Análise da ferramenta advanced threat analytics (ATA) para gerenciamento e correlação de eventos de segurança cibernética

Abstract

O cenário atual de crescimento tecnológico traz consigo a preocupação de ameaças no ambiente cibernético, provocadas por ações sofisticadas, na frequência e na severidade, de pessoas ou grupos mal-intencionados, e que, quando bem realizadas, geram impactos econômicos significantes. É de suma importância que as corporações se resguardem de tais ameaças, adotando medidas que visem à segurança da informação, protegendo, por exemplo, a identidade da marca, a privacidade do cliente, a propriedade intelectual, a reputação dos executivos e a vantagem sobre a concorrência, entre outros. O objetivo deste trabalho é analisar e demonstrar, por meio da virtualização e de simulações, a utilização da solução de segurança da Microsoft denominada Advanced Threat Analytics (ATA), que permite ao usuário de um sistema computacional em rede ter acesso a informações, em tempo real, de detecções de atividades suspeitas e comportamento anormal, pois a análise comportamental revela atividades suspeitas e comportamento anormal, a partir do aprendizado de máquina sobre questões de segurança conhecidas, e ataques mal-intencionados, e da captura de tráfego de rede através de controladores de domínio. Para tais tarefas, são utilizados os sistemas operacionais Windows cliente e servidor, ambos virtualizados com a ferramenta Oracle VM VirtualBox; também são usados os programas Mimikatz, PowerSploit, PsExec e NetSess.exe para simulações de um atacante no ambiente local, e da ferramenta protagonista, o próprio ATA, que percorre quatro etapas de execução: análise de tráfego e de eventos; detecção por anomalias, ataques e problemas de segurança conhecidos; análise e aprendizado do comportamento; e alertas sobre atividades suspeitas. De modo prático e rápido, o relatório em linha do tempo da quarta fase permite entender o que está acontecendo dentro da rede, identificando os usuários suspeitos e as atividades em dispositivos com inteligência incorporada, fornecendo informações claras e relevantes da ameaça, dentro do cronograma de um simples ataque, conferindo-lhe perspectiva sobre o quê, por que, quando e como nos detalhes da ameaça, além de recomendar investigação e remediação para cada atividade suspeita. Conclui-se que o ATA fornece orientação e detecção automáticas para as fases de ataque avançado (reconhecimento, comprometimento de credenciais, movimentação lateral, elevação de privilégios e predominância de domínio) antes que as ameaças possam causar danos à organização.

The current scenario of technological growth brings with it the concern of threats in the cyber environment, caused by sophisticated actions, in the frequency and severity, of malicious people or groups, and that, when done well, generate significant economic impacts. It is of the utmost importance that corporations guard against such threats by adopting measures aimed at information security, protecting, for example, brand identity, customer privacy, intellectual property, the reputation of executives and the competition, among others. The purpose of this work is to analyze and demonstrate, through virtualization and simulations, the use of the Microsoft Advanced Threat Analytics (ATA) security solution, which allows the user of a networked computing system to have access to information in a timely manner real-time detection of suspicious activity and abnormal behavior, since behavioral analysis reveals suspicious activity and abnormal behavior, from machine learning about known security issues, and malicious attacks, and from capturing network traffic through controllers domain. For such tasks, the client and server Windows operating systems, both virtualized with the Oracle VM VirtualBox tool, are used; we also use the Mimikatz, PowerSploit, PsExec and NetSess.exe programs for simulations of an attacker in the local environment, and the main tool, the ATA itself, which runs through four stages of execution: traffic and event analysis; detection by anomalies, attacks and known security problems; behavior analysis and learning; and alerts on suspicious activity. Quickly and practically, the Fourth Phase Time Online Report allows you to understand what is happening inside the network, identifying suspicious users and activities on devices with embedded intelligence, providing clear and relevant threat information, within the timeline of a simple attack, giving you perspective on what, why, when and how in the details of the threat, and recommending investigation and remediation for each suspicious activity. It is concluded that ATA provides automatic guidance and detection for advanced attack phases (reconnaissance, credential compromise, side-scrolling, elevation of privileges, and domain dominance) before the threats can cause harm to the organization.