[ISSA_Brasil] RES: Ajuda APTs

Ilton Duccini iduccini em icloud.com
Sexta Novembro 29 14:50:27 -03 2013 

William, boa tarde.

 

Trabalho na Leadcomm e nós temos uma solução israelense, inovadora e
extremamente eficiente para combate de APTs.

O nome da solução é Seculert. Trata-se de um serviço baseado em nuvem que
utiliza conceitos big data para detecção de ataques avançados. Não requer a
instalação de nenhum dispositivo em seu ambiente, integrando-se totalmente
às soluções que você possuir (Firewall, IPS, SIEM, anti-vírus, etc).

 

Estou enviando o link da apresentação que está no Dropbox para que você
possa ver maiores detalhes e fico à disposição para agendarmos uma reunião
na qual poderei explicar todos os detalhes técnicos.

 

https://www.dropbox.com/s/p5c8nuiue2z6e6m/Leadcomm%20-%20Innovation%20Divisi
on%20-%20Seculert%20-%20Full_V5.pptx (Caso o arquivo não abra
automaticamente, clique no botão Baixar -> Download Direto).

 

Abraço,

 


LEADCOMM-EMAIL
 <http://www.leadcomm.com.br/> www.leadcomm.com.br

R. Samuel Morse, 120 cj 64
Brooklin – CEP 04576-060
São Paulo, SP – Brasil

Ilton Duccini ( <mailto:ilton em leadcomm.com.br> ilton em leadcomm.com.br)

Security Innovation Division Director

 

Tel.: +55 (11) 5505-0505

Cel.: +55 (11) 99472-3802

 

 

 

 

De: Associados [mailto:associados-bounces em issa.org.br] Em nome de william
Borges da Silva
Enviada em: sexta-feira, 29 de novembro de 2013 14:22
Para: Erico C. Manfredi - Boaventura Cons.
Cc: associados em issa.org.br; Vaz Berto; Associados
Assunto: Re: [ISSA_Brasil] Ajuda APTs

 

Pessoal,

 

Muito obrigado pela ajuda, estou estudando todo o material enviado.

 

Tenho 2 propostas de ferramentas

 

Fire-eye e Deep Discovery.

 

Att,

 

William Borges da Silva

 

Em 29 de novembro de 2013 13:14, Erico C. Manfredi - Boaventura Cons.
<erico em boaventuraconsulting.com.br> escreveu:

Prezados,

 

Só interando a colaboração do colega, APT pode ser também um ataque
diversificado, ou executado por uma equipe de hackers e oriundos de vários
pontos da rede.

Os IDS´s reativos são excelentes opções para uma rede WAN.

Existem opções menores, porém eficientes.

Se precisar de dicas de soluções me avise.

 

Sucesso,

 

Érico

 

De: Associados [mailto:associados-bounces em issa.org.br] Em nome de
alfred em petrobras.com.br
Enviada em: sexta-feira, 29 de novembro de 2013 12:24
Para: William Borges da Silva
Cc: associados em issa.org.br; Vaz Berto; Thiago; Associados


Assunto: Re: [ISSA_Brasil] Ajuda APTs

 

Prezado,



Desde já posso dizer que nenhuma empresa implanta APTs, mas sim sistemas de
proteção contra APTs (a não ser que seja uma empresa dedicada a hacking...).

Um APT nada mais é do que um ataque focado de um hacker, que está buscando
informações específicas de uma empresa. Os ataques tipicamente utilizam
"zero day vulnerabilities", que são vulnerabilidades conhecidas por alguns
hackers mas não pelas empresas de software, de modo que ainda não há patches
para evitar ataques que explorem essas vulnerabilidades.

Um APT vai aproveitar vulnerabilidades "zero day vulnerability", vai usar
engenharia social, vai usar toda sorte de ferramentas de invasão, tudo para
buscar informações específicas. O "Persistant" quer dizer que o ataque pode
ser mantido por um bom período de tempo. A empresa de equipamentos de rede
Nortel foi hackeada (http://en.wikipedia.org/wiki/Nortel) por mais de 10
anos e alguns acham que esse hacking, conduzido por crackers chineses,
contribuiu para a quebra da empresa. Os rootkits instalados pelos crackers
chineses constituíram uma espécie de APT, dentro da tecnologia da época.

Os equipamentos de proteção contra APTs são na realidade sistemas que
detectam comunicações suspeitas pela rede da organização. Não cheguei a
estudar esse tipo de sistema, mas sei que há vários no mercado de sistemas
de segurança.

O SANS mantém uma biblioteca de artigos (em inglês) sobre diversos temas.
Achei esse artigo, com link logo abaixo, sobre o tema APTs, que explica
tecnicamente a natureza de um ataque investigado pelo autor do artigo (que
pelo jeito entendia chinês, essencial para decifrar o ataque, dado que o
ataque se originou na China).

http://www.sans.org/reading-room/whitepapers/malicious/detailed-analysis-adv
anced-persistent-threat-malware-33814

Uma empresa que fornece sistemas de proteção é a Fireeye:
http://www.fireeye.com/products-and-solutions/. Há outras empresas no
mercado.

Att,


_____________________________________________________
Alfred John Bacon, CISM, CISA, CRISC, CISSP
Consultor Sênior
Cel:(+5521)8187-2649 <tel:%28%2B5521%298187-2649> 
PETROBRAS - Financeiro Corporativo - Controle e Conformidade
Av República do Chile, 65 - 402A - Centro Tel(+5521) 3224-4850
<tel:%28%2B5521%29%203224-4850> 
CEP 20031-912 - Rio de Janeiro - RJ - Brasil


"O emitente desta mensagem é responsável por seu conteúdo e endereçamento.
Cabe ao destinatário cuidar quanto ao tratamento adequado. Sem a devida
autorização, a divulgação, a reprodução, a distribuição ou qualquer outra
ação em desconformidade com as normas internas do Sistema Petrobras são
proibidas e passíveis de sanção disciplinar, cível e criminal."

"The sender of this message is responsible for its content and addressing.
The receiver shall take proper care of it. Without due authorization, the
publication, reproduction, distribution or the performance of any other
action not conforming to Petrobras System internal policies and procedures
is forbidden and liable to disciplinary, civil or criminal sanctions."

"El emisor de este mensaje es responsable por su contenido y
direccionamiento. Cabe al destinatario darle el tratamiento adecuado. Sin la
debida autorización, su divulgación, reproducción, distribución o cualquier
otra acción no conforme a las normas internas del Sistema Petrobras están
prohibidas y serán pasibles de sanción disciplinaria, civil y penal."

 

-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20131129/6e8a454c/attachment.htm>
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: image001.jpg
Tipo: image/jpeg
Tamanho: 2417 bytes
Descrição: não disponível
URL: <http://issa.org.br/pipermail/associados_issa.org.br/attachments/20131129/6e8a454c/attachment.jpg>

Mais detalhes sobre a lista de discussão Associados