Avalie ferramentas de segurança em tempo real com nosso guia prático

A escolha da ferramenta de segurança em tempo real é essencial para a proteção de ambientes nativos da nuvem. Recentemente, realizamos um processo rigoroso de avaliação utilizando simulações de ataques em nossos clusters Kubernetes e servidores Linux. O motivo é claro: os logs de auditoria da nuvem não oferecem detalhes suficientes, deixando lacunas críticas na detecção de ameaças, resposta a incidentes e análise forense. Nossa avaliação analisou meticulosamente cada estágio crítico, desde o acesso inicial até o movimento lateral e a exfiltração de dados.

Embora não iremos nomear o fornecedor específico neste artigo, queremos compartilhar nossa metodologia detalhada e principais aprendizados, fornecendo um modelo que você pode adaptar para suas próprias avaliações de ferramentas de segurança.

Por que as ferramentas de segurança em tempo real são necessárias?

Sem essas ferramentas, detectar atividades suspeitas e entender o que realmente aconteceu durante um ataque pode ser extremamente desafiador.

Limitações dos logs de auditoria da nuvem

• Falta de detalhes em tempo de execução
  Os logs de auditoria da nuvem registram principalmente operações e acessos a dados, mas não capturam atividades em tempo de execução em sistemas como servidores Kubernetes, ignorando execuções de comandos e comportamentos de processos.
• Lacunas na investigação e na forense
  A ausência de registro contínuo e em tempo real em ambientes Kubernetes pode levar à perda de registros críticos de atividade uma vez que um container é finalizado.

Ainda que existam ferramentas de segurança em tempo real de código aberto bem conhecidas, decidimos avaliar um produto comercial para avaliar capacidades adicionais e suporte em nível empresarial através de testes de simulação de ataques.

O papel e a finalidade das ferramentas de segurança em tempo real

Essas ferramentas abordam as limitações dos logs de auditoria da nuvem ao monitorar continuamente os sistemas em tempo real, oferecendo funcionalidades como:

• Detecção de ameaças
  Monitoramento de execuções de comandos, chamadas de sistema e eventos de rede para detectar comportamentos anômalos instantaneamente, permitindo que a equipe de segurança reaja rapidamente.
• Resposta a incidentes
  Registro detalhado das atividades do sistema, fornecendo evidências necessárias para reconstruir linhas do tempo de ataques e conduzir investigações forenses após um incidente.
• Escalabilidade nas investigações
  Diferente da análise forense tradicional que examina cada ponto, as ferramentas de segurança em tempo real permitem a coleta e análise central de dados em todo o ambiente.

Pontos-chave da avaliação

Nosso objetivo principal ao avaliar uma ferramenta de segurança em tempo real foi determinar sua eficácia em investigações de segurança do mundo real. Embora as avaliações frequentemente se concentrem no volume de detecções ou cobertura geral, um excesso de falsos positivos pode paralisar as equipes de resposta a incidentes. Portanto, nossa investigação se concentrou em se a ferramenta poderia apoiar as operações de segurança entendendo e respondendo a ataques reais.

• Capacidade de detecção
  Avaliamos se os conjuntos de regras integrados podiam detectar uma variedade de técnicas de ataque e fornecer os detalhes necessários.
• Resposta a incidentes
  Verificamos se os logs capturaram detalhes suficientes para reconstruir o incidente e a eficácia do sistema de busca de logs.

Processo de avaliação

Dividimos nossa avaliação em quatro fases principais:

1. Desenvolvimento de cenários de ataque
   Cenários foram criados para mimetizar fluxos de ataques do mundo real, em colaboração com nossa equipe de ataque vermelho.
2. Configuração da infraestrutura
   Implantamos dois ambientes: um ambiente Kubernetes e um ambiente de máquinas virtuais.
3. Execução dos ataques
   Realizamos o fluxo de ataque para cada cenário, registrando meticulosamente a linha do tempo.
4. Análise dos resultados
   Conduzimos uma avaliação abrangente das capacidades de detecção e riqueza dos logs.

Cenários de ataque

O primeiro cenário envolveu a exploração de uma vulnerabilidade conhecida do GitLab (CVE-2021-22205) para obter acesso não autorizado a um sistema. O segundo cenário simulou a comprometimento de um laptop de desenvolvedor, utilizando credenciais legítimas para acessar recursos internos.

Execução dos ataques

Durante a execução dos cenários de ataque, seguimos processos rigorosos para obter registros detalhados:

• Verificação de detecções: Confirmamos a detecção de cada comando de ataque.
• Registro da linha do tempo: Cada evento foi registrado em sequência para avaliar a captura de execuções de comando.
• Avaliação quantitativa: Atribuímos notas a cada evento com base na eficácia da detecção.

O que aprendemos

Teste de produtos comerciais é essencial

• Identificação de lacunas de detecção: Nossa avaliação revelou cenários críticos não detectados. Reuniões com o fornecedor resultaram em melhorias no produto.
• Limitações dos métodos: Muitas ferramentas modernas usam eBPF, mas a execução de comandos em um framework C2 dificulta a detecção.
• Combinação de logs: É essencial utilizar ferramentas de segurança em tempo real juntamente com logs de auditoria para uma visão abrangente.

A importância do registro contínuo de eventos em tempo de execução no Kubernetes

Em ambientes Kubernetes, a perda de dados forenses durante a terminação de containers é um risco, evidenciando a necessidade de uma infraestrutura de registro persistente.

Resumo

Não instalamos ferramentas de segurança sem uma avaliação rigorosa. Avaliações como a realizada acima não apenas revelam casos de uso únicos e áreas de melhoria, mas também proporcionam insights valiosos para otimizar a utilização das ferramentas.