outubro 29, 2015

[Segurança] Estamos sob ataque !!!

Em seu recente artigo sobre "Como atingir a segurança perfeita em 3 passos simples", o blog da empresa Veracode fez uma descrição excelente de como é o dia-a-dia de um profissional de segurança trabalhando durante uma mega-invasão em seu ambiente.




Eu, particularmente, já vivenciei na pele e presenciei outros colegas lidando com diversos casos de ciber ataques, aonde a equipe de SI (e TI) tínha que lidar com um incidente, e por isso mesmo achei que a descrição dada pelo pessoal da Veracode é sensacional, e cômico. Veja uma transcrição parcial abaixo, com pequenas adaptações minhas - e algumas notas adicionais.
"Passe um longo tempo respondendo aos gestores como o ataque aconteceu. Sinta como se tivesse um buraco enorme e escancarado em seu peito. Sinta desamparo total. Esconda-se por um tempo em seu escritório para ningém ver você chorar. Se alguém perguntar, diga que tem alergia a poeira.

Perceba que você precisa fazer alguma coisa. Fique com raiva e largue tudo para investigar como o ataque aconteceu. Olhe para os eventos e para os logs até que sua cabeça comece a latejar. Pare tudo o que está fazendo, pela milésima vez, para responder a perguntas dos gestores sobre o ataque. Desista de investigar. Continue dizendo a todos que perguntarem que você realmente não sabe como isso aconteceu.

Nota: se você tiver a sorte de achar algum IP da China fazendo qualquer acesso em seu site (mesmo que seja um acesso válido), culpe os hackers chineses e pode parar de ler a história por aqui ;) #fato

O seu gerente pergunta se você deve contactar a polícia. Você realmente não sabe. Entra em contato com a polícia, mas eles também não sabem o que fazer. Diga ao gestores que eles devem entrar em contato com parceiros e clientes que possam ser afetados. Receba como resposta que você deve evitar os jornalistas. Os gestores te perguntam o que eles devem dizer para os demais empregados, mas você não sabe. Para não dizer nada, peça para os gestores orientar a todos que eles devem alterar suas senhas.

Concentre-se em limpar os equipamentos suspeitos de terem sido invadidos. Altere todas as senhas em todos os lugares que encontrar pela frente. Leia o que todos estão dizendo sobre sua violação nas redes sociais e sites de noticia. Sinta-se mal... Encontre um pouco de conforto em outros profissionais de segurança, seus colegas, que vão te dizer que todo mundo pode ser hackeado algum dia. Vá para casa dormir, mas passe a noite acordado e preocupando-se ao ponto de ter náuseas.

Descubra o banco de dados está corrompido. Seja feliz que você investiu em uma super solução de back-up. Mas descubra que o último back-up realmente recuperável é de um mês atrás. Chute a si mesmo por nunca testar o sistema de recuperação e se sinta um idiota. Fique com raiva e chute a máquina de back-up. Sinta-se mais idiota ainda por bater em uma máquina.

Saia do seu esconderijo o tempo suficiente para ir a gerência relatar o progresso - ou melhor: falta de progresso e falta de perspectiva em quando vai ter tudo resolvido. Diga que você ainda está investigando e limpando o ambiente. Ouça que vai receber um orçamento muito maior para comprar novas soluções e corrigir o ambiente. Não diga a eles que é tarde demais, mas você acha sabe que é e engole seco.

Nota: Durante um ataque grave, os gestores adoram fazer um tour no Data Center para ver o pessoal trabalhando desesperadamente e botar um pouco mais de pressão na galera. Eles nunca colocam o pé lá, e daí descobrem como o ambiente está zoneado. e prometem investir mundos e fundos para corrigir todo o ambiente. Passado o ataque, nenhum investimento é feito, os gestores não voltam nunca mais no data center zoneado e tudo continua bagunçado como sempre foi.

Pense sobre suas ferramentas de proteções para tudo o que entra e sai da rede. Perceba que você seu Firewall parece mais um queijo suiço. Tome uma respiração profunda e diga a si mesmo que é bom que agora você está aprendendo. Perceba que você não têm de perímetro na rede e tudo entra e sai praticamente por todos os lugares.

Descubra que você está atrasado para a reunião com a gerência. Peça para adiar, porque você está no caminho certo. Rode o Wireshark e veja o que está acontecendo na sua rede. Tente achar algum sentido da confusão. Mas tudo é uma bagunça.

(...)

Uma manhã você começa a trabalhar e encontra seus servidores web atacados pelo novo exploit para buffer overflow que foi anunciado no início daquela semana. Verifique com o seu SOC e descubra que o seu WAF e o IPS deixaram o ataque passar. Ligue para o fornecedor para reclamar e ouça de volta que você configurou as ferramentas errado. Lembre-lhes que eles configuraram o ambiente. Eles negam. Fique com raiva. Vá falar com os gestores sobre trocar os fornecedores. Descubra que você ainda tem mais dois anos de contrato com o fornecedor. Descubra também, através de alguém em sua equipe, que o fornecedor é o primo do CEO. Coma chocolate para lidar com isso.

(...)

Acorde e sinta-se terrível. Você tem toda uma inteligência de segurança para lhe dizer o que as suas defesas de segurança não podem te proteger. Sinta-se como uma fraude por ter um diploma e ter diveersos certificados em segurança da informação, mas não sabe como realmente proteger nada."

Um comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.