Ataques
Desconhecidos Requerem Sistemas Avançados
de Aviso
|
 |
 |
|
Sua rede está sob
ataque. Um novo worm está se infiltrando em
sua empresa. Seu sistema de detecção
de intrusões não o avisou da ameaça
porque o ataque não era conhecido publicamente
ou porque foi refletido na forma de assinatura; passou
facilmente por suas defesas. Antes que você pudesse
fazer qualquer coisa para proteger sua empresa, o
worm se infiltrou na empresa, duplicando-se através
de contas compartilhadas na rede e atacando suas
redes parceiras. Seus administradores do sistema
nunca esperavam que isso fosse acontecer!
Todos os dias, empresas se encontram em tais situações.
Worms e outros tipos de ataques destrutivos têm
se tornado mais sofisticados e detectá-los significa
construir defesas mais fortes. Empresas que enfrentam
ameaças combinadas como Bugbear, Blaster, Welchia,
e SoBig precisam saber da aproximação
dessas ameaças e quando estão sob ataque.
Uma ameaça combinada conjuga vírus, worms,
ataques de negação de serviços
e, algumas vezes, furto de dados confidenciais. Com
tantas frentes de ataque, o que talvez seja de igual
importância é o fato de as empresas garantirem
que a difusão destes ataques, através
de suas conexões de rede, também não
cause dano aos seus parceiros e clientes.
No período entre o lançamento de um
novo ataque e o reconhecimento dele pela comunidade
de segurança (e desenvolvimento de medidas corretivas),
um intruso pode se valer desta oportunidade para penetrar
as defesas existentes. As ameaças, nesse estágio
de seu ciclo de vida, são chamadas de ameaças
de dia zero. Estas ameaças ainda não
são refletidas na detecção de
assinaturas e podem contornar as defesas existentes.
Ataques de dia zero são um bem precioso para
hackers porque exploram uma vulnerabilidade que ainda
não foi revelada ao público e para a
qual o fornecedor ainda não publicou uma correção
ou solução alternativa. É por
isso que a detecção destes ataques, o
mais cedo possível, pode ajudar a bloquear essa
oportunidade para os adversários (veja ilustração).
Detecção
de intrusões baseada em assinaturas
A maioria dos sistemas de detecção de intrusões é baseada
em assinaturas e não consegue detectar ataques de dia zero. Eles somente
conseguem detectar ataques para os quais são programados para reconhecer,
ou seja, para os quais eles já têm assinaturas. Esse é um
dos grandes problemas de softwares de detecção de intrusões – sua
rede pode estar sob ataque, mas talvez seja necessário esperar dias até que
uma nova assinatura seja publicada para detectar o ataque.
Frente a ameaças de ataques de dia zero, empresas
não podem esperar pelo desenvolvimento e instalação
de assinaturas. As ameaças atuais se propagam
rapidamente e a chance de corrigir vulnerabilidades
de segurança está diminuindo. O Blaster
provou isso. Apenas 26 dias após a publicação
de uma correção, o Blaster infectou usuários
corporativos e domésticos. Como a combinação
de sistemas baseados em protocolos e assinaturas é a
ideal, certifique-se de que seu fornecedor pode implementar
assinaturas quando uma vulnerabilidade for identificada.
Garantir que o sistema esteja atualizado também
pode ajudá-lo a evitar o furto de dados confidenciais.
O roubo de dados confidenciais pela porta dos fundos
continua a crescer. O Relatório de Ameaças à Segurança
da Internet da Symantec mostrou que o roubo de dados
confidenciais cresceu 400% na primeira metade de 2003.
O Bugbear foi um dos melhores exemplos de roubo de
dados confidenciais em 2003. Uma vez infectado o sistema,
os dados confidenciais como teclas digitadas, nomes
de usuários, processos e outras informações
críticas do sistema eram extraídos.
Muitos executivos não estão cientes
de que suas defesas não conseguem detectar estes
ataques. Muitos deles depositam sua confiança
em sistemas de detecção de intrusões
que não são inteligentes o bastante para
detectar ameaças desconhecidas como o Bugbear,
Blaster, Sobig, e outras. Bancos de dados de assinaturas
devem ser atualizados constantemente; as empresas que
dependem somente da tecnologia baseada em assinatura
são deixadas completamente vulneráveis
a ataques de dia zero. Não estar preparado para
isso representa um custo muito alto. Por exemplo, o
Blaster, Welchia.A, e Sobig.F causaram sozinhos danos
de mais de 2 bilhões de dólares.
A Symantec viu o Blaster chegar em seu ponto máximo,
infectando 2.500 hosts por hora. Então, apareceu
o Welchia.A, que explorava a mesma vulnerabilidade
do Blaster, e foi criado para limpar e corrigir computadores
infectados pelo Blaster. Apesar do Welchia ter tentado
limpar computadores infectados através da remoção
do worm Blaster, ele, ao invés disso, poderia
ter causado grandes danos.
As assinaturas são muito específicas
a um ataque; depois que uma determinada assinatura é adicionada
ao banco de dados de detecção, até mesmo
uma pequena modificação ao ataque detectado
pode ativar a nova versão para que ela consiga
passar pelo sistema de detecção de intrusões.
Essa conhecida estratégia permite que os adversários
subvertam sistemas de detecção de intrusão
baseados em assinaturas.
Anomalias
de protocolo
A detecção de anomalias de protocolo é realizada no protocolo
do aplicativo. Ela se concentra na estrutura e conteúdo das comunicações.
Muitos ataques têm como alvo protocolos como o Telnet, HTTP, RPC e SMTP.
Certos erros de programação (como o estouro de buffer) são
usados por agressores para comprometer ou causar dano a um sistema. Estes ataques
exploram práticas ruins de programação e são bastante
comuns.
Quando as regras de protocolo são modeladas diretamente nos
sensores, é mais fácil identificar o tráfego que
viola as regras, como dados não esperados e caracteres extras
e inválidos. É exatamente dessa maneira que esses ataques
podem ser identificados. O Bugbear, por exemplo, foi detectado pela
detecção de anomalias de protocolo ManHunt (PAD) porque
sua comunicação de porta dos fundos usa a porta SOCKS
(1080). Ao usar essa porta, ele não está em conformidade
com o protocolo SOCKS (RFC 1928). O BugBear violou as especificações
do protocolo SOCKS porque valores inválidos para a negociação
de autenticação foram usados, e o PAD ativou um evento
(Número Desconhecido da Versão do Servidor SOCKS) indicando
a violação do protocolo e, assim, alertando os administradores
do sistema sobre o ataque. Enquanto ataques desconhecidos que violam
protocolos conseguem passar pelos sistemas baseados em assinaturas,
estes ataques podem, freqüentemente, ser detectados pelo protocolo
IDS e informados aos administradores do sistema, dando a eles horas – às
vezes dias – para responder à nova ameaça antes
do ataque ser identificado e do desenvolvimento e distribuição
de uma nova assinatura.
Reforçando as defesas
Os sistemas de detecção de intrusões não identificarão
todos os ataques, independente do tipo de sistema que a empresa tenha implementado.
Se apenas assinaturas IDS forem implementadas por toda a rede, elas não
identificarão os ataques desconhecidos e de dia zero. Uma vez que as anomalias
de protocolo conseguem detectar vários ataques desconhecidos, como o Blaster,
as empresas devem, pelo menos, estar aptas a reforçar suas defesas nos
gates de sua rede: na conexão com a Internet, conexões VPN, conexões
de rede de clientes, etc. Assim, elas podem levantar a primeira linha de defesa
nos pontos de entrada, de modo que estes ataques possam ser detectados o mais
cedo possível.
“Tentar detectar estes tipos de ataques na porta de entrada não é o
suficiente,” disse Mike Allison, Diretor da Global IT em palmOne. “Nossa
detecção de anomalias de protocolo ManHunt detectou ataques
desconhecidos como o Bugbear e o Blaster na entrada de pontos da Internet.
Nossa equipe de respostas controla os lugares certos para proteger nossa
rede contra outros ataques da Internet. Infelizmente, com algumas destas
ameaças, eventos começaram a ser relatados a partir dos
registros IDS agregados, provenientes das redes de nossos próprios
parceiros. Não é o suficiente reconhecer e proteger nossa
própria rede; nossos parceiros precisam reforçar suas
defesas também.”
Dan Langin, advogado e especialista em Direito de Propriedade Intelectual,
afirma: “Administradores e diretores têm a obrigação
fiduciária de proteger o patrimônio da empresa contra perdas
e danos. Os sistemas de detecção de intrusões são
um modo muito importante de cumprir esses deveres de proteção
do patrimônio intelectual, bem como câmeras de segurança
são um modo muito importante de proteção do patrimônio
corporal.”
Detectar ataques rapidamente requer sistemas avançados de aviso.
A maioria das empresas precisa melhorar seus recursos de detecção,
de modo a proteger seus dados, seus clientes e as redes de seus parceiros.
Não espere até que sua rede se torne uma fonte de ataques
contra outros. Reforce suas defesas. Proteger sistemas contra ameaças
desconhecidas e de dia zero requer sistemas avançados de alerta
e aviso. Não seja surpreendido com suas defesas baixas quando
aquele ataque de dia zero atingir sua empresa. Esteja preparado para
detectar, proteger e responder.
Sobre a autora
Linda McCarthy é Consultora de Segurança
Executiva, do Escritório da Direção
de Tecnologia para a Symantec. Ela foi anteriormente
vice-presidente da Engenharia de Sistemas na Recourse
Technologies. Ela trabalhou também como vice-presidente
e diretora de conhecimentos da NETSEC, e foi a fundadora
e presidente da Network Defense e Gerente da Security
R&D na Sun Microsystems. Como consultora, ela já violou
milhares de redes corporativas, para demonstrar a facilidade
com que intrusos podem interromper as operações
de uma empresa. McCarthy é a autora de IT
Security: Risking the Corporation, publicado
por Prentice Hall.
Links Relacionados:
|
|
|
