem usar várias ferramentas e empregar análises profundas (e muitas vezes manuais) de logs de arquivos, tráfegos de rede e código de programa” escreveu Stephen Cobb, autor do relatório da Information Weed, “How Did They Get In? A Guide to Tracking Down the Source of APTs” em PDF (Como eles entraram? Um guia para rastrear as fontes de APTs).
4. Coca-Cola
Qualquer analista da indústria diria que a maioria dos cenários de exemplos favoritos em conferências de segurança sobre roubo de IP cai inevitavelmente em analogias que envolvem a Coca-Cola: “Se você fosse a Coca e sua propriedade intelectual (PI) fosse roubado, o que isso significaria para seu negócio?” é o tipo hipotético que muitos conferencistas usaram. Mas neste ano, o que era hipotético mostrou uma base de fato quando um relatório da BloombergBusinessWeek revelou um ataque à Coca-Cola em 2009 que ia tão fundo na propriedade intelectual e os dados secretos da empresa, que segundo fontes internas, evitou que a companhia comprasse um conglomerado de bebidas chinês.
Especialistas em segurança disseram que esse ataque mostra mais uma vez a necessidade de travar os privilégios de conta, já que o relatório mostrou que o comprometimento da Coca-Cola veio primeiro de um spearphishing (fraude realizada por meio de e-mail, e que tem como alvo uma empresa específica) e depois piorou por meio de uso de ataques usando como alvo credenciais legítimas da rede.
“Assim que coletaram senhas hard-coded, senhas de administradores ou contas com privilégio, conseguiram pontos de acesso que proporcionam uma rota direta – e muitas vezes anônima – para os dados sensíveis e à infraestrutura da organização”, disse Adam Bosnian, vice-presidente executivo da Americas e desenvolvedor corporativo da Cyber-Ark, à Dark Reading.
Fonte: ITWEB
Nenhum comentário:
Postar um comentário