Há dois meses, no artigo de dezembro (link) mencionamos sobre os mais de 64 milhões de dados que foram vazados de grandes empresas naquele período. De 2016 para frente, esse tipo de incidente se tornou cada vez mais presente nos nossos feeds de notícias e acredito que está longe de terminar ou até mesmo diminuir.
E para deixar claro, isso se tornou mais presente nos nossos “feeds” de notícias, ou seja, esses mesmos ataques e vazamentos já aconteciam bem antes. A grande diferença é que os responsáveis por esses ataques estão fazendo questão de publicá-los, seja no mesmo dia em que encontraram a falha e roubaram os dados ou até mesmo anos depois, como foram os casos dos vazamentos do LinkedIn e do MySpace.
Esses tipos de vazamento são considerados basicamente o resultado final de um ataque bem-sucedido. De maneira simples, podemos dividi-lo em três etapas: a ameaça, a vulnerabilidade e o incidente em si. E é nas duas primeiras etapas que o serviço de Threat Intelligence atua.
Caso você não seja um pesquisador “bugs” ou trabalhe como ethical hacker procurando vulnerabilidades em ambientes, você já se pegou pensando “Como acontecem esses vazamentos? Como as vulnerabilidades são descobertas e exploradas antes mesmo do próprio fabricante daquela solução ficar sabendo? Esses tipos de informações sobre novas vulnerabilidades não são compartilhados com mais pessoas?”
Respondendo a última pergunta: geralmente sim! Mas, antes de nos aprofundarmos nesse assunto vamos para o conceito de Threat Intell segundo o Gartner: “Threat Intelligence é um conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos orientados para a resposta sobre uma ameaça existente ou emergente.”
Em outras palavras, esse tipo de serviço é um conjunto de mecanismos (ferramentas online como https://exchange.xforce.ibmcloud.com/, https://talosintelligence.com/, https://otx.alienvault.com/, https://www.exploit-db.com/), indicadores – como dados consumidos em fóruns, canais de troca de informações, plataformas de redes sociais e outras – e conselhos que resultam em um determinado direcionamento para uma ação que deve ser tomada.
E na prática, como isso funciona? Usarei alguns exemplos abaixo para tentarmos entender o real valor… primeiro exemplo, hoje pela manhã um pesquisador/hacker descobre uma vulnerabilidade “zero day”, ou seja, que nunca foi divulgada anteriormente e que impacta diretamente a solução utilizada como servidor de SQL em sua empresa, podendo ser explorado de forma remota.
A partir de então, os dados armazenados nos servidores que utilizam essa solução estão 100% vulneráveis a esse tipo de ataque. Em uma situação normal, a chance de você ficar sabendo dessa vulnerabilidade “zero day” é quando o fabricante disponibilizar o update de segurança nos dias seguintes ou seu ambiente sofrer alguma invasão.
Segundo exemplo, um pouco mais extremo mas não tão incomum: sua empresa já sofreu a invasão e centenas de GBs foram roubados e estão em posse dos atacantes. Até o momento, nada foi descoberto pelo time de TI ou de SI já que nenhuma ferramenta apontou essa exploração ou se apontou, ninguém estava olhando. No decorrer da semana, esses dados são compartilhados em fóruns privados ou até mesmo em sites que não são indexados pelo Google. Uma semana após a invasão, sites de notícias começam a divulgar a confirmação da invasão e assim você toma conhecimento dela.
Terceiro e último exemplo: uma grande rede de bots é descoberta no leste europeu como sendo a responsável por disseminar um novo tipo de ransomware que explora uma vulnerabilidade já divulgada e que muitas empresas ainda não corrigiram. Da mesma forma que a rede de bots foi descoberta, já conseguiram também mapear os IPs que estão sendo utilizados para a disseminação dessa ameaça, através de serviços de Threat Intel. Você só descobriu isso depois que sofreu o incidente e procurou saber um pouco mais o porquê de ter sido impactado também.
Com os três exemplos acima, é possível englobar as frentes de monitoramento e inteligência que um serviço de Threat Intel abrange. Na minha opinião, o grande valor de um serviço de Threat Intel é muitas vezes estar embasado em diversas fontes de informações antes de tomar uma ação, seja na prevenção ou até mesmo na resposta a uma ameaça eminente.
Caso tenham alguma dúvida adicional, fiquem à vontade para entrar em contato e nos vemos no próximo mês!