As organizações precisam entender a necessidade de proteger os dados. Como mostrado por exemplos anteriores sobre violação de dados, a cibersegurança é um risco que as empresas precisam levar a sério. Felizmente, a Lumen fornece segurança avançada com suas soluções tanto para a nuvem quanto, mais importante, para a borda.

Para administrar os riscos de segurança a dados, sistemas, aplicações e ativos, as organizações precisam de soluções de segurança conectada. Edge computing, por exemplo, potencializa os dispositivos de TI para adquirir, analisar e atuar sobre os dados bem onde estão sendo gerados, limitando a exposição a riscos cibernéticos.

Especificamente, usar edge computing com segurança conectada pode ajudar a limitar ou conter os impactos de eventos em um mundo onde eles se tornaram uma ocorrência diária.  Edge computing possibilita os tipos de serviços proativos, contínuos e reativos que apoiam os requisitos e objetivos específicos de segurança. Ao estar na borda, também pode atuar como um alerta, dando às organizações a visibilidade e o controle necessários para monitorar, bloquear e reportar tentativas de ataque antes que os agressores atinjam a rede central.

Por exemplo, os dados estão se tornando mais pessoais (ex.: saúde pessoal, dados de reconhecimento facial ou por voz, interações em locais privados) ou confidenciais (ex.: dados internos críticos em uma instalação). Edge computing pode abordar os crescentes requisitos regulatórios e a privacidade ao processar, armazenar e/ou descartar dados, tudo em um único local. Adicionalmente, edge computing pode reduzir o risco de violações de dados de informação pessoalmente identificável (PII, na sigla em inglês) e ajudar a garantir o cumprimento com os requisitos de soberania de dados.

No entanto, há alguns outros passos para ajudar a proteger os dados das organizações.  Encriptação, por exemplo, é chave para proteger os dados em movimento. Um número cada vez maior de verticais da indústria está exigindo segurança máxima da rede ao transmitir informações privadas. O método mais seguro de proteger informação e garantir a integridade dos dados é com a encriptação na camada física, ou no comprimento de onda.

Serviços de segurança gerenciados flexíveis também podem detectar e mitigar ameaças para ajudar a garantir a continuidade normal do trabalho para colaboradores, parceiros e clientes.  A detecção de ameaças pode alcançar várias linhas de produto, através de uma política única que oriente tanto a inteligência adaptativa contra ameaças quanto a segurança de rede adaptativa.

Reduzir a segurança e os riscos de conformidade requer uma proteção de dados inteligente e intuitiva, incorporada à rede com monitoramento contínuo e imediato e a capacidade de controlar a localização dos dados na borda. A Lumen, por exemplo, ajuda as organizações a obter isto com soluções de segurança incorporadas à rede, data centers com proximidade regional às fontes de dados e especialistas de segurança para desenhar sua rede e infraestrutura de acordo com requisitos únicos.

Edge computing pode melhorar a segurança dos dados em um mundo interconectado. A proximidade do usuário com os dados e a computação através de edge computing reduz a latência e melhora os tempos de resposta para as aplicações de segurança. Soluções de edge computing fornecem serviços proativos, contínuos e reativos que protegem as organizações contra as ameaças de segurança e aprimoram as experiências digitais dos clientes finais.

Leia o post original em inglês > https://blog.lumen.com/organizations-are-secure-at-the-edge/ 

A mudança de paradigma induzida pela pandemia para um mundo mais remoto tem gerado um grande aumento de ataques cibernéticos. Estima-se que houve 50 milhões de ataques DDoS pelo planeta ao longo de doze meses. Conhecer a forma como essas ameaças agem e investir em ferramentas de proteção é – e sempre será – o melhor caminho para garantir a segurança das empresas e a continuidade dos negócios.

Segundo relatório da Link11, empresa europeia de segurança, o número de ataques DDoS foi, em média, 98% maior do que no mesmo período do ano passado. Eles continuarão prevalecendo em 2021 e as empresas devem incluir a ameaça de extorsão de DDoS em suas avaliações de risco. As principais vítimas desses ciberataques são empresas ou organizações que fornecem serviços online e e-commerce. Criminosos cibernéticos que fazem extorsões -online podem usar a ameaça de um ataque DDoS para exigir dinheiro. Ninguém está isento. Gigantes como Facebook, Airbnb e Amazon já sofreram este tipo de ataque.

Mas o que é um ataque DDoS?
DDoS (Distributed Denial of Service) traduzido como ataque de negação de serviço, são ataques maliciosos coordenados, com intuito sobrecarregar um servidor ou computador comum, esgotar seus recursos – como memória e processamento – para que o sistema fique indisponível para seus utilizadores ou fora do ar.

Um exemplo recente brasileiro foi a investida de tentar paralisar as atividades da rede eleitoral do TSE (Tribunal Superior Eleitoral) durante o primeiro turno das eleições municipais de 2020. Os ataques DDoS superaram 436 mil conexões por segundo entre 11:25 e 11:43, vinda de atacantes digitais do Brasil, Estados Unidos e Nova Zelândia, o que causou lentidão no aplicativo e-Título. Neste tipo de ação, um computador mestre pode gerenciar até milhões de computadores para acessarem, ao mesmo tempo, um determinado site ou uma infraestrutura de rede inteira.

Tempo de resposta é tudo na guerra cibernética
Existem muitos tipos de ataques DDoS. Os invasores podem inundar um switch de rede com pacotes de dados. Alguns utilizam protocolos de compressão e criptografia, como SSL, para fazer um túnel de ataques HTTPS contra o servidor. Os invasores da camada sete (camada de aplicativo) podem até usar solicitações HTTP GET e POST para obstruir o tráfego do servidor. Em todos os casos, a velocidade de reação é crucial para minimizar os danos.

Empresas em todo o mundo estão procurando maneiras de fortalecer sua postura de segurança com produtos e serviços de última geração. Segundo especialistas, o período de inatividade devido a ciberataques custa às empresas uma média de US $221.000. Ou seja, a agilidade de resposta é mais crítica do que nunca.

De olho nesta preocupante evolução, a Lumen atualizou seu Serviço de Mitigação de DDoS. Estes novos recursos ajudam os clientes a proteger melhor seus ativos e aplicações essenciais. As novas capacidades incluem o serviço automatizado de detecção e resposta (Rapid Threat Defense) que, baseado em software, detecta automaticamente e detém imediatamente as entidades maliciosas, tais como as botnets (computadores robôs) de DDoS.

Esse sistema aproveita a inteligência sobre ameaças desenvolvida pela Black Lotus Labs – a equipe de pesquisa e resposta a ameaças da Lumen. Como operamos com um dos maiores backbones IP do mundo, esses especialistas possuem um alto poder de visibilidade para descobrir e deter ataques preventivamente – antes mesmo de alcançar as aplicações dos clientes.

Também desenvolvemos uma abordagem de limpeza proprietária em três camadas que utiliza tecnologia de próxima geração para mitigar ataques, baseada em tamanho e complexidade. Um roteamento inteligente envia ataques maiores e mais complexos aos centros de limpeza maiores, o que garante que as aplicações que são críticas aos negócios dos clientes continuem a operar – tanto em períodos de normalidade quanto sob ataque.

Impulsionar a 4ª Revolução Industrial também é proteger aplicações, serviços e inovações incríveis. A estratégia de segurança da Lumen se concentra em aprimorar a experiência do cliente para que ele construa, com mínimo risco, este novo capítulo da Era Digital.

Uma análise do Black Lotus Labs® descobriu um conjunto de websites comprometidos utilizados anteriormente em uma série de ataques de “watering hole”. Qualquer visitante que navegasse por um dos sites seria inadvertidamente infectado e estaria vulnerável ao ator da ameaça, que roubaria uma cópia de suas credenciais de autenticação Windows e poderia utilizá-la para se passar por ele. Inicialmente, identificamos esta atividade em diversos websites ucranianos; uma análise subsequente revelou que o ator comprometeu também um website canadense.

Detalhes Técnicos
Ataques de “watering hole” afetam os usuários finais que visitam um website específico, injetando uma função maliciosa no código do website, que é depois executada pelas máquinas das vítimas. No caso destes websites, um JavaScript malicioso induzia os dispositivos das vítimas a enviar hashes de New Technology LAN Manager (NTLM) para um servidor controlado por um ator utilizando Bloco de Mensagem de Servidor (SMB), um protocolo de comunicações que permite o acesso compartilhado a recursos de sistemas, tais como impressoras e arquivos. Na maioria dos ambientes Windows, o protocolo NTLM é utilizado como um mecanismo de autenticação para os vários usuários de um sistema. Uma vez que estes hashes são obtidos pelo ator da ameaça, ele pode, em alguns casos, ser decifrado offline, o que pode revelar ainda nomes de usuários e senhas que podem ser aproveitados para operações subsequentes, tais como acessar contas de e-mail ou outros recursos corporativos.

Estes tipos de ataques de “watering hole” têm sido usados há anos, mas nosso interesse neste vetor foi renovado após um destes comprometimentos ter sido detectado no website do Aeroporto Internacional de São Francisco (SFO) em abril de 2020. Quando as vítimas navegavam pelo website, suas máquinas tentavam recuperar um arquivo “icon.png” que estava hospedado em um servidor remoto. As máquinas das vítimas usavam o caminho da convenção de nomenclatura universal (UNC) para iniciar uma conexão saínte usando SMB para o link: file:// [IP address] /icon.png. Os atacantes podiam então configurar um ouvinte para receber os hashes NTLM das vítimas, que podiam então ser decifrados offline.

Embora este vetor de ataque tenha sido observado inicialmente no website do SFO, observamos funções JavaScript maliciosas similares em diversos websites na Ucrânia e no Canadá que parecem exibir a mesma técnica. Estamos, portanto, agrupando esta atividade no mesmo ator. Uma cópia do JavaScript pode ser encontrada abaixo.

Cópia do código JavaScript malicioso encontrado nos websites comprometidos

Este código foi descoberto em três websites únicos, todos hospedados no mesmo endereço IP baseado na Ucrânia: 185.68.16[.]193. Isto poderia indicar que os atores das ameaças foram capazes de obter acesso ao servidor web e portanto acessar todos os websites hospedados nele. Cada um destes sites está associado a entidades de fabricação ucranianas, uma das quais anuncia que fabrica equipamentos para as autoridades legais e para a proteção energética. Os websites e as datas da atividade maliciosa observada são:
• azo.od[.]ua, 15 de outubro, 2020
• azo.od[.]ua, 15 de outubro, 2020
• telecard.com[.]ua, 31 de março, 2020.

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://213.133.122[.]42/icon.png.
O segundo grupo de sites com ataques de “watering hole” incluiu um time de futebol ucraniano e um banco de investimentos. Os websites e as datas da atividade maliciosa observada foram:
• fcdynamo.kiev[.]ua, 15 de maio, 2020
• dragon-capital[.]com, 17 de dezembro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentaria recuperar um arquivo remoto localizado no arquivo://5.9.59[.]54/icon.png.
O terceiro grupo de sites com ataques de “watering hole” estava associado a organizações de mídia ucraniana. Os websites e as datas da atividade maliciosa observada são:
• zoomua[.]tv, 18 de maio, 2019
• unn.com[.]ua, 21 de maio, 2020
• ntn[.]ua, 3 de março, 2019

Se uma máquina vulnerável tiver visitado um destes websites, tentou recuperar um arquivo remoto localizado no arquivo://139.59.179[.]55/icon.png.

Página de resultados de busca Google em cache exibindo a função JavaScript maliciosa

O quarto grupo de sites de ataques de “watering hole” estava associado a empresas de petrolíferas, uma baseada na Ucrânia e a outra no Canadá.
• oilandgas.dtek[.]com, 13 de maio, 2019
• dtek[.]com, 13 de maio, 2019
• investecogas[.]com, 14 de fevereiro, 2019

Se uma máquina vulnerável tiver visitado estes websites, tentou recuperar um arquivo remoto localizado no arquivo://91.208.138[.]8/icon.png.

Lista dos websites comprometidos e seus ouvintes SMB correspondentes

Recomendações para mitigação
O Black Lotus Labs continua a monitorar este ator e tipo de atividade de “watering hole”. Para proteger-se deste tipo de ataque, as organizações devem configurar seus firewalls para evitar que as comunicações saíntes baseadas em SMB deixem a rede. Se as organizações não estiverem utilizando este protocolo internamente, podem querer considerar desativar ou limitar SMB no ambiente corporativo. Se nenhuma das opções for viável para uma organização, ela pode limitar o uso de JavaScript em um website desconhecido ou não confiável. Os usuários que estiverem preocupados com ataques de “watering hole” também podem considerar desligar JavaScript através de um plugin como NoScript.

Notificamos os proprietários dos websites comprometidos para interromper estes ataques contínuos. Se quiser colaborar com uma pesquisa similar a esta, por favor contate-nos no twitter @BlackLotusLabs.

Recomenda-se às organizações que buscam evitar ataques de “watering hole” que atualizem software e navegadores com a maior frequência possível, monitorem e inspecionem regularmente os websites visitados com frequência para garantir que estejam livres de malware, e bloqueiem o acesso dos usuários a sites comprometidos conhecidos.

Indicadores de comprometimento
Websites comprometidos e seus endereços IP
azo[.]od[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
vistec[.]ua
     185.68.16[.]193
fcdynamo[.]kiev[.]ua
     104.26.14[.]194
dragon-capital[.]com
     91.90.196[.]26
zoomua[.]tv
     62.149.26[.]233
unn[.]com[.]ua
     104.27.139[.]240
ntn[.]ua
     62.149.26[.]232
dtek[.]com
     45.60.75[.]78
investecogas[.]com
     77.72.135[.]227

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

Esta informação é fornecida “como está”, sem qualquer garantia ou condição de qualquer tipo, seja expressa ou implícita. A utilização desta informação se dá por conta e risco do usuário final.

Reforçando a segurança de roteamento com RPKI – O que você precisa saber

Os clientes devem verificar seus índices IP para evitar que o tráfego seja eliminado

Ao clicar no link para ler este blog, você disparou uma série de ações que direcionaram seus dados através da internet a esta página, usando a rota mais eficiente possível. Ao longo do caminho, enquanto os dados viajavam de lá para cá, encontraram dezenas de saídas possíveis, cada uma anunciando ser capaz de conduzi-los (e você) até aqui – a este blog.

Como há cerca de milhões de rotas de rede possíveis ao redor do mundo, a internet global tem um protocolo padrão para determinar a melhor rota possível para cada viagem ao longo de uma rede. É chamado de Border Gateway Protocol (BGP) – protocolo de roteamento de borda – e é como o Google Maps das redes. Sem ele, o tráfego não teria uma rota a seguir, muito menos um caminho que o desviasse de acidentes e radares de velocidade. Seria um pouco como dirigir de Nova York a Los Angeles à noite. Sem um mapa. E com os olhos vendados.
Quando o BGP foi criado em 1989, baseou-se na confiança mútua entre as redes, que anunciavam que as rotas eram seguras, precisas e inalteradas de forma maliciosa. Este modelo era suficiente nos primórdios do desenvolvimento da internet; no entanto, se tornou cada vez mais vulnerável a erros de configuração ou abuso por parte de atores maliciosos buscando redirecionar rotas para alcançar objetivos criminosos.

Para ajudar a fechar essa brecha na segurança, um número cada vez maior de provedores de rede se comprometeu a habilitar a infraestrutura de chave pública de recursos (RPKI – Resource Public Key Infrastructure). Em 25 de março de 2021, a Lumen irá “acender o interruptor” e começar a validar rotas usando RPKI no núcleo de nossa internet AS3356 global.

O que é RPKI?
RPKI é uma estrutura voluntária que pretende proteger a infraestrutura de roteamento da internet e evitar o sequestro de rotas e outras inconsistências. Ela faz isto verificando que um sistema específico é autorizado a utilizar seus prefixos IP estabelecidos. Estas autorizações, conhecidas como Autorizações de Origem de Rota (ROA – Route Origin Authorizations), ocorrem no nível do Registro Regional de Internet (RIR), de forma que os endereços IP são vinculados de forma certificável a uma autoridade confiável.

Os provedores de serviços IP podem usar RPKI para validar os anúncios de rotas IP, o que ajuda a garantir que os anúncios válidos sejam permitidos e os anúncios inválidos sejam eliminados.

Como RPKI funciona
Os proprietários de endereços IP publicam suas ROAs com certificação RIR, atestando: 1) qual sistema autônomo está autorizado a originar certos prefixos IP e; 2) o comprimento destes prefixos. RPKI valida as ROAs usando a validação de origem de rota (ROV) BGP, um processo que verifica o sistema de origem e o comprimento do prefixo publicado na ROA.
Uma vez implementada, a Lumen utilizará a validação de rota RPKI em todas as sessões de BGP tanto para clientes como para pares. Os servidores de validação de RPKI da Lumen baixam as ROAs, as examinam e depois enviam as tabelas aos roteadores que podem determinar a validade de um prefixo IP. Os prefixos IP depois são etiquetados e tratados da seguinte forma:

Habilitando RPKI no núcleo de Internet AS3356 da Lumen
Uma vez que a RPKI esteja habilitada e ativada na rede Lumen para sessões BGP tanto de pares quanto de clientes, não haverá qualquer requisito ou processo para “solicitar” uma RPKI, porque ela já estará “ativada”.

• Os clientes que tiverem ROAs existentes e estabelecidas receberão imediatamente a validação de origem de rota BGP através da RPKI da Lumen.
• Os clientes que estabelecerem novas ROAs receberão validação de origem de rota BGP uma vez que a ROA for concluída.
• Os clientes que não tiverem ROAs não serão afetados e os anúncios de rota BGP operarão normalmente (exceto se aquela rota for de fato de propriedade de outra entidade com uma ROA que apenas permita sua ASN de origem).

Os clientes não terão a opção de desconectar ou desativar a RPKI. Todas as sessões externas de clientes e pares serão validadas e não faremos exceções ou permitiremos sessões especiais, não verificadas.

Certifique-se de que seus prefixos IP não sejam eliminados!
Os clientes devem utilizar o Looking Glass da Lumen – https://lookingglass.centurylink.com  para validar como seus prefixos IP estão sendo marcados na rede Lumen. Os prefixos IP inválidos serão eliminados para todos os pares e clientes a partir de 25 de março.

community “rpki-valid” members “3356:901”
community “rpki-invalid” members “3356:902”
community “rpki-unknown” members “3356:903”

Recursos Adicionais
Se tiver perguntas sobre a adoção de RPKI pela Lumen, por favor entre em contato com um membro de equipe de contas ou envie um e-mail para RPKI Support. Você também pode visitar o website da Lumen para encontrar informações adicionais sobre RPKI, incluindo:

• Como estabelecer ROAs
• Detalhes sobre RPKI e o Serviço de Mitigação de DDoS da Lumen
• Perguntas frequentes

Leia o post original em inglês > https://blog.lumen.com/lumen-enhances-routing-security-with-resource-public-key-infrastructure-rpki/

Todos nós já passamos por isto. Cabeça baixa, olhando nosso smart phone, aguardando a instalação de um novo app. Você rapidamente desliza a tela pelos termos e condições antes de clicar em “aceito”, animado e pronto para usar a última tecnologia.

Os aplicativos de hoje em dia oferecem conveniência e benefícios incríveis às pessoas, empresas e governos que os utilizam.  Mas, certamente você está dando a eles algo em troca – informação sobre você.

Sua informação pessoal é como dinheiro – ela tem valor. Ao conhecer suas visões e interesses, seus hábitos de gastos e lugares aonde vai, as empresas podem fornecer a você uma experiência online mais personalizada e apps gratuitos.

Além de seu valor intrínseco na economia da informação atual, seus dados também estão vulneráveis a hackers e outros atores maliciosos.  Quando eles colocam as mãos em nossas informações, o resultado frequentemente é perda de dinheiro, crédito danificado ou até meses reparando sua reputação financeira e pessoal. Pior, os atores maliciosos às vezes compartilharão informações sensíveis e algumas vezes pessoais para humilhar ou intimidar.

Com o recente início do ano novo, muitos de nós fizemos resoluções de Ano Novo. Janeiro é também quando a Aliança de Segurança Cibernética Nacional reconhece o Dia da Privacidade de Dados para empoderar as pessoas a agir.

Então por que não resolver agora proteger melhor suas informações pessoais? Isto não significa que você precisa sacrificar a conveniência ou novas tecnologias.  Significa garantir que sua informação seja usada apenas de formas com as quais você se sinta confortável.

Aqui estão quatro coisas simples que você pode fazer hoje para controlar melhor a forma como sua informação pessoal é coletada, usada e compartilhada online:

1. Volte aos fundamentos. Aqui, estou falando de praticar a boa higiene. Assim como lavar suas mãos ou escovar seus dentes, você pode criar hábitos diários de privacidade de dados para evitar problemas maiores. Hábitos como usar autenticação multifator e senhas fortes, instalar atualizações de software imediatamente e ajustar adequadamente as configurações de segurança são um ótimo começo. Estes oferecem a primeira e melhor linha de defesa para proteger sua informação pessoal.
2. Atualize seu smart phone. Certifique-se de instalar e usar o sistema operacional, os aplicativos e os navegadores mais atuais para ajudar a proteger seu telefone e seu conteúdo contra malware e outras ameaças online. Sim, isto também é higiene, mas é importante o suficiente para destacar separadamente.
3. Pergunte o porquê. Sua informação, e sua dignidade, têm valor. Antes de preencher um formulário ou enviar qualquer informação pessoal online, pergunte-se, “por que precisam desta informação”?  Depois decida quanta informação deseja compartilhar.  Por exemplo, um formulário online que coleta informação pessoal pode não exigir que você preencha todos os campos de dados.  Use este poder e deixe alguns campos em branco. Além disto, preste atenção à origem da solicitação para evitar tentativas de phishing.
4. Exclua ao terminar.Excluir um app ou conta não utilizado em uma plataforma online é uma boa prática de segurança.  Por quê? Porque quando você baixa um app ou entra em uma plataforma de mídia social, ela normalmente pede permissão para acessar e coletar informações de outras áreas de sua vida, como suas fotos, contatos e localização. Frequentemente, você pode obter uma cópia da sua informação antes de excluir o app ou conta.  E já mencionei que você deve manter seus apps favoritos atualizados com a última versão para que permaneçam seguros?

Quando um repórter perguntou ao infame Willie Sutton porque ele assaltou bancos, ele respondeu, “porque é ali que está o dinheiro”.  Nossos dados pessoais são uma nova forma de moeda e há novos criminosos que enxergam seu valor.  Bons hábitos de privacidade de dados podem ajudá-lo a controlar quem pode acessar sua informação pessoal. Ao considerar resoluções em torno de criar bons hábitos e deixar os maus hábitos de lado, não se esqueça de uma das maiores partes de sua vida – suas ações online.

Artigo Original em inglês> New Year’s Resolutions: Exercise, Eat Healthy… Protect Your Data