Lar Securitywatch O fluxo de domínio ajuda a que as violações de dados fiquem ocultas

O fluxo de domínio ajuda a que as violações de dados fiquem ocultas

Vídeo: QUEBRA DE SIGILO do cadastro telefônico SEM ORDEM JUDICIAL (Novembro 2024)

Vídeo: QUEBRA DE SIGILO do cadastro telefônico SEM ORDEM JUDICIAL (Novembro 2024)
Anonim

O primeiro trimestre deste ano foi repleto de notícias sobre violações de dados. Os números eram alarmantes - 40 milhões ou mais de clientes-alvo afetados, por exemplo. Mas a duração de algumas violações também foi chocante. Os sistemas de Neiman Marcus foram abertos por três meses, e a violação de Michael, iniciada em maio de 2013, não foi descoberta até janeiro deste ano. Então, o pessoal de segurança deles é total lamers? Um relatório recente do provedor de recuperação de violações Damballa sugere que isso não é necessariamente verdade.

O relatório aponta que o volume de alertas é enorme e, normalmente, é necessário um analista humano para determinar se o alerta realmente significa ou não um dispositivo infectado. Tratar todos os alertas como uma infecção seria ridículo, mas reservar um tempo para a análise dá aos bandidos tempo para agir. Pior, quando a análise estiver concluída, a infecção poderá ter continuado. Em particular, pode estar usando um URL completamente diferente para obter instruções e filtrar dados.

Fluxo de domínio

Segundo o relatório, Damballa vê quase metade de todo o tráfego da Internet na América do Norte e um terço do tráfego móvel. Isso dá a eles alguns dados realmente grandes para brincar. No primeiro trimestre, eles registraram tráfego em mais de 146 milhões de domínios distintos. Cerca de 700.000 deles nunca foram vistos antes e mais da metade dos domínios nesse grupo nunca foram vistos novamente após o primeiro dia. Muito suspeito?

O relatório observa que um canal de comunicação simples entre um dispositivo infectado e um domínio de Comando e Controle específico seria rapidamente detectado e bloqueado. Para ajudar a manter o foco, os atacantes usam o que é chamado de algoritmo de geração de domínio. O dispositivo comprometido e o invasor usam uma "semente" combinada para randomizar o algoritmo, por exemplo, a matéria principal de um determinado site de notícias em um horário específico. Dada a mesma semente, o algoritmo produzirá os mesmos resultados pseudo-aleatórios.

Os resultados, nesse caso, são uma coleção de nomes de domínio aleatórios, talvez 1.000 deles. O invasor registra apenas uma delas, enquanto o dispositivo comprometido tenta todas elas. Quando ele atinge o caminho certo, ele pode obter novas instruções, atualizar o malware, enviar segredos comerciais ou até obter novas instruções sobre qual semente usar na próxima vez.

Sobrecarga de informação

O relatório observa que "alertas indicam apenas comportamento anômalo, não evidência de infecção". Alguns dos clientes da Damballa recebem até 150.000 eventos de alerta todos os dias. Em uma organização onde a análise humana é necessária para distinguir o joio do trigo, isso é muita informação.

Fica pior. Minerando dados de sua própria base de clientes, os pesquisadores de Damballa descobriram que "grandes empresas globalmente dispersas" sofriam em média 97 dispositivos por dia com infecções ativas por malware. Esses dispositivos infectados, juntos, carregavam uma média de 10 GB por dia. O que eles estavam enviando? Listas de clientes, segredos comerciais, planos de negócios - pode ser qualquer coisa.

Damballa afirma que a única solução é eliminar o gargalo humano e fazer uma análise totalmente automatizada. Dado que a empresa fornece precisamente esse serviço, a conclusão não é surpresa, mas isso não significa que esteja errado. O relatório cita uma pesquisa dizendo que 100% dos clientes da Damballa concordam que "automatizar processos manuais é a chave para enfrentar futuros desafios de segurança".

Se você é o responsável pela segurança de rede da sua empresa ou se você é o responsável pela cadeia de gerenciamento, certamente você vai querer ler o relatório completo. É um documento acessível, não pesado para o jargão. Se você é apenas um consumidor médio, da próxima vez que ouvir uma reportagem sobre uma violação de dados que ocorreu apesar de 60.000 eventos de alerta, lembre-se de que os alertas não são infecções e cada um exige análise. Os analistas de segurança simplesmente não conseguem acompanhar.

O fluxo de domínio ajuda a que as violações de dados fiquem ocultas