Algumas empresas possuem equipes de segurança e softwares para inspecionar todo o tráfego de informações que estão chegando, virtualmente, até a empresa, e também saindo, incluindo ataques. Essas empresas perceberam que o mesmo atacante volta quase que diariamente a realizar os ataques.

Devido ao aumento da implementação dos recursos de segurança, o desafio de conseguir uma invasão bem-sucedida é cada vez maior. Sendo assim, quando o hacker consegue invadir uma empresa, geralmente a informação é compartilhada com outros hackers para mostrar a sua façanha.

Ataques que as empresas não conseguem detectar, mesmo possuindo tecnologia e profissionais para inspeção de tráfego, são quase que diariamente publicados na lista de discussão http://www.webappsec.org/lists/websecurity/. Participam desta lista alguns dos melhores profissionais de segurança do mundo, incluindo analistas de segurança dos fabricantes dos produtos de segurança.

É importante observarmos que o hacker não altera e/ou cópia qualquer tipo de informação. Existe outro tipo de atacante, o cracker, que tem como objetivo roubar e/ou destruir as informações da empresa vítima. Alguns crackers publicam suas invasões no site Zone-h.org.

Marca virtual

A idéia básica é a seguinte: você precisa coletar os registros de auditoria (logs) do roteador, firewall, servidores que hospedam aplicações críticas para o negócio (banco de dados, CRM) etc. Todos os registros devem ser redirecionados para um servidor preparado para fazer a inspeção detalhada dos logs.

A inspeção consiste na correlação dos registros de auditoria (logs). Este trabalho irá classificar os dados de várias formas e encontrar as relações que poderiam permanecer ocultas analisando apenas um sistema. Analisando apenas os logs do firewall não será possível detectar alguns tipos de invasão.

Realizando esta correlação de informações é possível identificar o autor dos ataques e criar uma “marca virtual”. Esta “marca virtual” tornaria o atacante visível através de uma console de monitoramento ou em um relatório diário. Esta técnica poderosa irá dizer quase que imediatamente que o hacker está voltando a atacar o ambiente computacional.

Os hackers não investem muito do seu tempo utilizando o teclado durante o ataque. Agora os ataques são baseados em script - os hackers automatizam os ataques deixando o processo de intrusão muito mais rápido.

As empresas precisam correlacionar os logs para identificar os ataques. É necessário identificar a hora, o dia e a localização do hacker (de que localidade realmente foi originado o ataque).

Finalmente, não deixe de ter um console de segurança na sua empresa para identificar quem está visitando, virtualmente, as informações críticas para o processo de negócio.

Denny Roger é gerente de negócios da Future Security, membro Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), especialista em análise de risco, projetos de redes seguras e perícia forense. E-mail: denny@dennyroger.com.br.