Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 ETHICAL HACKER E INTELIGÊNCIA CIBERNÉTICA 2 SUMÁRIO NOSSA HISTÓRIA ...................................................................................................... 3 INTRODUÇÃO ............................................................................................................ 4 ETHICAL HACKING .................................................................................................... 5 TIPOS DE HACKER ÉTICO ........................................................................................ 7 BENEFÍCIOS DOS HACKERS ÉTICOS ..................................................................... 7 HABILIDADES DO HACKER ÉTICO .......................................................................... 8 COMO UM HACKER PODER SER ÉTICO ................................................................. 9 IMPLICAÇÕES LEGAIS DA ATIVIDADE DE HACKER ÉTICO ................................ 10 INTELIGÊNCIA CIBERNÉTICA ................................................................................ 11 O CONCEITO DE GLOCAL ...................................................................................... 13 CONCEITUANDO CTI .............................................................................................. 17 ENTENDENDO A INTELIGÊNCIA DE AMEAÇAS .................................................... 18 CONCEITOS ............................................................................................................. 21 REFERÊNCIAS ......................................................................................................... 24 3 NOSSA HISTÓRIA A nossa história inicia com a realização do sonho de um grupo de empresários, em atender à crescente demanda de alunos para cursos de Graduação e Pós- Graduação. Com isso foi criado a nossa instituição, como entidade oferecendo serviços educacionais em nível superior. A instituição tem por objetivo formar diplomados nas diferentes áreas de conhecimento, aptos para a inserção em setores profissionais e para a participação no desenvolvimento da sociedade brasileira, e colaborar na sua formação contínua. Além de promover a divulgação de conhecimentos culturais, científicos e técnicos que constituem patrimônio da humanidade e comunicar o saber através do ensino, de publicação ou outras normas de comunicação. A nossa missão é oferecer qualidade em conhecimento e cultura de forma confiável e eficiente para que o aluno tenha oportunidade de construir uma base profissional e ética. Dessa forma, conquistando o espaço de uma das instituições modelo no país na oferta de cursos, primando sempre pela inovação tecnológica, excelência no atendimento e valor do serviço oferecido. 4 INTRODUÇÃO O termo Hacker, na informática, simboliza o indivíduo que se dedica com profundidade a entender, modificar ou burlar os limites de segurança de dispositivos, programas e redes de computadores. No entendimento popular, Hacker é associado ao indivíduo de atitude maliciosa, cuja motivação, invariavelmente leva ao comprometimento dos atributos da informação: Integridade, disponibilidade, autenticidade e privacidade dos dados e sistemas computacionais. Em uma visão mais ampla, Hacker é todo aquele indivíduo com habilidades que, além de comprometer e burlar sistemas, contribue para o desenvolvimento e melhoramento tecnológico, seja pela descoberta e compartilhamento de informações de segurança, ou pelo desenvolvimento e melhoramento de softwares ou sistemas informmatizados. O Hacker, portanto, pode ser tanto mal-intencionado como um profissional norteado pela ética e legalidade. 5 ETHICAL HACKING Em sentido amplo, o termo Hacker é associado ao indivíduo que se dedica a analisar e/ou burlar os limites de segurança de dispositivos, sistemas e redes de computadores. No sentido popular, Hacker normalmente é mais utilizado para caracterizar o sujeito com de atitude maliciosa, cuja motivação, invariavelmente leva ao comprometimento da proteção dos dados / informações, em respeito aos atributos de Confidencialidade, Integridade e Disponibilidade. Ethical Hacking (Hacking Ético) é um conceito que traduz forma legal (dentro da lei) de hackear, a alcunha associada as atividades desempenhadas pelo Ethical Hacker (Hacker Ético). Atividades que envolvem testes de penetração / intrusão (conhecido como pentest) muitas vezes são consideradas como expressões sinônimas à prática do Ethical Hacking. 6 Um Ethical Hacker (Hacker Ético) é um profissional de tecnologia da informação que trabalha na área de Segurança da Informação, com a função de encontrar vulnerabilidades de segurança que um hacker malicioso poderia potencialmente explorar. Para tanto, este profissional precisa desenvolver habilidades em técnicas de penetração de sistemas, Redes de Computadores e dispositivos computacionais em geral. O profissional desta área deve ter conhecimentos iguais ou superiores a um hacker com irretenção maliciosa. Mas, ao invés de usar esse conhecimento para obter vantagem própria, ele a utiliza para investigar, analisar e reportar vulnerabilidades para a empresa para qual trabalha ou presta serviços, evitando assim ataques e incidentes de segurança. O hacker ético tem um campo de atuação bem grande. Isto porque ele é requisitado em todos os setores na defesa da segurança da informação. Em resumo, ele pode atuar em áreas como as seguintes: Teste de invasão; Perícia forense; Políticas e processos; Gestão de riscos; Desenvolvimento de softwares; Engenharia; Pesquisas de ameaças e vulnerabilidades. Dessa maneira, não basta só descobrir quais são as vulnerabilidades. Portanto, desenvolvem-se também métodos de proteção. 7 Tipos de hacker ético Ethical hackers podem atuar em diversas atividades dentro ou fora das empresas, já que podem se especializar em diferentes áreas. Alguns dos principais tipos são os que seguem. PenTesters Esses tipos de hackers prestam serviço para empresas utilizando as técnicas de PenTest (Penetration Test — ou teste de penetração). Nele, são usadas ferramentas específicas para fazer uma varredura na rede e nos servidores da empresa em busca de vulnerabilidades. Em seguida, a pessoa pode oferecer o serviço de correção ou apenas reportar as falhas para que a equipe de TI do negócio as corrija. Desenvolvedores e desenvolvedoras Hackers com um maior conhecimento de programação podem se dedicar ao desenvolvimento de novas aplicações. Dessa forma, torna-se viável atuar em empresas que precisam adicionar novas funcionalidades a um sistema com segurança ou modificá-lo. Além disso, muitas dessas pessoas se envolvem em projetos de software de código aberto. Independentes Algumas pessoas que atuam como hackers não trabalham sob contrato com uma empresa, mas buscam falhas em seus sistemas de forma autônoma. Elas atuam por meio de programas conhecidos como Bug Bounty, em que as empresas oferecem boas recompensas em dinheiro para hackers que relatarem os problemas de segurança encontrados. Benefícios dos hackers éticos 8 Bom, com base no que já foi dito, já podemos imaginar alguns benefícios do ethical hacker. O mais importante deles é a prevenção do roubo de informações e do seu uso malicioso. Isto porque, na prática, o ethical hacking está relacionado a um processo que chamamos de offensive security, isto é, segurança ofensiva. Esta é a parte da cibersegurança que se dedica mais a descobrir ameaças potenciais e vulnerabilidades. Assim, existem muitas vantagens destes profissionais: Descobrem vulnerabilidades sob o ponto devista de um attacker; Implementam redes de segurança que evitam brechas; No caso de Estados e governos, podem defender informações vitais à segurança nacional; Trazem confiabilidade à empresa, que garante que os dados de seus clientes estão a salvo; Trazem avaliações do mundo real (além da teoria). Isto realça um ponto importante: de que o hacker ético atua exatamente como se fosse roubar as informações, mas não o faz. Esta é a melhor forma de se colocar na posição de alguém malicioso, garantindo a cobertura da maioria das brechas. Assim, este profissional precisa estar constantemente atualizado, uma vez que worms, malwares, vírus e ramsonwares surgem todos os dias. Este é, então, um trabalho constante, que se renova sempre. Habilidades do Hacker Ético O Hacker Ético, para ficar um passo à frente dos Hackers mal-intencionados deve ser especialista em sistemas de computadores, ter conhecimento sobre 9 programação, redes e sistemas operacionais. Ter conhecimento aprofundado sobre as plataformas altamente segmentadas (como o Windows, Unix e Linux) é também uma exigência. Paciência, persistência e perseverança são qualidades importantes para Hackers Éticos devido ao período de tempo e nível de concentração necessária para obter sucesso na maioria dos ataques. Habilidades de programação web e banco de dados, bem como conhecimento aprofundade de redes de computadores, são bastante úteis para o Hacker na realização de hacking ético e testes de vulnerabilidade. Quando faz parte de uma equipe de teste de segurança, o Hacker pode possuir funções específicas podendo precisar estar mais especializado em uma área de atuação. Neste caso, cada membro da equipe possui especialidades distintas. No entanto, a maioria dos Hackers Éticos, possui forte conhecimento nas áreas de segurança e contramedidas de segurança para fazer frente e previnir ataques. Como um Hacker poder ser ético A atividade do Hacker Ético é geralmente conduzido de forma estruturada e organizada, geralmente como parte de um teste de penetração ou de auditoria de segurança. A profundidade e o alcançe dos testes aplicados nos sistemas são geralmente determinadas pelas necessidades e preocupações do cliente. Muitos Hackers éticos são membros da equipe de segurança de TI e de resposta a incidentes de rede da organização. Esta equipe trabalha em conjunto para realizar testes em grande escala cobrindo todos os aspectos da rede, da infraestrutura física e dos sistemas de intrusão. O Hacker Ético deve seguir certas regras para garantir que todas as obrigações éticas e morais sejam cumpridas. Quais sejam: • Obtenção de autorização do cliente através de contrato assinado, dando ao Hacker Ético autorização para realizar os testes. • Firmar e manter um acordo de não divulgação dos dados e termo de 10 confidencialidade com o cliente, no caso de alguma informação confidencial ser divulgada durante o teste. • Manter a confidencialidade ao realizar o teste. Os dados recolhidos podem conter informações confidenciais. Quaisquer informações sobre o teste ou empresa são confidenciais e nunca devem ser divulgados a terceiros. • Definir e realizar o teste até os limites acordados como o cliente. Deve-se junto ao cliente estabelece os limites máximos para os testes de forma a não comprometer nenhuma atividade da organização. Uma auditoria de segurança organizada, eficiente e ética, deve seguir os passos a seguir: • Reunir com o cliente e discutir as necessidades a serem abordadas durante o teste. • Preparar e assinar os acordos de confidencialidade com o cliente. • Organizar a equipe de hacking ético, e preparar uma agenda para o teste. • Realizar o teste. • Analisar os resultados do teste e elaborar um relatório. • Apresentar as conclusões do relatório para o cliente. Implicações legais da atividade de Hacker Ético Um Hacker ético deve saber as implicações legais decorrentes ao acesso não autorizado a um sistema. Nenhuma atividades de Ethical Hacking associados a um teste de rede de penetração ou de auditoria de segurança deve começar até que um documento jurídico assinado dando ao Hacker ético permissão expressa para executar as atividades de hacking seja recebida da organização alvo ou cliente. Hackers Éticos precisam ser criteriosos com as suas habilidades de Hacker e 11 reconhecer as consequências do mau uso dessas habilidades. É importante lembrar que a intenção não faz um Hacker acima da lei; mesmo um Hacker Ético pode ser processado por quebrar as leis. A Lei Cyber Security Enhancement de 2002, dos Estados Unidos da América, determina pena de prisão perpétua para o Hacker que "Imprudentemente" põe em perigo a vida de alguém. Hackers que promovem situações de risco de vida, comprometendo redes de informáticas críticas como as de sistemas de transporte, empresas de energia, ou outros serviços públicos ou de utilidade pública, pode ser processados nos termos desta lei. No Brasil, a Lei de Crimes praticados na Internet (Lei 12.737/2012), conhecida por Lei Dieckmann, em seu art. 154, descreve como crime: “Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita”. Ainda não há um consenso jurídico sobre a correta interpretação dos termos apresentados na lei, permanecendo ainda várias dúvidas a respeito do tema. No entanto, não resta dúvida sobre o fato de que cada vez mais a segurança cibernética passa a ter relevante importância na vida corporativa.. Ademais, só a evolução da jurisprudência determinará de fato o entendimento da lei. Cabe, portanto, ao Hacker Ético, cercar-se ao máximo dos dispositivos jurídicos que garantam a legalidade do exercício de suas atividades. INTELIGÊNCIA CIBERNÉTICA Provavelmente, você já ouviu falar em “Inteligência Cibernética“, termo que está em evidência no mundo digital há, pelo menos, alguns anos. Primeiro, é necessário contextualizar em qual lugar a “Inteligência Cibernética” se encaixa nas organizações. Inteligência dirige operações. Esse é um mantra conhecido do militarismo, especialmente norte-americano, em que a maioria das ações (ofensivas e defensivas), quiçá todas, são precedidas de 12 um planejamento de inteligência sobre o alvo, o ecossistema e afins. Da mesma forma, o termo “inteligência” já é bastante conhecido pelas corporações, inclusive no Brasil, em que a inteligência competitiva é estudada e praticada. É importante destacar a relevância de desvencilhar a “Inteligência Cibernética” da tradicional “Segurança da Informação”. A segurança da informação é a área responsável pela proteção dos ativos: informações de clientes, propostas comerciais, contratos, bancos de dados, propriedade intelectual, relatórios financeiros, entre outros.Além disso, é a área que desenha, implementa e suporta estratégias e mecanismos para essa defesa. Toda a ação é desenvolvida dentro da rede de dispositivos de processamento de dados das corporações, seja fixa, apenas dentro do espaço físico da empresa – pensamento ultrapassado ou dinâmica, como o armazenamento na Nuvem e nos dispositivos pessoais dos colaboradores, uma tendência conhecida como “BYOD” (sigla em inglês, Bring Your Own Device). Já a inteligência cibernética monitora e analisa as ameaças que surgem do espaço cibernético e podem causar danos à instituição. Ou seja, o foco está direcionado para fora do perímetro da empresa, os esforços estão concentrados em captar e compreender possíveis ameaças externas ligadas diretamente ou indiretamente aos negócios. Em termos gerais, a inteligência cibernética busca a prevenção, antevendofraudes e vulnerabilidades que fragilizem a instituição. A inteligência de ameaça é um termo popular no setor de segurança, e se tornou uma frase atrativa para uma variedade de tecnologias. Este material ajudará a esclarecer o que é a inteligência de ameaças e porque ela é fundamental para organizações de todos os tamanhos para melhorar na detecção de ameaças e na tomada de decisões. Uma tendência recente e importante no mercado de segurança é investir em serviços de inteligência de ameaças, devido à alguns motivos, e enxergamos o atual cenário de ameaças como o principal. De acordo com o Internet Security Threat Report de 2017 da Symantec, mais de 7 bilhões de dados foram expostos em vazamentos nos últimos 8 anos, além de mais de 1 milhão de novos malwares produzidos por dia. https://digitalhubshare.symantec.com/content/dam/Atlantis/campaigns-and-launches/FY17/Threat%20Protection/ISTR22_Main-FINAL-JUN8.pdf?aid=elq_ 13 Existem quatro aspectos que se relacionam no ambiente de Segurança da Informação que devem ser levados em consideração quando falamos sobre Inteligência de ameaças, que são: O Conceito de Glocal Pensamento global com atuação local, ou seja, pensar nas tendências que estão acontecendo a nível global modificando comportamentos e interesses e aplicar isso aos negócios. Porque globalização é uma tendência dos negócios, e por isso é necessário entender o que está acontecendo no mundo e aplicar à sua realidade. Marcas A marca é um conjunto de ideias que têm valor. E esse é o maior ativo das empresas, porque é a representação da reputação e da credibilidade delas. Entretanto, marca é um ativo intangível, e por isso não existe firewall que possa protegê-la. Imagine agora, que você é um dos diretores da maior companhia brasileira de comunicação. Sua marca está intacta, seu nome está consolidado no mercado e sua credibilidade é inegável. Mas, devido à um incidente de segurança, um hacker é capaz de interromper a transmissão do seu principal telejornal e do seu portal de notícias online substituindo a programação original por conteúdo odioso, causando um caos. Você consegue calcular o grau de impacto que um episódio desse traria para a essa marca? Gigante né? Pois é, inclusive algo muito próximo disso aconteceu com a TV5Monde, um dos principais canais de TV da França, que foi retirado do ar em abril de 2015 após um ataque com um malware direcionado. Inicialmente, o grupo Cyber Caliphate ligado ao Estado Islâmico assumiu a responsabilidade. Entretanto, agora, uma investigação sugere que o ataque foi realizado por um grupo de hackers russos. O ataque usou um software malicioso personalizado para corromper e destruir o hardware conectado à Internet que controlava as operações da estação de tv, como os sistemas de codificação utilizados para transmitir programas. Esse ataque poderia ter colocado fim a companhia, e de acordo com Yves http://www.bbc.com/news/technology-37590375 14 Bigot, diretor geral da TV5Monde, eles só foram salvos da destruição total porque um dos técnicos encontrou a máquina infectada e a desconectou da Internet paralisando o ataque. O que observamos nesse exemplo é que esse tipo de incidente, não é um incidente de TI e sim de marca, de reputação. E é aí que talvez more o maior valor e o maior problema desse tipo de ataque. Quarta Revolução Industrial: “A quarta revolução industrial será marcada pela convergência de tecnologias digitais, físicas e biológicas. ” A partir da aplicação de tecnologias como a Internet das Coisas, por exemplo, teremos dispositivos físicos conectados à sensores inteligentes através da Internet, permitindo um monitoramento e uma análise avançada das máquinas que são capazes de enviar dados em tempo real. O que possibilita reunir e interpretar dados, a fim de utilizar essas informações para uma gestão mais eficiente. Por isso, essa fase é conhecida como revolução do conhecimento e da comunicação, ou Era da Informação. Ripple Effect Também conhecido como efeito cascata ou efeito dominó. A ideia por trás do ripple effect é de que um gatilho seja o ponto inicial de uma série de acontecimentos que se sucedem sem parar, criando um ciclo vicioso esbarrando em diversos âmbitos, incluindo os que não se relacionam diretamente. Inclusive, esse foi um dos temas abordados na talk de abertura do CTO da RSA, Zulfikar Ramzan na RSA Conference de 2017. Confira abaixo. Quando há aumento no preço do combustível, por exemplo, também há aumento nos preços dos produtos transportados, afetando o preço dos alimentos, dos salários e aumentando a circulação de dinheiro, que consequentemente aumentam os empréstimos e por aí vai. Um caso real que exemplifica essa ideia foi o que aconteceu com a YAHOO! quando estava em processo de negociação com a Verizon em 2016. Nos EUA, as empresas são obrigadas por lei à reportarem incidentes de segurança, e com https://www.proof.com.br/blog/internet-das-coisas/ https://en.wikipedia.org/wiki/Ripple_effect https://youtu.be/YhjdQmeRtNE https://youtu.be/YhjdQmeRtNE https://www.bloomberg.com/news/articles/2017-02-21/verizon-said-to-reach-deal-for-lowered-yahoo-price-after-hacks 15 isso a YAHOO! precisou reportar um vazamento de dados sensíveis ocorrido em 2013. Sendo assim, de acordo com a Bloomberg Technology, no momento em que a YAHOO! reportou esse vazamento de dados, suas ações perderam 350 milhões de dólares em valor de mercado, comprometendo a negociação. Mas o que esses quatro aspectos têm a ver com Inteligência de Ameaças Cibernéticas? Bom, a resposta é simples. Essas quatro esferas estão conectadas. E sendo assim, a partir do momento em que você observa tendências e entende que ameaças podem se desdobrar de “n” formas, e inclusive afetar não só a sua organização, mas a indústria como um todo, você mensura os impactos que podem ser causados, e dessa forma consegue minimizá-los através da Inteligência de ameaças. Relacionar uma ameaça que está acontecendo, não necessariamente no seu campo de atuação, ou no seu país, mas que pode se desenrolar (no curto, médio ou longo prazo) e afetar não só a sua estrutura de negócio, mas também outras entidades importantes na sociedade, criando impactos também dentro da sua indústria. Um bom exemplo para ilustrar esse cenário, foi o que aconteceu com uma startup israelense de transação de criptomoeda, a CoinDash. A empresa teve um prejuízo de 7 milhões de doláres devido a um ataque de defacement, ou seja, o site da empresa foi hackeado e nele colocado uma nota falsa indicando que o site havia sido invadido e que, a fim de minimizar danos, os investidores deveriam transferir seu dinheiro para uma nova conta. Conta esta dominada pelos criminosos. O mais incrível foi que a janela entre a publicação da nota e a derrubada intencional do site durou 3 minutos. O mundo interconectado têm seus ônus, e a sensibilidade é o maior deles. No tempo de comunicações analógicas, o tempo entre o acontecimento do evento e a percepção de seu impacto era suficiente para que até o agente mais despreparado tivesse intervalo para uma reação adequada, sendo assim 3 minutos não seriam suficientes nem para uma notícia chegar a próxima esquina, quiçá para causar algum impacto financeiro relevante para o mundo. Já no mundo globalizado, com infinitos agentes interconectados em redes complexas de comunicação instantânea, o tempo de resposta a incidentes não é suficiente nem para que os agentes envolvidos possam conferir se trata de uma 16 informação verdadeira, nesse caso, 3 minutos foram suficientes para que investidores ao redor do mundo reconsiderassem suas expectativas em relação a criptomoedas. Tudo isso, marcas, países ou qualquer coisa intangível, se tornou sensível devido à globalização e consequentemente diluição de barreiras. Sendo assim, sensibilidade, nesse caso,refere-se à capacidade de resistência e reação à estímulos externos. Sensibilidade é, por exemplo, concentrar toda a comunicação virtual de um país em uma única fonte. Em 2011, a georgiana Hayastan Shakarian, de 75 anos, foi presa depois que supostamente cortou um cabo de fibra óptica que atravessava a Geórgia para a Armênia, enquanto cavava para achar cobre. O incidente deixou 90% dos internautas na Armênia sem conexão com a Internet por quase 12 horas. Episódios como esse são um lembrete oportuno de que no mundo da tecnologia, basta a quebra de um elo para derrubar milhares de empresas. Sendo assim, se o objetivo é diminuir a superfície de ataque para minimizar os riscos e ficar menos à mercê de fatores externos, as empresas precisam abrir mão do modelo de segurança endógeno, aquele que cresce para dentro da organização e se atentar para variáveis que vão além das estruturas controláveis, ou seja as variáveis externas. Para fazer uma analogia, imagine que estamos em um jogo de futebol onde nossos ativos são gols e nossa segurança é o goleiro. Nesse caso, o goleiro está virado para o gol – pensar segurança de maneira endógena é não olhar para os jogadores, e sim para o alvo, ou seja, para o ambiente interno. Tentar implementar defesa sem estratégia, ou seja, sem saber quais capacidades, motivações, intenções, armas dos inimigos, torna-se um esforço custoso, ineficaz e ineficiente. O motivo é que o gol não para de crescer – o Gartner estima que 8.4 bilhões de dispositivos estarão conectados à Internet até o final de 2017 e com eles, novos tipos de vulnerabilidades e formas de ataque. Para resolver essa questão, seria necessário investir em uma abordagem mais eficiente, contando com três frentes, que são: CTI – conhecer quais são as ameaças, suas motivações e seu comportamento, criando um plano de resposta adequado e diminuindo o tempo de remediação. http://www.bbc.com/news/business-13158351 17 Defensive Engagement of the Threat – observar e explorar técnicas, ferramentas e procedimentos (TTP’s) das ameaças em ambientes forjados (de laboratório). Comunicação – compartilhar conteúdo e consumi-lo de maneira estruturada. Se você descobre que está doente, você avisa para que os que estão a sua volta possam tomar a vacina ou até mesmo inventá-la. Conceituando CTI A tecnologia da informação aproxima as pessoas e conecta os pontos, mas cria um single point of failure. Ou seja, imagine uma tecnologia que é capaz de conectar pessoas e negócios. Caso alguém consiga comprometer determinada rede vinculada à essa tecnologia, essa pessoa poderá comprometer todas as outras coisas que estiverem ligadas à essa rede, resultando em grandes impactos. Criando uma externalidade negativa, efeito conhecido em redes. Pense em uma rede muito bem aceita e bem fechada, que pode ser desmoronada à medida que se crie uma instabilidade nela. No caso de Tecnologia da Informação e Comunicação, essa rede não é bem fechada, ela está cheia de buracos, um bom exemplo é a Internet, que é a principal tecnologia dessa Era. Ela está cheia de buracos porque não foi pensada a partir do ponto de vista da segurança, o que significa dizer que agora é necessário aplicar correções na rede mundial de computadores, a fim de garantir a segurança do que foi construído em cima dessa plataforma, criando negócios mais seguros. Outra coisa que precisa ser levada em consideração ao falar de CTI, é a ameaça. Nesse caso, entendemos ameaça como qualquer possibilidade de explorar alguma vulnerabilidade e colocar organizações em risco. No campo da tecnologia, os tempos de detecção e remediação são críticos, o que caracteriza uma janela perfeita para que ataques ocorram. No episódio do WannaCry, por exemplo, a combinação se deu através de um cryptoransomware, para sequestro de dados usando a DoublePulsar para explorar uma vulnerabilidade que já era conhecida, somada a uma característica de worm, para aumentar o potencial de proliferação, explorando uma vulnerabilidade nova, a Eternal https://www.optiv.com/blog/tactics-techniques-and-procedures-ttps-within-cyber-threat-intelligence https://www.proof.com.br/blog/wannacry-ransomworm/ https://www.proof.com.br/blog/wannacry-ransomworm/ 18 Blue. Cada vez mais fala-se sobre a conexão entre sistemas, softwares e ativos da tecnologia da informação conectando os negócios, ou seja, a superfície de contato para um vetor é cada vez maior. Mas ainda tem um outro fator importante nessa já complexa equação, que é a motivação. Nesse ecossistema existem na atores com motivações diferentes, desde os caras que são patrocinados por governos até cibercriminosos oportunistas que querem fazer dinheiro rápido explorando vulnerabilidades conhecidas. Sendo assim, ameaça é quando se tem uma técnica, com alguma motivação e com capacidade de explorá-la. Além da ameaça, outro conceito que faz parte da inteligência de ameaças, é a ideia de contexto. Contexto, nesse caso é a combinação entre a visibilidade do episódio com os indicadores de risco como por exemplo a anatomia do malware, ou seja, entender seu comportamento. O WannaCry começou na Espanha, por volta das 3 da manhã no horário de Brasília. O Brasil não foi o epicentro do ataque, entretanto, a medida que o episódio foi ganhando visibilidade somado com os indicadores de risco, empresas no mundo inteiro fizeram um movimento para minimizar/impedir danos e prejuízos. Caso os mercados ocidentais não tivessem se movido para prevenir que a ameaça explorasse e comprometesse seus sistemas, o efeito teria sido ainda mais devastador. Inteligência de ameaça serve para isso. A conclusão é que não se pode prever o output de determinados fenômenos. E quando falamos de contexto cibernético, impactos para a marca, quarta revolução industrial, e todas essas coisas conectadas, estamos falando que a exploração de uma vulnerabilidade para um atacante, pode ter efeitos imprevisíveis, pode ser o caos para as organizações. E é, exatamente, por isso, que empresas devem monitorar o comportamento de possíveis ameaças, a fim de que possam se prevenir. Entendendo a Inteligência de Ameaças Tenha em mente o atual cenário, o mundo está cada vez mais conectado, o valor das empresas intangível, sistemas e redes mais integrados, e comprometer isso https://www.proof.com.br/blog/contexto-do-wannacry/ 19 pode trazer impactos a nível mundial. Sendo assim, um incidente no mercado asiático pode afetar uma empresa brasileira ou um malware que foi desenvolvido para atacar um país x pode causar danos em outros países e empresas. No caso do WannaCry foi exatamente isso que aconteceu. “Mas o que isso tem a ver com as empresas dos meus clientes ou com a minha própria empresa? ” Nada, se formos míopes e não tivermos o entendimento de que essas técnicas e procedimentos alimentam o cenário de ameaças. À medida que cibercriminosos descobrem vulnerabilidades e tem acesso às ferramentas necessárias para explorá- las, o grau de risco ao qual as empresas estão submetidas, aumenta. E é aqui que a inteligência de ameaças entra em ação. Vamos pensar em inteligência no contexto militar, usando o criptoanalista e cientista da computação britânico Alan Turing como exemplo. O matemático ajudou os aliados a desvendar o segredo da ENIGMA, uma máquina desenvolvida pelos nazistas para a criptografia de mensagens, quebrando a criptografia alemã, decifrando as mensagens e antevendo as futuras movimentações dos alemães, e consequentemente ajudando a pôr fim na segunda guerra. A inteligência aplicada tanto ao conceito da guerra quanto ao ciberespaço ajuda na prevenção a partir da detecção. Ou seja, a partir de um contexto é possível observar o comportamento do ator da ameaça, detecção classificando se ela é eminente, pouco ou muito provável de acontecer, e dessa maneira criar uma resposta específicapara aquela ameaça impedindo que ela afete os negócios e empresas, porque será possível priorizar ações melhor tomada de decisão a partir da associação prévia entre informações e ameaças específicas. Na Segunda Guerra Mundial, os ingleses, no entanto, ao decifrarem as informações dos alemães, ganharam uma vantagem competitiva, podendo ter uma tomada de decisão mais acertada. Isso foi possível porque eles já sabiam qual era o próximo passo dos nazistas, e com isso conseguiam se proteger contra o que estava por vir, e de certa forma até contra-atacá-los. Isso é inteligência no contexto militar. O objetivo da inteligência de ameaça no contexto cibernético é extrair do inimigo o que é relevante e aplicar no seu próprio contexto. E é exatamente por isso, que https://www.facebook.com/proof.com.br/videos/1603040763063951/ https://www.facebook.com/pg/proof.com.br/posts/ 20 muitas empresas fazem monitoramento de Deep Web e Dark Web, para interceptar a comunicação entre hackers ou grupos de cibercrime e se proteger contra os ataques que estão por vir. Inteligência de ameaças é, portanto, um conjunto de informações que ajudam a tomar decisões melhores sobre o que priorizar frente às ameaças que se é mais suscetível, e não ficar à mercê das ameaças. É, portanto, uma arma essencial para detectar e prevenir ataques avançados de invasores bem fundados com objetivos e alvos específicos. Além disso, em geral a inteligência de ameaça cibernética é muito mais útil porque oferece maior visibilidade, resposta mais rápida a ataques direcionados, melhor comunicação executiva, planejamento estratégico aprimorado e investimento para a organização de segurança. Para isso é necessário ter capacidade de resposta à incidentes, saber quais são as técnicas de invasão, fazer gestão das vulnerabilidades para entender quais são as dificuldades do ambiente e ter uma biblioteca de ameaças, para entender e documentar comportamentos encontrados. Ou seja, monitorar as ameaças a fim de criar contexto e saber o que deve ser feito de acordo com as diferentes formas de ataque. E por fim, é importante lembrar que não é possível se prevenir antes de detectar. É na parte de detecção que mora o investimento mais sábio, porque só será possível fazer a detecção através da análise de informações, ou seja, você só reconhece um ataque se tiver inteligência da informação sobre ele. Inteligência essa, que, inclusive, pode vir de diferentes fontes como em ferramentas open source, redes sociais, feeds de setor, o governo, contatos privilegiados em grupos que monitoram ameaças, ferramentas pagas, entre outros. O mais interessante aqui é como essas informações vão ser utilizadas. Fazendo uma analogia, podemos comparar as previsões no cenário cibernético com previsões de fenômenos naturais. Ou seja, se um grupo de especialistas prevê que um furacão está se aproximando da costa de um país x e que causará determinados impactos, a população tem tempo e informação para tomar decisões melhores. Nesse caso, o 21 mesmo acontece na indústria cibernética quando uma ameaça é identificada, analisada e comunicada. A partir do momento em que você tem a informação de que algo que pode te causar impacto está prestes a acontecer, você tem tempo e informações necessárias para realizar ações preventivas, e impedir ou diminuir os danos, à medida que tais informações forem aplicadas aos níveis operacional, estratégico e tático. CONCEITOS AMEAÇA CIBERNÉTICA – causa potencial de um incidente indesejado, que pode resultar em dano ao espaço cibernético de interesse. ARTEFATO CIBERNÉTICO – equipamento ou sistema empregado no espaço cibernético para execução de ações de proteção, exploração e ataque cibernéticos. ATIVOS DE INFORMAÇÃO – meios de armazenamento, transmissão e processamento de dados e informação, os equipamentos necessários a isso (computadores, equipamentos de comunicações e de interconexão), os sistemas utilizados para tal, os sistemas de informação de um modo geral, bem como os locais onde se encontram esses meios e as pessoas que a eles têm acesso. CIBERNÉTICA – termo que se refere a comunicação e controle, atualmente relacionado ao uso de computadores, sistemas computacionais, redes de computadores e de comunicações e sua interação. DEFESA CIBERNÉTICA – conjunto de ações ofensivas, defensivas e exploratórias, realizadas no espaço cibernético, no contexto de um planejamento nacional de nível estratégico, coordenado e integrado pelo MD, com as finalidades de proteger os sistemas de informação (Sist Info) de interesse da defesa nacional, obter dados para a produção de conhecimento de inteligência e comprometer os sistemas de informação do oponente. ESPAÇO CIBERNÉTICO – espaço virtual composto por dispositivos 22 computacionais conectados em redes ou não, onde as informações digitais transitam e são processadas e/ou armazenadas. FONTE CIBERNÉTICA – recurso que possibilita a obtenção de dados no espaço cibernético, utilizando-se ações de busca ou coleta, normalmente realizadas com auxílio de ferramentas computacionais. A fonte cibernética poderá ser integrada a outras fontes (humanas, imagens e sinais) para produção de conhecimento de inteligência. GUERRA CIBERNÉTICA – corresponde ao uso ofensivo e defensivo de informação e sistemas de informação para negar capacidades de C2 AO adversário, explorá-las, corrompê-las, degradá-las ou destruí-las, no contexto de um planejamento militar de nível operacional ou tático ou de uma operação militar. Compreende ações que envolvem as ferramentas de TIC para desestabilizar ou tirar proveito dos sistemas de informação do oponente e defender os próprios Sist Info. Abrange, essencialmente, as ações cibernéticas. A oportunidade para o emprego dessas ações ou a sua efetiva utilização será proporcional à dependência do oponente em relação às TIC. INFRAESTRUTURA CRÍTICA DA INFORMAÇÃO – subconjunto dos ativos de informação que afeta diretamente a consecução e a continuidade da missão do estado e a segurança da sociedade. PODER CIBERNÉTICO – capacidade de utilizar o espaço cibernético para criar vantagens e eventos de influência neste e nos outros domínios operacionais e em instrumentos de poder. RESILIÊNCIA CIBERNÉTICA – capacidade de manter as infraestruturas críticas da informação operando sob condições de ataque cibernético ou de restabelecê-las após uma ação adversa. RISCO CIBERNÉTICO – probabilidade de ocorrência de um incidente cibernético associado à magnitude do dano por ele provocado. SEGURANÇA CIBERNÉTICA – arte de assegurar a existência e a continuidade da sociedade da informação de uma nação, garantindo e protegendo, no espaço cibernético, seus ativos de informação e suas infraestruturas críticas. SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES (SIC) – ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e 23 a autenticidade de dados e informações. Disponibilidade – propriedade segundo a qual a informação deve ser acessível e utilizável sob demanda por uma pessoa física ou por determinado sistema, órgão ou entidade. Integridade – propriedade segundo a qual a informação não deve ser modificada ou destruída de maneira não autorizada ou acidental. Confidencialidade – propriedade segundo a qual a informação não deve estar disponível ou ser revelada a pessoa física, sistema, órgão ou entidade não autorizados ou não credenciados. Autenticidade – propriedade segundo a qual a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física ou por um determinado sistema, órgão ou entidade. SETOR CIBERNÉTICO – um dos três setores de importância estratégica para a defesa nacional, de acordo com a Estratégia Nacional de Defesa, abrangendo as pessoas, instalações, infraestruturase recursos tecnológicos, de nível estratégico, necessários para que as FA possam atuar em rede com segurança, tais como o Sistema Militar de Comando e Controle (SISMC2 ), sistemas de armas/vigilância e sistemas administrativos que possam afetar as atividades operacionais. 24 REFERÊNCIAS ALEMANHA. Federal Ministry of Defence. Defence Aspects of Cybersecurity. Berlin: Federal Ministry of Defence, 2012. ASSUNÇÃO, M. F. A. Segredos do Hacker Ético. Florianópolis: Visual Books, 2010. BRASIL. Exército. Centro de Defesa Cibernética. A Defesa Cibernética como extensão do papel constitucional das Forças Armadas na Defesa Nacional. Palestra institucional do CDCiber. Brasília, 2015. BRASIL. Exército. Estado-Maior. Bases para a transformação da Doutrina Militar Terrestre. Brasília, DF: Estado-Maior do Exército, 2013. BRASIL. Exército. Estado-Maior. Glossário de Termos e Expressões para uso no Exército. C 20-1. Brasília, DF: Estado-Maior do Exército, 2009. BRASIL. Exército. Estado-Maior. Instruções Gerais de Segurança da Informação e Comunicações para o Exército Brasileiro. EB10-IG-01.014. Brasília, DF: Estado-Maior do Exército, 2014. BRASIL. Exército. Estado-Maior. Instruções Gerais para as Publicações Padronizadas do Exército. EB10-IG-01.002. Brasília, DF: Estado-Maior do Exército, 2011. BRASIL. Exército. Estado-Maior. Manual de Campanha Abreviaturas, Símbolos e Convenções Cartográficas. C 21-30. Brasília, DF: Estado-Maior do Exército, 2002. BRASIL. Exército. Estado-Maior. Manual de Campanha Comando e Controle. EB20- MC-10.205. Brasília, DF: Estado-Maior do Exército, 2015. BRASIL. Exército. Estado-Maior. Manual de Campanha Força Terrestre Componente. EB20-MC-10.202. Brasília, DF: Estado-Maior do Exército, 2014. BRASIL. Exército. Estado-Maior. Manual de Campanha Logística .EB20- MC-10.204. Brasília, 2014. BRASIL. Exército. Estado-Maior. Manual de Campanha Operações em Ambiente Interagências. EB20-MC-10.201. Brasília, DF: Estado-Maior do Exército, 2013. BRASIL. Exército. Estado-Maior. Manual de Campanha Processo de Planejamento e Condução das Operações Terrestres. EB20-MC-10.211. Brasília, DF: Estado-Maior do Exército, 2014. BRASIL. Exército. Estado-Maior. Manual de Fundamentos Operações. EB20- MF- 25 10.103. 4. ed. Brasília, DF: Estado-Maior do Exército, 2014. DIÓGENES, Y. Security + SYO 401. Rio de Janeiro: Comptia, 2015. ESPANHA. Centro Criptológico Nacional. Guía de Seguridad. Madrid, 2011. ESTADOS UNIDOS. Army. Cyber Electromagnetic Activities. FM 3-38. Washington, DC: Army, 2014. ESTADOS UNIDOS. Army. The Army Universal Task List. FM 7-15. Washington, DC: Army, 2012. FRANÇA. Ministère de la Defense. Cyberdéfense. Paris: Ministère de la Defense, 2011. GRAVES, K. Official Certified Ethical Hacker: review guide. Indianapolis: Wiley Publishing, 2007. HARRIS, S. CISSP: exam guide. 6. ed. New York: McGraw Hill, 2013. KLIMBURG, A. (Ed.). National Cyber Security Framework Manual.Tallin: NATO CDD COE Publications, 2012. Graves, Kimberly (2010), CEH – Certified Ethical Hacker STUDY GUIDE, Editora Sybex. EC-Council (2013), Ethical Hacking and Countermeasures v8, volumes 1-4, Copyright by EC-Council
Compartilhar