abril 25, 2014

[Segurança] Target: a invasão foi identificada... e ignorada.

A recente agitação com o surgimento do bug do Heartbleed e a aprovação do Marco Civil tiraram a minha atenção do caso do roubo de dados da Target. Mas, de qualquer forma, eu já tinha pensado em escrever um artigo comentando um fato bem curioso: as ferramentas de segurança detectaram e alarmaram o ataque na Target, mas a equipe de segurança deles ignorou os alertas! E o resto é história...

Segundo descrito na reportagem sobre este assunto, a solução de antivírus corporativo e uma ferramenta específica usada pela Target detectaram o ataque, mas foram ignoradas pelas equipes de segurança que deveriam ter atuado para evitar o incidente.

O primeiro ponto interessante é que 6 meses antes do ataque, a Target começou a instalar uma ferramenta de detecção de malwares da FireEye, que custou 1.6 milhões de dólares (caraca!!!). Além disso, a Target possui duas equipes de segurança: uma em Bangalore (India) e outra em Minneapolis. Quando a equipe de Bangalore nota algo suspeito, o centro de operações de segurança da Target em Minneapolis deve ser notificado. Pela localização geográfica dessas equipes, dá para supor que o time de Bangalore deve ser um pessoal de SOC para monitoração mais mão na massa em regime de 24x7, enquanto o time americano em Minneapolis deve ser um mini SOC com os gestores, um time de resposta a incidente e provavelmente uma equipe para suporte de 2o ou 3o níveis.

Analisando os logs das ferramentas, a Target percebeu que no dia 30 de novembro de 2013 os hackers fizeram o upload do malware para exfiltração dos dados de cartão de crédito roubados. Isto permitiu que os dados roubados fossem enviados para servidores provisórios espalhados nos EUA e depois para computadores na Rússia. Mas, neste momento, o software da FireEye identificou o upload do malware e gerou alertas. Estes alertas se repetiram no dia 02 de dezembro, quando os hackers instalaram uma outra versão do malware. A ferramenta da FireEye indicou a presença de um malware desconhecido e, inclusive, os endereços dos servidores para onde os dados foram enviados. Pior ainda: a Target tinha desabilitada uma opção para excluir automaticamente o malware quando ele fosse detectado. Até mesmo o sistema de antivírus que a Target usava, o Symantec Endpoint Protection, tinha identificado o comportamento suspeito por vários dias.

O problema é que a tal ferramenta da FireEye enviou os alertas para o time de segurança em Bangalore, que, por sua vez, avisaram a equipe de segurança em Minneapolis. E então...

Nada aconteceu... O time de segurança em Minneapolis não fez nada.

Se estes alertas tivessem sido tratados por alguma das duas equipes de segurança, eles poderiam ter agido cedo o suficiente para evitar que os dados fossem enviados para fora da Target. E todo o incidente poderia ter sido evitado.

No fundo, esta história mostra que não adianta apenas investir em ferramentas de detecção de ataques. Mesmo porque hoje em dia existem dezenas delas que podem gerar milhares de alertas, além dos alertas do Firewall, IPS, anti-vírus, DLP, sistema operacional, etc, etc. Essa salada toda acaba sobrecarregando a equipe de segurança a ponto dela ignorar a maioria dos alertas que recebe. Provavelmente a grande maioria destes alertas não representariam um risco grave e os alertas importantes acabam perdidos em um mar de ruído. Um alerta de vírus sendo atualizado em sua rede jamais deveria passar desapercebido.

É preciso investir no tratamento destes alertas e no correto escalonamento e priorização dos incidentes. E, além disso, a equipe de segurança tem que estar apta a identificar reais problemas e agir rapidamente. e, mesmo assim, corremos o risco de não ver um malware personalizado roubando dados em nossa rede :(

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.