Modelo de Taxonomia Aplicado a Ataque de sites web

USO DE MODELO DE TAXONOMIA COMO FERRAMENTA DE APOIO À RESPOSTA DE INCIDENTES DE SEGURANÇA DE REDES: SIMULAÇÃO DE ATAQUE A SITES WEB

Edna Karla Silva Mello1, Lucien Rocha Lucien1

1Departamento de Pós-Graduação – Faculdade Estácio-SEAMA

Av. José Tupinambá de Almeida, n.1223 – Bairro Jesus de Nazaré.

ednakarlam@gmail.com, lucien@lucien.com.br 

RESUMO: Este artigo propõe a utilização de taxonomia para criação de um modelo de resposta a incidentes voltado para Administradores de Redes de Computadores, Administradores de Segurança da Informação e Corpo Técnico de Tecnologia da Informação, resultando na padronização dos procedimentos com diminuição do tempo de resposta e dos possíveis prejuízos às Empresas-alvo. A demonstração do modelo será feita através da simulação de ataque ao site de uma loja virtual fictícia.

PALAVRAS-CHAVE: Segurança da Informação, Segurança, Redes de Computadores, Resposta a Incidentes.

ABSTRACT: This article proposes the use of taxonomy to create an incidents’ response model facing Computer Networks Administrators, Information Security Managers and Technical Staff of Information Technology, resulting in standardization of procedures to decrease the response time and possible damage to the target companies. The demonstration model will be done by simulating an attack to a fictitious online store.

KEYWORDS: Information Security, Security, Computer Networks, Incidents response.

1 - INTRODUÇÃO

        A Internet está consolidada como meio principal de comunicação e realização de serviços nos dias atuais. Segundo dados do Centro de Estudos Sobre as Tecnologias da Informação e da Comunicação – CETIC, 86% dos brasileiros utilizam a internet para busca de informações e serviços online^[1], assim informações pessoais e financeiras de indivíduos e empresas estão em constante tráfego sendo consultadas, geradas e enviadas, em tempo real ou não. Do outro lado, pessoas mal intencionadas estão à espreita, rastreando estas informações e tentando se apoderar delas, com as mais diversas intenções. Estes sujeitos utilizam softwares e técnicas cada vez mais sofisticadas e as tentativas de intrusão em sistemas computacionais têm crescido a cada dia. Empresas privadas e Órgãos públicos têm aumentado seus investimentos com equipamentos de segurança em T.I. com o intuito de evitar ataques cibernéticos, mas nem sempre se preocupam da mesma maneira com as equipes que irão gerir estes ativos. Metodologias de resposta a Incidentes são quase inexistentes ou possuem estruturas muito complexas, inviabilizando a aplicabilidade por equipes de pequeno porte: não é raro encontrar a área de T.I. de uma empresa formada por somente dois profissionais, os quais acumulam funções e possuem alta demanda de serviço, deixando a preocupação com a segurança em segundo plano. Outra situação comum ocorre quando profissionais de T.I. não sabem como agir diante de uma ocorrência, tornando-se pouco úteis em situações que exigem uma ação rápida e eficaz. No contexto atual ainda há um elevado número de empresas que não possuem um padrão, mesmo informal, para reconhecer o tipo de ataque e dar uma resposta efetiva a este, gerando atraso na resolução e perdas consideráveis para as organizações.

E é justamente nesse contexto que este artigo aborda o termo Taxonomia, que apesar de originar-se da Biologia, tem uma de suas definições conceituadas como a “Ciência da Classificação”, tendo sua aplicabilidade também no contexto computacional foco deste artigo, haja vista a necessidade de classificação de itens inerentes aos ativos escopo da resposta a incidentes. Em estudo realizado por HOWARD (1997) propõe-se o uso da taxonomia de ataques a computadores e Redes de Computadores, em que se organiza o mesmo de acordo com o meio, maneira e finalidade para classificar e responder com sucesso a incidentes.

Neste prisma, pode-se criar um método de análise e resposta a incidentes que poderá vir a apoiar as decisões dos Administradores e equipes de T.I. no decorrer de um incidente de segurança, o qual pode ser definido como a concretização bem sucedida de uma ameaça, possibilitando a intrusão não desejada a um sistema.

2 - FORMULAÇÃO DO PROBLEMA

        A falta de padronização na disseminação de informação acerca de vulnerabilidades torna complicada a tomada de decisão dos administradores de TI no decorrer de incidentes de segurança, forçando-os a ter de analisar múltiplas vulnerabilidades até que seja possível identificar a falha de origem a qual possibilitou o acesso não autorizado no ambiente pelo atacante.

3- OBJETIVO

        O objetivo deste trabalho é abordar uma metodologia para utilização da taxonomia como ferramenta de apoio a resposta de incidentes de segurança de redes através de demonstração de aplicação do recurso alvo desta pesquisa em estudo de caso dirigido.

4 – CONTEXTUALIZAÇÃO TEÓRICA – MÉTODO ATUAL

        Nas seções deste capítulo, serão abordadas de forma sumarizada as principais fases de um ataque, discorrendo desde a concepção por seus inúmeros tipos de agentes, as ferramentas comumente utilizadas, bem como a forma como o ataque é realizado, concluindo-se com a citação de alguns possíveis resultados e objetivos alcançados pelo atacante após a concretização do ataque em si.

 4.1 – CLASSIFICAÇÃO DOS AGENTES DE ATAQUE

        A taxonomia para um incidente cibernético é utilizada para classificar padrões de intrusão e ataque, agrupando-os de modo que todas as possibilidades possam ser identificadas e garantindo expansão futura. Um quadro do estudo de HOWARD (2007) pode ser visto na figura 1, em que é possível encontrar o padrão genérico de classificação de um ataque baseado em eventos.

Figura 1 – Taxonomia de ataque cibernético

[pic 1]

Fonte: HOWARD, John D. 1997. Tradução livre.

        HOWARD (2007, p.62) diz que os atacantes são obviamente o ponto inicial, aqueles que originam os ataques a computadores e redes, e que podemos identifica-los por quem eles são e de onde vem, por exemplo, um estudante de determinada cidade, um ex-funcionário de uma empresa ou um estrangeiro. Ele utiliza a abordagem de classificar os atacantes pelo que eles tipicamente fazem, descrevendo-os como nos tópicos seguintes:

4.1.1. Hackers

Agem motivados pelo desafio e status adquirido. Procuram alvos com visibilidade, como grandes empresas de Tecnologia, Órgãos Governamentais, veículos de comunicação. Nesta categoria se enquadram também os hackers corporativos, contratados para atacarem sistemas de empresas adversárias.

...