terça-feira, 2 de dezembro de 2014

Entrevista - proteção contra ataques e indisponibilidade – solução Radware

Há muito tempo temos ouvido falar de ataques a computadores, sistemas, empresas, etc. Estes ataques podem ter diferentes objetivos que são desde roubar informações, derrubar um serviço ou prejudicar um sistema (ou site), etc. Tive a oportunidade de conversar sobre isso com Werner Thalmeier, diretor de soluções de segurança da região EMEA (Europa, Oriente Médio e África) & CALA (América Latina e Caribe) da empresa RADWARE bem como com Fernando Santos, diretor geral para os mercados da América Latina e Caribe. 

Este rico diálogo aconteceu no evento Black Hat Regional Summit São Paulo 2014 no final de novembro de 2014. A RADWARE nesta ocasião anunciou a disponibilidade de um interessante e importante serviço de mitigação de ataques cibernéticos para clientes corporativos. A conversa foi focada neste tema o qual sempre me fascina uma vez que frequentemente sou surpreendido com novas informações e características destes nefastos eventos de segurança.

Pude entender que tanto as motivações, o “modus operandi” e a extensão dos ataques têm mudado muito e por isso as ferramentas de proteção e a própria arquitetura de um sistema de segurança tiveram que evoluir bastante! Isso foi bastante comentado nesta oportunidade. Alguns momentos com mais detalhes, alguns momentos mais conceituais... Segue abaixo a transcrição da conversa com o Werner e o Fernando da RADWARE.



Fernando Santos, Werner Thalmeir e Flavio Xandó (clique para ampliar)

Flavio Xandó: Werner eu estive assistindo a sua apresentação e fiquei impressionado com a quantidade de novas informações sobre ataques de negação de serviços (DoS – interromper ou prejudicar um serviço pelo de forma proposital pelo uso dos recursos de forma anormal). Este é o tipo de ataque que temos mais que lidar hoje em dia? 

Radware:  quando você olha as estatísticas descobre que ataques DoS representam cerca de 20% a 25%. A próxima ameaça, em uma proporção de 25% a 28% é o “SQL Injection” (envio de comandos SQL via campos de texto das aplicações desprotegidas com intenção de roubar dados ou danificar as informações). Mas os ataques tendem a ser combinados e são muito perigosos. Muitas vezes um ataque DoS acaba por fazer o papel de “camuflagem”. Enquanto os profissionais de TI estão tentando lidar com o ataque DoS no “lado esquerdo” está ocorrendo no “lado direito” uma tentativa de ataque via SQL injection visando roubar ou comprometer os dados.

Flavio Xandó: é uma tentativa de “forçar a porta” para entrar! 

Radware:  exatamente e por isso que a combinação destes dois ataques é perigoso. Há diversos meios pelos quais chegam os ataques. É o que nós chamamos de “vetores de ataque”. Mais de 50% dos ataques envolvem muitas técnicas simultaneamente. Isso apenas considerando os ataques que são detectados, pois muitos ataques não são nem percebidos. Muitas vezes os usuários percebem que o sistema está mais lento, mas atribuem a uma lentidão do aplicativo sendo usado. Às vezes reiniciam o sistema (reboot) e tudo fica “normal” novamente. Por algum tempo.

Flavio Xandó
:  mas então este é um ataque “leve”, sutil... Mesmo assim pode ser bem nocivo?

Radware:  o que as pessoas não percebem é que este tipo de ataque não visa derrubar um web site, como por exemplo os ataques DDoS (ataques distribuídos originados a partir de muitas fontes). Às vezes o objetivo é apenas derrubar o desempenho do site, sem tirá-lo do ar. Isso já implica em perdas financeiras bastante grandes. Apenas UM segundo de demora a mais em uma tela do site pode causar grande estrago para seu dono e custar muito dinheiro. Competidores podem ser bastante beneficiados! Esta sutileza disfarça o ataque DoS porque no passado era mais comum o “ataque volumétrico”, ou seja, milhares de pontos gerando tráfego e o site “explodia”, saindo do ar. Por isso que esta nova variação tem sido usada com muito mais frequência, pois é mais difícil de ser percebida.

Flavio Xandó
: eu fiquei bastante surpreso com duas informações que você citou em sua apresentação. Algumas empresas tendo que pagar para que não sejam atacadas !! E também que alguns ataques podem demorar muitos dias e não minutos ou horas!! 

Radware: alguns ataques podem durar ANOS!!! O mais famoso ataque na indústria realizado contra a usina nuclear do Irã, o tal STUXNET durou cerca de quatro anos! E o ataque só foi descoberto por causa de um acidente. O plano dos que o criaram era depois desaparecer e nunca saberem que tal ataque ocorrera. Para tornar mais simples a compreensão, muitas pessoas acham que um ataque DoS ou DDoS consiste em atolar um servidor com um número imenso de longas requisições, certo? Nem sempre.

Flavio Xandó: como pode ser diferente?

Radware: imagine que eu estabeleço uma conexão com um servidor. Recursos são alocados e bloqueados para esta sessão.  Em seguida em envio apenas UM byte para o servidor. Ou apenas um byte a cada 10 segundos. Mas durante todo este tempo os recursos estão em uso, mesmo que eu não envie muitos dados. Isso não tem como ser percebido como um ataque que “atola” o servidor com muito tráfego. Mas está estabelecida a relação de mestre/escravo, o servidor aguardando mais bytes vindos de mim. Mas se este mesmo padrão for repetido por um número grande de computadores (atacantes), mesmo sem haver um volume grande de dados trafegados, pelo contrário, o volume é bem baixo, o ataque está configurado, muitos recursos são alocados e bloqueados comprometendo a capacidade do servidor em atender outras requisições legítimas. Sem grande tráfego, sem derrubar o servidor um ataque DoS está configurado. 
Flavio Xandó: mas como descobrir este tipo de ataque? 

Werner:  esta é a beleza de nossa solução. Temos tecnologia que é capaz de identificar este padrão de comportamento porque não apenas olhamos por grandes ou estranhos volumes de dados, mas também sabemos avaliar o comportamento das aplicações Web.

Flavio Xandó: então se você apenas procurar por tráfegos de dados anormalmente grandes não vai descobrir estes ataques?

Radware: ataques volumétricos existem ainda e representam cerca de 20%. Mas os outros 80% também precisam ser identificados e mitigados. E estarão causando alta latência, tempo de resposta elevado... E como falei ainda pode estar acontecendo um ataque de SQL Injection na aplicação ao mesmo tempo! Assim se você desconfiar que algo está errado pela baixa performance da aplicação ou pelo alto volume de tráfego e começar a investigar estes sintomas, ao mesmo tempo você pode estar tendo seus dados roubados de sua base de dados pelas suas costas!! Por isso que se deve ter uma visão mais ampla. Não pensar apenas na solução e sim ter uma visão mais ampla do problema.

Flavio Xandó: isso tudo vai ao encontro do que você falou na sua apresentação quando mencionou a necessidade de várias camadas de proteção. 

Radware: várias camadas e níveis de informação caso contrário como se pode identificar os comportamentos anormais? Uma solução tradicional pode não perceber que a lentidão do servidor se deve não a ataques volumétricos e sim a procedimentos mais sutis. Estes levam a situações nas quais os recursos são esgotados e isso compromete totalmente o sistema a despeito de existir um firewall e monitoramento das conexões.

Flavio Xandó
: isso tudo me faz ver como o mundo está cada dia mais complicado!! 

Radware: É mesmo. E não há uma solução única e simples. Não existe a “bala de ouro”, algo que sozinho possa ajudar a resolver isso tudo!! Firewall, mesmo os do tipo “nova geração” não são suficientes. Há ataques que não são percebidos.

Flavio Xandó: quando você comentou sobre o “Scrubbing Center” fiquei interessado em saber mais um pouco sobre isso... O que é de fato essa forma de proteção? É algo mais para ataques volumétricos?

Radware:  também para isso. Este serviço de proteção chamado “Scrubbing Center” consiste de uma “estação de limpeza” centralizada, onde são analisados os fluxos de dados e o tráfego malicioso (DDoS, vulnerabilidades e exploits conhecidos) são removidos. “Scrubbing Centers” são frequentemente utilizados em grandes empresas, provedores de Internet e de Nuvem. Quando sob ataque, o tráfego é redirecionado (geralmente usando DNS ou BGP) para o centro de depuração e análise na nossa nuvem, no qual um sistema de mitigação de ataque filtra e atenua o tráfego malicioso e passa de volta os bytes limpos para a rede original. O “Scrubbing Center” é equipado para sustentar altos níveis de ataques volumétricos nas camadas de rede e de aplicativos, ataques de baixo tráfego, lentos, verificações de conformidade RFC, vulnerabilidades conhecidas e anomalias de dia zero.

Flavio Xandó:  Mas este serviço fica ativo o tempo todo? Ou é algo sob demanda?

Radware: quando nossa solução está implantada no cliente o volume de tráfego é monitorado constantemente. Imagine que exista um link de 1 Gbps. Conforme o volume vai crescendo se aproximando do ponto de saturação do link o redirecionamento é ativado e começa a agir. Não é para desviar o tráfego a todo momento. Trata-se de uma medida para mitigar o ataque. A beleza dessa solução é que a tecnologia utilizada no “Scrubbing Center” é exatamente a mesma do nosso produto que está instalado na casa do cliente, porém a capacidade da nossa nuvem é extremamente alta, capaz de lidar com imensos volumes de dados.

Flavio Xandó: seria correto eu fazer uma analogia deste sistema com aqueles sistemas “anti-ruído” que geram ondas sonoras contrárias de forma a anular o barulho, como se usa em fones de ouvido mais sofisticados?  Ou ocorre apenas uma filtragem do que é ruim?

Radware:  apenas a filtragem é feita. Poderíamos fazer diferente, mas é mais eficiente filtrar e descartar a parte ruim do tráfego. Lembrando que parte da filtragem já feita pelo nosso appliance instalado na própria empresa. Enquanto a largura de banda do link é suficiente isso vai acontecendo “on premisse”. Mas quando o ataque recebido ultrapassa a capacidade do link da empresa, situação que causaria um colapso total e real interrupção dos serviços, o tráfego sofre o desvio, de uma forma totalmente transparente, pois o atacante (ou os atacantes – quando são muitos) em momento algum sabem que isso aconteceu (o desvio) e nós tratamos a situação no nosso sistema na nuvem. Temos uma equipe de especialistas que nessa hora também pode interagir com os recursos de TI da empresa para auxiliar na condução das ações nestas circunstâncias. Situação resolvida o tráfego volta a fluir de novo diretamente para a empresa.

Flavio Xandó: isso é muito interessante porque aqueles que conduzem o ataque nem sabem que estão direcionando esforços contra o seu sistema que pela imensa capacidade de lidar com a situação, alto poder de processamento e altíssima largura de banda, não vão ter êxito!

Radware:  como eles direcionam os esforços contra um endereço IP ou um nome resolvido pelo DNS, jamais saberão que estamos na linha de frente de defesa do Web Server ou qualquer que seja a aplicação sendo atacada. E como nossos “Scrubbing Centers” estão distribuídos ao longo do mundo tudo. Não importa se o ataque é originado na Rússia, China ou outro local que os bloqueamos antes mesmo deste tráfego chegar na América Latina ou Brasil, por exemplo. Isso é muito importante porque há países que têm leis que nos obrigam a manter o tráfego de entrada naquele local.
Flavio Xandó: Como você percebe a maturidade dos clientes no mundo e no Brasil em relação à consciência de quanto são críticas este tipo de ameaças?

Radware: sobre o Brasil o Fernando pode falar, mas por exemplo, em relação aos EUA há uma consciência fortíssima sobre os perigos e sobre a necessidade de fortes medidas de proteção. Depois do episódio do “Anonymous” todos ficaram muito preocupados. Na Europa o nível de atenção é também muito alto. E na América Latina, fora o Brasil, temos um caso muito interessante na Colômbia. A polícia federal criou mecanismos para proteção contra cyber-terroristas e para isso utilizaram nossa tecnologia e isso fez aumentar muito a disponibilidade dos serviços online e mais de 50 aplicações que são acessadas pela população.

Flavio Xandó: quando eu falei sobre a preocupação com este assunto, claramente todos já estão cientes deste tipo de ameaça. Sabem que elas existem. Mas quanto cientes eles estão dessa condição na qual múltiplos ataques podem acontecer ao mesmo tempo por meio de vetores diferentes?

Radware: por causa da extrema importância das aplicações online já existe este conhecimento por conta dos clientes e eles estão preocupados em implantar as medidas efetivas para evitar as ameaças decorrentes. Nem todos têm a visão de que os ataques volumétricos (em larga escala) são cerca de só 20% dos casos e que ataques mais sutis existem e são tão ou mais perigosos. Isso é algo que eu sempre me preocupo em divulgar. Os ataques são mais direcionados aos serviços financeiros. Em seguida sistemas de e-commerce em nível bem próximo. Mas também ocorreram ataques a órgão governamentais e por isso este segmento hoje tem seu nível de alerta em intensidade semelhante.

Flavio Xandó
: e os ramos de negócio de menor escala? Também estão alertas? E como eles podem se defender?

Radware: atualmente temos como oferecer “segurança como serviço”. Isso permite que empresas menores tenham acesso aos mesmos recursos que as empresas maiores sob demanda. Porque estas não adotam soluções de segurança? Não é porque eles não querem e sim porque eles não conseguem gerenciar! Não adianta comprar um carro se não sabe como dirigir... Nossa proposta de segurança na nuvem endereça este tipo de situação tornando acessível e mais fácil. Mesmo nossos appliances têm a característica de que uma vez implantado consegue se configurar sozinhos criando as regras necessárias.

Flavio Xandó: semanas atrás conversei com uma pessoa que mesmo não sendo de segurança me falou algo importante. A base de nossa Internet hoje se fundamenta no TCP/IP versão 4, que é um recurso que tem mais de 40 anos e segue sendo usado cada vez de forma mais complexa fazendo bem mais do que ele foi originalmente pensado. Com a migração para o IP versão 6 temos melhorias a esperar nessa área de segurança?

Radware:  o IP v6 tem recursos intrínsecos que o tornam uma plataforma muito mais segura. Todo mundo que usa a rede tem a sua identificação, a sua “impressão digital”, há os mecanismos de “handshake” de segurança, etc. que nos ajudam a evitar um grande número de situações problemáticas que temos hoje em dia. Mas o ritmo de implementação e de migração para o IP v6 é muito lento. Talvez em 15 ou 20 anos tenhamos migrado por completo. Mas enquanto isso não acontece outras empresas têm procurado por meio de algumas iniciativas trazer outras tecnologias. Veja o exemplo da Intel. Eles estão trabalhando no sentido de trazer para dentro do hardware e de seus processadores instrumentos que permitirão criar ambientes mais coesos e seguros. Devemos seguir observando vários outros movimentos semelhantes.

Flavio Xandó
: mas existe um componente que seguirá o mais inseguro de todos, o ser humano! E aqui no Brasil, qual é a sua percepção da seriedade com a qual o assunto segurança tem sido tratado?

Radware: esta é uma discussão extensa, mas de fato o lado humano ainda é um dos elos mais fracos da corrente. Mas tenho observado que não só no Brasil, mas também em outros países da América Latina o assunto é tratado com grande seriedade e preocupação. Claro que depende do segmento que estamos avaliando como polícia, governo, bancos, varejistas, operadoras de telefonia... são áreas que estão muito evoluídas e que dedicam grande atenção à segurança.

Flavio Xandó: usando a tecnologia da Radware podemos prevenir e mitigar ataques, etc.  Mas sabemos que a despeito de todos os cuidados eventualmente algum ataque vai ser realizado com maior ou menor grau de sucesso. Existem informações que podem ser usadas após os eventos para uma análise forense e tentar compreender o que aconteceu e como aconteceu mergulhando no problema?

Radware: sem dúvida. Acumulamos logs, informações e temos diversos relatórios minuciosos que trazem não só dados forenses, mas também informações sobre “compliance” que fornecem subsídios para auditorias com os dados específicos necessários.

Flavio Xandó
: eu perguntei sobre isso porque existe um cenário que me apavora. É a possibilidade de uma rede de smartphones escravos (bots) ser coordenada para realizar um ataque interno seja para roubar dados ou para negar serviços dentro da empresa... Um pesadelo daqueles de acordar no meio da noite e pensar nisso!!

Radware:  garanto que não é só você!! As operadoras de celular também têm esta preocupação, suas redes serem usadas dessa forma!! Também existe a possibilidade deles atacarem a própria infraestrutura da operadora!! Por isso que todas as medidas defensivas devem ser adotadas e também provermos os dados para estudo, logs e relatórios forenses. E também sermos capaz de analisar cada tipo de rede separadamente... Outro tema de grande preocupação para as empresas é o “SSL” (protocolo de segurança). É uma situação na qual como cada pacote transmitido precisa ser decriptado para ser interpretado, isso consome uma quantidade muito grande de recursos (entre 15 a 20 vezes mais que uma comunicação sem criptografia) e sob ataque isso degrada demais a rede. Alguns produtos de segurança evitam mitigar ataques SSL por causa da complexidade e grande exigência de processamento. Nós resolvemos isso em nossa tecnologia provendo um tipo de sinalização e autenticação dos pacotes SSL. Assim sabemos quais são os pacotes válidos e por isso temos como separar e diminuir o esforço de análise somente ao que interessa. Algo semelhante conseguimos fazer no nível de aplicações provendo proteção adicional.

Flavio Xandó
:   isso parece algo sofisticado.

Radware:  imagine este exemplo, alguém está tentando entrar em sua casa forçando a janela. O que nós fazemos é reforçar a janela, impedimos a entrada e por sabermos quem é o atacante na próxima tentativa já o bloquemos na cerca de entrada. Nem o deixamos chegar perto da janela.

Flavio Xandó
: entendi!! Nem deixa passar a cerca e ainda solta os cachorros bravos!!!

Radware: é isso mesmo. É uma outra abordagem. Do ponto de vista do cliente normalmente fazer todos os ajustes em soluções de segurança é um pesadelo. Não é o nosso caso.

Flavio Xandó
: a Radware também tem algum tipo de solução para aprimorar desempenho da rede provendo um balanceamento de tráfego. É isso?

Radware: sim e fazemos o balanceamento de carga no nível da aplicação e temos uma solução para balancear carga de servidores Web. Isso é muito sensível. Estudos mostram que apenas UM segundo de variação no tempo de resposta de um site de comércio resulta em pelo menos 11% menos de taxa de conversão (efetivação da venda) e 15% na quantidade de itens no carrinho de compras. Isso significa muito dinheiro! Os ataques DoS não visam atualmente derrubar o serviço e sim prejudicar o desempenho do sistema para causar prejuízos.

Flavio Xandó: prevenir e mitigar os ataques podem ser feitos com sua tecnologia. Mas algo pode ser feito para acelerar um site? 

Radware: conseguimos acelerar aplicações Web por meio do uso de 19 algoritmos diferentes que em situações normais promovem um ganho de desempenho da ordem de 40% com sensível melhoria na experiência do usuário.


Flavio Xandó:   Werner e Fernando com certeza espero que esta tenha sido apenas a primeira de várias outras conversas que tivemos. Percebo que há ainda muitos assuntos para serem explorados, compreendidos e compartilhados com os meus leitores. Agradeço muito a oportunidade de poder ter conversado com vocês. 

Fernando Santos, Werner Thalmeir e Flavio Xandó (clique para ampliar)

Um comentário:

  1. Nice Post i have read this article and if I can I would like to suggest some cool tips or advice and perhaps you could write future articles that reference this article. I want to know more!
    Data Analytics Course in Gurgaon

    ResponderExcluir