Quer se tornar um Red Teamer? Isso é o que você precisa saber

Quer se tornar um Red Teamer? Isso é o que você precisa saber para se tornar um bom Red Teamer. 

Todo mundo adora palavras de zumbido, não? O Red Team é a coisa mais nova (bem… não tão nova) nas ruas da cidade de segurança da informação e muitos profissionais de segurança cibernética querem entrar e se envolver nas atividades do Red Team em sua empresa.

No entanto, há mais em ser um membro da equipe Red do que apenas se inscrever. Nesta postagem do blog publicado pela Trustwave  vamos guiá-lo por um caminho que explicará primeiro o que um Red Team faz, os diferentes tipos de Red Team que geralmente operam e, finalmente, como você pode se tornar um Red Teamer. 

O que é o Red team?

Um pouco de história. De acordo com algumas fontes, o nome Red team tem suas raízes nas forças armadas dos EUA. Durante os exercícios de guerra da Guerra Fria dividiriam uma força em duas equipes: Vermelho (jogando as Forças da União Soviética) e Azul (agindo como o lado dos EUA e da OTAN.)  

No setor de segurança cibernética, um exercício de Red Team (também conhecido como simulação de adversários) contém Penetration Testers que são contratados para realizar uma simulação de como os hackers podem tentar violar as defesas de uma empresa. 

Eu gosto, onde eu assino?

Para se tornar um Red Teamer é preciso ter um certo conjunto de habilidades. A Trustwave recomenda que um potencial membro do Red Team tenha:

• Forte conhecimento de rede – Saber como uma rede funciona é muito importante, entender como os serviços funcionam em grandes redes ajudará você a entender onde os pontos fracos provavelmente estão localizados. 
• Esteja disposto a sujar as mãos com algum código – Ser um Red Teamer não é apertar um botão e ir embora. Há muito pensamento e pesquisa em cada atividade do Red Team e nenhum exercídio de Red Team é o mesmo. Muitas vezes somos obrigados a realizar mudanças em tempo real e saber como as ferramentas funcionam.
• Seja apaixonado – Todos os dias novas ferramentas, técnicas ou patches são lançados; o que você explorou na semana passada pode não funcionar esta semana, o que não foi possível na semana passada pode ser possível nesta semana. Uma nova ferramenta saiu? Abra-o, leia o código-fonte, execute-o em um laboratório para ver o que ele faz, entenda o que pode ou não fazer, entender o código o ajudará a entender coisas novas e a melhorar o que faz. É um campo em constante mudança, portanto, ficar no topo do seu jogo conhecendo as técnicas mais recentes é uma necessidade.
• Colaboração e compartilhamento de conhecimento – Quatro olhos são melhores que dois, enquanto você pode ser o melhor red teamer do mundo e hackear a rede do cliente sozinho, ter outra pessoa para verificar seu trabalho ou sugerir algo adicional beneficiará você e os clientes .
• Aprenda a diferença entre Penetration Testing / Red Team / Bug Bounty / Purple Team – é importante entender a diferença em cada tarefa e maneira de fazer as coisas entre esses quatro tipos diferentes de avaliação.
• Avaliação de vulnerabilidades – Varredura basicamente validada que é usada para identificar vulnerabilidades, mas não para explorá-las.
• Teste de Penetração (Penetration Testing) – O objetivo do teste de penetração é identificar o grau de controle sobre os sistemas de destino fornecidos que um invasor pode obter da Internet (se externo) ou de uma posição de acesso a uma rede interna privada (se interna) e dentro do tempo limitado também identificar tantas maneiras diferentes que tais compromissos poderiam ser obtidos.
• Red Team – O objetivo é as joias da coroa, isso não significa que você precisa obter o DA, se o DA o ajudar a atingir o objetivo (por exemplo, chegar à instância do banco de dados privado do cliente com todos os registros de RH), então vá em frente, mas um muitas vezes não é necessário. O objetivo é evitar a detecção e obter acesso aos objetivos predefinidos. Enquanto o Red Team exercita geralmente mais do que o teste de penetração, porque estamos tentando evitar a detecção a todo custo, a Blu Team, ou defensora, não deve estar ciente de que um Red Team começou.
• Bug bounty – As metas de bug bounty são oferecidas para ajudar as empresas a melhorar sua postura de segurança continuamente (por um longo período de tempo), recompensando um pesquisador pelos problemas que ele relata, cada problema equivalerá a uma certa quantidade de recompensas. A diferença aqui em comparação com o teste de penetração é que você é pago por descoberta, em comparação com o teste de penetração, onde você é pago pelo seu tempo e não pelos problemas.
• Purple Team (Equipe Roxa)– É uma forma mais colaborativa de trabalhar, colaboração entre o Red Team e Blue Team. Um Red Team tentará executar uma técnica, por exemplo injeção em um processo diferente, o Red Team comunicará que neste tempo X realizamos a ação Y e descobrirá se o Blue Team a detectou, se eles fizeram – ótimo – passar para a próxima técnica. Caso contrário, ajude-os a ajustar suas ferramentas de segurança para identificar a técnica. 

Recursos adicionais

Os seguintes recursos são bons lugares para começar sua jornada no Red Team: 

Certificações/Laboratórios:

• Red Team Ops by Zero-Point Security – Este curso fornece as técnicas básicas que serão usadas no Red Team, os laboratórios são ótimos e o autor (@_ RastaMouse ) explica muito bem como as coisas funcionam.
• Attacking and Defending Active Directory by Pentester Academy – Um ótimo curso geral que fornecerá informações não apenas sobre como atacar, mas também como corrigir (que é uma habilidade muito importante no Red Team), sabendo qual é a melhor maneira de mitigar problemas e corrigi-los (você pode ter certeza de que um cliente perguntará como mitigar um problema durante o debrief). Nikhil Mittal é uma lenda na indústria e explica muito bem os tópicos. 
• PEN-200 e PEN-300 da Offensive Security – Embora não seja especificamente sobre Red Teams, esses cursos fornecerão a você o histórico e as habilidades para atuar no Red Team.
• Existem muitas outras empresas que oferecem treinamento de Red Team, mas são mais caras (como geralmente são feitas com um instrutor explicando todos os tópicos), empresas como SpecterOps, SANS, Nettitude, FortyNorthSec e muitas outras.
• HackTheBox Pro Labs – Os laboratórios HackTheBox (HTB) Pro são um ótimo lugar para praticar suas habilidades de equipe Red. A partir de laboratórios fáceis, como Danta, a laboratórios extremamente difíceis, como Cybernetics. Além disso, esses laboratórios são relativamente baratos e você pode entrar nos laboratórios em seu tempo livre. 

Livros:

• The Hacker Playbook – Todas as séries Hacker Playbook (3 livros) são uma maneira ótima, muito detalhada e interessante de explicar sobre problemas e resolvê-los de maneira metódica. O terceiro livro da série se concentra na operação do Red Team, indo de A a Z sobre como conduzir um Red Team, incluindo quais ferramentas usar e como interpretar os resultados. 
• Como Hack Like a Pornstar – Você não vai conseguir largar o livro – Sparc Flow explica muito bem e de uma forma interessante sobre procedimentos e formas de conduzir operações. 
• Red Team Development and Operations: Um guia prático Paperback – Escrito por Joe Vest, o Diretor Técnico da Cobalt Strike. Este livro analisa todo o processo do Red Team de uma perspectiva de gerenciamento, tudo o que você precisa saber da AZ sobre como administrar uma  Red Tema bem-sucedido, incluindo termos, relatórios, melhor abordagem, maximização do impacto e muito mais. Altamente recomendado.  

Sites/vídeos:

• iRed Team – Um dos sites mais úteis quando se trata de equipe Red, muitas informações úteis sobre como fazer cada etapa de um envolvimento da equipe Red. 
• The Hacker Recipes – Um site bastante novo, mas cheio de informações úteis sobre como realizar certos tipos de ataques. 
• Red Team Operations with Cobalt Strike (série do YouTube) – Esses 9 vídeos de Raphael Mudge são o melhor guia sobre como conduzir Red Teams usando Cobalt Strike. Deve prestar atenção para quem entrar em campo. 
• Twitter – Eu sei que não teria conseguido entrar em campo sem me manter atualizado sobre as últimas técnicas, ferramentas e produtores (TTP). Eu navego no Twitter com frequência para encontrar novas ferramentas e artigos sobre os melhores e mais recentes TTPs.

Fonte: Trustwave 

VMware corrige bug crítico de desvio de autenticação

VMware corrige bug crítico de desvio de autenticação ‘make me admin‘, além de outras nove falhas.

A VMware corrigiu uma vulnerabilidade crítica de desvio de autenticação que atinge 9,8 de 10 na escala de gravidade CVSS e está presente em vários produtos.

Essa falha é rastreada como CVE-2022-31656 e afeta o Workspace ONE Access da VMware, o Identity Manager e o vRealize Automation. Foi resolvido junto com nove outras falhas de segurança neste lote de patches , publicado na terça-feira.

De acordo com a VMware: “Um agente mal-intencionado com acesso de rede à interface do usuário pode obter acesso administrativo sem a necessidade de autenticação“. Uma boa maneira de obter controle de nível de administrador sobre um sistema remoto.

A vulnerabilidade crítica é semelhante, ou talvez até uma variante ou desvio de patch, de uma vulnerabilidade de desvio de autenticação crítica anterior (CVE-2022-22972) que também classificou 9,8 em gravidade e VMware corrigiu em maio. Logo após a emissão dessa atualização, a CISA exigiu que as agências governamentais dos EUA cancelassem os produtos VMware afetados se os patches não pudessem ser aplicados.

Embora o gigante da virtualização não esteja ciente de nenhuma exploração em estado selvagem (pelo menos até agora) da vulnerabilidade mais recente, “é extremamente importante que você tome medidas rapidamente para corrigir ou mitigar esses problemas em implantações locais“, VMware alertou em um comunicado. “Se sua organização usa metodologias ITIL para gerenciamento de mudanças, isso seria considerado uma mudança de ’emergência’.” 

Além do titã do software e pesquisadores de segurança de terceiros pedindo às organizações que corrijam imediatamente, Petrus Viet, o caçador de bugs que encontrou e relatou a falha, disse que em breve lançará uma exploração de prova de conceito para o bug. Então, para ser perfeitamente claro: pare o que você está fazendo e avalie imediatamente e, se necessário, corrija essa falha antes que os criminosos a encontrem e a explorem, o que costumam fazer com as vulnerabilidades VMware.

Claire Tills, da Tenable, engenheira de pesquisa sênior da equipe de resposta de segurança da empresa, observou que o CVE-2022-31656 é especialmente preocupante, pois um criminoso poderia usá-lo para explorar outros bugs que a VMware divulgou na campanha de segurança desta semana.

“É crucial observar que o desvio de autenticação obtido com o CVE-2022-31656 permitiria que invasores explorassem as falhas de execução remota de código autenticado abordadas nesta versão”, escreveu ela .

Ela está se referindo a duas falhas de execução remota de código (RCE), CVE-2022-31658 e CVE-2022-31659, também descobertas por Petrus Viet que permitiriam que um invasor com acesso à rede em nível de administrador implante remotamente código malicioso na máquina da vítima. Assim, alguém poderia usar o ‘31656 para fazer login com poderes administrativos e, em seguida, explorar os outros bugs para pwn um dispositivo.

Ambos, ‘31658 e ‘31659, são classificados como “importantes” pela VMware e classificados com uma pontuação CVSS de 8,0. E semelhante à vulnerabilidade crítica que pode ser usada em conjunto com esses dois RCE, ambos afetam os produtos VMware Workspace ONE Access, Identity Manager e vRealize Automation.

O projeto rsync lançou atualizações para corrigir uma vulnerabilidade, rastreada como CVE-2022-29154, que poderia permitir que criminosos escrevessem arquivos arbitrários dentro de diretórios de pares conectados.
O Rsync é uma ferramenta para transferir e sincronizar arquivos entre máquinas remotas e locais, e explorar essa vulnerabilidade pode permitir que “um servidor rysnc malicioso (ou invasor Man-in-The-Middle) sobrescreva arquivos arbitrários no diretório de destino do cliente rsync e subdiretórios“, de acordo com os pesquisadores Ege Balci e Taha Hamad, que descobriram o bug.
Isso significa que um servidor malicioso ou MITM pode substituir, digamos, o ssh/authorized_keysarquivo de uma vítima.

Embora essas três vulnerabilidades VMware mereçam prioridade máxima de correção, existem alguns outros bugs desagradáveis ​​no grupo. Isso inclui três vulnerabilidades de escalonamento de privilégios locais (CVE-2022-31660, CVE-2022-31661 e CVE-2022-31664) no VMware Workspace ONE Access, Identity Manager e vRealize Automation.

Todos os três receberam pontuações CVSS de 7,8 e explorações bem-sucedidas permitiriam que criminosos com acesso local escalassem privilégios para fazer o root – e, a partir daí, praticamente fariam o que quisessem, como roubar informações, instalar um backdoor, injetar um trojan ou desligar o sistema inteiramente.

O pesquisador de segurança do Rapid7, Spencer McIntyre, relatou duas dessas duas falhas (CVE-2022-31660 e CVE-2022-31661) ao VMware, enquanto Steven Seeley, do Qihoo 360 Vulnerability Research Institute, encontrou o CVE-2022-31664.

Além disso, a VMware divulgou outra vulnerabilidade RCE no VMware Workspace ONE Access, Identity Manager e vRealize Automation. Este, rastreado como CVE-2022-31665, recebeu uma pontuação CVSS de 7,6 e requer acesso de administrador para acionar a execução remota de código.

Fonte: The Register 

Duas bibliotecas Python maliciosas adicionais encontradas

Duas bibliotecas Python maliciosas adicionais encontradas no repositório PyPI pela equipe da Kaspersky.

Mais dois pacotes Python maliciosos foram descobertos no repositório Python Package Index (PyPI), dias depois que pesquisadores de segurança da Check Point detectaram 10 deles.

Os dois pacotes adicionais também foram encontrados, desta vez pela Kaspersky, que postou um aviso descrevendo-os em seu blog .

De acordo com a equipe de segurança, os dois novos pacotes estavam se passando por um dos pacotes de código aberto mais populares no PyPI.

“O invasor usou uma descrição do pacote legítimo de ‘solicitações’ para induzir as vítimas a instalar um pacote malicioso”, escreveu Kaspersky.

Além disso, a descrição continha estatísticas falsas, sugerindo que o pacote foi instalado 230 milhões de vezes em um mês e tinha mais de 48.000 “estrelas” no GitHub. 

“A descrição do projeto também faz referência às páginas da web do pacote original de ‘solicitações’, bem como ao e-mail do autor”, disse Kaspersky. “Todas as menções ao nome do pacote legítimo foram substituídas pelo nome do pacote malicioso.”

O código dos pacotes maliciosos também era extremamente semelhante ao código do pacote ‘requests’ legítimo, exceto por um arquivo chamado exception.py.

A versão modificada do script (com data de 30 de julho, data de publicação do pacote malicioso), foi responsável por entregar uma carga maliciosa.

“O script grava outro script Python one-liner em um arquivo temporário e, em seguida, executa esse arquivo por meio da função system.start(). Em seguida, esse script de uma linha baixa o script do próximo estágio”, explicou Kaspersky.

A próxima etapa do ataque dependeria de um downloader ofuscado com uma ferramenta disponível publicamente chamada Hyperion, que implantaria a carga útil do estágio final com um script que permitisse a persistência na máquina infectada.

A carga final, apelidada de “W4SP Stealer” por seu autor no código, é um Trojan escrito em Python e ofuscado com o mesmo ofuscador que o downloader. 

O malware pode roubar endereços IP e trabalhar com criptografia para descriptografar cookies e senhas de navegadores. Após a infecção inicial, o Trojan começa a coletar tokens do Discord, cookies salvos e senhas de navegadores em threads separados.

“O script injetado monitora as ações da vítima, como alterar seu endereço de e-mail, senha ou informações de cobrança. As informações atualizadas também são enviadas para o canal Discord”, diz o comunicado.

A Kaspersky encerrou o documento confirmando que relatou os dois pacotes à equipe de segurança do PyPI e ao banco de dados de vulnerabilidades Snyk.

A descoberta dos pacotes maliciosos ocorre semanas depois que o PyPI anunciou que começaria a aplicar uma política obrigatória de autenticação de dois fatores (2FA) para projetos classificados como “críticos”.

Fonte: Infosecurity Magazine

Atualizações de software falsas do Google espalham novo ransomware

 Atualizações de software falsas do Google espalham novo ransomware. “HavanaCrypt” está usando um servidor de C&C hospedado em um endereço IP do Microsoft Hosting Service, dizem os pesquisadores.

Os agentes de ameaças estão usando cada vez mais atualizações falsas de software da Microsoft e do Google para tentar infiltrar malware nos sistemas de destino.

O exemplo mais recente é o “HavanaCrypt”, uma nova ferramenta de ransomware que pesquisadores da Trend Micro descobriram recentemente disfarçada como um aplicativo de atualização de software do Google. O servidor de comando e controle (C2) do malware está hospedado em um endereço IP de hospedagem na Web da Microsoft, o que é um pouco incomum para ransomware, de acordo com a Trend Micro.

Também é notável, de acordo com os pesquisadores, as muitas técnicas do HavanaCrypt para verificar se ele está rodando em um ambiente virtual; o uso pelo malware do código do gerenciador de chaves de código aberto KeePass Password Safe durante a criptografia; e seu uso de uma função .Net chamada “QueueUserWorkItem” para acelerar a criptografia. A Trend Micro observa que o malware provavelmente é um trabalho em andamento porque não solta uma nota de resgate nos sistemas infectados.

HavanaCrypt está entre um número crescente de ferramentas de ransomware e outros malwares que nos últimos meses foram distribuídos na forma de atualizações falsas para Windows 10, Microsoft Exchange e Google Chrome. Em maio, pesquisadores de segurança detectaram ransomware apelidado de “Magniber” fazendo as rondas disfarçados de atualizações do Windows 10 . No início deste ano, pesquisadores da Malwarebytes observaram os operadores do Magnitude Exploit Kit tentando enganar os usuários para baixá-lo, vestindo o malware como uma atualização do Microsoft Edge .

Como a Malwarebytes observou na época, as atualizações falsas do Flash costumavam ser um acessório das campanhas de malware baseadas na Web até que a Adobe finalmente aposentou a tecnologia devido a questões de segurança. Desde então, os invasores têm usado versões falsas de outros produtos de software atualizados com frequência para tentar enganar os usuários para que baixem seus malwares – sendo os navegadores um dos mais frequentemente abusados.

Criar atualizações falsas de software é trivial para os invasores, então eles tendem a usá-los para distribuir todas as classes de malware, incluindo ransomware, ladrões de informações e cavalos de Troia, diz um analista da Intel 471 que solicitou anonimato. “Um usuário não técnico pode ser enganado por tais técnicas, mas os analistas de SOC ou respondentes a incidentes provavelmente não serão enganados“, diz o analista.

Especialistas em segurança há muito observam a necessidade de as organizações terem defesas em várias camadas para se defender contra ransomware e outras ameaças. Isso inclui ter controles para detecção e resposta de endpoints, recursos de monitoramento de comportamento de usuários e entidades, segmentação de rede para minimizar danos e limitar o movimento lateral, criptografia e controle de acesso e identidade forte – incluindo autenticação multifator. 

Como os adversários geralmente visam os usuários finais, também é fundamental que as organizações tenham práticas sólidas para educar os usuários sobre riscos de phishing e golpes de engenharia social projetados para fazer com que baixem malware ou sigam links para sites de coleta de credenciais.

Como HavanaCrypt funciona

HavanaCrypt é um malware .Net que usa uma ferramenta de código aberto chamada Obfuscar para ofuscar seu código. Uma vez implantado em um sistema, o HavanaCrypt verifica primeiro se o registro “GoogleUpdate” está presente no sistema e só continua com sua rotina se o malware determinar que o registro não está presente.

O malware passa por um processo de quatro estágios para determinar se a máquina infectada está em um ambiente virtualizado. Primeiro, ele verifica o sistema quanto a serviços como VMWare Tools e vmmouse que as máquinas virtuais normalmente usam. Em seguida, ele procura por arquivos relacionados a aplicativos virtuais, seguido por uma verificação de nomes de arquivos específicos usados ​​em ambientes virtuais. Por fim, ele compara o endereço MAC dos sistemas infectados com prefixos de identificadores exclusivos normalmente usados ​​nas configurações da máquina virtual. Se qualquer uma das verificações mostrar que a máquina infectada está em um ambiente virtual, o malware se encerra, disse a Trend Micro.

Uma vez que o HavanaCrypt determina que não está sendo executado em um ambiente virtual, o malware busca e executa um arquivo em lote de um servidor C2 hospedado em um serviço de hospedagem na Web legítimo da Microsoft. O arquivo em lote contém comandos para configurar o Windows Defender de forma a permitir ameaças detectadas. O malware também interrompe uma longa lista de processos, muitos dos quais estão relacionados a aplicativos de banco de dados, como SQL e MySQL, ou a aplicativos de desktop, como o Microsoft Office.

As próximas etapas do HavanaCrypt incluem excluir cópias de sombra nos sistemas infectados, excluir funções para restaurar dados e coletar informações do sistema, como o número de processadores que o sistema possui, tipo de processador, número do produto e versão do BIOS. O malware usa a função QueueUserWorkItem e o código do KeePass Password Safe como parte do processo de criptografia.

“QueueUserWorkItem é uma técnica padrão para criar pools de threads“, diz o analista da Intel 471. “O uso de pools de threads acelerará a criptografia dos arquivos na máquina vítima.“

Com o KeePass, o autor do ransomware copiou o código da ferramenta de gerenciamento de senhas e usou esse código em seu projeto de ransomware. “O código copiado é usado para gerar chaves de criptografia pseudoaleatórias”, observa o analista. “Se as chaves de criptografia fossem geradas de maneira previsível e repetível, talvez fosse possível que pesquisadores de malware desenvolvessem ferramentas de descriptografia”.

O uso pelo invasor de um serviço de hospedagem da Microsoft para o servidor C2 destaca a tendência mais ampla dos invasores de ocultar a infraestrutura maliciosa em serviços legítimos para evitar a detecção. “Há uma grande quantidade de códios maliciosos hospedada em ambientes de nuvem hoje, seja Amazon, Google ou Microsoft e muitos outros”, diz John Bambenek, principal caçador de ameaças da Netenrich. “A natureza altamente transitória dos ambientes torna os sistemas de reputação inúteis.”

Fonte: DarkReading

Motivação financeira e espionagem dominam ataques na internet

 Motivação financeira e espionagem dominam ataques na internet, mostra estudo da Verizon.

Relatório DBIR 2022, da Verizon, com a participação da brasileira Apura, aponta, ainda, que criminosos miram organizações de várias atividades e de todos os portes.

Descobertas apontadas no relatório alertam para a importância da prevenção contra os ataques cibernéticos.

A edição de 2022 do Relatório de Investigações de Vazamentos de Dados da Verizon Business – conhecido pela sigla DBIR, um dos estudos mais completos sobre ataques cibernéticos no planeta – mostra que a motivação financeira está por trás de 93% das ocorrências. Chama a atenção, também, o fator espionagem, respondendo por 6% dos casos. Ocorre que dez anos atrás esta motivação sequer figurava entre as principais causas.

O DBIR é realizado desde 2008 pela Verizon, multinacional estadunidense da área de telecomunicações. O relatório chega, portanto, à 15ª edição. Pelo quarto ano consecutivo, ele conta com a participação da brasileira Apura, empresa especializada em cibersegurança, desenvolvedora da tecnologia BTTng (Boitatá Next Generation), de monitoramento, prevenção e combate a ataques na internet.

Por sinal, outra constatação do DBIR 2022 vai ao encontro do que, no início deste ano, já antecipavam estudos da Apura: o avanço dos ataques por ransomware – software de sequestro de dados que são instalados nos sistemas de uma organização em tais ofensivas. A utilização desse recurso malicioso cresceu 13% em todo o mundo, segundo o relatório da Verizon.

“Os ransomwares são uma ameaça persistente e implacável”, define o fundador e CEO da Apura, Sandro Süffert, que tem quase três décadas de experiência em segurança cibernética. “Os operadores desse tipo de ataque miram tanto empresas de países ricos, como em desenvolvimento e países pobres. Também se voltam tanto a megacorporações, como a organizações de áreas sensíveis, como a da saúde”, ilustra o especialista.

Para o DBIR 2022, foram observados 23,9 mil incidentes em todo o mundo, sendo que, deles, um total de 5,2 mil foram constatados como eventos confirmados. O relatório divide o mundo em quatro macrorregiões: Ásia-Pacífico, a qual inclui praticamente todo o continente asiático (exceto Oriente Médio) e Oceania; Europa, Oriente Médio e África; América do Norte; e América Latina e Caribe.

Na macrorregião Ásia-Pacífico, por sinal, foi onde a motivação “espionagem” teve maior proporção (46% dos casos, ante 54% por razões financeiras), em relação às demais do globo. O item espionagem também foi significativo na macrorregião Europa, Oriente Médio e África (21% das situações, ao passo que 79% se referiram à motivação financeira). Na América do Norte e na América Latina, o predomínio foi de ataques por objetivos financeiros (96% e 92% dos casos, respectivamente).

O estudo da Verizon, com a participação da brasileira Apura, alerta para o fato de que organizações de todos os portes, de todas as naturezas (atividades econômicas diversas, privadas ou públicas), estão no alvo dos cibercriminosos. Inclusive, micro e pequenas empresas e empreendimentos individuais, como profissionais, técnicos, pesquisadores e cientistas autônomos.

Para Sandro Süffert, a constatação reitera a importância de a sociedade incorporar uma cultura de segurança cibernética. Isso significa investir em ações em todos os níveis e instâncias – desde o tema estar presente nas escolas, até as organizações contarem com iniciativas, mecanismos e ações de monitoramento, prevenção e combate.

Confira alguns dados do DBIR 2022:

MOTIVAÇÕES DOS ATAQUES – MÉDIA GLOBAL

• Financeira 93%
• Espionagem 6%
• Outros (ideologia, rancor, diversão etc.) 1%

CINCO ATIVIDADES COM MAIOR OCORRÊNCIA DOS INCIDENTES

• Profissionais 3,5 mil
• Administração pública 2,8 mil
• Finanças 2,5 mil
• Informação 2,5 mil
• Indústria 2,3 mil

Mais Informações

O estudo completo pode ser baixado em: https://www.verizon.com/business/resources/reports/dbir/

Fonte: Apura

Mascaramento de dados versus criptografia de dados: como eles diferem?

Mascaramento de dados versus criptografia de dados: como eles diferem? Descubra como as técnicas de segurança de dados de mascaramento de dados e criptografia de dados se comparam, enquanto também aprende sobre os diferentes tipos de ambos e seus casos de uso.

É importante manter os dados sempre seguros, seja em repouso, em uso ou em trânsito . Dois métodos populares de ofuscação de dados são o mascaramento de dados e a criptografia de dados.

Embora ambos os métodos transformem dados para fins de segurança , eles não são a mesma coisa. Vejamos o que cada um faz e como eles se comparam.

O que é mascaramento de dados e como funciona?

O mascaramento de dados é o processo de transformar dados confidenciais em dados falsos ou mascarados que se parecem com os dados autênticos. Com conceito similar e por isso muitas vezes confundido com a criptografia o seu uso é distinto e específico, visa esconder trecho da informação original e não transformar todos os dados de uma base de dados ou sistemas.

O mascaramento não revela informações genuínas, tornando-as inúteis para um invasor se interceptadas ou obtê-las a partir de seu armazenamento. Em muitos casos o mascaramento de dados é utilizado para impedir que o dado real seja visualizado por um usuário quando este não o necessita ou não possui autorização.

O mascaramento de dados é um desafio. O conjunto de dados mascarado precisa manter a complexidade e as características exclusivas do conjunto de dados não mascarado original para que as consultas e análises ainda produzam os mesmos resultados. Isso significa que os dados mascarados devem manter a integridade referencial entre sistemas e bancos de dados. O número do Seguro Social de um indivíduo, por exemplo, deve ser mascarado para o mesmo SSN para preservar as chaves e relacionamentos primários e estrangeiros. É importante observar, no entanto, que nem todos os campos de dados precisam de mascaramento. O mesmo se aplica ao número de CPF no Brasil, onde em sua maioria é usado como chame primaria e indíces em banco de dados.

Tipos de mascaramento de dados

Uma variedade de técnicas de mascaramento de dados pode ser usada para ofuscar dados dependendo do tipo, incluindo o seguinte:

• Scrambling – ordena aleatoriamente caracteres alfanuméricos para obscurecer o conteúdo original.
• Substitution – substitui os dados originais por outro valor, preservando as características originais dos dados.
• Shuffling – reorganiza os valores em uma coluna, como sobrenomes de usuários.
• Date aging – aumenta ou diminui um campo de data em um intervalo de datas específico.
• Variance – aplica uma variação aos campos de número ou data. É frequentemente usado para mascarar informações financeiras e de transações.
• Masking out – embaralha apenas parte de um valor. É comumente aplicado a números de cartão de crédito onde apenas os últimos quatro dígitos permanecem inalterados.
• Nullifying – substitui os valores reais por um valor nulo.
• Randomização não determinística – substituição de valores por outros de mesmo formato randomicamente
• Blurring – adição de variação randômica ao valor original
• Nulling – substituição do valor original por um valor nulo, por ex. Substituir um valor válido por #### ou **** ou “branco”
• Máscara Repetitiva – similar ao Nasking Out mas substitui um determinado tipo de valor por uma valor mascarado mantendo a integridade de sua formatação
• Regras especiais – substituição de valores seguindo regras especiais de formação e formatação
• Tokenization – sbstituição de valores a partir de um token ou chave externa possibilitando a recuperação do valor original por engenharia reversa.

Os três principais tipos de mascaramento de dados são os seguintes:

1. O mascaramento de dados dinâmico é aplicado em tempo real para fornecer segurança baseada em função – por exemplo, retornando dados mascarados a um usuário que não tem autoridade para ver os dados reais.
2. O mascaramento de dados estáticos cria um conjunto mascarado separado dos dados que podem ser usados ​​para pesquisa e desenvolvimento.
3. O mascaramento de dados em tempo real permite que as equipes de desenvolvimento leiam e mascarem rapidamente um pequeno subconjunto de dados de produção para usar em um ambiente de teste.

As melhores práticas de Data Masking requerem que a companhia saiba qual informação deve ser protegida, quem é autorizado a vê-la, qual aplicação usa a informação, onde ela reside em ambiente de produção e não-produção e qual o relacionamento das informações entre as diversas bases de dados.  Porém embora pareça simples no papel, muitas empresas enfrentam graves problemas de exposição de dados sensíveis justamente pela dificuldade de mapeá-los, correlacioná-los e em criar processos adequados e ágeis para disponibilizá-los de forma protegida em ambientes de desenvolvimento e testes ou para a manipulação em caso de diagnósticos de problemas. Muitas vezes dados sensíveis como CPF e Números de Cartões são usados como chaves de pesquisa em banco de dados e não podem ser omitidos das bases usadas para testes e desenvolvimento, o que dificulta ainda mais a sua proteção e ocultação. 

O que é criptografia de dados e como funciona?

A criptografia é considerada a proteção definitiva para garantir a segurança e a privacidade dos dados. Ele fornece confidencialidade na tríade de segurança de confidencialidade, integridade e disponibilidade . Se os dados criptografados forem perdidos, roubados ou acessados ​​sem autorização, eles permanecerão sem sentido.

Data, ou texto simples , usa um algoritmo de criptografia e uma chave de criptografia. Uma vez criptografados, os dados criptografados, ou texto cifrado , aparecem embaralhados e ilegíveis. Para visualizar o texto cifrado como texto simples novamente, os dados devem ser descriptografados usando a chave de criptografia correta, mas isso o método utilizado de criptografia deve ser apropriado pois em alguns casos pode ser impossível recuperar o texto simples, como no caso de armazenamento de senhas.

A criptografia protege os dados em repouso e em trânsito. Exemplos de dados em repouso incluem quando armazenados em um arquivo, banco de dados ou arquivados em fitas de backup. Os dados estão em trânsito ao serem enviados para outro local, como por uma rede para outro dispositivo.

Os métodos de criptografia mais usados ​​são cifras simétricas e assimétricas :

• As cifras simétricas criptografam e descriptografam dados usando a mesma chave secreta e protegem os dados em repouso. AES-128 e AES-256 são usados ​​para proteger informações confidenciais, pois são considerados seguros contra ataques de força bruta. Embora o AES-256 seja significativamente mais forte que o AES-128, ele requer mais poder de processamento e é mais lento. Quando a energia ou a latência são um problema, como em dispositivos móveis ou IoT, o AES-128 é a opção preferida.
• A criptografia assimétrica usa duas chaves interdependentes: uma pública e outra privada. Quando os dados são criptografados com uma chave pública, apenas a chave privada relacionada pode descriptografá-los e vice-versa. RSA é a cifra assimétrica mais popular. É ideal para proteger os dados quando são transferidos através dos limites de confiança. Como o RSA consome muitos recursos, os dados geralmente são criptografados usando AES com apenas a chave AES protegida por meio de criptografia RSA.
• Hash é um tipo de criptografia na qual o seu algortimo matematico não permite a reconstrução da informação cifrada. Este tipo de criptografia é muito utilizado em armazenamento de senhas, onde a verificação é feita comprando-se o texto hash armazenado com umm novo texto hash produzido no momento da verificação a partir do valor informado. Por ser mais de mais rápido processamento é utilizado por alguns ransomwares, significando que mesmo que você decida a pagar o resgate não terá a sua informação de volta.

Os dados confidenciais devem sempre permanecer criptografados, mesmo quando processados ​​e analisados. No entanto, desenvolvedores de software e cientistas de dados podem achar difícil trabalhar com dados criptografados. As tarefas básicas podem ser difíceis de executar; por exemplo, você não pode filtrar usuários com base na idade se suas datas de nascimento forem criptografadas.

O mascaramento de dados supera esses problemas, pois mantém as informações de identificação pessoal ( PII ) privadas. Ele minimiza o uso e os riscos de dados reais, gerando uma versão caracteristicamente precisa, mas fictícia, de um conjunto de dados. Os hackers não podem fazer engenharia reversa ou usar o conjunto de dados para identificar indivíduos.

Mascaramento de dados versus criptografia de dados

Duas diferenças importantes entre mascaramento e criptografia são as seguintes:

1. Os dados mascarados permanecem utilizáveis, mas os valores originais não podem ser recuperados ou visualizados sem a correta desconstrução
2. Os dados criptografados são difíceis de trabalhar, mas podem ser recuperados com a chave de criptografia correta nos casos de Criptografia Simétrica ou Assimétrica.
3. Os dados criptografados por algoritmo hash não podem ser recuperados

A criptografia é ideal para armazenar ou transferir dados confidenciais, enquanto o mascaramento de dados permite que as organizações usem conjuntos de dados sem expor os dados reais. Seja qual for o método usado, é essencial que as chaves de criptografia e os algoritmos usados ​​para mascarar os dados sejam protegidos para impedir o acesso não autorizado.

Muitos padrões e regulamentações, incluindo GDPR, HIPAA, PCI DSS e CCPA, exigem que as organizações mantenham as PII seguras e privadas. Embora as leis e os padrões que cobrem o processamento e a proteção de dados sejam essenciais, eles criam um desafio para as empresas que desejam extrair valor e até compartilhar os dados com outras pessoas.

Por isso, o mascaramento de dados também deve ser utilizado em de maneira ampla na produção de banco de dados para as equipes de desenvolvimento, pois estes não possui autorização de visualização, além do que os ambinetes utilizados normalmente não possuem o mesmo nível de controle de acesso que os ambientes produtivos. 

Tanto a criptografia quanto o mascaramento de dados permitem que as empresas permaneçam em conformidade, pois reduzem o risco de exposição de dados confidenciais. Muitas organizações agora usam tecnologias de aprimoramento de privacidade , que usam criptografia e técnicas estatísticas para ofuscar dados confidenciais e permitir que eles sejam compartilhados com segurança e analisados ​​por várias partes.

Fonte: Techtarget