Lições do Front: Zotob, Defesa Inteligente e Gerenciamento de Patches
Por Aylton Souza, CISSP, MS Latam
Dizem que os momentos de crise revelam o melhor e o pior do ser humano. Worms tem mostrado a mesma realidade nos ambientes de tecnologia.
O worm ZOTOB e suas variantes, assim como Blaster, CodeRed e outros em suas respectivas eras estão se espalhando rapidamente demonstrando o quão delicados podem ser ambientes de TI quando gerenciamento de atualizações e outras práticas comuns de gestão não têm a atenção adequada.
Mais uma vez um worm surge explorando uma vulnerabilidade para a qual a atualização já estava disponível.
Sempre existem algumas dificuldades associadas a gerenciamento de mudanças, incluindo por exemplo uma forma de atualizar os clientes e servidores de forma centralizada, organizada e de ação distribuída, além da doficuldade em isolar clientes afetados.
Ferramentas de forma isolada não resolverão o problema. Treinamento de usuários e um ambiente que contribua com as ações preventivas e de remediação são a chave para o sucesso ou fracasso da estratégia.
Abaixo, com base em relatos de melhores práticas e experiências de sucesso com clientes, listamos algumas ações importantes para minimizar o fator de exposição a worms como o caso do Zotob e oferecer resposta e remediação rápida ao problema.
Problema |
Questão chave |
Ação |
Ferramenta |
|---|---|---|---|
Identificação rápida |
Identificar rapidamente sistemas afetados e evitar que servidores e clientes críticos sofram com as consequências do ataque |
Criação de filtro no ISA e uso das ferramentas de monitoração básicas do ISA e métricas avançadas com o MOM Criação de URL set para bloqueio no ISA |
ISA Server 2004: Monitoração das portas afetadas, como TCP 33333, TCP 8888, TCP 8080 e vários sites que estão sendo usados por diversas variantes usando a porta 6667, incluindo xaeti.m00p.org, spookystreet.m00p.org e spookystreet.udp-flood.com |
Isolamento de sistemas sensíveis |
Evitar que sistemas afetados possam infectar outros sistemas |
Adicionar verificações de quarentena com o ISA 2004 para testar se os clientes: - Tem a versão de antivírus corporativo que identifica e bloqueia o Zotob e variantes - Têm os ultimos patches para evitar que o worm se propague |
ISA 2004 - Recursos de quarantena para testar as chaves de registry utilizadas pelo worm, versões de patch e existência de arquivos no cliente ligados ao worm |
Remediação |
Distribuição rápida de patches e monitoração dos efeitos no ambiente Detecção prematura do problema e antecipação sobre variantes e formas de contágio |
Uso de SMS para distribuição automatizada de patches, inclusive tomando proveito do tópico de isolamento de sistemas sensíveis e monitoração avançada com o MOM. Adicionalmente, usando a tecnologia do Antigen é possível usar múltiplos engines de antivirus para rapidamente identificar e bloquear o worm e variantes que começam a surgir |
SMS e MOM, para respectivamente distribuir as atualizações para clientes e servidores, bem como monitorar a saúde de servidores para antecipar problemas diretamente ou indiretamente ligadas aos efeitos do worm. Com o Sybari Antigen deve-se fazer atualizações dos engines e submeter o tráfego (como email, Live Communication Server/Office Communicator e SharePoint) |
Aprendendo sobre o incidente |
Análise de logs e outros registros para identificar tempos de ação e exceções que devem ser tratadas em outros incidentes |
Visão completa sobre carga de servidores, efeitos na rede e registros ligados a quarentena implementados pelo ISA |
MOM para coleta e análise dos incidentes, SQL Reporting Services para correlacionar eventos e quantificar os efeitos específicos no ambiente da rede, incluindo logs do ISA (acesso e quarentena) para medir a efetividade das ações tomadas |
Aylton Souza, CISSP
Regional Security Solution Specialist - LATAM
Agradecimentos a Denis Fernandes (Microsoft Brasil) e Victor (VP) Pereira