Investigadores de incidentes e tudo, tudo, tudo: brevemente sobre segurança da informação
Investigadores de incidentes e tudo, tudo, tudo: brevemente sobre segurança da informação
Autor: Pandora
Então, meu querido Sherlocks, se você leu atentamente os canais sobre o tema OSINT, então definitivamente se deparou com o tema segurança da informação. É hora de descobrir que tipo de animal é esse e o que o OSINT tem a ver com isso. Para não confundir com a terminologia, apresentaremos um pequeno dicionário.
A infosegurança é uma área de conhecimento e habilidades que visa proteger diversos objetos contra ataques do espectro tecnológico. E OSINT é apenas uma dessas habilidades.
Acontece que todas as ideias a seguir sobre o cruzamento de infosec e OSINT são, estritamente falando, inválidas.
Há também um detalhe importante que vale a pena mencionar aqui. A linha de ataque divide a lacuna de informação em duas partes iguais, ofensiva e defensiva, vermelha e azul, ofensiva e defensiva. Apesar da diferença nos nomes, todas essas coisas são a mesma coisa. Existem duas maneiras principais de se defender contra ataques: simulando um ataque antes que ele ocorra e lutando contra ataques reais que ocorram. Na última divisão aqui também incluiremos o combate proativo ou Inteligência de Ameaças. Este artigo tem como objetivo ilustrar a segunda parte - azul - da segurança da informação., A antipirataria e outras questões analíticas serão deixadas de lado por enquanto.
Ciclo de vida do ataque
Para mergulhar nas complexidades da segurança da informação, vamos imaginar um ataque. Seu ciclo de vida pode ser dividido em várias etapas. Para ser mais sublime, esses estágios representam Cyber Killchain . Mas vamos simplificar um pouco a nossa tarefa e dividir o ataque em partes mais simples, a saber:
Preparação
Estágio ativo
Atenuação
Vejamos cada etapa com mais detalhes.
Preparação
Para cometer algum tipo de crime cibernético, não basta mais que os invasores simplesmente invadam a infraestrutura de uma empresa. Eles precisam realizar algumas etapas preparatórias: registrar domínios, comprar os bancos de dados necessários, escrever malware e assim por diante. O conjunto de ações será sempre diferente, mas será, em regra, tipificado para um tipo específico de crime cibernético. Além disso, quase todas essas ações deixarão rastros digitais que, como você pode imaginar, podem ser rastreados. Sabendo de um ataque iminente, os especialistas podem tomar as medidas corretas para proteger a parte da empresa que lhes foi confiada. Esta ação adquiriu há relativamente pouco tempo um nome consagrado - Threat Intelligence, ou seja, em russo é chamada de inteligência cibernética.
Assim, os invasores deixam rastros digitais e a partir deles é possível entender um ataque iminente. Onde há rastros digitais, há OSINT. Usando dados abertos, você pode monitorar registros de domínios, mudanças no DNS, o que está escrito nos fóruns, o que é comprado e o que é vendido. Usando Threat Intelligence, você também pode detectar um ataque que já ocorreu, que as vítimas não conseguiram detectar anteriormente. Vejamos a ação de Inteligência de Ameaças usando o exemplo de um ataque como. Para que o ataque seja bem-sucedido, os invasores geralmente registram domínios com grafia semelhante à da empresa alvo. Em seguida, eles configuram um servidor de e-mail e enviam e-mails falsos. Usando OSINT, você pode capturar um domínio de phishing e detectar um servidor de e-mail já em fase de preparação de um ataque.
Tendo protegido os pontos fracos da infraestrutura, os especialistas em segurança da informação estão prontos para enfrentar a batalha.
Fase ativa
Se o objeto alvo não conseguir se defender proativamente, o ataque se desenvolve e ganha impulso. Há muitas nuances aqui, mas pela pureza da narrativa simplificaremos tudo ao máximo. Conforme mencionado anteriormente, os interessados são encaminhados para o conceito CyberKill Chain e muito mais.
Então, enfrentamos um ataque, o que precisa ser feito primeiro? Reduza o dano potencial ao objeto alvo. Este conceito tem três aspectos principais: detecção, contenção e neutralização.
A detecção nas realidades atuais recai quase inteiramente sobre os ombros da automação. Vamos colocar nesta pilha todas as tecnologias modernas, indicadas por abreviaturas:,,e assim por diante. Os funcionários desempenham esta função com menos frequênciaE. Eles também podem monitorar fontes de informação pública, como fóruns, blogs, redes sociais e a Dark Web, para identificar sinais precoces de ameaças e ataques às infraestruturas da empresa.
Se o ataque foi detectado e está acontecendo bem diante dos seus olhos, é necessário tomar as medidas corretas para minimizar a superfície de ataque e posteriormente reduzi-la a zero. É aqui que entram os especialistas.. OSINT é pouco utilizado neste caso, pois o trabalho é realizado principalmente com meios de armazenamento digital para extrair evidências e responder prontamente.
Atenuação
Quando o pior passar, é hora de reflexão. Esta etapa também pode ser chamada de “debriefing”. Aqui o dano é determinado e ocorre o processo de “Lição aprendida”. Opcionalmente, o objeto afetado expressa o desejo de compreender completamente o que aconteceu. O processo de investigação de incidentes de segurança da informação é iniciado.
Tal desejo também pode surgir na fase de desenvolvimento do ataque. Neste caso, a investigação pode correr paralelamente à resposta e até auxiliá-la. Tomemos como exemplo um programa ransomware. Muitas vezes é extremamente importante iniciar uma resposta e investigação em tempo hábil, uma vez que os dados obtidos como resultado da investigação podem ajudar na decifração dos dados e na negociação com o invasor.
Mais sobre investigações
Vale a pena distinguir claramente entre o trabalho do Threat Intelligence e do Cyber Investigator. Os primeiros sempre agem de forma proativa, antes de um incidente, os últimos - de forma reativa, após um incidente. As responsabilidades do Especialista em Investigação incluem:
Estabelecendo todas as circunstâncias do incidente. Isso inclui a análise de logs de eventos do sistema, e-mails originais, infraestrutura de rede, arquivos maliciosos e outros dados para determinar a natureza e a natureza do incidente.
Enriquecimento de evidências digitais. Pesquisar informações relacionadas ao incidente em fontes abertas para criar um quadro completo.
Fazendo recomendações. Propor medidas para fortalecer a proteção dos sistemas e processos de informação para prevenir incidentes semelhantes no futuro.
Documentação. Compilar relatórios sobre as investigações realizadas, incluindo vulnerabilidades encontradas, causas dos incidentes, medidas tomadas para eliminá-los e recomendações para prevenir situações semelhantes no futuro.
As funções de investigação geralmente podem ser desempenhadas por:
Especialistas em DFIR;
Especialistas em CERT e SOC;
serviço de segurança da organização.
Esse especialista pode receber tarefas diferentes. Nem sempre se trata do estabelecimento de perfis digitais dos atacantes envolvidos no incidente. Esses especialistas também podem estabelecer conexões entre diferentes entidades, como, por exemplo, se uma empresa rival esteve envolvida em um ataque recente. Os investigadores também podem estar envolvidos no processo de eDiscovery .
eDiscovery (Electronic Discovery) é o processo de descoberta, coleta, análise e relato de informações eletrônicas como parte de processos legais e investigações legais. Esse processo é amplamente utilizado na área jurídica, principalmente em casos de litígios, investigações de irregularidades societárias e outras situações que exigem a produção de provas eletrônicas.
Os marcos da descoberta eletrônica incluem:
Identificação e Preservação de Dados : Identificação e captura de todos os dados eletrônicos potencialmente relevantes que possam ser relevantes para um caso ou investigação. Isso pode incluir e-mails, documentos, bancos de dados, arquivos de vídeo e áudio e muito mais.
Processamento e indexação de dados : processa dados coletados para eliminar duplicatas, converter arquivos em formatos analisáveis e criar um índice de pesquisa para acelerar a pesquisa e a análise.
Mineração e análise de dados : Pesquisa e exame de dados eletrônicos usando ferramentas e técnicas especializadas para identificar informações e evidências relevantes.
Avaliação e Revisão de Dados : Avaliar as informações encontradas quanto ao seu significado e relevância para o caso ou investigação, e o processo de revisão para determinar possíveis dados privilegiados ou informações confidenciais.
Produção de dados : Fornecimento de informações encontradas e filtradas às partes envolvidas no processo judicial, atendendo a todos os requisitos e normas necessárias.
Monitoramento e conformidade : supervisione o processo de eDiscovery para garantir a conformidade com prazos, requisitos legais e padrões de privacidade e segurança de dados.
A maior parte do trabalho do investigador está na área de dados abertos, portanto o OSINT é parte integrante do trabalho do investigador.
Carreira
A segurança da informação é algo popular, em rápido desenvolvimento e bastante estimulante. Portanto, se você leu até aqui, está se perguntando como iniciar uma carreira em infosec. Abaixo está um guia passo a passo.
1. Dominar conhecimentos técnicos básicos
Primeiro de tudo, você precisa ter conhecimentos básicos de Ciência da Computação. Isso inclui compreender a arquitetura do computador, os sistemas operacionais e como funcionam as redes de computadores. Este é um conhecimento fundamental que o ajudará a compreender conceitos e tecnologias mais complexos posteriormente.
O que fazer? Experimente fazer um curso clássico de Ciência da Computação, por exemplo, no Coursera, e também resolva problemas de CTF. Você pode começar na plataforma rootme .
2. Escolha de uma especialização
Depois de dominar os conceitos básicos, é hora de decidir o rumo de sua carreira em segurança da informação. Existem muitas opções como desenvolvimento, engenharia reversa, DRP e muitas outras já citadas. Você deve tentar cada direção e determinar no que está mais interessado e em que se sente mais confiante.
O que fazer? Amostra. Explore vagas em diferentes áreas. Leia artigos sobre uma área específica. Prática.
3. Estude OSINT
Se você entende que sua profissão não pode funcionar sem OSINT, então é hora de estudá-la. “Sério agora?!” - você pergunta. Sim, exatamente. Se você for um novato completo em tecnologia de informática, será difícil estudar OSINT em profundidade. Se você quiser entender qualquer técnica OSINT (especialmente redes), você deve entender como ela funciona. Conseqüentemente, você ainda precisará de uma base. Portanto, depois disso você poderá estudar facilmente o OSINT se for usado na direção que você gostou.
O que fazer? Siga o artigo aqui: https://gitbook.osint-mindset.com/index/guides/kak-nachat-put-v-osint
4. Abordagem interdisciplinar
Depois de dominar as habilidades técnicas básicas e avançadas, é hora de enfrentar o desafio e avançar em sua carreira. Seja mergulhando nos fundamentos do OSINT ou aprendendo técnicas e tecnologias mais avançadas em sua área de atuação, nunca pare de crescer e aprender. Se lhe parece que já aprendeu tudo, provavelmente não é assim. A tecnologia moderna é algo em constante mudança. Novas técnicas OSINT vêm e vão, portanto, manter o controle é essencial. Além disso, tente abranger o maior número possível de disciplinas e especialidades diferentes, pois neste caso você se tornará um especialista extremamente valioso. O que fazer? Preste atenção às áreas adjacentes. Você consegue encontrar sobreposições entre a especialidade escolhida e eles? Tente estudá-los.
5. Prática constante
Tornar-se um profissional de segurança da informação requer não apenas conhecimento técnico, mas também experiência prática. Continue aprendendo, aprofundando seus conhecimentos e colocando-os em prática. Criar um portfólio com casos reais ajudará você a demonstrar suas habilidades e alcançar um nível profissional em sua área.
O que fazer? Compile um portfólio de casos de sucesso e fracasso, acumule experiência. Se necessário, os casos podem ser anonimizados. Encontre um estágio que se adapte ao seu gosto. Especialista sem portfólio = especialista sem experiência.
6. Criação
Por fim, não se esqueça da importância da inovação e do desenvolvimento contínuo. Esforce-se para criar novas metodologias e abordagens para resolver problemas de segurança da informação. Criar algo novo na área é um passo seguro em direção ao profissionalismo.
O que fazer? Melhorar metodologias e ferramentas abertas. Por exemplo, ferramentas do GitHub OSINT Mindset , SOWEL , GEWEL .
Em vez de uma conclusão
- Caramba! - exclamou o inspetor, - como você conseguiu encontrar isso?
- Encontrei porque estava procurando .
Arthur Conan Doyle
Comentários
Postar um comentário