Artigo em destaque

Impeça ataques e retribua: A resposta a incidentes de segurança da F5 é por conta da casa

Imagem SIRT

A maioria dos invasores não está atrás de você. Pelo menos não no começo. Eles geralmente empregam uma abordagem extremamente ampla antes de mirar em organizações que demonstram a vulnerabilidade específica que estão tentando explorar. A menos que você seja um alvo de alto valor (pense em finanças, grande varejo ou governo), não se trata de você. Provavelmente você tem a tão procurada fraqueza — o que, reconhecidamente, não é muito reconfortante quando se está sob ataque.

Olhando mais de perto, os invasores geralmente procuram os mesmos tipos de coisas em todos os níveis, o que torna o compartilhamento de conhecimento altamente benéfico em teoria. No entanto, isso geralmente não dá certo na prática, pois a maioria das organizações não tem um mecanismo para a) incorporar lições de eventos de segurança anteriores do setor ou b) sinalizar suas experiências de forma anônima para que outros possam evitar os mesmos erros. Consequentemente, as informações sobre campanhas de ataque atuais que exploram vulnerabilidades novas (ou conhecidas) não alcançam tanto quanto deveriam, e vemos constantemente manchetes relacionadas a violações que derivam das mesmas vulnerabilidades e explorações subjacentes. Por exemplo, em 2017, quantas vítimas do WannaCry estavam executando software EOL/sem suporte que foi amplamente documentado como problemático? A resposta: muito .

Para ser justo, muito disso é compreensível no contexto. Fornecer informações para a comunidade em geral não é a primeira coisa que passa pela cabeça de um profissional de segurança quando ele está sob ataque, possivelmente violado e lidando com a pressão de uma resposta emergencial a incidentes — e, ao mesmo tempo, sob o olhar atento de um departamento jurídico que faz o possível para conter informações sobre o incidente até que os fatos sejam determinados. Supondo que você não esteja passando por uma quantidade enorme de estresse e ainda se sinta suficientemente altruísta, o que você poderia fazer hipoteticamente para ajudar o setor ao redor? Compartilhar arquivos descobertos com o VirusTotal pode ser uma opção, mas você provavelmente não conseguirá fazer muito mais do que deixá-los lá antes de retornar à tarefa mais urgente de proteger sua organização (e, talvez mais importante, seu trabalho). O ideal é que você tenha uma equipe de reforços qualificados, pronta e capaz de ajudar você rapidamente a responder à crise. Profissionais dedicados que podem analisar as informações, fornecer orientação imediata de mitigação e, então, ajudar você (e seus colegas internautas) a preparar melhor a rede para evitar ataques futuros.

De volta aos negócios

Pressione F5. Se você for um cliente, a assistência de resposta a incidentes de emergência gratuita (sim, GRATUITA ) vem com seu contrato de suporte. Isso não apenas prepara você para obter a ajuda necessária nos momentos mais cruciais, mas também fornece um caminho para analisar, agregar e abstrair as experiências de diversas organizações para o benefício do grupo maior. Se você estiver enfrentando uma ameaça iminente, uma simples ligação telefônica para o suporte técnico da F5 explicando que está enfrentando um evento de segurança o encaminhará diretamente para a Equipe de Resposta a Incidentes de Segurança (SIRT) da F5. Esta equipe global é composta por engenheiros de segurança (com suporte em mais de uma dúzia de idiomas) com ampla experiência em resposta a incidentes, disponíveis 24 horas por dia, 7 dias por semana, 365 dias por ano. E embora eles certamente retornem aos tópicos de segurança mais amplos e relevantes para se preparar melhor para eventos futuros, o principal objetivo do F5 SIRT é ajudar você a estancar o sangramento e dar tempo para desenvolver uma solução de mitigação de longo prazo para o seu negócio.

A equipe global da F5 SIRT também pode aproveitar uma ampla seleção de opções de mitigação possibilitadas pelos produtos ou ofertas da F5 em ambientes de clientes, como Advanced WAF (incluindo Proactive Bot Defense, CAPTCHA e mais), AFM , IP Intelligence (IPI), GeoIP, várias opções de proteção contra força bruta e várias outras opções; eles também podem envolver a equipe Silverline da F5 ou recomendar proteção adicional contra DDoS ou WAF baseada em nuvem quando apropriado. Em casos aplicáveis, essas e outras soluções estão disponíveis por meio da F5 Sales.

A equipe do SIRT é particularmente qualificada com as iRules programáveis da F5, que são desenvolvidas e implantadas rapidamente para modificar os fluxos de tráfego. Quão rápido? Embora a complexidade do problema sempre entre em jogo, iRules personalizáveis podem ser preparadas em minutos e implantadas pelo cliente em poucas horas (seguindo procedimentos adequados de controle de alterações de emergência, é claro).

Vamos analisar um exemplo rápido: Um cliente F5 estava sofrendo um ataque de força bruta contra servidores RDP liderado por um dispositivo F5. Os servidores estavam abertos à Internet e precisavam ser acessíveis para dar suporte aos seus negócios, mas apenas para um conjunto específico de intervalos de rede. Para mitigar o ataque, uma iRule foi desenvolvida com o F5 SIRT que usava um grupo de dados como um meio de verificar o IP do cliente em relação a um conjunto de redes externas “conhecidas e confiáveis” e descartar qualquer tráfego que não fosse originário de uma delas. Isso mitigou o ataque de forma limpa e melhorou a postura de segurança do cliente. Além disso, essa abordagem manteve a capacidade de adicionar ou remover redes da lista confiável — com o cliente podendo configurar grupos de dados específicos na GUI — para evitar ataques semelhantes no futuro.

Voltar para a Comunidade

Se, durante o curso de uma investigação de incidente, detalhes pertinentes forem descobertos, como uma nova exploração, campanha, malware ou vulnerabilidade que não tenha sido vista antes ou que não seja particularmente bem compreendida, o F5 SIRT pode acessar uma rede de equipes em toda a empresa para obter uma perspectiva adicional. Essa abordagem reúne efetivamente o conhecimento dos pesquisadores de ameaças, desenvolvedores de produtos de segurança e outros especialistas da F5 para analisar as descobertas e oferecer remediação aprimorada no futuro. Se um elemento específico for adequado para publicação em benefício do setor em geral, nenhum detalhe será divulgado sobre clientes específicos ou incidentes específicos. Os detalhes se limitam à descoberta e ao comportamento de uma ameaça específica — como fizemos com o PyCryptoMiner — juntamente com orientações gerais, conforme aplicável. 

Você pode proteger e gerenciar melhor sua infraestrutura sabendo que equipes de especialistas da F5 estão esperando para ajudar — e que não haverá uma montanha de burocracia e papelada entre você e a ajuda necessária caso esteja sob ataque. Além disso, há também o benefício de saber que outros clientes não terão que sofrer o mesmo destino e, de fato, que sua organização também estará mais segura ao longo do tempo devido a essa abordagem de compartilhamento de conhecimento inestimável.

Então, o que o F5 ganha com isso? Obviamente, queremos empresas em funcionamento, conduzindo negócios com sucesso e segurança; o sucesso do cliente impulsiona o sucesso da F5. Além disso, reconhecemos que os eventos de segurança não afetam apenas a entidade visada; muitas vezes, há um efeito cascata para seus clientes e parceiros, e às vezes muito além disso. (Para ilustrar, os usuários geralmente usam as mesmas senhas ou senhas semelhantes para vários sites, aumentando muito o escopo de um incidente de segurança – por exemplo, descobriu-se que os usuários da Sony e do Yahoo usavam as mesmas senhas para ambas as contas 59% das vezes.) Sem entrar muito em exageros, esse efeito cascata pode impactar todos que fazem negócios na Internet. (Outro aparte: Pesquisas indicam que há uma média de três registros comprometidos para cada usuário online hoje.)

Nós — assim como a indústria — podemos lidar melhor com os problemas subjacentes que estão tornando os sistemas vulneráveis, criando oportunidades para compartilhar detalhes pertinentes do ataque e aprendizados importantes. Com o F5 SIRT, isso começa posicionando os clientes para contribuírem vantajosamente para o bem maior, ao mesmo tempo em que melhoram sua própria posição.


Para mais informações e para entrar em contato com a Equipe de Resposta a Incidentes de Segurança (SIRT) da F5, visite a página deles .