Assistência

À Distância

24 Horas

Disponíveis

3 motivos para ter um sistema de segurança SOC na sua organização

Os serviços do Informatico.pt estão focados na criação de soluções para problemas globais necessárias para criar, dimensionar, proteger e defender as redes utilizadas nos nossos negócios e na vida do dia a dia dos nossos clientes. A necessidade de especialistas em segurança cibernética com uma boa formação continua a crescer a uma taxa exponencial. Essa formação para se tornar um especialista em segurança cibernética requer sobretudo uma compreensão profunda sobre como ocorrem os ataques cibernéticos, e como são detetados e evitados. Essa habilidade inclui naturalmente o conhecimento das técnicas que se utilizam para se comprometerem os dados, privacidade e segurança dos computadores e das redes de telecomunicações.

Neste artigo, utilizaremos ferramentas e técnicas num ambiente de formação capazes de criar, implementar, monitorizar e detetar vários tipos de ataques cibernéticos. Serão úteis que poder adquirir as habilidades e conhecimentos necessários para evitar ataques cibernéticos. As falhas de segurança e vulnerabilidades mostradas neste artigo só devem ser utilizadas de forma ética e em ambientes de teste virtuais “sandbox”. A utilização destas ferramentas, técnicas e recursos fora de um ambiente virtual é da estrita responsabilidade do leitor deste artigo. Se tiver alguma dúvida sobre que sistemas e redes de computadores que deve utilizar em ambiente virtual, deve contactar-nos antes de fazer qualquer tipo de experiência.

O acesso não autorizado a dados, computadores e sistemas de rede é um crime punível por lei, normalmente acompanhado por graves consequências, independentemente das motivações do utilizador. É da inteira responsabilidade do leitor deste artigo conhecer e cumprir as leis para a utilização correta das tecnologias.

Provavelmente já alguma vez na sua vida já lhe roubaram alguma coisa. Quer tenha sido uma carteira ou então a sua própria casa. Por isso é importante não só proteger a sua propriedade física, como também proteger as suas informações. Mas afinal de contas quem rouba informações e porque é que costuma fazer? Talvez seja apenas um jovem a testar se consegue hackear as nossas informações. Infelizmente normalmente não é bem isso, fazem-nos para terem algum tipo de ganho financeiro ou por outras razões. Continue a ler este artigo para saber mais sobre as ameaças e os criminosos responsáveis por esses ataques.

 

1 – Exemplos de ameaças

 

Mostramos-lhe a seguir algumas das ameaças mais comuns que justificam a implementação de ums sistema SOC na sua organização.

 

Pessoas roubadas

Um dia à tarde, a Sara passou no seu café favorito para tomar uma bebida quente. Ela fez o pedido, pagou ao empregado de balcão e esperou enquanto os empregados trabalhavam arduamente para conseguirem dar resposta a todos os pedidos dos clientes do café. Entretanto, a Sara pegou no seu telemóvel, desbloqueou-o e ligou-se ao que ela presumiu ser a rede sem fio gratuita do café.

No entanto, sentado a um canto do café, está um hacker que acabou de configurar um hotspot sem fios “perigoso” sem password com o nome da rede Wifi do café. Quando Sara entrou no site do seu banco, o hacker conseguiu sequestrar a sua sessão online e ter acesso às suas contas bancárias. Basicamente estas redes sem fios abertas podem ser hotspots “clonados” utilizados pelos atacantes para acederem à nossa informação.

 

sistema segurança soc organização

 

Empresas sequestradas

O Rodrigo é um funcionário do departamento financeiro de uma grande organização pública e recebeu um e-mail do seu superior CEO com um ficheiro PDF em anexo. O documento em PDF é sobre os ganhos do terceiro trimestre da empresa. Na verdade, o Rodrigo não se lembra de ter pedido esse documento, despertando a sua curiosidade e faz com que ele abra o anexo do email.

A mesma coisa acontece na restante organização, já que dezenas de outros funcionários também se sentem atraídos a clicar no anexo para consultar o documento. Quando o ficheiro PDF é aberto, o ataque de ransomware é espalhado pelos computadores dos funcionários e inicia-se um processo de recolha e encriptação dos dados da organização. O objetivo dos criminosos é ganhar dinheiro com o ataque, porque guardam os dados da empresa até que um resgate seja pago.

 

sistema segurança soc organização

 

Países ameaçados

Atualmente alguns dos malwares são tão sofisticados e o seu desenvolvimento é tão caro que alguns especialistas em segurança acreditam que apenas com a ajuda de um país ou de um grupo de países é que é possível conseguir a influência e o financiamento suficiente para o conseguir. São normalmente sistemas malware concebidos para atacarem uma determinada infraestrutura mais vulnerável de um determinado país, como o sistema de abastecimento de água ou energia elétrica.

Sim, esse era o principal objetivo do worm chamado Stuxnet. Foi uma ameaça que infetou algumas Pen-Drives USB que depois foram levadas por alguns fornecedores iranianos de componentes eletrónicos para dentro das instalações seguras da organização com quem eles trabalhavam. O Stuxnet foi concebido para se infiltrar nos sistemas operativos da Microsoft Windows e em seguida atacar o software desenvolvido pela Siemens para alguns modelos de controladores lógicos programáveis (PLCs).

Basicamente, a Stuxnet procurava um modelo específico de PLCs da Siemens que controla os sistemas de centrifugação das instalações de processamento de urânio. Conseguiram isso porque o worm foi transmitido dos Pen-drives USB que estavam infetados para os PLCs o que danificou muitas dessas centrifugadoras.

Se ficou curioso sobre esta ataque conhecido mundialmente, procure pelo filme Zero Days. Foi lançado em 2016 e retrata o que se conhece sobre a forma como foi desenvolvido e implementado o ataque de malware da Stuxnet à central nuclear.

 

sistema segurança soc organização

 

2 – Origens das ameaças

 

Na realidade existem muitos vetores de ataque utilizados por diversos tipos de criminosos para comprometerem a segurança das redes de comunicações e dos dados das organizações. Mostramos-lhe a seguir algumas das principais origens dos ataques atuais.

 

Quem são os atacantes?

Alguns dos principais causadores destas ameaças incluem, por exemplo, hackers amadores, hacktivistas, grupos do crime organizado patrocinados por alguns países e alguns grupos terroristas, entre outros. Basicamente, os autores das principais ameaças cibernéticas são indivíduos ou grupos de indivíduos que se dedicam a este tipo de ataques informáticos. São considerados atos maliciosos intencionais destinados a prejudicar negativamente um indivíduo ou uma organização.

Os amadores, são conhecidos por serem muito jovens e com pouca ou nenhuma habilidade em termos informáticos, ou de telecomunicações. Ou seja, costumam utilizar ferramentas que já existem ou tutoriais que encontram na Internet para conseguirem fazer os seus ataques. Aliás, alguns são apenas curiosos, ou então tentam demonstrar as suas capacidades causando danos a terceiros. No entanto, mesmo quando utilizam ferramentas rudimentares, podem causar danos devastadores e por isso nunca devem ser negligenciados.

Por outro lado, os hacktivistas são criminosos que pretendem protestar contra uma variedade de ideias políticas e sociais. Ou seja, os hacktivistas insurgem-se publicamente contra algumas organizações ou governos. Para o conseguirem, publicam artigos, vídeos e informações confidenciais. Ou então, param e bloqueiam serviços da internet recorrendo a tráfego ilegítimo com base em ataques de negação de serviço distribuída (DDoS).

Grande parte destas atividades de hacking que ameaçam constantemente a nossa segurança é motivada pelo facto de serem financeiramente rentáveis para os criminosos. Ou seja, eles querem ter acesso à nossa conta bancária, aos nossos dados pessoais e a qualquer outra coisa que eles possam utilizar para conseguirem trocar por dinheiro.

Ultimamente temos ouvido dezenas de histórias sobre países que atacam outros países, ou então que interferem de alguma forma com a política interna dos adversários. Além disso, alguns estados ou nações estão interessados em utilizar o ciberespaço para fazerem espionagem industrial. Basicamente porque o roubo de propriedade intelectual pode dar a um país uma vantagem significativa muito importante no comércio internacional.

De facto, a proteção contra as consequências dos ataques de espionagem cibernética patrocinados por alguns Estados do mundo continuam a ser uma prioridade para todos os profissionais responsáveis pela segurança cibernética.

 

Estamos seguros?

 

sistema segurança soc organização

 

Provavelmente já se apercebeu que a Internet das Coisas (IoT) entrou nas nossas vidas e que está em rápida expansão. Na verdade, estamos apenas a começar a usufruir de alguns dos benefícios da IoT. Felizmente, existem novas formas de utilizar os objetos ligados à rede e são diariamente desenvolvidas novas tecnologias. De facto, a IoT ajuda as pessoas a ligarem as suas coisas para conseguirem melhorar a sua qualidade de vida. Por exemplo, atualmente já existem algumas pessoas que utilizam dispositivos eletrónicos que vestem e que estão ligados para conseguirem controlar as suas atividades físicas ou desportivas.

Já parou por um momento para pensar quantos equipamentos tem atualmente consigo que se ligam à Internet? Mas será que esses equipamentos são 100% seguros? Sabe, por exemplo, quem foi a pessoa ou a organização que criou o firmware? Será que esse programador se preocupou com as possíveis falhas de segurança? Tem a certeza que o seu termostato doméstico ou a sua câmara de segurança IP ligada à sua rede domestica, ou da sua organização são completamente imunes a ataques?

Felizmente, se forem encontradas vulnerabilidades de segurança, o firmware do equipamento pode ser corrigido para eliminar essa falha de segurança. O pior é que muitos dos equipamentos que se ligam à internet não atualizam regularmente os seus firmwares para versões mais recentes. Aliás, na realidade, alguns dos equipamentos mais antigos, nem se quer, foram concebidos para serem atualizados. Basicamente, estas duas situações criam enumeras oportunidades para que os criminosos possam explorar, para depois ameaçar a segurança dos proprietários desses equipamentos.

Um exemplo disso, foi um ataque de DDoS que aconteceu em outubro de 2016, dirigido a um provedor de nomes de domínio Dyn e que afetou dezenas de sites populares em todo o mundo. O ataque teve origem numa enorme quantidade de webcams, DVRs, routers e outros equipamentos IoT que forma comprometidos com software malicioso. O que aconteceu foi que esses equipamentos formaram uma “botnet” totalmente controlada por hackers. Depois, essa botnet foi utilizada pelos criminosos para criar um devastador ataque DDoS que conseguiu desativar alguns dos principais serviços da internet.

Na altura, a provedora de serviços Dyn publicou num blog, uma explicação resumida, sobre o ataque e qual foi a sua reação para se defender e resolver os danos causados. Se ficou curioso pode pesquisar na internet por “Dyn Analysis Summary of Friday October 21 Attack” e irá descobrir mais detalhes sobre este ataque mundialmente conhecido. Para conseguir uma explicação sobre este perigo real que existe em não proteger os equipamentos IoT, pode pesquisar no Google por uma apresentação da TED realizada por Avi Rubin e com o título em português “Todos os seus equipamentos podem ser hackeados”. Esse Dr. Rubin é atualmente professor de Ciências da Computação na Universidade de Johns Hopkins.

 

3 – Objetivos das ameaças

 

Neste capitulo mostramos-lhe alguns do principais objectivos dos ataque cibernéticos.

 

Roubar dados de PII, PHI e PSI

Na verdade, o impacto económico dos ataques cibernéticos é muito difícil de conseguir calcular com exatidão. No entanto, os peritos estimam que até 2024 a nível mundial as organizações irão perder mais de 5 triliões de euros devido a ataques cibernéticos.

Existem vários tipos de informações que os atacantes podem roubar às suas vítimas.As informações de identificação pessoal (PII) são todos os dados pessoais que podem ser utilizados para identificar inequivocamente uma pessoa. Algum desse tipo de informação PII pode ser, por exemplo:

 

  • Nome
  • Número da segurança social
  • Data de nascimento
  • Número do cartão de crédito
  • Número da conta bancária
  • Numero do cartão de cidadão
  • Endereços (morada, e-mail, telefone)

 

Uma das estratégias mais lucrativas dos criminosos cibernéticos é conseguirem obter listas com dados PII para depois os poderem vender na dark web. Utilizam a dark web sobretudo porque só pode ser acedida recorrendo a software especial utilizado para conseguir proteger as suas atividades. Os dados PII que roubam e depois vender são muitas vezes utilizados para criar contas bancárias falsas, cartões de crédito e fazerem créditos e empréstimos bancários.

Além disso, existe um subconjunto de dados PII com informações relacionadas com a saúde das vítimas (PHI). Como é do conhecimento publico, a comunidade médica cria e mantém registos médicos eletrónicos (EMRs) que contêm dados PHI. Por exemplo, nos Estados Unidos da América, o tratamento dos dados PHI é regulado pela Lei de Responsabilidade e Portabilidade de Seguro Saúde (HIPAA). Por outro lado, na União Europeia, o Regulamento Geral de Proteção de Dados (GDPR) protege a maioria das informações pessoais, incluindo também os registos relacionados com a saúde.

Também existem as informações relacionadas com a segurança pessoal (PSI) que podem ser classificadas como outro tipo de dados PII. Basicamente são informações que incluem os nomes de utilizador, passwords e outras informações relacionadas com a segurança das pessoas quando elas acedem a dados ou serviços na internet. Segundo um relatório da Verizon publicado em 2019, o segundo método mais utilizado pelos criminosos para conseguirem violar as rede informáticas foi recorrendo à utilização de dados PSI previamente roubados às vítimas.

De facto, a maioria dos ataques cibernéticos a organizações que apareceram em notícias recentes envolveram dados PII ou PHI que haviam sido roubados. Mostramos-lhe a seguir alguns exemplos desses ataques:

 

  • Um site de ferramentas de design gráfico on-line em 2019 foi vítima de uma violação de dados. O que aconteceu foi que os dados PII de aproximadamente 137 milhões dos seus utilizadores foram roubadas por hackers. Depois apareceram na internet informação de 4 milhões de contas dos utilizadores desse site.
  • Uma grande empresa chinesa relacionada com redes social foi hackeada em 2020 e roubaram-lhe dados PII que continham os números de telefone de cerca de 172 milhões de utilizadores. Como não conseguiram roubar as passwords das contas dos utilizadores, os dados ficaram disponíveis na internet por um preço bastante baixo.
  • Uma empresa de desenvolvimento de jogos para o Facebook foi hackeada em 2019 e roubaram-lhe os dados PII de cerca de 218 milhões de utilizadores.

 

Perder a competitividade

 

sistema segurança soc organização

 

De facto, as organizações estão cada vez mais preocupadas com a espionagem industrial que acontece no ciberespaço. Preocupam-se sobretudo com a perda da sua propriedade intelectual para os seus concorrentes. Além disso, e na nossa opinião, algo mais grave é perder a confiança dos clientes que acontece quando uma empresa é incapaz de proteger os dados pessoais dos seus clientes. Dai pode resultar uma redução da sua vantagem competitiva, sobretudo porque os parceiros e clientes da organização deixam de lhe conseguir confiar os seus dados. Por isso é crucial para as organizações manterem não só os seus segredos comerciais como os dados dos seus clientes bem guardados.

 

Comprometer a segurança

Infelizmente, não são só as empresas e organizações privadas que são hackeadas. Em fevereiro de 2016, um informático criminoso publicou na internet informações pessoais de cerca de 20.000 funcionários do FBI (Federal Bureau of Investigation) e de cerca de 9.000 funcionários do Departamento de Segurança Interna (DHS) dos EUA. Pelo que se conseguiu apura na altura, o hacker reivindicou motivos políticos para realizar o ataque.

Por falar nisso, o worm Stuxnet também foi criado especificamente para conseguir impedir o desenvolvimento do Irão relativamente ao enriquecimento de urânio porque isso depois podia ser utilizado numa arma nuclear. De facto, o Stuxnet é um excelente exemplo de um ataque informático motivado por questões relacionadas com segurança nacional. No Informatico.pt, acreditamos que a guerra cibernética é algo que não só as organizações privadas como publicas devem ter em consideração.

Existem soldados hackers que são muitas vezes apoiados por países para conseguirem causar problemas ou destruir completamente os serviços e recursos vitais de um país inimigo. Na verdade, a Internet tornou-se num campo de batalha, apesar de ser cada vez mais essencial para as atividades comerciais e financeiras. Com a interrupção dessas atividades é possível colapsar por completo a economia de um país. Lembramos que continuam a existir controladores, semelhantes aos que foram atacados pelo Stuxnet, utilizados para controlar o fluxo de água nas barragens e a troca de eletricidade na rede elétrica. Sim, os ataques que conseguirem afetar esses controladores podem ter consequências terríveis.

 

4 – Quais os mecanismos de proteção

Ao ler este artigo talvez esteja a considerando construir uma carreira em segurança informática e telecomunicações. Mas será que tem noção de todas as tecnologias que precisa de conhecer e dominar? Mostrar-lhe-emos neste capitulo uma breve descrição das funções e habilidades de um responsável por segurança.

 

Centros de segurança SOC

De facto, a proteção contra estas ameaças cibernéticas requer no mínimo uma abordagem formalizada, estruturada e disciplinada. As organizações utilizam habitualmente os serviços prestados por profissionais qualificados em Centros de Operações de Segurança (SOC). Estes SOCs possuem uma ampla gama de serviços que vão desde a monitorização e gestão de tecnologias até as soluções mais completas que controlam as ameaças e a segurança das organizações.

Este tipo de serviços pode ser personalizado para conseguir atender às reais necessidades dos clientes. Estes centros de segurança SOCs podem ser totalmente geridos internamente pela organização ou então podem ser serviços subcontratados a uma empresa externa de segurança como, por exemplo, a Managed Security Services da Cisco.

Como está representado na figura a seguir, os principais elementos que compõem um SOC, são as pessoas, os processos e as tecnologias. Na figura encontramos os três elementos de um centro de Operações de Segurança ou SOC.

 

sistema segurança soc organização

Fonte: Cisco

 

As pessoas de um SOC

As funções das pessoas que trabalham num SOC evoluem muito rapidamente. Normalmente, os SOCs atribuem essas funções de trabalho conforme a experiência e as responsabilidades necessárias para os diferentes níveis de segurança. Ou seja, os profissionais do primeiro nível são menos qualificados que os que trabalham nos níveis superiores, que exigem mais competências e experiência profissional.

 

  • Nível 1 – Analista de Alertas – Estes profissionais monitorizam todos os alertas que são recolhidos, verificam se um determinado incidente ocorreu na realidade e se considerarem necessário reencaminham o incidente através de um ticket para o responsável do Nível 2.
  • Nível 2 – Responsável por Incidentes – Estes profissionais são basicamente os responsáveis por investigar detalhadamente todos os incidentes relacionados com a segurança e por aconselhar aos superiores às correções e as ações que consideram necessárias para evitar mitigar ou resolver a vulnerabilidade.
  • Nível 3 – Detetor de Ameaças – Estes profissionais têm experiencia e são sempre especialistas em redes, endpoint, inteligência contra ameaças e engenharia reversa de malware. Na verdade, são tecnicamente especialistas em análise e controlo de processos relacionados com ameaças de malware e conseguem determinar