Arte do Case Study NTA & UEBA
Case Study: Cliente detecta tentativas de invasão e risco de vazamento de dados com Zerum Lynx

Instituto Nacional de Meteorologia (INMET) conta com apoio da Zerum para otimizar e proteger sua operação de TI.

Apesar de existir há décadas, nosso cliente nunca parou no tempo. O Instituto Nacional de Meteorologia (INMET) acompanhou a evolução tecnológica, adotando recursos computacionais avançados para atender o público e ajudar na tomada de decisões em diversos setores da economia. Hoje, continua a evoluir buscando novas soluções para otimizar e proteger sua operação de TI diante da complexidade crescente da infraestrutura e de ameaças cibernéticas cada vez mais sofisticadas.

Ele precisava controlar o acesso às suas bases de dados públicos de modo a evitar sobrecargas e uso abusivo. E, como qualquer empresa com um portal ligado à Internet, sua equipe de segurança tinha a missão crítica de proteger o ambiente contra todo tipo de invasão, mesmo que parte do desenvolvimento ainda fosse legado. O fato de ter poucos recursos humanos, embora altamente comprometidos, exigia uma solução mais inteligente (e prática) de segurança. Veja como a Zerum auxiliou nessa jornada.

Cliente

INMET, empresa pública com moderna rede de dados implementada, cerca de 600 usuários e mais de meio milhão de acessos diários ao seu portal principal. Sua operação de TI conta com firewall com decriptografia de conexão, IDS, anti spam, antivírus, WAF, análise completa de todos os conteúdos acessados e três links de acesso balanceados.

Desafios

O cliente sabia que mesmo com recursos de segurança de perímetro, era preciso ir além para proteger sua operação. O primeiro desafio era manter o alto nível do monitoramento, com uma tecnologia que ajudasse as equipes a acompanhar, em tempo real e com alta granularidade:

  • Uso de aplicações oferecidas nos diversos portais, atividades de banco de dados, balanço de carga sobre os links e rede WIFI.

Haviam ainda duas condições mandatórias: que o monitoramento fosse realizado sem qualquer software intrusivo sobre a rede e que a nova tecnologia possibilitasse a homologação de toda a segurança já implementada pela diretoria.

Por fim, o cliente precisava de recursos de Inteligência Artificial (machine learning) capazes de detectar as ameaças mais avançadas, com baixa curva de aprendizado.

Por que a Zerum?

Com o Zerum Lynx, o cliente teve acesso a uma ferramenta de características únicas no mercado, e que o permitiu atingir todas as metas desejadas com praticidade sem igual. Contando com interface web intuitiva e instalação rápida e não intrusiva, o Lynx entregou o nível de monitoramento desejado. Seu sofisticado mecanismo de coleta e armazenamento de tráfego de rede permitiu ao cliente a construção de gráficos de controle com granularidade nunca antes imaginada.

Além disso, ofereceu recursos integrados de IA para detecção de ameaças (incluindo UEBA – User & Entities Behavior Analytics) em um sistema com curva de aprendizado muito rápida, que não demanda várias semanas para conhecimento completo de suas funcionalidades.

Resultados

Já no primeiro dia de implantação e graças à tecnologia de análise de tráfego de rede em tempo real, o balanceamento de carga dos três links pode ser verificado tanto no acesso que a empresa faz à internet quanto no caminho contrário. Foram verificados, com efetividade, em quase todos os protocolos configurados com balanceamento demonstrando a eficiência das ferramentas de controle de rede implantadas. A ferramenta identificou ainda os clientes externos que mais demandam conexões diretas não balanceadas, permitindo ao administrador entrar em contato com os responsáveis para solicitar a correta utilização do nome do serviço.

E ainda no primeiro dia, foram identificadas as diversas aplicações acessadas pela rede WIFI, bem como seus maiores utilizadores. Aprofundando a pesquisa, a equipe de implantação, juntamente com o analista de segurança da empresa, identificaram um incidente de vazamento de dados na plataforma de autenticação, com dados importantes expostos. Atacantes poderiam autenticar equipamentos na rede interna utilizando computadores externos, um risco gravíssimo para a empresa!

Imediatamente, as medidas de proteção e o processo de correção foram disparadas. Além disso, foi criado um alarme para identificar possíveis recorrências da mesma falha utilizando o sistema de alarmes inteligentes do Lynx. Em uma janela de 24 horas, a solução da Zerum permitiu monitoramento completo, sem overhead, da infraestrutura, e a detecção de uma ameaça grave que jamais seria encontrada apenas com ferramentas convencionais.

Nos dias seguintes, foram verificadas todas as estatísticas de acesso aos diversos portais existentes, bem como às aplicações. Rapidamente, o cliente pode perceber que a proteção implementada em parte do sistema com captcha não era completamente efetiva, uma vez que os acessos oriundos de alguns poucos IPs eram altos demais para terem sido feitos manualmente. O aplicativo em questão faz acesso a recursos de banco de dados e não pode ser livremente explorado pelo público. Para melhor acompanhamento, foi criado um alarme de acesso para monitoramento proativo do aplicativo. Os IPs identificados foram levados a conhecimento da diretoria.

Em diversas ocasiões, o cliente notava lentidão nas respostas de algumas aplicações. Com o uso do Zerum Lynx, foi criado um gráfico para verificação das queries com tempo de resposta mais longos. A equipe de gerência de banco de dados foi incluída no circuito e pode verificar a falta de indexação de algumas colunas da tabela envolvida nas consultas. Aplicando a correção nos campos apontados pelo Zerum Lynx, o tempo de resposta das consultas foi drasticamente reduzido.

Coletando mais alguns dias de dados, cerca de duas semanas, foi verificado que o servidor de anti spam recebia rajadas de conexão aparentando DDoS. Observando o gráfico de códigos de resposta SMTP e cruzando com os logs do servidor, o analista de segurança da empresa pode montar uma tabela de IPs que vinham tentando sequestrar o servidor para envio de spam. A partir da tabela, foi configurada uma regra de alarme para que o administrador pudesse bloquear os IPs imediatamente em caso de tentativa de ataque.

No mesmo período, foram coletados dados suficientes para que os recursos de Inteligência Artificial do Lynx pudessem verificar o comportamento dos clientes internos, apontando com precisão aqueles que mereciam um monitoramento mais cuidadoso. Alguns gráficos foram rapidamente configurados pelo administrador e disponibilizados para equipe de suporte para verificação dos equipamentos descobertos.

Para saber mais sobre como proteger sua infraestrutura, sistemas e colaboradores contra ameaças avançadas, procure os consultores da Zerum e avalie como utilizamos o poder da Ciência de Dados para cenários diversos de Cibersegurança.