Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Lições do Front: Zotob, Defesa Inteligente e Gerenciamento de Patches

Por Aylton Souza, CISSP, MS Latam

Dizem que os momentos de crise revelam o melhor e o pior do ser humano. Worms tem mostrado a mesma realidade nos ambientes de tecnologia.

O worm ZOTOB e suas variantes, assim como Blaster, CodeRed e outros em suas respectivas eras estão se espalhando rapidamente demonstrando o quão delicados podem ser ambientes de TI quando gerenciamento de atualizações e outras práticas comuns de gestão não têm a atenção adequada.

Mais uma vez um worm surge explorando uma vulnerabilidade para a qual a atualização já estava disponível.

Sempre existem algumas dificuldades associadas a gerenciamento de mudanças, incluindo por exemplo uma forma de atualizar os clientes e servidores de forma centralizada, organizada e de ação distribuída, além da doficuldade em isolar clientes afetados.

Ferramentas de forma isolada não resolverão o problema. Treinamento de usuários e um ambiente que contribua com as ações preventivas e de remediação são a chave para o sucesso ou fracasso da estratégia.

Abaixo, com base em relatos de melhores práticas e experiências de sucesso com clientes, listamos algumas ações importantes para minimizar o fator de exposição a worms como o caso do Zotob e oferecer resposta e remediação rápida ao problema.

Problema

Questão chave

Ação

Ferramenta

Identificação rápida

Identificar rapidamente sistemas afetados e evitar que servidores e clientes críticos sofram com as consequências do ataque

Criação de filtro no ISA e uso das ferramentas de monitoração básicas do ISA e métricas avançadas com o MOM

Criação de URL set para bloqueio no ISA

ISA Server 2004: Monitoração das portas afetadas, como TCP 33333, TCP 8888, TCP 8080 e vários sites que estão sendo usados por diversas variantes usando a porta 6667, incluindo xaeti.m00p.org, spookystreet.m00p.org e spookystreet.udp-flood.com

Isolamento de sistemas sensíveis

Evitar que sistemas afetados possam infectar outros sistemas

Adicionar verificações de quarentena com o ISA 2004 para testar se os clientes:

- Tem a versão de antivírus corporativo que identifica e bloqueia o Zotob e variantes - Têm os ultimos patches para evitar que o worm se propague
- Clientes já foram afetados

ISA 2004 - Recursos de quarantena para testar as chaves de registry utilizadas pelo worm, versões de patch e existência de arquivos no cliente ligados ao worm

Remediação

Distribuição rápida de patches e monitoração dos efeitos no ambiente

Detecção prematura do problema e antecipação sobre variantes e formas de contágio

Uso de SMS para distribuição automatizada de patches, inclusive tomando proveito do tópico de isolamento de sistemas sensíveis e monitoração avançada com o MOM.

Adicionalmente, usando a tecnologia do Antigen é possível usar múltiplos engines de antivirus para rapidamente identificar e bloquear o worm e variantes que começam a surgir

SMS e MOM, para respectivamente distribuir as atualizações para clientes e servidores, bem como monitorar a saúde de servidores para antecipar problemas diretamente ou indiretamente ligadas aos efeitos do worm.

Com o Sybari Antigen deve-se fazer atualizações dos engines e submeter o tráfego (como email, Live Communication Server/Office Communicator e SharePoint)

Aprendendo sobre o incidente

Análise de logs e outros registros para identificar tempos de ação e exceções que devem ser tratadas em outros incidentes

Visão completa sobre carga de servidores, efeitos na rede e registros ligados a quarentena implementados pelo ISA

MOM para coleta e análise dos incidentes, SQL Reporting Services para correlacionar eventos e quantificar os efeitos específicos no ambiente da rede, incluindo logs do ISA (acesso e quarentena) para medir a efetividade das ações tomadas

Aylton Souza, CISSP

Regional Security Solution Specialist - LATAM

Agradecimentos a Denis Fernandes (Microsoft Brasil) e Victor (VP) Pereira

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft