Que lições podemos tirar da espionagem russa?

Segundo Carlos Rodrigues, gerente da Varonis na América Latina, incidentes mostram que auditoria humana não é suficiente e tecnologia de análise com base em comportamento de usuários pode automatizar processo através de comparação de padrões e registros

Compartilhar:

Se há alguns anos o roubo de informações governamentais por outros países dependia apenas do talento de seus espiões no manuseio de uma câmera, hoje os tempos são outros, com ciber-espiões capazes de conduzir operações de alto nível de inteligência sem nem sair de suas mesas no departamento de TI de suas agências de segurança.

No início de junho, o jornal americano Washington Post divulgou que hackers do governo russo tinham invadido a rede de computadores do Comitê Nacional do Partido Democrata. Segundo especialistas, os espiões comprometeram computadores e conseguiram acesso a todo o tráfego de e-mails e chat.

Acredita-se que dois grupos russos concorrentes estejam envolvidos. Nenhuma informação sobre doações foi obtida. Os hackers estavam engajados em uma ação de espionagem, ganhando acesso à pesquisa do partido sobre o candidato da oposição Donald Trump.

Um dos grupos russos envolvidos na invasão, identificado como Cozy Bear, é o mesmo grupo responsável por ataques à Casa Branca em agosto de 2015, enquanto o outro, chamado de Fancy Bear, é conhecido por explorar vulnerabilidades de zero-day.

Segundo especialistas de segurança, ambos os grupos já usaram ataques de phishing no passado e ambos podem estar conectados a agências de inteligência russas.

Técnicas usadas são velhas conhecidas

Uma vez dentro da rede, os hackers usaram Remote Access Trojans (RATs) e técnicas que permitiram a eles executar comandos e transferir arquivos remotamente. Os grupos também usaram técnicas de Comando e Controle (C2).

Qualquer um que esteja a par dos incidentes mais recentes sabe que as técnicas e ferramentas usadas pelos ciber-espiões não são novidade. Já sabemos que os hackers conseguem contornar defesas de perímetro usando phishing, injeções de SQL e vulnerabilidades de zero-day. Uma vez dentro da rede, eles usam técnicas sofisticadas para se manterem indetectáveis.

Por isso, em vez de tentar construir um “muro maior”, as empresas deviam apostar em uma abordagem mais prática: identificar os hackers enquanto eles estão dentro da rede e impedir que eles tenham acesso e roubem dados sensíveis.

No ataque ao partido Democrata, o time de TI eventualmente notou anomalias. No entanto, nesse ponto, já era tarde demais para prevenir o acesso aos e-mails internos e o roubo de dados.

Uma solução melhor seria automatizar a detecção de anomalias. Assim, quando os arquivos fossem acessados em momentos anômalos ou por usuários que dificilmente acessam essas informações, um alarme seria disparado.

Esses incidentes nos ensinam que a proteção dos dados sensíveis é importante demais para depender apenas do alerta de uma pessoa observando trilhas de auditoria. Tecnologias como User Behavior Analytics (UBA) permitem automatizar esse processo, identificando padrões praticamente em tempo real, com algoritmos capazes de comparar padrões de acesso e registros históricos para identificar ações criminosas.

O UBA dá à TI o poder de espionar hackers e ciber-espiões. Uma solução bem melhor e mais barata que treinar e equipar seu próprio agente de campo.

* Carlos Rodrigues é gerente da Varonis na América Latina

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365