Read Team x Blue Team - Parte 01

Depois de muito tempo volto a escrever no blog.

Muitas coisas se passaram nos últimos anos mas resolvi compartilhar agora nas "férias" do MBA (são só 3 semanas kkk) meu ponto de vista sobre alguns assuntos e temas.


Ressalto que escrevo aqui apenas minha opinião pessoal sobre os temas, sem qualquer vínculo com a opinião ou pontos de vista de meu atual empregador. Então vamos lá para o primeiro tema que gostaria de abordar.

Considerações para a realização de exercício de Red Team x Blue Team 

Parte 01

Para quem não sabe exatamente do que se trata, em resumo é a execução de uma simulação de ataque e defesa cibernética (CONTROLADA) com o objetivo de identificar se:

1. As ferramentas de segurança estão se comportando como esperado e se estão tunadas adequadamente.

2. Os processos de detecção, mitigação e resposta a um evento / incidente de segurança estão funcionando como planejado

3. O SOC / CSIRT ou equipe responsável possui as ferramentas e conhecimentos necessários para responder a um incidente dessa natureza.

4. Os alertas existentes no SIEM / Big Data foram capazes de detectar o comportamento anômalo simulado.

5. Existe a necessidade de criação de novos casos de uso e alertas para detecção do comportamento anômalo simulado.

6. Existem vulnerabilidades que foram exploradas durante o teste e precisam ser corrigidas.
7. Existe a possibilidade de aplicar mecanismos de proteção alternativos ou alertas com maior criticidade onde não é possível efetuar as correções, funcionando assim como controle compensatório.
8. O processo de escalonamento de resposta foi bem realizado

9. O ataque foi mitigado em temo hábil para evitar maiores danos.

Enfim se olharmos a lista acima (que está longe de ser exaustiva) verificamos que existe sim muito valor nesse tipo de trabalho / serviço com o objetivo de criar um processo de melhoria contínua de Cyber Segurança, aumentando assim o nível de Cyber resiliência do ambiente.

Para exemplificar como esse tipo de atividade é importante gosto de fazer aqui uma analogia com o livro  - Não há dia difícil (No Easy Day).

O responsável por matar Osama treinou a vida toda, repetiu simulações, operações, treinos e atividades extremas, dando atenção aos mínimos detalhes para poder chegar perto da perfeição, afinal em uma operação de guerra não se pode errar, pois na única oportunidade que possuem devem acertar na mosca (HEADSHOT), evitando assim perder o alvo, o que significaria a morte de um membro da equipe ou de todo o time.

Enfim se olharmos bem os soldados de qualquer tropa de elite eles treinam milhões de vezes buscando a perfeição, e com certeza a cada treino encontram pontos a evoluir e melhorar, o que não os deixa mais fracos, pelo contrário, os deixa ainda mais fortes e preparados para o conflito real. 

Essa deve ser a máxima de um exercício de Red Team x Blue Team, treinar a resposta, identificar pontos de melhoria, evoluir sempre. Parece até um pouco obvio não ? Pois é, mas tenho visto muitas empresas que estão oferecendo esse tipo de serviço, mas na verdade estão vendendo um serviço de Hacking Ético com novo nome.

Um exercício de Red Team x Blue Team deve ser executado por equipe que possua conhecimento não só das técnicas de ataque, mas que também conheça as técnicas, ferramentas e arquitetura de defesa, detecção, mitigação e resposta. Vale destacar que não estou aqui desmerecendo o trabalho de hacking ético, muito pelo contrário, ele é sim muito importante em uma estratégia de defesa, e sem dúvida também é necessário muito conhecimento técnico para realizar um EHT com qualidade.

No entanto são dois objetivos diferentes:

- O EHT tem como objetivo simular técnicas de ataque, apontar problemas e possíveis correções.

- Já o exercício de Red Team x Blue Team deve apresentar no mínimo as respostas para os 9 objetivos anteriormente mencionados, trazendo a tona questões como:

1. Que regra do IPS não funcionou ? 
2. Temos casos de uso para detectar esse modus operandi de ataque ? Qual está faltando ?
3. Existe um evento e ou correlação adicional a ser configurada ? Qual ? Como devemos configurar.
4. Nossos procedimentos de resposta e escalonamento funcionaram ?
5. Qual o conhecimento técnico nos falta ?
6. Falta alguma ferramenta / tecnologia em nossa arquitetura de segurança.

O trabalho de RT x BT deve considerar a avaliação de toda a cadeia de detecção, mitigação e resposta, indo muito além da ação de apontar um problema / vulnerabilidade, mas buscando apontar como o BT deve melhorar a técnica de seu "tiro", ou seja, buscando a perfeição para chegar em um HEADSHOT nos casos reais.

Vejo atualmente empresas vendendo (e comprando) EHT como se fossem exercícios de RT x BT, o que me remete à época em que trabalhava em uma consultoria de segurança e víamos concorrentes vendendo EHT e entregando Scan de vulnerabilidades, mudaram os tempos, os nomes, mas ainda existem empresas vendendo e comprando gato por lebre.

Cada uma das atividades (EHT, Scan de Vunerabilidades e exercícios de RT x BT) tem o seu valor e são importantes para a criação de uma postura de Cyber Resiliência, no entanto é preciso usar cada uma delas no contexto correto, pois não adianta vender internamente que você vai fazer um exercício de Red Team x Blue Team se você comprar um EHT, pois nesse cenário sua equipe nunca vai melhorar e aprender a dar um HEADSHOT, além disso é importante lembrar que em um ambiente de constantes mudanças e evolução prevenir tudo é humanamente impossível, portanto evoluir na detecção, mitigação, resposta e predição é ainda mais importante do que somente apontar problemas e "correções".

Adicionalmente é preciso ter muito claro o que você (responsável por segurança) vai receber de um trabalho desses, deixando também todos os Stakeholders cientes do real resultado e benefícios a serem colhidos, pois vejo aqui um perigo quanto ao sentimento da alta gestão com os resultados desses trabalhos, especialmente em empresas que nunca executaram essa atividade como parte de sua estratégia de Cyber resiliência.

Ua e até a próxima (em breve).

MZN

Laboratório Experimental - Cyber defesa

Ao lado convite enviado hoje para os alunos interessados no Curso de Pós Graduação em Segurança da Faculdade de Jaguariúna (FAJ).

Trata-se de um laboratório para que os alunos interessados possam conhecer melhor o conteúdo do curso, uma vez que o laboratório de simulação de Cyber Defesa considera a criação de 2 ou 3 Grupos que deverão proteger um ambiente tecnológico sobre ataque, mitigando os problemas e fazendo análise forense do incidente durante o período do laboratório.

Todo o laboratório é realizado em ambiente controlado e em escala reduzida, com máquinas físicas, virtuais e também com ataques previamente agendados para ocorrerem em um dia "normal" de operação do ambiente simulado.

Durante o dia "normal" de operação do ambiente são simulados ataques de DDoS, Phishing e máquinas infectadas de usuários com Malwares e Backdoors, tudo executado em ambiente controlado e limitado para evitarmos maiores surpresas :).

No decorrer do laboratório os Grupos devem reportar periodicamente (a cada 30 minutos) as evoluções do trabalho e adicionalmente durante as 8 horas de laboratório os grupos recebem pontuações a medida que vão detectando, respondendo e mitigando os ataques corretamente.

Esse laboratório foi muito bem recebido pela primeira turma a ponto de termos "repeteco" a pedido dos alunos mesmo após finalizado o curso, apenas por diversão :).

Teremos os grupos formados por alunos da primeira turma e alunos da segunda turma, onde os alunos da primeira turma poderão aplicar novamente todos os conhecimentos obtidos em 18 meses de curso e também se integrar com os alunos da segunda turma. Além disso os alunos da segunda turma poderão obter uma "pitada" dos desafios que os aguardam  :)

Ressalto que a Turma-01 foi sensacional, parabéns a todos, o dia 14 de junho me fez realmente lembrar como é bom dar aula para turmas dedicadas, interessadas e reduzidas, onde podemos nos aprofundar ainda mais nos temas técnicos e extrapolar o nível de discussão. Abaixo o placar final dos 3 Grupos que participaram do desafio.

Pessoal dia 26 temos repeteco :).

Ua
Zillo




At.
Marcello Zillo Neto

Relatório APWG

Publicado relatório Phishing Activity Trends Report - APWG - 1 Quarter de 2014.

http://docs.apwg.org/reports/apwg_trends_report_q1_2014.pdf

4 anos depois... ...

Praticamente quatro anos sem publicar no Blog, sinceramente achei que nem lembrava mais da senha :).

Muitas coisas me fizeram "esquecer" um pouco do blog nesses 4 anos, na verdade não deixei de escrever diretamente mas deixei de publicar algumas coisas e nesses 4 anos muitas coisas aconteceram, troca de emprego, voltei a dar aula (isso foi e está sendo muito bom), voltar a ver amigos em Jundiaí, voltar a andar de moto (nem tanto, mas já é mais que nada kkkkk) até casei (Thai te amo).

No entanto espero agora voltar a publicar com mais frequência, sinceramente não sei quantas pessoas acompanhavam ou acompanham o blog, mas de qualquer forma o objetivo aqui não é ser TOP of  MIND em acessos, afinal quem me conhece sabe que "palco" nunca foi e nem será o objetivo.

O objetivo como sempre será compartilhar os artigos que leio, pensamentos e idéias das madrugadas adentro sempre divertidas, afinal depois que a esposa cai no sono eu continuo muitas vezes estudando, lendo e "testando"coisas. Thais obrigado por suportar a luz no rosto e o toc toc toc do teclado :), te amo por isso e por muitas outras razões, mas essa é uma delas kkkkk.

Como parte do processo de retomada gostaria hoje de compartilhar uma ferramenta que estou começando a "brincar".

Todas as pessoas que alguma vez tiveram que tratar algum incidente de segurança computacional sabem que um dos grandes desafios (entre muitos) é o de avaliar em tempo real diversas máquinas, ou seja, se encontramos um "artefato", ou se precisamos coletar diversos "artefatos" em uma rede de diversas máquinas, como podemos fazer ? Como avaliar se outras máquinas tem o mesmo comportamento ?

É fato que no mercado existe muitas ferramentas excelentes que nos permitem uma análise forense em tempo real remotamente (FTK, Mandiant, Encase, etc) mas existe algo Open Source que poderia ser utilizado ? A resposta é sim existe :).

Preparando a minha agenda para o evento da Blackhat desse ano (pretendo compartilhar com todos os resultados colhidos nessa empreitada) me deparei com a seguinte ferramenta.

GRR Rapid Response is an Incident Response Framework

• https://code.google.com/p/grr/

Essa ferramenta criada por Engenheiros do Google é muito interessante, ainda não efetuei todos os testes, mas pelo que andei lendo e assistindo parece realmente muito promissora.

Paper que explica um pouco a solução.

• http://static.googleusercontent.com/media/research.google.com/en/us/pubs/archive/37237.pdf

Vídeo (a partir do minuto 41 se demonstra o GRR).

• https://www.youtube.com/watch?v=bdbdtEgBJUA

Impressionante como o Google tem Engenheiros de Segurança capacitados a criar ferramentas tão interessantes como essa , como outro bom exemplo, o Volatility.

• https://code.google.com/p/volatility/

Para pensarmos:
Em um ambiente de Datacenter tão grande como o do Google com certeza é desafiador garantir a segurança do ambiente e em alguns casos adquirir soluções de "mercado" pode ser proibitivo em virtude do volume de máquinas, usuários e do tamanho do ambiente, ou seja, preço praticamente inviável (mesmo para o Super Google).

Além disso considerando o material humano (massa cinzenta) de Engenheiros que o Google possui talvez realmente seja muito mais interessante desenvolver soluções que atendem as necessidades de Segurança do Google, pois além de atender as suas necessidades provavelmente com menor custo (bom ponto a ser discutido) ainda podem compartilhar com a comunidade e quem sabe no futuro isso pode ainda virar um produto "Google".

Comentários ? (se é que alguém ainda lê o blog :) )

Um abraço e até breve.

Riscos Top Down ou Bottom Up ?

Venho conversando com amigos consultores e outros profissionais que também trabalham com Gestão de Riscos e discutindo quais as vantagens de utilizar uma abordagem de riscos Top-Down ou Bottom-up.

No meio de agosto tive a oportunidade de conversar com o Senhor Michael Rasmussen em um treinamento em São Paulo e durante algumas discussões chegamos à conclusão que as duas abordagens são interessantes dependendo do contexto. Parece até resposta de consultor, mas vamos por partes.

A Análise Bottom-Up

Quando falamos, por exemplo, em análise de riscos de Segurança da Informação e ou TI é muito comum realizarmos a análise olhando diretamente para os controles e definindo o risco a partir da probabilidade e impacto caso o controle não esteja implementado, ou seja, uma abordagem puramente Bottom-Up.

Um exemplo simples e prático

Qual a probabilidade e impacto de ocorrência de vazamento de informação (Risco) caso a empresa não tenha um processo de Hardening (Controle) devidamente implementado?

Percebam que nesse momento não vou entrar no mérito e ou semântica do "devidamente implementado" e nem mesmo detalhar todos os aspectos técnicos relacionados a um bom Hardening, aqui cabe a simplicidade e também não vou mencionar outros exemplos aplicáveis a não TI.

No exemplo em questão a análise iniciou-se com a avaliação do controle para determinar o grau de risco.

E se quiséssemos determinar o risco para depois avaliar os controles aplicáveis?

A Análise Top-Down

Quando pensamos em determinar os riscos e depois avaliar os controles que podem mitigar os mesmos, invariavelmente estamos pensando em uma abordagem Top-Down ERM (Enterprise Risk Management).

Podemos afirmar que é muito complexo e diria que praticamente impossível começar com o mapeamento de todos os controles para depois disso apontar os riscos. Além disso, valem alguns questionamentos:

1- Será que devemos mapear controles para todos os riscos?

2- Vale o esforço?

3- Não seria mais adequado entendermos o que a Alta Gestão, Board, Investidores e ou partes interessadas entendem ser os riscos prioritários para a companhia para depois identificar os controles necessários (existentes ou não)?

4- Não seria mais adequado trabalhar os riscos de forma abrangente sem criar silos onde cada área determina o que quer avaliar e como, fazendo as suas análises Bottom-up de forma isolada?

Bom com todos esses questionamentos não quero influenciar o leitor a tomar um posicionamento que a abordagem Top-Down é mais adequada, afinal como mencionado anteriormente é necessário avaliar o contexto e determinar a melhor estratégia.

Porém cada vez mais testemunho empresas que usaram no passado uma abordagem Bottom-Up em silos e agora precisam integrar com a abordagem Top-Down (ERM).

Mais um exemplo simples e prático

Imagine uma empresa fictícia de capital aberto, do setor automotivo, que por sua vez deve atender inúmeras regulamentações, têm inúmeros desafios tecnológicos, busca por inovação constante, deve se preocupar com a concorrência interessada em informações sigilosas entra outras preocupações.

Agora imagine essa empresa com várias áreas realizando atividades de análise de riscos de forma isolada em seus silos, TI pensa em Riscos de Indisponibilidade, Segurança da Informação está preocupada com Vazamento de Informação, Integridade e bla bla bla, a área de Marketing e Vendas está preocupada em não perder clientes para a concorrência, já a área de engenharia está preocupada em não perder o bonde da inovação tecnológica, enfim, se perguntarmos quais os riscos e a importância dos mesmos, não tenham dúvida que cada um dirá uma coisa e muitas vezes com prioridade diferentes e conflitantes. Nesse cenário cabem novas perguntas:

1- Quais os riscos que devem ser avaliados primeiro?

2- Com o que a empresa deve se preocupar ou não?

3- Estes riscos não devem estar alinhados com os objetivos estratégicos da empresa?

4- Com base nesse cenário não seria o caso de ouvir quem paga as contas literalmente e saber deles quais riscos que não podemos correr?

Em um cenário como esse a abordagem Top-Down ERM se encaixa muito mais que a abordagem Bottom-Up de forma isolada.

Se olharmos, por exemplo, para o Guia de Boas práticas de Governança do IBGC ele define claramente que é de responsabilidade do Conselho de Administração definir o apetite e tolerância ao risco.

Sendo assim é fundamental saber:

1- O que é risco para o Board, Acionista e Diretores? Não existe negócio sem correr riscos.

2- O que na visão deles deve ser tratado?

3- Evitar o risco de Vazamento de informação é o mais importante (percebam que como profissional oriundo da área de segurança não estou dizendo que não devemos evitar o Vazamento de Informação, mas acho que o profissional de segurança nesse caso deve sair do seu mundo e encarar riscos de forma mais abrangente).

4- Se todas as áreas da empresa entenderem quais são os riscos "prioritários" não ficará claro para o que precisamos criar controles?

5- Então qual a razão de realizar análises de forma isolada, muitas vezes replicando tarefas e evitando a otimização e integração de processos? (Esse será assunto para outro artigo - GRC e Otimização de processos).

Resumindo

a. Na abordagem de ERM Top-Down falamos de controles somente depois que sabemos quais riscos a empresa (Board e demais interessados) não querem ou querem correr. Afinal como diria George Soros:

"Não há nada de errado em correr riscos; desde que não se arrisque tudo."

b. A análise Top-Down obriga uma aproximação muito maior com os objetivos estratégicos da empresa, não que a abordagem Bottom-Up não permita esse alinhamento, mas a chance de incoerência é maior.

c. Normalmente as análises de riscos Bottom-Up não consideram o Risco positivo já que estão olhando na maioria dos casos para os controles de mitigação, ou seja, desconsiderando um princípio fundamental apontado, por exemplo, na ISO 310000 (Risco Positivo).

Literatura recomendada

Para quem estiver interessado em ler mais sobre o assunto não poderia deixar de recomendar dois livros para começar.

a. Enterprise Risk Management

b. COSO ERM

O Retorno

Após praticamente um ano estou de volta. Posso dizer que muita coisa aconteceu nesse período e por essas e outras não pude escrever como gostaria.

Ficar 6 meses em projeto longe da família trabalhando nos USA não foi fácil, mas posso dizer que o aprendizado prático e a troca de experiência com outros profissionais da área foi simplesmente facinante, realmente coisas que nem o nem Mastercard paga :).

A organização, pragmatismo e profissionalismo das pessoas com quem trabalhei nos USA com certeza serão fundamentais para o resto de minha vida. O desafio da língua, vencer o preconceito de ser tupiniquim e mostrar que nós brasileiros somos capazes foram por si só mais um combustível para aumentar o empenho e desejo de sucesso.

A saudade da família com certeza foi o que mais pesou, a distância de amigos, primos, familiares, minha noiva enfim, foi realmente difícil. A jornada foi cumprida e voltei para o Brazil para encarar novos desafios e ficar perto da família.

Pode até parecer estranho mas deixei nos USA amigos de verdade, pessoas que me acolheram como parte da família, mesmo com todo o frio de Minneapolis me senti acolhido por pessoas que com certeza somente Deus pode ter colocado em minha vida.

Após trabalhar em um projeto de Gestão de Riscos e Compliance nos USA me deparei com o assunto Governança Corporativa ainda trabalhando nos USA e decidi que quando voltasse ao Brasil precisaria me aprofundar no assunto.

Para tanto comecei a procurar literatura que pudesse me apoiar na resposta de algumas questões como:

- O que é Governança Corporativa?

- O que essa disciplina tem em comum com Segurança da Informação? (se é que tem).

- Qual a correlação de Gestão de Riscos e Compliance com a Governança Corporativa?

- E a Governança em TI, Governança de Segurança.

- Governança do que ?

Aliás diga-se de passagem existem milhares de especialistas de plantão, que após duas ou três "gogadas"saem dizendo um monte de termos interessante se vendendo como especialistas em Governança de qualquer coisa.

Outro dia lendo uma entrevista do presidente da Azul Sr. David Neelam me deparei com uma declaração que me fez questionar algumas declarações dos especialistas de plantão.

Segundo o Sr. Neelam para ser especialista no assunto são necessárias mais de 10.000 horas de dedicação. Vale ressaltar que o Sr. em questão fundou várias companhias aéreas e todas muito bem sucedidas, ou seja, ele tem mais de 10.000 horas de estudo e prática, portanto pode ser considerado muito mais que um especialista no assunto "Empresa aérea".

Comecei a ler e estudar um pouco mais sobre o assunto Governança Corporativa quando da minha volta ao Brasil. Comecei de forma bem acanhada, lendo um ou outro artigo sobre o assunto.

Conversando com algumas pessoas mais experientes no assunto fui direcionado para o site do IBGC (Instituto Brasileiro de Governança Corporativa) e durante a minha saga de leitura e estudo me deparei com um livro do professor Professor Dr. Alexandre de Micelli, sem sombra de dúvida um dos maiores senão o maior estudioso e especialista do assunto no Brasil. Ele com certeza tem muito mais de 10.000 horas de dedicação ao assunto :).

Após essa leitura resolvi encontrar um curso em que eu realmente pudesse me dedicar a estudar e trocar experiências com profissionais experientes sobre o assunto.

Para a minha sorte (quem procura acha como se diz na minha terra), encontrei o Curso de MBA da FIPECAFI onde o coordenador em questão é nada mais nada menos que o Professor Dr. Alexandre de Micelli.

Estou muito longe de ter mais de 10.000 de dedicação ao assunto, mas um dia chego lá, enquanto isso pretendo periodicamente compartilhar com vocês opiniões, notícias e meu humilde entendimento sobre os estudos e ricas discussões sobre o tema nas salas de aula.

Bom por enquanto é isso, até o próximo Post onde falaremos sobre Insider Trading.

- O que é isso?

- O que a Segurança da Informação tem em comum com o tema?

Bom essas perguntas poderão ser respondidas somente no próximo Post.

Até lá.

Os 10 maiores CEOs fraudadores

A Governança Corporativa tem sido vista como uma das principais formas de "proteger os direitos dos acionistas ou de todos os interessados, conhecidos como stakeholders" - segundo Wentges 2002, p.74.

Percebe-se porém uma expressiva falta de integridade na esfera social por parte dos responsáveis em dirigir e controlar corporações - A Nova Governança Corporativa de Martin Hilb, 2009, p.14.

Esse comportamento pode ser observado em passado recente nas grandes corporações, seja no âmbito do conselho, CEO, CFO e auditores entre outros. Adicionalmente o uso de stock options e bônus astronômicos são questionáveis.

Recentemente a Time publicou a lista dos 10 maiores CEOs fraudadores dos EUA. É sempre bom aprendermos com o passado e pensarmos que mesmo utilizando-se das melhores práticas de governança corporativa ainda dependemos diretamente do bom caráter de cada um dos executivos envolvidos diretamente e ou indiretamente nas decisões corporativas (no interior chamamos isso de "bom berço").

Se pensarmos que um dos maiores desafios (a muito tempo batido) em Segurança da Informação é garantirmos a segurança em pessoas, percebemos rapidamente que esse também é o desafio para a Governança Corporativa, ou seja, como podemos manter "controle" sobre as ações de altos executivos sem engessar o negócio, mantendo a rapidez e autonomia na tomada de decisão, sem comprometer ou permitir que os interesses individuais (ganhar grandes bônus) sobreponham todos os outros interesses da sociedade, governo, funcioninários, meio ambiente e todas as "camadas" envolvidas pelas tomadas de decisão e gestão das grandes corporações.

Pergunto aos leitores, como o risco em pessoas pode ser analisado, avaliado e tratado?

Em A Nova Governança Corporativa de Martin Hilb, 2009 o autor sugere que o gerenciamento de risco é uma tarefa que pertence ao conselho de administração, assim como a responsabilidade pela sua direção, necessitando porém uma forte integração entre o nível estratégico e operacional.

Então qual é o desafio para garantir essa integração? Abaixo algumas sugestões:
1- Implementar uma linguagem comum de gestão de riscos corporativos em todos os níveis da corporação (Estratégio, Tático e Operacional).
2- Definir as responsabilidades no mapeamento e gestão de riscos em cada um dos níveis.
3- Identificar o apetite de riscos da corporação.
4- Garantir que o mapeamento dos riscos possibilite a visão clara de interdependência das ações, evitando a abordagem fragmentada e isolada, que ocasiona a sobreposição de ações e gastos desnecessários.
5- Evitar uma visão exclusivamente operacional dos riscos.


No próximo post falaremos mais sobre os desafios e Frameworks de implementação de ERM.

O mundo em 2019

Vídeo apresentado pela Microsoft demonstrando como poderá ser o mundo em 2019, totalmente integrado com as tecnologias que conhecemos hoje e até mesmo as que ainda não conhecemos.

E como fica a segurança nesse cenário?