Módulo de segurança do MiLACNIC

O que é o módulo de segurança do MiLACNIC?

O módulo de segurança, que pode ser encontrado no menu de relatórios do MiLACNIC, é um serviço oferecido pelo CSIRT do LACNIC para seus associados, que permite aos usuários do sistema visualizar informações sobre eventos de segurança relacionados aos recursos IP das organizações que estes administram.

O uso deste módulo fornece aos administradores informações úteis para identificar e corrigir os vários tipos de problemas de segurança relatados.

Fontes de informações usadas

O módulo de segurança é alimentado principalmente com dados gerados pelos projetos realizados pelo CSIRT do LACNIC, informações coletadas de fontes públicas e informações de indicadores de comprometimento compartilhados em plataformas de uso comum entre a comunidade do CSIRT.

Aceso ao módulo de segurança do MiLACNIC

Para visualizar o módulo de segurança, você deve entrar no sistema MiLACNIC com um usuário com perfil de administrador de uma organização.[1]

Uma vez dentro do sistema, no menu de funcionalidades deve-se entrar no menu Relatórios e aí selecionar Segurança [Figura 1].

Figura 1

Uma vez que o usuário entrar no módulo de Segurança, vai aparecer uma tela [Figura 2] na que poderá ou não haver recursos listados, dependendo se os eventos foram detectados ou não.

Figura 2

Informações disponíveis no módulo de segurança

Hoje, o módulo de relatórios de segurança do MiLACNIC mostra os eventos de segurança associados aos recursos designados a uma determinada organização. Em particular, são listados os IP que estão envolvidos em Botnets, Phishings, Open Resolvers ou que tiveram interação com algum sensor da nossa rede de sensores (HoneyNet).

Embora aconteça com menos frequência, também alerta sobre endereços IP que estão expondo algum serviço suscetível de ser usado por atacantes para realizar denegações de serviço a terceiros. Esses serviços podem ser Open Resolvers ou algum outro protocolo que permita ataques de amplificação como os nomeados no projeto.

Protocolos UDP que possibilitam ataques de tipo DDoS.

É importante esclarecer que os endereços IP listados como atividade maliciosa correspondem a recursos que foram observados por nossa rede de sensores fazendo alguma atividade suspeita. Levando em conta que os nossos sensores fingem ser um sistema vulnerável, qualquer atividade que se execute dentro deles é considerada suspeita ou maliciosa.

Por que é importante monitorar os relatórios de segurança?

Se um ou vários endereços IP foram listados no módulo de segurança com alguma atividade maliciosa, poderia ser que:

  • Algum usuário de um sistema por trás desse endereço IP esteve fazendo essa atividade diretamente
  • Algum sistema por trás desse endereço IP está comprometido e está sendo usado por um atacante para realizar atividades maliciosas
  • Um sistema que permite o redirecionamento do tráfego de rede esteja sendo usado para anonimizar ataques (por exemplo: um Open Proxy)
  • Foram detectados recursos envolvidos em algum Botnet, portanto, os sistemas infectados estão sendo controlados por um agente malicioso e poderiam ser usados ​​para realizar diferentes tipos de crimes cibernéticos.
  • Um Open Resolver foi detectado, o que significa que este DNS aceita consultas de qualquer fonte da Internet. Isso o torna suscetível de ser usado para realizar ataques de denegação de serviço a terceiros.

Recomendação:

O CSIRT do LACNIC recomenda fazer uma revisão deste módulo pelo menos uma vez por semana, analisar o tipo de evento de segurança e implementar medidas para corrigir essas vulnerabilidades.

Referências:

Projeto LACNIC HoneyNet

Projetos Open Resolver:

Pesquisa de protocolos que permitem ataques de denegação de serviço:

Autores: Graciela Martinez, Guillermo Pereyra

Data de publicação: dezembro 2022


[1] Prevê-se estender esta visualização para todos os perfis de usuários do MiLACNIC.