O Team Cymru tem uma missão clara: Salvar e Melhorar Vidas Humanas. Nós nos esforçamos para cumprir essa missão, equipando os defensores de rede com insights provenientes de métricas de Internet, que processamos e refinamos esses dados em uma forma útil de inteligência de ameaças.
Ocorrem mal-entendidos sobre o uso de métricas de tráfego de Internet para proteger as redes de ataques e abusos. Este post procura esclarece como coletamos, refinamos e distribuímos inteligência de ameaças derivadas de dados provenientes da Internet.
Fazemos isso para nossos clientes e para a comunidade de defensores da segurança na Internet, que acreditam em tornar a Internet mais segura para todos. Esperamos que este post ajude a explicar a missão que temos perseguido apaixonadamente por mais de 20 anos.
A Team Cymru é um ‘corretor de dados[1]’
Fato: Nós não somos um corretor de dados.
Nosso foco está em dispositivos de Internet comprometidos e malévolos, não em pessoas. Não mantemos dados de assinantes que permitam que qualquer usuário de nosso produto conecte uma pessoa a uma parte da infraestrutura da Internet. Os dados que sustentam o nosso produto são legalmente tratados e estão em conformidade com todos os regulamentos de privacidade de dados aplicáveis, incluindo GDPR, CCPA e outras legislações de privacidade estaduais e nacionais relevantes. Nossa plataforma não mostra o tipo, o uso ou os usuários dos serviços de Internet.
Mito: A plataforma Augury disponibiliza uma ampla gama de diferentes tipos de dados da Internet para seus usuários, incluindo dados de captura de pacotes (PCAP) relacionados a e-mail, área de trabalho remota e protocolos de compartilhamento de arquivos.
Fato: Nossa plataforma não coleta e-mail, área de trabalho remota ou compartilhamento de arquivos (FTP, torrents, et al.) na Internet.
Numerosos estudos mostraram que a coleta de e-mails não é possível porque a grande maioria dos e-mails é criptografada de ponta a ponta. Em um relatório do Google de setembro de 2022 [2], foi mostrado que 75% dos e-mails de saída e 86% dos e-mails de entrada são
criptografado em trânsito. O e-mail enviado e recebido para muitos provedores, como Google, Microsoft, Cloudflare, Amazon, Comcast, Apple iCloud, Facebook, LinkedIn, Twitter, Instagram e Protonmail, é criptografado em trânsito por padrão via TLS, sem qualquer configuração de usuário necessária. De acordo com a Microsoft [3], o Protocolo de Ambiente de Trabalho Remoto (RDP) tem sido encriptado por predefinição desde 2009.
Extraímos endereços de e-mail maliciosos (não o conteúdo), tentativas de acesso à área de trabalho remota e tentativas de acesso à FTP por meio de nossas sandbox de malware, e relatamos spam e phishing de nossas armadilhas de spam e honeypots. Todos os nossos PCAPs são gerados em nossa própria infraestrutura interna.
Mito: "Os dados da Augury também podem incluir atividades do navegador da Web, como URLs visitadas e uso de cookies".
Fato: Nossa plataforma não é capaz de coleta e apresentação de tráfego da Web global. Nossa plataforma fornece apenas URLs e cookies mapeados para servidores maliciosos.
Estudos provaram que essa atividade de coleta simplesmente não é possível. A web é uma esfera criptografada, mantendo o tráfego da web a salvo de olhares indiscretos. O estudo de transparência do Google [4] mostra que mais de 90% dos carregamentos de páginas através do navegador Chrome são criptografados por HTTPS. Na revisão do Google dos 100 principais sites, que respondem por 25% de todo o tráfego global da web, 100 em cada 100 desses sites fornecem criptografia e 97 deles têm como padrão a criptografia. Scott Helme [5] realizou verificações do Alexa top um milhão de sites, e mostrou que 72% dos principais um milhão de sites padrão para criptografia. O Conselho de Segurança da CA [6] previu que mais de 90% do tráfego da web seria criptografado até maio de 2019, combinando previsivelmente as descobertas atuais do Google. O projeto de Telemetria do Firefox [7] concluiu que 87% de todos os carregamentos de páginas pelos navegadores Firefox foram criptografados.
No entanto, existem sites comprometidos, com o estudo Webtribunal [8] de abril de 2022 observando que 1 em cada 10 URLs são maliciosas. A IBM observou [9] em 2020 que 30.000 sites são hackeados todos os dias. Por meio de nossos mecanismos de análise de malware, scanners, honeypots, armadilhas de spam, detecção de phishing, plataforma IDS e feeds de IOCs (indicadores de comprometimento), identificamos sites comprometidos. Esses sites espalham malware, comandam exércitos de bots e lançam ataques, além de roubar credenciais. Os defensores de rede querem detectar, bloquear ou limpar esses dispositivos e dispositivos infectados relacionados o mais rápido possível. Nossa plataforma torna possível ver esses sites que foram hackeados. Esses dados estão vinculados exclusivamente a atividades maliciosas e infraestrutura maliciosa, e os defensores da rede que usam nossas ferramentas dependem deles para defender melhor sua própria infraestrutura.
Mito: A equipe Cymru obtém dados PCAP dos ISPs com os quais tem relacionamentos.
Fato: Nós não obtemos dados PCAP de qualquer 3ª parte.
Investimos recursos significativos para executar nossa própria plataforma global de honeypots, sensores IDS, scanners e vários mecanismos de processamento de malware. Nossa infraestrutura é a fonte de nossos dados. Esses dados formam a base de nossos produtos e serviços, incluindo serviços gratuitos como nosso Programa de Assistência à CSIRTs (Computer Security Incident Response Team) e o Registro de Hash de Malware (MHR). As equipes da CSIRT em mais de 154 países baixam nossa inteligência de ameaças diariamente sem custo. Milhões de consultas chegam aos nossos portais de insights disponíveis publicamente e nossos clientes usam nossos feeds e plataformas para defender suas redes. Nossa reputação estelar resulta de duas décadas de parceria com as comunidades e defensores da rede.
Mito: "Augury também contém os chamados dados netflow ... Os registros Netflow podem revelar a quais servidores os usuários se conectam, muitas vezes revelando sites específicos que visitam. Os registros também podem revelar o volume de dados enviados ou recebidos e por quanto tempo um usuário acessou um site.
Fato: Augury não fornece a ninguém acesso a dados brutos ou de fluxo de rede em massa. Os registros Netflow não contêm conteúdo ou informações do usuário. É estatisticamente impreciso afirmar que o netflow pode ser usado para identificar um indivíduo ou fornecer um padrão de vida que pode ser mapeado para uma pessoa e preferências.
Consultas limitadas e específicas que produzem resultados anônimos e agregados podem ser derivadas do netflow amostrado. O Netflow não identifica usuários. Os dados do Netflow incluem apenas cabeçalhos, como endereços IP de protocolo e dispositivo. É amostrado e, portanto, vê apenas aproximadamente 1 em cada 10.000 fluxo. Essas sessões incluem varredura, hacking, DDoS e outras formas de atividade maliciosa. Além disso, as sessões legítimas são conduzidas através de redes de entrega de conteúdo (CDN) atrás das quais estão milhões de sites. Dos 1 milhões de principais sites [10 ], 43,96% ficam atrás de CDNs, 59,04% dos 100 principais sites e 61,95% dos 10 principais sites. É impossível usar o netflow para diferenciar entre esses sites. Além disso, a infraestrutura compartilhada entre provedores de nuvem impede ainda mais a identificação de infraestruturas hospedadas em nuvem específicas. Portanto, é estatisticamente impreciso afirmar que o netflow pode ser usado para identificar um indivíduo ou fornecer um padrão de vida que possa ser mapeado para uma pessoa e preferências. Não há logs ou qualquer conteúdo incluído no netflow.
Controladores maliciosos, varreduras em larga escala e DDoS têm uma persistência e periodicidade que revela um padrão estatístico, permitindo o mapeamento de infraestruturas maliciosas e identificando dispositivos hackeados de importância para os defensores da rede. Augury permite o mapeamento de dispositivos maliciosos, não de pessoas. Consulte nosso Monitor de Ameaças Nimbus e outros Serviços Comunitários para obter detalhes adicionais. https://www.team-cymru.com/community-services [11]
Mito: "Augury fornece diferentes níveis de acesso para clientes privados (comerciais) e governamentais.
Fato: Falso. Há uma plataforma idêntica com camadas baseadas em uso.
Por favor, encaminhe os pedidos de mais informações para media@cymru.com
Endnote