K ENYA

A introduc¸˜ao de ameac¸as cada vez mais avanc¸adas e complexas, como as j´a referidas APTs e o ransomware, obrigou ao desenvolvimento de novos mecanismos de detec¸˜ao e mitigac¸˜ao de malware. O caso do Stuxnet e os mais recentes casos de ransomware comprovam que nem as infraestruturas mais protegidas est˜ao a salvo deste tipo de ameac¸as cada vez mais capazes de ludibriar os mecanismos de defesa implementados.

De facto, infraestruturas como estas podem apresentar-se como alvos preferenciais de agentes maliciosos, tendo em conta a sua complexidade e a probabilidade de existirem mais entradas vulner´aveis. Estas ameac¸as tˆem a capacidade de comprometer toda uma infraestrutura atrav´es da sua proliferac¸˜ao nos pontos mais vulner´aveis desses sistemas. Os casos de ransomware vieram comprovar que a infec¸˜ao de uma m´aquina ´e o suficiente para causar danos consider´aveis num sistema.

O comprometimento de um servidor ou de um computador pessoal de um diretor pode corresponder `a perda de informac¸˜ao relevante de uma empresa, tendo como ´unica soluc¸˜ao o pagamento do resgate pretendido pelos atacantes. Neste sentido, o envolvimento das grandes empresas de seguranc¸a inform´atica, e n˜ao s´o, tornou-se obrigat´oria. O desenvol- vimento de novos mecanismos de defesa capazes de lidar com ameac¸as cada vez mais inteligentes, tornou-se um objetivo priorit´ario.

Tendo em conta o caso de estudo deste projeto, a Portugal Telecom, o foco desta secc¸˜ao incidir´a numa plataforma desenvolvida para o combate a estas ameac¸as - a plata- forma Cisco Advanced Malware Protection (AMP). Existem tamb´em outras plataformas, de fabricantes diferentes, com objetivos e funcionalidades semelhantes `as da Cisco AMP tal como: Palo Alto12, FireEye13, etc. Tendo em conta o caso de estudo, ser´a dado ˆenfase `as caracter´ısticas da Cisco AMP.

2.4.1

Cisco Advanced Malware Protection

Originalmente, a plataforma foi comercializada sob o nome de Sourcefire FirePower, baseando-se no sistema de detec¸˜ao de intrus˜oes open-source, Snort. Ambas as tecno- logias foram desenvolvidas pela SourceFire 14, sendo mesmo respons´aveis, em grande parte, pelo crescimento e reconhecimento da empresa no ramo da ciberseguranc¸a.

Atenta ao mercado e `as potencialidades de uma plataforma com as caracter´ısticas do Sourcefire AMP, estava a Cisco que, em Outubro de 2013, se antecipou a potenciais con- correntes e adquiriu a companhia SourceFire. A multinacional americana juntava assim ao seu j´a vasto leque de soluc¸˜oes de rede uma poderosa “arma” no combate ao malware, comercializando-a sob o nome de Cisco AMP.

12_{palo alto} 13_fireeye

14_{SourceFire, Inc - empresa de desenvolvimento de soluc¸˜oes de seguranc¸a de redes e sistemas, fundada} por Martin Roesch em 2001

A Cisco AMP ´e uma soluc¸˜ao de seguranc¸a que analisa todo o ciclo de vida de uma ameac¸a de malware avanc¸ado. N˜ao s´o previne contra poss´ıveis intrus˜oes como tamb´em garante a visibilidade necess´aria `a sua detec¸˜ao e mitigac¸˜ao. Segundo a pr´opria descric¸˜ao da Cisco15_{, garante protec¸˜ao em todo o espetro de infec¸˜ao: antes, durante e depois de}

uma infec¸˜ao por malware:

• Antes de um ataque, a AMP utiliza a plataforma de inteligˆencia da equipa Cisco Talos Security Intelligence and Research Group e da Threat Grid, fortalecendo as defesas do sistema contra ameac¸as j´a conhecidas ou emergentes;

• Durante um ataque, a Cisco AMP recorre a assinaturas de ficheiros j´a conhecidos e `a tecnologia de an´alise dinˆamica de malware da Cisco Threat Grid. Identifica e bloqueia ficheiros que violem as pol´ıticas previamente definidas, tentativas de explorac¸˜ao de vulnerabilidades (exploits) e ficheiros maliciosos que tentem infiltrar- se na rede;

• Ap´os um ataque, ou ap´os a an´alise inicial de um ficheiro, a soluc¸˜ao Cisco AMP vai para al´em da detec¸˜ao em tempo real (point-in-time) ao monitorizar e anali- sar continuamente todo o tr´afego e atividade de ficheiros. A soluc¸˜ao procura as- sim por poss´ıveis indicadores de comportamento malicioso, independentemente da classificac¸˜ao inicialmente dada aos ficheiros. A soluc¸˜ao Cisco AMP alerta a equipa de resposta a incidentes (SOC) sempre que detetar que um ficheiro, inicialmente classificado como limpo ou desconhecido, comec¸ar a exibir um comportamento suspeito ou malicioso.

A Cisco defende que a maior parte das soluc¸˜oes anti-malware existentes nas infra- estruturas de rede e sistemas apenas inspecionam os ficheiros no seu ponto de entrada (ver figura 2.12 16_{). No entanto, ´e referido que a sofisticac¸˜ao do malware permite que}

estes contornem os mecanismos de defesa. T´ecnicas como o polimorfismo, a cifra ou a utilizac¸˜ao de protocolos desconhecidos, s˜ao tidos como formas adotadas pelo malware de modo a passarem despercebidos aquando da sua entrada numa rede.

Nesse sentido, a Cisco AMP garante a monitorizac¸˜ao cont´ınua dos ficheiros e tr´afego da rede, mesmo ap´os a inspec¸˜ao inicial. ´E monitorizada toda a atividade referente a fichei- ros, comunicac¸˜oes com dispositivos terminais e m´oveis presentes numa rede, procurando a detec¸˜ao de ligac¸˜oes que exibam um comportamento suspeito ou malicioso. Esta plata- forma procura dotar a equipa de resposta a incidentes das respostas `as seguintes quest˜oes:

15

http://www.cisco.com/c/en/us/products/security/ advanced-malware-protection/index.html

16_{http://www.cisco.com/c/en/us/products/collateral/security/}

• Qual a origem do malware?

• Qual o m´etodo e ponto de entrada do malware? • Onde esteve e que sistemas foram afetados?

• O que fez a ameac¸a e qual o seu comportamento atual? • Como se interrompe o ataque e elimina a sua causa?

´

E interessante verificar que tamb´em os restantes fornecedores de plataformas seme- lhantes `a Cisco AMP as vˆem como um mecanismo complementar a outras tecnologias de seguranc¸a, como a protec¸˜ao de email, proxies ou firewalls. A adoc¸˜ao de uma filosofia de seguranc¸a em profundidade parece ser um ponto comum entre os diferentes fornecedo- res de soluc¸˜oes contra malware avanc¸ado. Pode concluir-se que uma plataforma como a Cisco AMP n˜ao deve ser considerada um substituto de todas as outras tecnologias j´a exis- tentes, mas sim um complemento de seguranc¸a para a ameac¸a do malware em espec´ıfico.