DEPARTAMENTO DE INFORM ´ATICA
DETEC
¸ ˜
AO DE MALWARE DE NOVA GERAC
¸ ˜
AO E
SUA MITIGAC
¸ ˜
AO
Jo˜ao Paulo Marques dos Santos
MESTRADO EM SEGURANC
¸ A INFORM ´
ATICA
Dissertac¸˜ao orientada por:
Prof. Doutora Maria Dulce Pedroso Domingos
e pelo Eng. Jos´e Ant´onio dos Santos Alegria
Comec¸o por agradecer `a Professora Doutora Dulce Domingos pela orientac¸˜ao dada ao longo das v´arias horas em reuni˜oes que em muito contribu´ıram para a execuc¸˜ao deste trabalho. Ao orientador na Portugal Telecom, o Engenheiro Jos´e Alegria, agradec¸o a disponibilidade e confianc¸a prestadas de forma incondicional ao longo de todo o projeto, orientado-me na vida profissional e acad´emica atrav´es da sua experiˆencia e conhecimento. Um agradecimento especial ao Andr´e Cardoso que, de forma incans´avel, me orien-tou na vertente t´ecnica de todo o projeto. A sua contribuic¸˜ao ultrapassou, em diversas ocasi˜oes, o estritamente necess´ario para a elaborac¸˜ao do projeto, contribuindo de forma significativa para o sucesso do mesmo e para o meu enriquecimento profissional e pessoal. Devo tamb´em um agradecimento particular ao Pedro Gonc¸alves e Pedro In´acio que, de forma direta, contribu´ıram para o desenvolvimento do projeto e para a minha valorizac¸˜ao profissional. Nota de agradecimento para toda a equipa SOC (e DCY em geral) pelo ambiente familiar com que me acolheram desde o primeiro dia.
N˜ao posso deixar de agradecer a todos os meus amigos que de forma direta ou indireta contribu´ıram para o meu sucesso acad´emico e pessoal. No entanto, correndo o risco de ser injusto para alguns, n˜ao posso deixar passar a oportunidade de agradecer a todos os meus colegas de casa, em particular o Nuno Prudˆencio, Ant´onio Flor e Marisa Rold˜ao, pela amizade partilhada durante todos estes anos.
Como n˜ao existe sucesso sem uma base familiar forte, um eterno reconhecimento a toda a minha fam´ılia pela minha formac¸˜ao enquanto ser humano. O meu percurso acad´emico deve-se em grande medida `as condic¸˜oes que me proporcionaram ao longo da minha vida.
A nota final vai para os co-autores desta e qualquer obra da minha vida. Para aquele que ser´a sempre o meu ´ıdolo, a minha referˆencia e amigo de uma vida. Mano, um sentido obrigado por olhares sempre por mim.
Termino o meu percurso acad´emico com uma das minhas primeiras lic¸˜oes: “N˜ao dei-xes para amanh˜a o que podes fazer hoje”. Pai, o “hoje” n˜ao ´e suficiente para te agradecer eternamente.
Tendo em conta a diversidade de plataformas digitais de comunicac¸˜ao existentes atual-mente, as suas potenciais vulnerabilidades e o grau de sofisticac¸˜ao dos agentes malicio-sos, importa que cada organizac¸˜ao ou empresa adote uma estrat´egia de seguranc¸a o mais eficaz poss´ıvel. Essa estrat´egia, resultante da potencial gravidade de ataques maliciosos imp˜oe, hoje com maior acuidade, uma pol´ıtica integrada de defesa e de seguranc¸a.
´
E do conhecimento geral que nas redes de comunicac¸˜ao passam, juntamente com dados leg´ıtimos, ameac¸as como v´ırus, spam, ataques de interrupc¸˜ao de servic¸o (Denial of Service – DoS), entre outros, com impacto na qualidade do servic¸o prestado. Neste sentido, a monitorizac¸˜ao da rede assume particular importˆancia no seu processo de defesa, permitindo a detec¸˜ao destas ameac¸as de forma eficaz e em tempo ´util.
Inserindo-se neste quadro de preocupac¸˜oes, o presente trabalho versa a protec¸˜ao con-tra malware (malicious software ou software malicioso) de ´ultima gerac¸˜ao, considerando os danos que estes, por intrus˜ao e acesso il´ıcito, poder˜ao causar na imagem e continuidade de neg´ocio de uma empresa. S˜ao apresentados os resultados obtidos da aplicac¸˜ao de uma plataforma recentemente adquirida pela Portugal Telecom para a mitigac¸˜ao de agentes maliciosos detetados. Trata-se da “Cisco Advanced Malware Protection – Cisco AMP”.
Pretende-se configurar e integrar a plataforma da melhor maneira poss´ıvel no ecossis-tema de seguranc¸a da Portugal Telecom, nomeadamente, com as plataformas de suporte ao Security Operations Center (SOC). A soluc¸˜ao tem por objetivo a detec¸˜ao de malware, reportando-o `as equipas operacionais adequadas para que estas efetuem a sua mitigac¸˜ao de forma r´apida, evitando, dessa forma, a proliferac¸˜ao de ameac¸as nos sistemas da Portu-gal Telecom.
Palavras-chave: detec¸˜ao, mitigac¸˜ao, malware, monitorizac¸˜ao, ciberseguranc¸a
Given the present diversity of digital communication platforms, their potential vulnerabil-ity and increased sophistication of malicious agents, it is imperative for each organization or company to implement a security strategy that is as effective as possible. This strategy, resulting from the potential consequences of malicious attacks, now imposes an integrated defence and security policy.
Common sense tells us that along with legitimate data, threats such as viruses, spam, Denial of Service (DoS) attacks, among others, travel through communication networks, having an impact on the quality of the provided services. Therefore, network monitoring is of particular interest in its defensive process, allowing the detection of these threats in an effective and timely manner.
As part of this central concern, this work addresses advanced malware protection, taking into account the damages these intrusions and illicit accesses could cause to the public image and business continuity of a company. This dissertation focuses on the results obtained from the implementation of a state-of-the-art appliance recently acquired by Portugal Telecom.
The appliance, Cisco Advanced Malware Protection (AMP, for short) focus on the detection of malware so that the incident response teams can use it to mitigate possible infections. It is intended to emphasize the platform’s potential, configuring and integrat-ing it in the best possible way within Portugal Telecom cybersecurity ecosystem. The solution aims to detect malware, reporting it to the appropriate operational teams so that they can be mitigated quickly, thus avoiding the proliferation of malicious agents into Portugal Telecom systems.
Keywords: malware, detection, mitigation, monitoring, cybersecurity
Lista de Figuras xiv
Lista de Tabelas xvii
1 Introduc¸˜ao 1
1.1 Motivac¸˜ao . . . 1
1.2 Objetivos . . . 2
1.3 Contribuic¸˜oes . . . 3
1.4 Estrutura do documento . . . 3
2 Malware: A Nova Gerac¸˜ao 5 2.1 Tipos de Malware . . . 5
2.1.1 Advanced Persistent Threats . . . 8
2.1.2 Ransomware . . . 10
2.2 An´alise de Malware . . . 13
2.2.1 An´alise Est´atica de Malware . . . 13
2.2.2 An´alise Dinˆamica de Malware . . . 15
2.2.3 Virustotal . . . 17
2.3 Detec¸˜ao e Mitigac¸˜ao de Malware . . . 18
2.3.1 Sistemas de Detec¸˜ao de Intrus˜oes . . . 18
2.3.2 Firewalls e Sistemas de Prevenc¸˜ao de Intrus˜oes . . . 20
2.3.3 SECaaS - Security As A Service . . . 24
2.3.4 SIEM: Gest˜ao e Correlac¸˜ao de Eventos de Seguranc¸a . . . 26
2.4 Protec¸˜ao contra Malware Avanc¸ado . . . 28
2.4.1 Cisco Advanced Malware Protection . . . 28
2.5 Conclus˜oes . . . 31
3 Caso de Uso: Portugal Telecom 33 3.1 Configurac¸˜ao Base . . . 33
3.1.1 Licenc¸as . . . 35
3.1.2 Pol´ıtica de Controlo de Acesso . . . 36
3.1.3 Utilizadores . . . 38 ix
3.2.2 Tr´afego do servic¸o de Proxy . . . 41
3.2.3 Tr´afego da Rede de Gest˜ao . . . 42
3.3 Eventos de Ligac¸˜ao e de Intrus˜ao . . . 42
3.3.1 Eventos de Ligac¸˜ao . . . 43
3.3.2 Eventos de Intrus˜ao . . . 44
3.4 Eventos de Ficheiro e de Malware . . . 46
3.4.1 Eventos de Ficheiro (File Events) . . . 46
3.4.2 Eventos de Malware . . . 48
3.4.3 Eventos Retrospetivos . . . 49
3.5 Integrac¸˜oes . . . 50
3.5.1 Integrac¸˜ao com o SIEM . . . 50
3.5.2 Integrac¸˜ao com o Hidra . . . 51
3.5.3 Integrac¸˜ao com o Endpoint Security . . . 52
3.5.4 Integrac¸˜ao com o Orion . . . 53
3.6 Diminuic¸˜ao de Falsos Positivos . . . 54
3.6.1 Implementac¸˜ao de Regras . . . 55 3.6.2 Filtragem Aplicacional . . . 56 3.7 Implementac¸˜ao de Dashboards . . . 57 3.7.1 Appliance Summary . . . 58 3.7.2 Connection Events . . . 59 3.7.3 Feeds Dashboard . . . 62 3.7.4 File Events . . . 63 3.7.5 Intrusion Events . . . 68 3.7.6 Malware Events . . . 71 3.7.7 MEO SOC . . . 74 3.7.8 PT GEO Risk . . . 79 3.8 Conclus˜oes . . . 79 4 Avaliac¸˜ao e Testes 81 4.1 Detec¸˜ao de Malware . . . 81 4.1.1 Tipos de Malware . . . 83 4.1.2 Evoluc¸˜ao do Malware . . . 83 4.1.3 Exemplos de Malware . . . 84 4.2 Detec¸˜ao de Intrus˜oes . . . 85
4.2.1 Intrus˜oes relacionadas com Malware . . . 86
4.2.2 Tipos de intrus˜oes . . . 87
4.2.3 N´ıvel de impacto das intrus˜oes . . . 89
4.2.4 Evoluc¸˜ao dos eventos de Intrus˜ao . . . 90 x
4.3.1 Email, Proxy e Rede de Gest˜ao . . . 94 4.4 Conclus˜oes . . . 95
5 Conclus˜ao e Trabalhos Futuros 97
Abreviaturas 102
Bibliografia 107
´Indice 108
2.1 Cinco fases de ataque de uma Advanced Persistent Threat . . . 10
2.2 Seis fases de ataque do ransomware . . . 12
2.3 Calcular o hash (SHA256 e MD5) do ficheiro zombies.pdf . . . 14
2.4 Arquitetura de um ambiente virtual . . . 16
2.5 Representac¸˜ao de funcionamento do Virustotal . . . 17
2.6 Arquitetura NIDS e HIDS . . . 19
2.7 Modelo gen´erico de uma firewall . . . 21
2.8 Arquitetura NIPS e HIPS . . . 22
2.9 Arquitetura do sistema Snort . . . 24
2.10 Exemplo de regra snort - logins FTP (File Transfer Protocol) efetuados com privil´egios de root . . . 24
2.11 Exemplo de integrac¸˜ao de um SIEM . . . 27
2.12 Detec¸˜ao point-in-time vs seguranc¸a retrospetiva da Cisco . . . 30
3.1 Configurac¸˜ao Cisco AMP da DCY/PT . . . 34
3.2 Pol´ıtica de controlo de acessos implementada na DCY/PT . . . 38
3.3 Perfis de utilizadores definidos . . . 39
3.4 Exemplificac¸˜ao do tr´afego monitorizado . . . 40
3.5 Integrac¸˜ao Cisco AMP - tr´afego do email corporativo . . . 41
3.6 Integrac¸˜ao Cisco AMP - tr´afego do servic¸o de proxy . . . 42
3.7 Integrac¸˜ao Cisco AMP - tr´afego da rede de gest˜ao do datacenter . . . 43
3.8 Exemplo de um evento de ligac¸˜ao . . . 44
3.9 Exemplo de um evento de intrus˜ao . . . 45
3.10 Exemplo de evento de ficheiro . . . 47
3.11 Exemplo de evento de malware . . . 48
3.12 Pol´ıtica de ficheiros do sistema Cisco AMP . . . 49
3.13 Integrac¸˜ao com o SIEM . . . 51
3.14 Exemplo de eventos Cisco AMP no Hidra . . . 52
3.15 Primeira fase de desenvolvimento - Orion.py . . . 54
3.16 Segunda fase de desenvolvimento - Orion.py . . . 55
3.17 Aplicac¸˜ao dos filtros nas regras de Snort . . . 56
3.18 Aplicac¸˜ao dos filtros aplicacionais . . . 57 xiii
3.21 Dashboard Connection Events - Separador Traffic . . . 62
3.22 Dashboard Feeds . . . 63
3.23 Dashboard File Events - Separador Files . . . 64
3.24 Dashboard File Events - Separador Storage . . . 65
3.25 Dashboard File Events - Separador Unknowns . . . 66
3.26 Dashboard File Events - Separador Status . . . 67
3.27 Dashboard Intrusion Events - Separador Events . . . 68
3.28 Dashboard Intrusion Events - Separador Details . . . 70
3.29 Dashboard Intrusion Events - Separador Impact Events . . . 70
3.30 Dashboard Malware Events - Separador Events . . . 72
3.31 Dashboard Malware Events - Separador Files . . . 73
3.32 Dashboard MEO SOC - Separador Intrusion Events . . . 75
3.33 Dashboard MEO SOC - Separador Promiscuous Hosts . . . 76
3.34 Dashboard MEO SOC - Separador File Events . . . 77
3.35 Dashboard MEO SOC - Separador Monitored Traffic . . . 78
3.36 Dashboard PT GEO Risk - Separador SUL e NORTE . . . 79
4.1 M´etodo de propagac¸˜ao do malware . . . 82
4.2 Tipos de malware detetados . . . 83
4.3 Evoluc¸˜ao do malware detetado ao longo do tempo . . . 84
4.4 Exemplos de malware detetado ao longo do tempo . . . 85
4.5 M´etodo de propagac¸˜ao das intrus˜oes . . . 86
4.6 M´etodo de propagac¸˜ao das intrus˜oes relacionadas com malware . . . 87
4.7 Tipos das intrus˜oes detetadas . . . 88
4.8 Tipos das intrus˜oes de malware detetadas . . . 88
4.9 N´ıvel de impacto das intrus˜oes detetadas . . . 89
4.10 N´ıvel de impacto das intrus˜oes de malware detetadas . . . 90
4.11 Evoluc¸˜ao das intrus˜oes detetadas ao longo do tempo . . . 91
4.12 Evoluc¸˜ao das intrus˜oes de malware detetadas ao longo do tempo . . . 92
4.13 Limpeza de m´aquinas infetadas pelo SearchProtect . . . 93
4.14 Ticket do RTIR com detec¸˜ao do ficheiro Zombies.pdf . . . 94
5.1 Plano de expans˜ao do tr´afego monitorizado . . . 98
3.1 Licenc¸as dispon´ıveis para o Defense Center . . . 35 4.1 Tabela de n´ıveis de impacto das intrus˜oes . . . 89
Introduc¸˜ao
1.1
Motivac¸˜ao
A crescente vulgarizac¸˜ao do acesso `a Internet aumentou, n˜ao s´o o universo dos utiliza-dores, como tamb´em a sofisticac¸˜ao dos equipamentos utilizados nos diferentes meios de comunicac¸˜ao atuais. Como consequˆencia, tamb´em a dispers˜ao de malware (malicious software ou software malicioso) acompanhou este crescimento, apresentando-se atual-mente como uma das mais s´erias ameac¸as de seguranc¸a na Internet [6].
In´umeros sistemas inform´aticos espalhados pelo mundo apresentam-se infetados com diversas classes de malware. Apesar da existˆencia de software antiv´ırus, firewalls, siste-mas de detec¸˜ao e prevenc¸˜ao de intrus˜oes, etc., as ameac¸as resultantes de software malici-oso persistem e continuam a crescer, encontrando novas formas de contornar os mecanis-mos de defesa.
A pr´opria natureza do malware utilizado pelos atacantes mudou recentemente, evo-luindo da, relativamente simples, interrupc¸˜ao de servic¸os para a procura ativa de informac¸˜ao relevante ou de ganhos financeiros. Quer isto dizer que, atualmente, o malware procura ser mais inteligente e criterioso na recolha da informac¸˜ao, camuflando-se sob a forma de software leg´ıtimo de modo a evitar os mecanismos de defesa existentes nos sistemas atuais.
´
E neste contexto que surge o tema e contribuic¸˜ao deste trabalho - Detec¸˜ao de Malware de Nova Gerac¸˜ao e sua Mitigac¸˜ao - tendo como foco a infraestrutura de rede da Portugal Telecom e como recurso uma plataforma especializada na detec¸˜ao de malware, a Cisco Advanced Malware Protection (AMP).
No quadro destas ameac¸as, cada vez mais sofisticadas e inteligentes, imp˜oem-se novas formas de defesa numa esp´ecie de luta do “gato e do rato”. Este combate e os interesses associados ao mesmo, constituem motivac¸˜ao bastante para que se reforce o estudo na inovac¸˜ao e implementac¸˜ao de novos mecanismos de defesa.
1.2
Objetivos
O presente trabalho pretende tirar partido da plataforma Cisco AMP, configurando-a e integrando-a no ecossistema de ciberseguranc¸a da DCY/PT (Direc¸˜ao de Ciberseguranc¸a da Portugal Telecom) em articulac¸˜ao com outras plataformas que, em conjunto, d˜ao su-porte ao Centro de Operac¸˜oes de Ciberseguranc¸a (SOC - Security Operations Center). A soluc¸˜ao dever´a detetar, reportar e mitigar malware o mais rapidamente poss´ıvel, de modo a evitar a sua proliferac¸˜ao nos sistemas da Portugal Telecom.
O objetivo central deste trabalho ser´a, para os pontos de entrada (Ingress) e sa´ıda (Egress) de tr´afego relevantes no per´ımetro da Portugal Telecom, implementar a soluc¸˜ao Cisco AMP de forma a:
• Detetar, classificar e medir malware atrav´es da an´alise de tr´afego de entrada (In-gress);
• Detetar e medir infec¸˜oes j´a estabelecidas atrav´es da an´alise de tr´afego de sa´ıda (Egress);
• Reportar malware que n˜ao tenha sido detetado por outras plataformas da Portugal Telecom designadas para o efeito, numa perspetiva de seguranc¸a em profundidade. A integrac¸˜ao de uma plataforma com as caracter´ısticas da Cisco AMP na arquitetura de seguranc¸a da DCY surge como uma opc¸˜ao estrat´egica do pr´oprio departamento. Esta integrac¸˜ao vem acrescentar uma camada de seguranc¸a no contexto da detec¸˜ao de malware, numa perspetiva de seguranc¸a em profundidade. A utilizac¸˜ao de plataformas de diferentes fabricantes, mesmo que estas partilhem filosofias semelhantes, ´e a base desta perspetiva.
Esta soluc¸˜ao apresenta uma vis˜ao diferenciadora em relac¸˜ao `as plataformas j´a existen-tes na arquitetura de seguranc¸a da DCY, no que `a an´alise de malware diz respeito. Entre outras caracter´ısticas, destaca-se a capacidade de detec¸˜ao e monitorizac¸˜ao cont´ınua, i.e., a capacidade de detetar eventos de malware mesmo ap´os a entrada no sistema, fazendo uma “retrospetiva” at´e ao momento da sua infiltrac¸˜ao inicial. A sua integrac¸˜ao n˜ao pretende substituir nenhuma das componentes j´a existentes na arquitetura de ciberseguranc¸a mas sim complement´a-las.
1.3
Contribuic¸˜oes
A contribuic¸˜ao deste trabalho pode ser medida pelos efeitos pr´aticos do mesmo num am-biente real como o apresentado no caso da Portugal Telecom. Analisando o trabalho como um todo ´e poss´ıvel concluir quatro contribuic¸˜oes, de forma resumida, importantes para o contexto empresarial e funcional de uma empresa com a dimens˜ao da j´a referida.
Primeiramente, pode considerar-se que a implementac¸˜ao desta plataforma veio acres-centar uma nova camada de seguranc¸a no ecossistema da Portugal Telecom, tendo como foco a detec¸˜ao de malware. A plataforma cumpre com o objetivo de enriquecer os meca-nismos de defesa existentes no momento da sua integrac¸˜ao, assentando numa pol´ıtica de seguranc¸a em profundidade.
O segundo ponto est´a ligado `as capacidades da pr´opria plataforma em aumentar a visibilidade sobre o tr´afego (entrada e sa´ıda) da rede monitorizada. Consequentemente ´e garantida uma maior visibilidade sob poss´ıveis ameac¸as causadas por malware em toda a rede monitorizada.
A terceira contribuic¸˜ao est´a relacionada com a capacidade de dotar o SOC de meca-nismos mais eficazes no combate ao malware. O desenvolvimento deste trabalho permitiu que a equipa de resposta a incidentes (SOC) tivesse acesso a informac¸˜oes mais detalhadas de todo o malware detetado, auxiliando assim o seu trabalho.
Por ´ultimo, a integrac¸˜ao da Cisco AMP com outras plataformas internas da DCY permite o enriquecimento da informac¸˜ao (que pode n˜ao ser de seguranc¸a) recolhida acerca dos seus ativos de rede. Desta forma ´e poss´ıvel correlacionar informac¸˜ao obtida pelas diferentes plataformas de modo a detetar novas ameac¸as.
1.4
Estrutura do documento
Este documento encontra-se organizado da seguinte forma:
• Cap´ıtulo 2: Malware “A Nova Gerac¸˜ao” - Este cap´ıtulo introduz as bases ne-cess´arias para a compreens˜ao da an´alise e detec¸˜ao de malware. S˜ao apresentadas as diferentes fam´ılias de malware e as tecnologias de combate `as mesmas, incluindo a plataforma central deste projeto (Cisco AMP).
• Cap´ıtulo 3: Caso de Uso “Portugal Telecom” - O cap´ıtulo apresenta o ambiente de estudo e de integrac¸˜ao da plataforma central do projeto. ´E detalhado o pro-cesso de configurac¸˜ao da Cisco AMP e de integrac¸˜ao da mesma no ecossistema de seguranc¸a da DCY. Ao longo do cap´ıtulo v˜ao sendo explicadas as funcionalidades e potencialidades da plataforma, reforc¸ando as vantagens da sua implementac¸˜ao no contexto da Portugal Telecom.
• Cap´ıtulo 4: Avaliac¸˜ao e Testes - Neste cap´ıtulo s˜ao apresentados os resultados da integrac¸˜ao da plataforma Cisco AMP no caso de estudo da Portugal Telecom. A informac¸˜ao apresentada ao longo do cap´ıtulo foca-se na detec¸˜ao de malware ao longo de um determinado per´ıodo de tempo. S˜ao tamb´em apresentados alguns resultados referentes `as capacidades de monitorizac¸˜ao do tr´afego por parte da pla-taforma. Este ´ultimo ponto ´e importante na medida em que um dos objetivos pro-postos refere a capacidade de se detetar infec¸˜oes atrav´es da an´alise de tr´afego de entrada e sa´ıda. Por ´ultimo, apresentam-se os testes efetuados ao longo do processo de implementac¸˜ao da Cisco AMP.
• Cap´ıtulo 5: Conclus˜ao e Trabalhos Futuros - O cap´ıtulo resume o trabalho a ser realizado ap´os a conclus˜ao deste projeto. Tendo em conta as caracter´ısticas da plataforma e do ambiente em que a mesma se insere, ´e essencial considerar-se como inevit´avel a constante atualizac¸˜ao da Cisco AMP. Ap´os a filtragem dos resultados obtidos nesta primeira fase do projeto, deve ser considerada a expans˜ao do tr´afego monitorizado pela plataforma, abrangendo dessa forma outros pontos da rede tidos como relevantes para a empresa. S˜ao tiradas conclus˜oes do trabalho realizado no contexto empresarial da Portugal Telecom e do seu departamento de ciberseguranc¸a.
Malware: A Nova Gerac¸˜ao
“A cada 81 segundos ´e feito download de um malware j´a conhecido”- CheckPoint[4] “Mais de 430 Milh˜oes novos ficheiros de malware em 2015”- Symantec[20]
“20 Milh˜oes de novas amostras de malware nos primeiros 3 meses de 2016”- PandaLabs[11] “42 Milh˜oes de hashes maliciosos no ´ultimo trimestre de 2015”- McAfee[9]
Estes s˜ao os resultados de estudos recentes que apontam o malware como sendo res-pons´avel por parte significativa dos incidentes de ciberseguranc¸a atuais. Considera-se malware(malicious software ou software malicioso) todo o programa capaz de provocar danos a um utilizador, computador ou rede de computadores, podendo este assumir diver-sas formas. Este cap´ıtulo pretende dar a conhecer as variantes de malware mais comuns e introduzir os diferentes m´etodos de an´alise das mesmas.
Em seguida s˜ao apresentadas as tecnologias mais utilizadas no combate ao malware e tentativas de intrus˜ao em geral, assumindo que estas podem ter como origem ficheiros maliciosos. Por fim, conclui-se o cap´ıtulo com um exemplo de integrac¸˜ao das diferentes tecnologias apresentadas, incluindo as mais recentes no combate ao malware avanc¸ado ou de ´ultima gerac¸˜ao.
2.1
Tipos de Malware
Ao iniciar-se um processo de an´alise de malware, deve-se ter em conta as diferentes vari-antes do mesmo. No entanto, importa referir que a definic¸˜ao dada aos diferentes tipos de malwarenem sempre ´e absoluta, tendo em conta que algumas variantes exibem comporta-mentos multidisciplinares. Por exemplo, um keylogger, para al´em de recolher passwords, pode tamb´em comportar-se como um worm que se propaga e ao mesmo tempo envia emails de spam.
Nesta secc¸˜ao ser˜ao apresentados diferentes tipos de malware, ressalvando que a evoluc¸˜ao do pr´oprio pode levar a diferentes definic¸˜oes, conceitos e variantes. Assim sendo, ser˜ao apresentadas as variantes que, nos dias de hoje, s˜ao tidas como mais relevantes para o contexto empresarial deste trabalho. Pese embora a inexistˆencia de um consenso na definic¸˜ao dos diferentes tipos, a listagem seguinte apresenta um conjunto de terminologias de acordo com os autores William Stallings and Lawrie Brown [22] e Michael Sikorski and Andrew Honig [17], nas suas respetivas obras:
• V´ırus - Esta variante replica-se sempre que ´e executado procurando infetar outras m´aquinas ou programas execut´aveis. A sua propagac¸˜ao ´e feita de m´aquina em m´aquina, deixando novas infec¸˜oes `a medida em que se propaga atrav´es de ficheiros execut´aveis infetados.
• Worm - Contrariamente ao que sucede com os v´ırus, os worms s˜ao capazes de ope-rar de forma independente, propagando-se para outros computadores ou redes de computadores atrav´es da explorac¸˜ao de vulnerabilidades nesses sistemas. A pro-cura ativa de novas m´aquinas e sistemas que possam ser comprometidas ´e a carac-ter´ıstica que melhor define esta variante, servindo os sistemas j´a comprometidos como plataformas disseminadoras de novas infec¸˜oes.
• Cavalo de Tr´oia ou Trojan - Um programa que atua de forma discreta, mascarando-se sob a forma de um programa leg´ıtimo de modo a contornar os mecanismos de seguranc¸a da m´aquina alvo. Pode ser utilizado para obter informac¸˜ao potencial-mente relevante contida em ficheiros do sistema infetado.
• Flooders (clientes DoS - Denial of Service) - Utilizados para gerar volumes de tr´afego consider´aveis, tendo como objetivo a interrupc¸˜ao do servic¸o (DoS) do sis-tema alvo.
• Macro V´ırus - Um tipo de v´ırus que explora macros ou c´odigos de scripts. Tipica-mente embebidos em documentos (Word, Excel, etc.), de modo a serem executados juntamente com os mesmos.
• Exploits - C´odigo especificamente desenvolvido para explorar um determinado conjunto de vulnerabilidades.
• Drive by Download - Um ataque utilizado atrav´es de c´odigo inserido em p´aginas webvulner´aveis, tendo como objetivo atacar o cliente do sistema que aceda a essas p´aginas.
• Bot/Botnet [2] - A Norton 1 descreve esta variante como um programa presente
numa m´aquina infetada que pode ser utilizado para executar ataques a outras m´aquinas. Normalmente estes bots fazem parte de uma rede, por vezes `a escala global, de com-putadores infetados denominada de botnet. Os comcom-putadores infetados (zombies) s˜ao controlados por cibercriminosos ( bot herders ou botmasters). Depois de infeta-das, as m´aquinas s˜ao frequentemente utilizadas para disseminac¸˜ao de spam, ataques de DoS distribu´ıdos entre outros.
• Adware - ´E o tipo de malware menos evasivo, mas talvez o mais lucrativo. A sua principal func¸˜ao ´e a disseminac¸˜ao de publicidade, de v´arios tipos, atrav´es da sua integrac¸˜ao em programas. A publicidade ´e apresentada sob a forma de banners, ja-nelas de pop-up, p´aginas web, mensagens de email entre outros servic¸os dispon´ıveis na Internet.
• Spammers - Utilizados para enviar volumes abusivos de email indesejado. Podem ser instalados em m´aquinas previamente comprometidas por forma a utiliz´a-las no envio de email indesejado. `A semelhanc¸a do Adware, ´e um tipo de malware que pode ser muito lucrativo tendo em conta que os atacantes s˜ao, em muitos casos, pagos por entidades interessadas em divulgar os seus produtos ou servic¸os.
• Spyware - ´E um software utilizado para a recolha de informac¸˜ao, proveniente de keystrokes2, dados do ecr˜a, tr´afego de rede, webcams, entre outros. A informac¸˜ao recolhida ´e posteriormente enviada para o agente malicioso. Este programa ´e nor-malmente instalado sem a percec¸˜ao do utilizador da m´aquina infetada, permitindo que a informac¸˜ao seja recolhida de forma discreta.
• Keylogger - Regista todas as keystrokes de uma m´aquina infetada, podendo a informac¸˜ao recolhida ser armazenada localmente ou enviada remotamente para o agente mali-cioso.
• Backdoor - Qualquer mecanismo que permita acesso n˜ao autorizado a funcionali-dades desse mesmo programa ou sistema, n˜ao estando sujeito a quaisquer proce-dimentos de seguranc¸a. Embora sejam vulgarmente utilizados por programadores para testes, este recurso pode ser explorado de modo a que um agente malicioso garanta acesso remoto, n˜ao autorizado, a uma m´aquina. Noutros casos, assume a func¸˜ao de c´odigo malicioso instalado no computador de uma v´ıtima, de modo a que o atacante aceda remotamente ao sistema comprometido.
1http://us.norton.com/botnet/
• Rootkit - Conjunto de ferramentas utilizadas pelo atacante ap´os ter garantido acesso privilegiado a um sistema. O acesso privilegiado garante ao atacante total con-trolo das funcionalidades do sistema, permitindo-o alterar ficheiros, monitorizar processos, tr´afego de rede, etc. Estas ferramentas tˆem a capacidade de efetuar alterac¸˜oes no sistema infetado por forma a contornar os mecanismos de seguranc¸a desse mesmo sistema. Podem conter outros tipos de malware como backdoors, por forma a garantirem acesso remoto ao atacante.
2.1.1
Advanced Persistent Threats
As recentes mudanc¸as no paradigma das Tecnologias de Informac¸˜ao, incluindo a mobili-dade, computac¸˜ao na nuvem e a virtualizac¸˜ao, dissolveram os tradicionais per´ımetros de seguranc¸a. Esta alterac¸˜ao proporcionou um ambiente mais variado e, consequentemente, mais prop´ıcio a poss´ıveis atacantes. Neste contexto surge um novo elemento significativo: as Ameac¸as Persistentes Avanc¸adas (APT - Advanced Persistent Threat).
A Symantec [19] define as APTs como “um ataque orientado, com um alvo espec´ıfico, que recorre a uma variedade de t´ecnicas, incluindo o download de ficheiros de forma n˜ao intencional, injec¸˜ao de SQL, malware, phishing, spam, entre outros. S˜ao englobadas, frequentemente, v´arias destas tecnologias num ´unico ataque. Uma APT ´e sempre classi-ficada como um ataque orientado, mas o contr´ario nem sempre sucede, isto ´e, um ataque orientado nem sempre ´e sin´onimo de uma APT.”
Os autores Stallings e Brown [22] acrescentam `a definic¸˜ao da Symantec como sendo “cibercrime aplicado de forma persistente e eficaz em alvos espec´ıficos durante um vasto per´ıodo de tempo, sendo muitas vezes atribu´ıdo a organizac¸˜oes financiadas e apoiadas pelo Estado”.
Estas ameac¸as focam-se na obtenc¸˜ao de informac¸˜ao relevante ao inv´es de simples-mente causar danos `a infraestrutura de rede ou `a pr´opria empresa/organizac¸˜ao. Os seus alvos preferenciais s˜ao empresas de setores cuja informac¸˜ao ´e valiosa, como a seguranc¸a nacional de um pa´ıs, ind´ustria nuclear, tecnol´ogica e financeira.
Os ataques de APTs s˜ao planeados e executados meticulosamente. A Symantec [19, 18] divide-os em cinco fases distintas: Reconhecimento, Infiltrac¸˜ao, Descoberta, Captura e Exfiltrac¸˜ao. As diferentes fases de um ataque (ver figura 2.1), m´etodos utilizados e as suas motivac¸˜oes diferenciam as APTs de outros ataques direcionados:
• Fase 1: Reconhecimento - Estes ataques envolvem uma quantidade consider´avel de investigadores que, durante v´arios meses, estudam os seus alvos, familiarizando-se com os familiarizando-seus sistemas, pessoas e processos, incluindo parceiros. No caso do Stux-net3, a equipa respons´avel pelo ataque conhecia o funcionamento dos controladores
l´ogicos utilizados no enriquecimento de urˆanio que foram atingidos, mostrando o n´ıvel de sofisticac¸˜ao destes ataques;
• Fase 2: Infiltrac¸˜ao - Os ataques direcionados, na sua generalidade, forc¸am a en-trada na rede de uma organizac¸˜ao atrav´es de engenharia social, vulnerabilidades n˜ao divulgadas (zero-day) , injec¸˜ao SQL, malware orientado, entre outros. No caso das APTs, as t´ecnicas e ferramentas utilizadas s˜ao mais sofisticadas quando compa-radas com ataques direcionados mais comuns. Enquanto os ataques mais comuns recorrem a t´ecnicas mais agressivas, menos discretas e com pouca durabilidade, as APTs procuram incurs˜oes que permitam estabelecer ligac¸˜oes duradouras entre o alvo e o atacante;
• Fase 3: Descoberta - Depois de garantida a infiltrac¸˜ao no sistema da organizac¸˜ao alvo, o atacante procura obter informac¸˜ao confidencial ou instruc¸˜oes operacionais que sejam relevantes. A descoberta pode incluir redes desprotegidas, bem como vulnerabilidades de software ou hardware, credenciais e outras formas de acesso a recursos adicionais. Uma vez mais, estes ataques procuram ser minuciosos e oportunistas, no sentido em que n˜ao abdicam de meios complexos por forma a evitar a sua detec¸˜ao;
• Fase 4: Captura - Na fase de captura, os dados armazenados em sistemas inse-guros s˜ao imediatamente acedidos pelos atacantes. Para al´em disso, podem ser instalados rootkits nos sistemas alvo e pontos de acesso da rede por forma a cap-turar informac¸˜oes ou instruc¸˜oes `a medida que estas fluem no tr´afego de rede da organizac¸˜ao;
• Fase 5: Exfiltrac¸˜ao - Ap´os garantirem o controlo do sistema alvo, os atacantes procedem ao roubo da propriedade intelectual, informac¸˜ao ou outros dados confi-denciais adquiridos ao longo do processo de ataque. Ap´os ordem do atacante (CnC--Command and Control), os dados obtidos podem ser enviados de volta `a base de operac¸˜oes. O envio desta informac¸˜ao pode ser feito com recurso a pacotes ou fi-cheiros cifrados.
3APT identificada em 2010 que tinha como alvo o programa nuclear do Ir˜ao - https: //www.symantec.com/content/en/us/enterprise/media/security_response/ whitepapers/w32_stuxnet_dossier.pdf
Figura 2.1: Cinco fases de ataque de uma Advanced Persistent Threat
2.1.2
Ransomware
Talvez seja a variante de malware que mais popularidade tem ganho nos ´ultimos anos e tamb´em aquela que, pelas suas caracter´ısticas, maiores dificuldades tem causado `as equipas de ciberseguranc¸a. Esta variante cifra ficheiros de um computador, exigindo pos-teriormente um resgate por forma a ceder uma chave que decifre os ficheiros.
A TrendMicro [13] descreve o ransomware como sendo “um tipo de malware que impede ou limita a capacidade dos utilizadores em aceder ao seu computador ou sistema, bloqueando o ecr˜a do mesmo ou o acesso aos seus ficheiros”. As fam´ılias de ransomware mais recentes, denominadas de crypto-ransomware, cifram certo tipo de ficheiros nos sistemas afetados e forc¸am os utilizadores a pagar um resgate, atrav´es de um m´etodo de pagamento online, por forma a obter a chave necess´aria para a decifra.
Os primeiros prot´otipos de ransomware foram desenvolvidos nos anos 90, atrav´es da ideia de utilizac¸˜ao de chaves p´ublicas criptogr´aficas para ataques inform´aticos. No seu artigo de 1996, Young and Yung [24] referem que o prot´otipo desenvolvido serve o prop´osito de demonstrar que a criptografia pode ser utilizada como forma de extors˜ao, causando a perda de acesso a dados.
A utilizac¸˜ao de m´ultiplas chaves na cifra assim´etrica permite que os dados sejam ci-frados com a chave p´ublica sem que nunca seja exposta a chave privada. No caso do ransomwareesta ´e uma caracter´ıstica essencial, garantindo que os dados e a informac¸˜ao
se mantˆem do lado do atacante. Ainda assim, estes prot´otipos continuavam com um pro-blema de log´ıstica por resolver: como garantir que o resgate ´e pago sem que a identidade do atacante seja exposta?
O anonimato oferecido pelas cryptocurrencies4, levou a que os resgates fossem
co-brados atrav´es do pagamento em Bitcoins 5. No entanto, o pagamento do resgate nem sempre ´e garantia de que os dados ser˜ao decifrados posteriormente, ficando o utilizador dependente das intenc¸˜oes do atacante.
A invenc¸˜ao do Bitcoin veio reacender o interesse de agentes maliciosos no ransomware. Entre outras caracter´ısticas [10], a utilizac¸˜ao desta moeda digital garante a potenciais ata-cantes que:
• N˜ao existe um banco central ou uma autoridade para a moeda, eliminando a possi-bilidade do valor da moeda ser manipulado por essas entidades;
• Transac¸˜oes pseudo-an´onimas, significando que, embora a transac¸˜ao da moeda seja anunciada na rede, n˜ao existe uma maneira simples de corresponder contas Bit-coin a identidades no mundo real, garantido desta forma uma significativa dose de privacidade;
• As transac¸˜oes b´asicas s˜ao irrevers´ıveis, uma vez feita a transferˆencia n˜ao existe forma de terceiros forc¸arem o reembolso.
A disseminac¸˜ao de ransomware pode assumir v´arias formas, sendo que as variantes mais conhecidas propagam-se atrav´es de anexos em emails de spam, transferˆencia de ficheiros contidos em p´aginas maliciosas ou exploit kits que exploram vulnerabilidades dos sistemas operativos. Olhando para o seu modelo de operac¸˜ao (ver figura 2.2), podem identificar-se seis fases de ataque , conforme refere a McAfee [10]:
• A primeira fase ´e a distribuic¸˜ao: O ransomware utiliza m´etodos relativamente simples e comuns para a sua propagac¸˜ao. Normalmente dissemina-se atrav´es de campanhas de phishing envolvendo anexos em emails ou a transferˆencia para um computador que visita p´aginas web comprometidas;
• A segunda fase ´e a infec¸˜ao: O bin´ario chega ao computador do utilizador e inicia os processos necess´arios para a sua ac¸˜ao maliciosa;
• A terceira fase ´e a comunicac¸˜ao: O ransomware pede aos seus servidores a chave p´ublica necess´aria para cifrar os dados;
4Moeda digital utilizada como meio de troca que utiliza criptografia por forma
a garantir transac¸˜oes seguras - http://www.forbes.com/forbes/2011/0509/
technology-psilocybin-bitcoins-gavin-andresen-crypto-currency.html 5Moeda digital e sistema de pagamento criado por Satoshi Nakamoto [15] e distribu´ıdo sob licenc¸a open-sourceem 2009.
• A quarta fase ´e a pesquisa dos ficheiros: O ransomware inicia o processo de pes-quisa de ficheiros no sistema. Procura por ficheiros que podem ser relevantes para o utilizador e que n˜ao podem ser facilmente replicados, tais como: .jpg , .docx, .xlsx, .pptx e .pdfs;
• A quinta fase ´e a cifra: esta ´e tipicamente realizada atrav´es da movimentac¸˜ao e alterac¸˜ao do nome dos ficheiros alvo, cifrando-os e alterando o nome dos ficheiros ap´os a conclus˜ao do processo de cifra;
• A sexta e ´ultima fase ´e o resgate: normalmente exigido atrav´es do ecr˜a do compu-tador afetado, referindo o valor a pagar em Bitcoins ou noutra cryptocurrency.
Uma das variantes de ransomware mais noticiadas em todo o mundo ´e a fam´ılia Cryp-toLocker. Esta variante foi lanc¸ada em 2013 e combinava, na altura, novas potencialidades como o m´etodo de cifra assim´etrica e a nova moeda digital, o Bitcoin, para o pagamento dos resgates. Foi esta a primeira fam´ılia de ransomware a utilizar Bitcoins nos seus pa-gamentos, estimando-se que rendeu aos seus criadores cerca de 27 milh˜oes de d´olares em Bitcoins [10].
Nos dias de hoje ´e poss´ıvel constatar-se, nos diferentes meios de comunicac¸˜ao 6 e
de investigac¸˜ao da ´area da ciberseguranc¸a [8, 21, 7], que o ransomware continua em ex-pans˜ao, surgindo cada vez mais casos de empresas e individuais afetados por esta ameac¸a.
Figura 2.2: Seis fases de ataque do ransomware
6
https://newsroom.cisco.com/press-release-content?type=webcontent&
articleId=1780586 http://www.bbc.com/news/technology-38731011 http:
2.2
An´alise de Malware
A investigac¸˜ao na ´area da an´alise de malware procura encontrar soluc¸˜oes que visem a detec¸˜ao e mitigac¸˜ao de ameac¸as atrav´es do desenvolvimento de novas tecnologias, t´ecnicas e procedimentos. Esta secc¸˜ao pretende dar a conhecer as duas t´ecnicas de an´alise de malware que Michael Sikorski e Andrew Honig [17] consideram como sendo a base da abordagem seguida pelas diferentes equipas que estudam o malware - An´alise Est´atica e An´alise Dinˆamica de malware. O entendimento destas duas t´ecnicas permite que, pe-rante uma poss´ıvel ameac¸a, seja tomada a decis˜ao mais correta na an´alise desse evento, recorrendo `as tecnologias e soluc¸˜oes mais adequadas para cada caso.
2.2.1
An´alise Est´atica de Malware
A an´alise est´atica descreve o processo de estudo da estrutura ou c´odigo de um programa por forma a determinar a sua func¸˜ao sem que o mesmo seja executado. Por outras pala-vras, significa que um determinado ficheiro, possivelmente malicioso, ´e analisado sem a sua execuc¸˜ao.
Este processo de an´alise pode confirmar se um ficheiro ´e realmente malicioso ao for-necer informac¸˜ao das ac¸˜oes que este executa, servindo a informac¸˜ao obtida para a criac¸˜ao de, por exemplo, assinaturas de rede para um Sistema de Detec¸˜ao de Intrus˜oes (IDS -Intrusion Detection System).
O m´etodo de engenharia reversa (reverse engineering) ´e muitas vezes sin´onimo deste tipo de an´alise, explorando as instruc¸˜oes que comp˜oem um determinado ficheiro por forma a descobrir a sua func¸˜ao atrav´es de um disassembler 7. Existem v´arias formas
de extrair informac¸˜ao ´util destes ficheiros execut´aveis possivelmente maliciosos, tal men-cionado por Sikorski e Honig [17]:
• Utilizac¸˜ao de antiv´ırus para an´alise de ficheiros possivelmente maliciosos; • Utilizac¸˜ao de hashes8 para identificar malware;
• Recolha de informac¸˜ao atrav´es de palavras (strings) relevantes. Utilizac¸˜ao de Antiv´ırus: O Primeiro Passo
Quando se inicia o processo de an´alise de um ficheiro potencialmente malicioso, a execuc¸˜ao do mesmo em v´arios antiv´ırus ´e um primeiro passo recomend´avel. Alguns antiv´ırus po-dem j´a ter o ficheiro identificado como malware, pelo que, a comparac¸˜ao de resultados entre diferentes fabricantes pode fornecer uma informac¸˜ao mais completa sobre o ficheiro.
7conversor de linguagem m´aquina para linguagem assembly
8utilizado como identificador un´ıvoco de ficheiros, geralmente atrav´es das func¸˜oes MD5, SHA -1 ou SHA-256
No entanto os antiv´ırus est˜ao longe de serem perfeitos, dependendo em boa parte de pequenos fragmentos de c´odigo (assinaturas ou file signatures), padr˜oes (heur´ıstica) e comportamentos conhecidos e identificados, a priori, como sendo maliciosos.
Os ficheiros de malware podem ser facilmente alterados por forma a mudar a sua assinatura e assim contornar os sistemas antiv´ırus, aumentando a dificuldade destes em detetar novas variantes. Assim sendo, malware que seja raro ou demasiado recente pode, por vezes, ludibriar os diferentes antiv´ırus existentes no mercado. Existem alguns servic¸os dispon´ıveis na Internet (p.e.Virustotal) que permitem a an´alise de um ficheiro suspeito em v´arios sistemas antiv´ırus.
Utilizac¸˜ao de Hashes: Identificac¸˜ao de Malware
O hashing, neste contexto, ´e um m´etodo comumente utilizado na identificac¸˜ao de ficheiros (podendo estes conter malware) de forma ´unica. Este hash ´e gerado a partir do ficheiro de malware, recorrendo a um programa que permite gerar um identificador ´unico.
As func¸˜oes de hash Message-Digest Algorithm 5 (MD5) e Secure Hash Algorithm (SHA-1 e SHA-2) s˜ao as mais comuns no contexto da an´alise de malware. As ferramentas SHASUM e MD5 permitem calcular o hash do ficheiro em SHA256 e MD5, produzindo o output apresentado na figura 2.3. Tendo gerado um hash ´unico para cada ficheiro de malwarepretendido, ´e poss´ıvel:
• Identificar malware de forma ´unica;
• Partilhar o hash com outros analistas por forma a identificar malware;
• Pesquisar pelo hash na Internet, procurando saber se o mesmo j´a foi identificado por outros analistas.
Figura 2.3: Calcular o hash (SHA256 e MD5) do ficheiro zombies.pdf
Pesquisa por termos (strings)
Normalmente, estes termos encontram-se em programas ou scripts que imprimam uma mensagem no ecr˜a, comuniquem com um determinado URL ou copiem ficheiros para uma localizac¸˜ao espec´ıfica. A funcionalidade destes programas ou ficheiros ´e desco-berta atrav´es da an´alise destes termos, como por exemplo, um programa que acede a um determinado website e cont´em o URL no seu c´odigo sob o formato de string (p.e, url-link=http://website.malicioso.pt).
2.2.2
An´alise Dinˆamica de Malware
A an´alise dinˆamica, contrariamente `a an´alise est´atica, estuda o comportamento de um determinado ficheiro de malware atrav´es da sua execuc¸˜ao. Os autores Sikorski e Honig definem-na como sendo qualquer an´alise realizada atrav´es da execuc¸˜ao de malware.
O objetivo desta t´ecnica ´e o de observar o comportamento do sistema enquanto o ficheiro de malware est´a a ser executado. Atrav´es desta observac¸˜ao podem ser desen-volvidos m´etodos de remoc¸˜ao da infec¸˜ao causada pelo agente malicioso, assinaturas de rede ou ambos. Esta t´ecnica ´e normalmente utilizada ap´os a realizac¸˜ao de uma an´alise est´atica do ficheiro, assumindo que a anterior apresentou resultados inconclusivos. Tendo em conta as caracter´ısticas deste tipo de an´alise, torna-se necess´aria a utilizac¸˜ao de um ambiente que permita a execuc¸˜ao de ficheiros de malware sem que estes comprometam o sistema ou rede em produc¸˜ao.
Esta necessidade adv´em do facto dos ficheiros de malware poderem contaminar toda uma rede tendo como ponto de entrada a m´aquina utilizada para os testes. Como tal, a an´alise de ficheiros de malware deve ser feita de modo a n˜ao expˆor m´aquinas, redes ou sistemas em produc¸˜ao, a riscos desnecess´arios. A an´alise dinˆamica de ficheiros de malwarepode ser feita com recurso a dois tipos de ambientes distintos: f´ısicos ou virtuais.
Ambientes F´ısicos
A primeira abordagem consiste na utilizac¸˜ao de m´aquinas f´ısicas sem ligac¸˜ao `a Internet, podendo estas fazer parte de uma rede tamb´em ela sem ligac¸˜ao `a Internet por forma a evi-tar a disseminac¸˜ao do malware. Algumas variantes de malware comportam-se de maneira diferente quando detetam que est˜ao a ser executados num ambiente virtual, dificultando dessa forma o processo de an´alise. ´E principalmente neste ´ultimo aspeto que a an´alise em ambientes f´ısicos apresenta vantagens em relac¸˜ao aos ambientes virtuais.
No entanto, esta abordagem apresenta algumas desvantagens tendo em conta que, em alguns casos, os ficheiros de malware necessitam de ligac¸˜ao `a Internet para executar de-terminadas func¸˜oes (updates, command and control, ransomware, etc.). Para al´em disso, acrescenta-se a dificuldade em remover certos tipos de malware ap´os a disseminac¸˜ao na pr´opria m´aquina ou rede, mesmo que esta esteja isolada. Nesses casos, seria necess´ario montar uma outra rede de testes para novos testes.
A recriac¸˜ao de um ambiente de testes f´ısico pode tornar o processo de an´alise mais lento, tendo em conta o tempo necess´ario para a criac¸˜ao de um novo cen´ario livre de malware. Assim sendo, a utilizac¸˜ao de ambientes f´ısicos pode n˜ao ser aconselh´avel em casos onde a falta de recursos e de tempo s˜ao condicionantes.
Sandboxing: Ambientes Virtuais
Os autores Sikorski e Honig descrevem os ambientes virtuais ou sandboxes como um me-canismo de seguranc¸a utilizado para executar programas, potencialmente n˜ao-confi´aveis, num ambiente seguro com recurso a m´aquinas virtuais.
A principal vantagem deste tipo de an´alise ´e a facilidade em restaurar as m´aquinas vir-tuais mesmo que estas tenham sido comprometidas aquando da realizac¸˜ao de uma an´alise a um ficheiro malicioso, bastando para isso restaurar a imagem virtual da m´aquina para o seu estado inicial. Esta abordagem permite a utilizac¸˜ao de m´aquinas virtuais com ligac¸˜ao `a Internet, oferecendo a possibilidade de se analisar o comportamento de um determinado ficheiro que necessita de acesso `a Internet para executar operac¸˜oes maliciosas.
Como j´a foi referido, existe a desvantagem de alguns tipos de malware serem capazes de detetar a sua execuc¸˜ao em m´aquinas virtuais, comportando-se de maneira diferente por forma a mascarar a sua real funcionalidade. Tendo em conta os riscos e desvantagens dos ambientes f´ısicos, a escolha acaba por recair, na maioria dos casos, nestes ambientes virtuais. A figura 2.4 representa o funcionamento de um ambiente virtual ou sandbox como ´e comumente referido.
2.2.3
Virustotal
O VirusTotal9 ´e um servic¸o online gratuito que permite a an´alise de ficheiros e URLs.
Tem como objetivo a identificac¸˜ao de conte´udo malicioso atrav´es da utilizac¸˜ao de v´arios antiv´ırus e scanners de websites.
O servic¸o permite o envio de ficheiros para que estes possam ser analisados pelos diferentes fornecedores de antiv´ırus e restantes ferramentas (ver figura 2.5). Depois da an´alise ´e gerado um relat´orio com a listagem completa dos resultados obtidos por cada um dos antiv´ırus, contendo a classificac¸˜ao dada ao ficheiro (malicious ou clean), o nome do ficheiro de malware (quando dispon´ıvel) e informac¸˜ao adicional.
A informac¸˜ao colecionada tem como origem os resultados obtidos atrav´es de diferen-tes plataformas de antiv´ırus, scanners de websidiferen-tes/dom´ınios, ferramentas de an´alise de ficheiros e URLs, bem como a informac¸˜ao partilhada pela comunidade. As assinaturas de malwaree blacklists mantˆem-se atualizadas atrav´es da sincronizac¸˜ao com os fornecedo-res de antiv´ırus. Esta atualizac¸˜ao ´e feita periodicamente, com um intervalo de 15 minutos, por forma a garantir a sincronizac¸˜ao do servic¸o com as plataformas antiv´ırus e que o seu conjunto de assinaturas se mant´em na vers˜ao mais recente.
Encontra-se tamb´em integrado com um f´orum que permite a troca de informac¸˜ao en-tre utilizadores relativamente a ficheiros ou URLs suspeitos. Os utilizadores podem fa-zer coment´arios elaborados sobre cada um desses ficheiros ou URLs, para al´em de lhes atribu´ırem uma classificac¸˜ao. Desta forma ´e poss´ıvel estabelecer um grau de certeza maior, permitindo que os utilizadores identifiquem falsos positivos e falsos negativos que possam n˜ao ter sido corretamente identificados pelas plataformas que incorporam o Vi-rusTotal.
Figura 2.5: Representac¸˜ao de funcionamento do Virustotal
2.3
Detec¸˜ao e Mitigac¸˜ao de Malware
Esta secc¸˜ao pretende resumir as diferentes tecnologias de seguranc¸a mais utilizadas pelas empresas e organizac¸˜oes, nos dias de hoje. Tendo em conta o vasto leque de soluc¸˜oes de seguranc¸a existentes no mercado, foram selecionadas apenas as tecnologias que se enquadravam com a tem´atica deste trabalho e com o contexto do mesmo. As plataformas utilizadas ao longo deste trabalho, tendo como foco a detec¸˜ao de malware, encaixam em termos gerais, nas diferentes tecnologias aqui apresentadas: Sistemas de Detec¸˜ao e Prevenc¸˜ao de Intrus˜oes, Firewalls, Proxies (SECaaS - Security as a Service) e Gestores e Correlacionadores de Eventos de Seguranc¸a (SIEM).
2.3.1
Sistemas de Detec¸˜ao de Intrus˜oes
No seu livro [22], William Stallings descreve os Sistemas de Detec¸˜ao de Intrus˜oes (IDS) como servic¸os de seguranc¸a utilizados para monitorizar e analisar eventos de um determi-nado sistema, com o objetivo de alertar, em tempo real, para tentativas de acesso n˜ao au-torizado a recursos. Estes mecanismos (IDS) s˜ao divididos em trˆes componentes l´ogicas de funcionamento:
• Sensores: respons´aveis pela recolha de dados. A informac¸˜ao recolhida pode conter evidˆencias de um evento de intrus˜ao, podendo esta assumir a forma de pacotes de rede, ficheiros de log, entre outros. Os sensores reencaminham os dados para o analyzer;
• Analyzers: recebe os dados transmitidos por um ou v´arios sensores ou por outros analyzers, sendo estes armazenados numa base de dados para posterior an´alise. A sua principal responsabilidade ´e a de determinar se ocorreu ou n˜ao uma intrus˜ao; • Interface: permite que visualizac¸˜ao dos resultados obtidos pelos analyzers e a
informac¸˜ao recolhida pelos sensores. Permite a configurac¸˜ao geral do pr´oprio sis-tema de detec¸˜ao de intrus˜oes.
Os IDSs recorrem a pelo menos um sensor e um analyzer. No entanto, podem ser utilizados m´ultiplos sensores que monitorizam um determinado n´umero de m´aquinas ou segmentos de rede, enviando posteriormente a informac¸˜ao obtida para um analyzer cen-tralizado. Existem essencialmente dois tipos de IDSs distintos (ver figura 2.6):
• IDS baseado no anfitri˜ao ou Host-based IDS (HIDS): monitorizam as carac-ter´ısticas e eventos de uma ´unica m´aquina, como os identificadores de processos e chamadas de sistema realizadas, tendo por objetivo a detec¸˜ao de poss´ıveis ativi-dades suspeitas;
• IDS baseado na rede ou Network-based IDS (NIDS): monitorizam o tr´afego de uma rede ou de determinado segmento de rede, analisando o protocolo de rede, transporte e aplicacional de modo a identificar poss´ıveis atividades suspeitas. Os IDSs seguem uma (ou ambas) de duas abordagens de an´alise da informac¸˜ao obtida pelo sensor, de modo a identificar tentativas de intrus˜ao:
• Detec¸˜ao de Anomalias: primeiramente, necessita de uma recolha de informac¸˜ao relativamente ao comportamento de uma utilizac¸˜ao ou utilizadores leg´ıtimos du-rante um determinado per´ıodo de tempo, por forma a definir aquilo que ´e o padr˜ao de uma utilizac¸˜ao leg´ıtima. Em seguida ´e analisado o tr´afego em tempo real, iden-tificando poss´ıveis intrus˜oes sempre que se verificarem desvios significativos ao padr˜ao leg´ıtimo;
• Detec¸˜ao Heur´ıstica ou por Assinatura: utiliza uma s´erie de assinaturas ou re-gras (heur´ısticas) j´a conhecidas que, quando comparadas com o tr´afego a ser mo-nitorizado, permite identificar poss´ıveis intrus˜oes. Este tipo de abordagem apenas permite detetar ataques cujas assinaturas ou regras j´a s˜ao conhecidas.
2.3.2
Firewalls e Sistemas de Prevenc¸˜ao de Intrus˜oes
Atualmente ´e quase impens´avel pensar-se numa rede corporativa completamente isolada, ou seja, sem ligac¸˜ao `a Internet. Quer isto dizer que toda e qualquer rede que tenha acesso `a Internet pode estar suscet´ıvel a sofrer ataques de v´arios tipos pelo que, imp˜oe-se que estas redes estejam protegidas de ameac¸as externas. Neste contexto surge a importˆancia da utilizac¸˜ao de mecanismos de seguranc¸a como as Firewalls e Sistemas de Prevenc¸˜ao de Intrus˜oes em geral.
Firewalls
A caracter´ıstica b´asica apresentada por Stallings [22], relativamente `a definic¸˜ao de fi-rewall, consiste na capacidade de bloquear tr´afego indesejado, permitindo ao mesmo tempo que os utilizadores de uma rede interna acedam `a Internet (ver figura 2.7). Ainda assim ´e importante conhecer os objetivos que norteiam a utilizac¸˜ao de uma firewall, tal como definidos por Bellovin e Cheswick [1]:
1. Todo o tr´afego proveniente da rede interna para o exterior (e vice-versa) deve passar pela firewall;
2. Apenas o tr´afego autorizado e definido pela pol´ıtica de seguranc¸a local ser´a permi-tido pela firewall;
3. A pr´opria firewall dever´a ser imune a intrus˜oes. Quer isto dizer que o sistema onde est´a configurada a firewall, dever´a ser alvo de reforc¸o a n´ıvel de seguranc¸a por forma a n˜ao comprometer todo o objetivo da mesma.
O autor William Stallings refere que um dos aspetos centrais na implementac¸˜ao de uma firewall ´e a definic¸˜ao de uma boa pol´ıtica de acessos. Esta pol´ıtica define qual o tr´afego permitido ou, por outras palavras, representa o tr´afego que a empresa ou organizac¸˜ao definiu como aceit´avel. A pol´ıtica de acesso deve, primeiramente, ser definida atrav´es da aplicac¸˜ao de filtros para perfis de tr´afego mais gerais para que, em seguida, se definam filtros para perfis de tr´afego mais particulares. Existe um conjunto de caracter´ısticas que podem ser utilizadas pela pol´ıtica de acesso de uma firewall de modo a filtrar o tr´afego, tal como apresentado por Karen Scarfone e Paul Hoffman [5]:
• Enderec¸o IP e Portas L´ogicas: o controlo ´e feito tendo como base o IP de origem, IP de destino, portas l´ogicas, sentido do tr´afego de entrada e de sa´ıda. Normalmente utilizados para limitar o acesso de servic¸os espec´ıficos;
• Protocolo Aplicacional: baseia-se nos dados autorizados pelo protocolo aplicaci-onal, como por exemplo, verificar se um email (SMPT) cont´em spam ou se um determinado pedido HTTP (Hypertext Transfer Protocol) corresponde ao de um websiteautorizado;
• Identidade do Utilizador: controlo de acesso baseado na identidade do utilizador que, por sua vez, recorre a um qualquer mecanismo de acesso seguro (IPSec); • Atividade de Rede: controla o acesso tendo em conta algumas considerac¸˜oes como
o tempo/hora ou tipo de pedido, como por exemplo, quantidade de pedidos durante um curto espac¸o de tempo ou permiss˜ao de um determinado tipo de tr´afego apenas em hor´ario laboral.
A escolha de uma pol´ıtica de acessos deve ser feita antes de se proceder `a escolha de um tipo particular de firewall a utilizar no sistema em quest˜ao. Existem normalmente dois tipos mais comuns quando se fala de implementac¸˜ao de pol´ıticas:
• Pol´ıtica Aberta - Implica que todo o tr´afego ´e permitido `a excec¸˜ao dos casos que foram explicitamente definidos como proibidos. S˜ao definidas regras expl´ıcitas so-bre os casos particulares onde o tr´afego deve ser bloqueado enquanto a regra final aceita todo o tr´afego restante;
• Pol´ıtica Fechada - Todo o tr´afego ´e bloqueado `a excec¸˜ao daquele que foi expli-citamente definido como aceit´avel. Neste ´ultimo caso ´e necess´ario definir regras para o tr´afego que deve ser permitido pela firewall uma vez que a regra final est´a configurada para bloquear o restante tr´afego.
Figura 2.8: Arquitetura NIPS e HIPS Sistemas de Prevenc¸˜ao de Intrus˜oes
Na sequˆencia dos mecanismos de seguranc¸a apresentados at´e aqui, surgem os mecanismos de Detec¸˜ao e Prevenc¸˜ao de Intrus˜oes ou IPS como ser˜ao referidos daqui em diante. Um IPS ´e uma extens˜ao de um IDS [22], na medida em que inclui, para al´em da detec¸˜ao, a capacidade de bloquear tr´afego considerado malicioso.
Sempre que detetada atividade maliciosa, este mecanismo tem a capacidade de modi-ficar ou bloquear pacotes dentro de um determinado per´ımetro ou anfitri˜ao. A sua forma de atuar pode ser comparada `a de uma firewall, tendo em conta a sua capacidade de blo-quear tr´afego malicioso. No entanto, um IPS recorre ao mesmo tipo de mecanismos e regras de um IDS por forma a determinar qual o tr´afego leg´ıtimo ou malicioso.
Alguns autores, tal como Stallings [22], referem que ´e uma quest˜ao de terminologia, considerar-se um IPS como um mecanismo diferente ou apenas um outro tipo de firewall. De forma semelhante ao referido no caso dos IDSs, um IPS pode ser baseado nas seguintes categorias (ver figura 2.8):
• IPS baseado no anfitri˜ao ou Host-based IPS (HIPS): Pode recorrer a um conjunto de assinaturas ou t´ecnicas de detec¸˜ao de anomalias por forma a identificar poss´ıveis ataques. No primeiro caso, foca-se no conte´udo do tr´afego de rede gerado por uma aplicac¸˜ao, procurando padr˜oes/assinaturas que tenham sido identificados
anterior-mente como maliciosos. No segundo caso, de detec¸˜ao de anomalias, o IPS procura padr˜oes comportamentais que indiquem ac¸˜oes maliciosas;
• IPS baseado na rede ou Network-based IPS (NIPS): Numa definic¸˜ao mais pr´atica, um NIPS ´e nada mais nada menos que um NIDS com a capacidade de bloquear tr´afego em tempo real, ou seja, um NIDS inline. Recorre a t´ecnicas de detec¸˜ao por assinatura ou anomalia comportamental.
Snort
O Snort ´e um sistema de prevenc¸˜ao de intrus˜oes de c´odigo-aberto criado em 1998 por Martin Roesch. Desenvolvido pela Sourcefire, da qual Martin Roesch ´e fundador, que foi comprada pela Cisco 10. Os autores Baker, Caswell e Beale [3] referem que esta ferramenta tem a capacidade de analisar tr´afego de rede em tempo real e armazenar logs de pacotes IP.
Permite a an´alise protocolar, pesquisa de conte´udos e a detec¸˜ao de ataques como, buffer overflows, port scans, entre outros. Em resumo, o Snort pode ser considerado um sniffer de pacotes, logger de pacotes ou IPS/IDS de rede. O Snort tem trˆes modos de utilizac¸˜ao: sniffer de pacotes, logger de pacotes (´util para monitorizar tr´afego de rede) e sistema de prevenc¸˜ao de intrus˜oes.
A base do Snort est´a assente no desenvolvimento de regras (ver figura 2.10) que per-mitem detetar e bloquear intrus˜oes. A maioria destas regras s˜ao desenvolvidas pela comu-nidade e s˜ao distribu´ıdas sob a licenc¸a GPLv2 (GNU General Public License) pelo que, qualquer utilizador pode utilizar as regras de forma gratuita. No entanto, algumas regras, desenvolvidas por utilizadores para ambientes muito espec´ıficos, n˜ao s˜ao partilhadas pela comunidade. A arquitetura do Snort consiste, segundo Baker, Caswell e Beale [3], em quatro componentes b´asicas (ver figura 2.9):
• Sniffer: tem como principal funcionalidade a captura de tr´afego. Os autores compa-ram o sniffer com um aparelho utilizado para fazer escutas em telefones, sendo neste caso usado para tr´afego de rede. Tal como qualquer ferramenta de monitorizac¸˜ao de redes, um sniffer de rede pode ser utilizado com fins maliciosos como por exemplo, obter passwords atrav´es da monitorizac¸˜ao de tr´afego que n˜ao est´a cifrado;
• Preprocessor: recebe os pacotes obtidos pelo sniffer e compara-os com determi-nados plugins por forma a identificar comportamentos maliciosos. O Snort utiliza uma vasta quantidade de preprocessors e plugins, cobrindo os protocolos mais co-muns. Depois de associado um pacote a um determinado tipo de comportamento, este ´ultimo ´e reencaminhado para o Detection Engine;
10http://www.cisco.com/c/en/us/about/corporate-strategy-office/
Figura 2.9: Arquitetura do sistema Snort
• Detection Engine: Depois de recebidos os pacotes de todos os Preprocessors, o tr´afego ´e comparado com o conjunto de regras que tem ativadas. Caso algum dos pacotes recebidos fac¸a correspondˆencia com uma das regras, ´e enviada uma notificac¸˜ao para o sistema de alarm´ıstica, notificando o administrador do sistema; • Output: Este ´e o ´ultimo passo do sistema Snort. Quando algum dos eventos
anali-sados corresponde a uma das regras pr´e-definidas, o sistema deve emitir um alerta sendo essa a func¸˜ao desta ´ultima componente. Esta componente permite que os alertas sejam despoletados de diversas formas, como por exemplo, sistemas de log (syslog), ligac¸˜oes de rede, Perl, PHP ou mesmo via email.
Figura 2.10: Exemplo de regra snort - logins FTP (File Transfer Protocol) efetuados com privil´egios de root
2.3.3
SECaaS - Security As A Service
´
E referido pela CSA (Cloud Security Alliance)11 como um modelo recente baseado na
computac¸˜ao em nuvem, fornecendo servic¸os e aplicac¸˜oes de seguranc¸a atrav´es da Internet. O SECaaS ´e baseado no SaaS (Software as a Service) sendo, no entanto, especializado no contexto dos servic¸os de seguranc¸a da informac¸˜ao.
11https://cloudsecurityalliance.org/wp-content/uploads/2011/09/SecaaS_
O conceito de SaaS ´e necess´ario por forma a perceber-se melhor o objetivo do SE-CaaS. Assim sendo, o SaaS ´e referido pelo NIST (National Institute of Standards and Technology) [12], como sendo um servic¸o composto por diversas aplicac¸˜oes dispon´ıveis na nuvem ou Internet. Estas aplicac¸˜oes est˜ao dispon´ıveis atrav´es de v´arios clientes, como os browsers. O utilizador comum (ou consumidor do servic¸o) n˜ao tem qualquer controlo sobre a infraestrutura que comp˜oe o servic¸o (rede, servidores, sistemas operativos, arma-zenamento, etc.), estando limitado a configurac¸˜oes espec´ıficas de algumas aplicac¸˜oes.
Se a este conceito for aplicado o foco nos mecanismos de seguranc¸a existentes, temos ent˜ao o j´a referido SECaaS. O foco deste servic¸o ´e a implementac¸˜ao de v´arios mecanismos de seguranc¸a (como IDSs, IPSs, Proxy, entre outros) nos pontos relevantes. Alguns dos servic¸os relacionados com a seguranc¸a da informac¸˜ao s˜ao categorizados pela CSA tal como apresentado na seguinte listagem:
• Identity and Access Management (IAM) - servic¸os utilizados para aceder aos recursos de uma determinada empresa, incluindo pessoas, processos e sistemas. Utilizados para o controlo de acessos a esses mesmos recursos;
• Seguranc¸a Web (Proxies) - servic¸os que lidam com a protec¸˜ao em tempo real atrav´es da aplicac¸˜ao de pol´ıticas, evitando a entrada de malware, proveniente da Internet, no sistema;
• Seguranc¸a de E-Mail - servic¸os de controlo do tr´afego de entrada e sa´ıda de email. Protegem o sistema de ac¸˜oes de phishing, anexos maliciosos, spam, entre outros; • Gest˜ao de Intrus˜oes - servic¸os que utilizam padr˜oes de reconhecimento por forma
a detetar e reagir a eventos de intrus˜ao. S˜ao implementados sistemas de detec¸˜ao e prevenc¸˜ao de intrus˜oes (IPSs e IDSs) nos pontos de entrada e sa´ıda relevantes; • Continuidade de Neg´ocio e Recuperac¸˜ao de Desastres - servic¸os respons´aveis
pela resiliˆencia do sistema quando um ataque provoca a interrupc¸˜ao do servic¸o pres-tado;
• Network Security (NS) - Servic¸os implementados por forma a monitorizar e pro-teger os recursos da rede.
O SECaaS pode ser visto como um modelo de neg´ocio em que o fornecedor dos servic¸os de seguranc¸a disponibiliza os mesmos sob a forma de subscric¸˜ao. Este mo-delo ´e muitas vezes visto tamb´em como uma forma de reduc¸˜ao de custos, uma vez que n˜ao requer mais investimento ao n´ıvel do hardware. Para al´em disso, a manutenc¸˜ao e implementac¸˜ao do servic¸o ficam a cargo do fornecedor numa perspetiva semelhante ao outsourcingde servic¸os de seguranc¸a.
2.3.4
SIEM: Gest˜ao e Correlac¸˜ao de Eventos de Seguranc¸a
O acr´onimo de SIEM (Security Information and Event Management) adv´em de outros dois acr´onimos: SIM (Security Information Management) e SEM (Security Event Mana-gement) [16]. Traduzido para o portuguˆes, o termo torna mais esclarecedora a sua func¸˜ao: Gestor e Correlacionador de Eventos de Seguranc¸a.
Um SIM (em portuguˆes, GIS - Gestor de Informac¸˜ao de Seguranc¸a) ´e respons´avel pela agregac¸˜ao e armazenamento da informac¸˜ao. O SEM (em portuguˆes, GES - Gestor de Eventos de Seguranc¸a) junta a informac¸˜ao armazenada e aplica algoritmos de an´alise por forma a identificar ameac¸as. Anteriormente estes produtos eram aplicados e desen-volvidos em separado, no entanto, os dois conceitos acabaram por se juntar `a medida que foram sendo adicionadas func¸˜oes de SEM em v´arios SIMs.
A Gartner [23] descreve um SIEM como uma “tecnologia que permite a detec¸˜ao de ameac¸as e incidentes de ciberseguranc¸a atrav´es da recolha, correlac¸˜ao e an´alise, em tempo-real, de eventos gerados por v´arias fontes. Permite tamb´em a investigac¸˜ao de in-cidentes e criac¸˜ao de relat´orios de conformidade atrav´es da an´alise hist´orica dos eventos gerados pelas diversas fontes”.
Os autores Nicolett e Kavanagh acrescentam que um SIEM ´e um “agregador de even-tos gerados por dispositivos de seguranc¸a, de rede, sistemas e aplicac¸˜oes, garantindo uma vis˜ao mais centralizada da seguranc¸a de uma determinada infraestrutura”.
Esta soluc¸˜ao permite que os administradores de seguranc¸a de uma rede possam aglo-merar, num ponto central, a informac¸˜ao recolhida por uma variedade de servic¸os e dis-positivos, tendo como objetivo reportar e identificar poss´ıveis ameac¸as (ver figura 2.11). As equipas de resposta a incidentes recorrem aos SIEMs como ferramenta essencial no processo de monitorizac¸˜ao. Esta plataforma permite-lhes ter uma vis˜ao muito mais am-pla do ponto de vista de seguranc¸a, fornecendo um ponto ´unico de controlo sobre toda a informac¸˜ao recolhida.
Embora o termo SIEM seja o mais comumente utilizado pela ind´ustria, em boa ver-dade s˜ao v´arias as tecnologias que o complementam. Algumas das diferentes carac-ter´ısticas, comuns `a maior parte dos produtos de SIEM existentes no mercado atualmente, s˜ao apresentadas por Schultz e David Miller [14]:
• Agregac¸˜ao e armazenamento da informac¸˜ao - Sistema respons´avel por recolher e armazenar as informac¸˜oes obtidas de m´ultiplos sistemas. Acesso centralizado `a informac¸˜ao recolhida, ao inv´es de se aceder a cada um dos sistemas individual-mente;
• Correlac¸˜ao da informac¸˜ao - Correlac¸˜ao de eventos gerados por v´arias plataformas de seguranc¸a, tendo como objetivo a identificac¸˜ao ataques e outros eventos relevan-tes. ´E necess´aria a correlac¸˜ao da informac¸˜ao recolhida pelos diversos mecanismos por forma a dar-lhe contexto. Uma mensagem enviada por um dos mecanismos por
si s´o poder´a n˜ao ter grande significado, no entanto, a mesma mensagem quando correlacionada com eventos de outros mecanismos diferentes pode ganhar uma re-levˆancia diferente. O correlacionamento de informac¸˜ao entre IDS, IPS, firewalls, proxies, bases de dados e dispositivos de rede, permite detetar comportamentos an´omalos que de forma isolada n˜ao seriam relevantes;
• An´alise forense - An´alise arbitr´aria entre os v´arios logs das diferentes plataformas utilizadas para a recolha de informac¸˜ao. Permite a pesquisa de dados em diferentes per´ıodos de tempo e em diferentes plataformas;
• Visibilidade - Capacidade de disponibilizar os dados recolhidos, sob um formato o mais leg´ıvel e intuitivo poss´ıvel para a equipa respons´avel pela monitorizac¸˜ao desses eventos. Uma das formas mais intuitivas de apresentac¸˜ao dos dados ´e atrav´es da utilizac¸˜ao de gr´aficos estat´ısticos e dashboards;
• Alarm´ıstica - Automatizac¸˜ao do processo de alarm´ıstica sempre que um novo evento malicioso ´e detetado. Este alerta pode ser gerado de diversas formas, seja atrav´es de syslog, email, conectores pr´oprios do fabricante ou ainda dashboards, como referido anteriormente;
• Conformidade - Permite gerar relat´orios de conformidade para uma determinada empresa relativamente a algumas certificac¸˜oes ISO (27001/27002), nomeadamente ao que diz respeito `a monitorizac¸˜ao cont´ınua rede.
