0
0
Por Amit Leibovitz, Omri Cohen, da Imperva
Frameworks de Modelagem de Ameaças Cibernéticas
Os ataques modernos que visam dados sensíveis se tornaram complexos. Uma organização com muitos ativos pode se sentir perdida ao tentar avaliar seu risco geral, entender seus pontos críticos e priorizar as tarefas necessárias para proteger seus sistemas de informação. Frameworks de modelagem de ameaças cibernéticas foram introduzidos para ajudar a resolver esse problema. Ao identificar as diferentes partes de um ataque e as técnicas utilizadas, é possível obter uma visão mais clara de uma invasão ou até resolver proativamente questões de segurança antes que a organização se torne vítima.
Dois dos principais frameworks de ameaças cibernéticas são o Cyber Kill Chain da Lockheed Martin e o MITRE ATT&CK. O Cyber Kill Chain foi introduzido em 2011 e é mais simples que o MITRE ATT&CK, contendo apenas sete etapas para um ataque. Já o MITRE ATT&CK, lançado em 2013, apresenta um mapeamento completo das Táticas, Técnicas e Procedimentos (TTPs) usados em ataques. Esse framework se tornou o padrão principal utilizado por muitos fornecedores para descrever invasões.
Hoje, apresentamos um novo framework definido pelo grupo de Pesquisa de Ameaças da Imperva.
Por que “Reinventar a Roda”?
As soluções de segurança de dados da Imperva existem há muito tempo, sempre buscando aprimorar a proteção e o entendimento das ameaças em constante evolução. Uma de nossas iniciativas é correlacionar as descobertas de segurança a controles relevantes dos frameworks existentes. Embora frameworks como o MITRE ATT&CK sejam bastante detalhados, percebemos que, ao tentar aplicá-los para identificar e descrever ataques relacionados a bancos de dados, eles não eram totalmente adequados.
Apresentando a Database Kill Chain
A Database Kill Chain descreve as principais etapas que um atacante segue para acessar os dados de uma organização. Seja uma conta comprometida vinda de fora da rede ou um funcionário insatisfeito, este cenário assume que o atacante já conseguiu acesso à rede e examina as fases do ataque a partir da perspectiva do banco de dados.
Essa definição foi inspirada no framework MITRE ATT&CK e é composta por cinco fases de ataque a bancos de dados, conforme mostrado na Figura 1:
Figura 1
- Acesso Inicial: O atacante ganha acesso ao banco de dados.
- Inteligência de Dados: Já dentro do sistema, o atacante coleta informações sobre os alvos mais valiosos, examinando metadados para mapear áreas sensíveis, pontos de entrada, usuários, funções e permissões.
- Persistência: O atacante garante acesso contínuo criando contas privilegiadas, adicionando backdoors ou alterando políticas de acesso — às vezes implantando malware ou modificando triggers para permitir entrada recorrente.
- Exploração: Vulnerabilidades são exploradas para escalar privilégios, evadir detecção ou executar código malicioso. As técnicas podem incluir injeção de SQL, alteração de logs e violação de medidas de segurança para ampliar o alcance.
- Acesso aos Dados: O atacante acessa dados sensíveis, podendo exfiltrá-los gradativamente, criptografá-los ou destruí-los. Táticas como ransomware também podem ser usadas para bloquear o acesso até o pagamento de resgate.
Observe que, embora as primeiras e últimas fases marquem o ponto de entrada e a conquista do acesso aos dados, as fases intermediárias podem variar de ordem ou se repetir conforme necessário.
Decompondo as Fases com Táticas de Banco de Dados
Cada fase do ataque ao banco de dados é composta por uma ou mais táticas específicas para bancos de dados (conforme ilustrado na Figura 2), que correspondem diretamente às táticas adversárias conhecidas do framework MITRE. Essas táticas representam comportamentos de ataque especificamente mapeados para ambientes de bancos de dados, abrangendo ações que um invasor pode realizar para comprometer e manipular dados dentro da cadeia de ataque.
Ao se alinhar com as táticas padronizadas do MITRE, este framework se concentra apenas naquelas relevantes à segurança de bancos de dados, permitindo uma abordagem mais direcionada para identificar e mitigar ameaças nesse ambiente.
Figura 2
O Vazamento da Snowflake em 2024
O vazamento de dados da Snowflake em 2024 é um bom exemplo da aplicação da Database Kill Chain.
Em junho de 2024, foi reportado que diversos vazamentos recentes estavam supostamente relacionados ao roubo de várias contas da Snowflake (Acesso Inicial). O agente da ameaça usou uma ferramenta interna chamada “rapeflake”, renomeada como FROSTBITE pela Mandiant. O FROSTBITE foi usado para coletar informações como usuários, funções, IPs, etc. (Inteligência de Dados). Estágios temporários foram criados (Exploração) para copiar dados, que depois foram exfiltrados usando requisições GET (Acesso aos Dados). O uso de estágios temporários é uma tentativa de evasão de defesa, já que eles são deletados no final da sessão. Algumas tabelas foram exfiltradas usando o comando ‘select *’, uma metodologia barulhenta (Acesso aos Dados).
Figura 3
Conclusão
O cenário de ameaças aos dados, com seus ataques complexos e vazamentos frequentes, não deixa outra opção às organizações senão utilizar frameworks de modelagem de ameaças para avaliação de riscos e análise de ataques. Após explorar frameworks como o MITRE ATT&CK e examinar múltiplos vazamentos e seus TTPs, decidimos publicar este framework aprimorado, focado principalmente em ataques a bancos de dados. Ele serve como um guia para nossos produtos, ajudando nossos clientes a obter uma visão clara do status de segurança de suas organizações e do mapa de ameaças que enfrentam.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.