Persistentes Ameaças Avançadas, do acrônimo inglês APT (Advanced Persistent Threat) é uma forma de um invasor, ou grupo de invasores, terem o controle da sua rede respondendo ou combatendo por defesas que você aplica na tentativa de eliminar uma ameaça, através desta ameaça malwares instalados em hosts podem ser controlados remotamente por esses atacantes. Por exemplo, o malware Rozena explora a vulnerabilidade publicada recentemente, pela Microsoft CVE-2022-30190, mais conhecida como follina.
O Rozena tem a característica APT, explorando esta vulnerabilidade para instalar um código malicioso, e assim ter o controle do host, maiores detalhes podem ser visualizados no link: https://www.fortinet.com/blog/threat-research/follina-rozena-leveraging-discord-to-distribute-a-backdoor. Ainda sobre Persistentes Ameaças Avançadas, vale comentar que esse tipo de ataque inicia através de espionagem por múltiplas pessoas que podem estar dentro da organização, não é um ataque simples como a instalação de um trojan ou malware e nada mais. Os atacantes se organizam para um trabalho prolongado que pode levar meses ou até mesmo anos.
Diante desse cenário muito evoluído de ataques cibernéticos torna-se cada vez mais necessário para a equipe de Segurança da Informação ter a visibilidade completa do que é realizado pelo usuário. O controle do que os usuários estão acessando na Internet, o que eles estão executando em seus computadores, como eles estão acessando a rede corporativa, entre outros eventos e não apenas o relatório tradicional de sites acessados.
O controle dos processos executados nas estações de trabalho, com respostas automatizadas para a defesa, a visibilidade do que o usuário está acessando, além da manutenção da higienização de segurança das estações de trabalho e das regras de firewalls, são temas importantes nesse combate e devem ser mantidos como rotinas pela equipe de segurança. Abaixo um breve resumo e sugestões de ferramentas que ajudam no mapeamento sobre os 2 itens; Controle e visibilidade.
Controle: Ter o controle de todos os acessos feitos pelos usuários, mesmo fora da rede corporativa, torna-se cada vez mais necessário para tratar as ameaças avançadas. As questões, O que?, Quem?, Como?, e Onde? são as primeiras a serem feitas numa tratativa inicial de um incidente de segurança ou até mesmo para atendimento de alguma norma criada pela própria organização. Uma solução de acesso à rede que irá ajudar na mitigação desse tema é o FortiNAC da Fortinet que pode ser conferido em maiores detalhes no link: https://www.fortinet.com/products/network-access-control.
O FortiNAC além de controlar o acesso a sua rede, pode agir como uma checagem de compliance para seus hosts, por exemplo, a estação do usuário não pode ingressar na rede caso o antivírus não esteja configurado corretamente, conforme definido pela equipe de segurança. Mas como posso combater um processo malicioso, após o usuário já ter executado este processo, como no caso do Rozena citado acima? para isso as soluções de EDR (Endpoint Dection and response) irão lhe apoiar nesse combate prevenindo, detectando e respondendo à essas ameaças.
A solução de EDR da BlackBerry é uma excelente opção e pode ser conferida no link a seguir: https://www.blackberry.com/br/pt/products/unified-endpoint-security/blackberry-optics.
O termo controle em segurança cibernética é bem amplo, tendo muitas frentes que permitiriam a criação de um livro, mas, aqui deixamos essas duas breves dicas para controle de acesso à rede e para proteção de suas estações de trabalho.
Visibilidade: Gerar logs de todos os dispositivos da rede, incluindo as estações de trabalho, para uma ferramenta de log ou para um SIEM, além de aumentar os custos do projeto pode gerar dificuldades na administração devido a grande quantidade de informações muitas vezes desnecessárias, já a falta dos logs, também causa o problema da ausência da informação. Como faço então para conseguir as informações ou o traçado dos processos executados numa estação suspeita de um ataque? As funcionalidades InstaQuery e Advanced Query do EDR CylanceOPTICS da BlackBerry possibilitam a você, consultar todo o traçado de um processo executado em uma estação de trabalho, incluído os acessos de rede, como conexões suspeitas em serviços fora do contexto para o usuário. Por exemplo, é possível visualizar os detalhes dos processos que invocaram o PsExec solicitando uma conexão externa (repare no primeiro link que o Malware Rozena faz uma conexão https para um endereço da Internet). A solução é entregue em cloud e você não precisa se preocupar com o armazenamento ou em adquirir um aplicativo terceiro para auditar as estações de trabalho, e dependendo do tipo de informação elas podem permanecer na base de dados por até 90 dias para serem consultadas. Clique aqui para maiores de detalhes sobre o EDR CylanceOPTICS.
A Connection, em conjunto com nossos parceiros, está à disposição para lhe apoiar nessas frentes de controle e visibilidade como forma de mitigar esse tipo de ameaça para sua organização, confira nosso portifólio.
Fontes:
https://blogs.blackberry.com/en/2022/07/the-13-deadly-sins-of-apt-incident-response-part-1
