Seguindo o fluxo da bateria de ataques, o cibercriminosos causaram o comprometimento dos sistemas internos do LastPass, onde os invasores tiveram acesso aos dados dos usuários da plataforma. A empresa informou que apesar do ataque as senhas armazenadas na aplicação permanecem seguras, devido aos protocolos de segurança adotados pela empresa, com a identificação do ataque a mesma informou que o escopo do incidente está sob investigação. Não é inédito o ataque, sendo o segundo desse tipo no qual o alvo é o gerenciado, onde ambos aconteceram no mesmo ano, estando também conectados.
A intrusão conforme o comunicado da empresa aconteceu nos servidores cloud que pertencem a uma empresa filial a GoTo, ainda se tem poucos detalhes do acontecido, e a empresa segue afirmando que está trabalhando ao lado da empresa parceira, responsável por fornecer serviços de conectividade, além disso estão trabalhando com a empresa de cibersegurança Mandiant, as autoridades estão também envolvidas, e os serviços da empresa seguem em funcionamento. Tais movimentações suspeitas sofram detectados por sistemas de monitoramento que conseguiram captar o comportamento anômalo, apesar disso os criminosos ainda não foram identificados, e a “Via-Crúcis” da empresa ainda segue pois a mesma ainda trabalha para entender o que houve de fato e quais informações foram comprometidas e quantos usuários foram afetados e em paralelo incrementar medidas de proteção para futuros ataques.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
Como o de costume tais ataques são identificados de forma tardia, e como no ataque sofrido também em agosto deste mesmo ano, os criminoso permaneceram por quatro dias dentro dos sistemas do LastPass, isso mesmo porém isso não é um fato isolado, nas maioria dos casos de invasão e roubo de informação, os criminosos já estão alocados a muitos meses coletando todo tipo de informação que podem para no fim jogarem a isca, ou seja se permitem serem detectados para assim iniciar o pesadelo da empresa o sequestro de informações e um preço de resgate no valor absurdo.
Ainda não se sabe qual e por onde se deu a invasão, mas tudo indica que foi através da famosa engenharia social golpe que foi proferido contra um dos funcionários. A empresa segue buscando informações com a promessa de seguir informando os usuários sobre o assunto na medida em que as informações são coletadas.
Você está ciente de todos os processos e eventos que acontecem dentro do ambiente da sua organização, consegue monitorar facilmente os recursos ? E comportamentos anormais, qual o nível de detecção. Importante lembrar que os criminosos estão cada vez mais ofensivos e a vigilância ainda é o melhor “remédio.
O EventLog Analyzer da ManageEngine é um Software de SIEM para Compliance de IT & Gestão de Logs de Eventos. As organizações e sua infra-estrutura de TI geram uma enorme quantidade de registros a cada dia. Esses registros gerados têm informação vital que pode fornecer indícios poderosos ligados à inteligência de segurança de rede, ao comportamentos do usuário, anomalias de rede, tempo de inatividade de sistemas, violações de políticas, ameaças internas, compliance, etc. No entanto, a tarefa de analisar logs de eventos e syslogs sem um analisador de logs automatizado e de modo manual, pode ser um tanto demorado e doloroso.
Usando o EventLog Analyzer, as organizações podem automatizar todo o processo de gerenciamento de terabytes de logs gerados através de coleta e análise, fazendo o arquivamento em um local central que permitirá a correlação, análise e geração de relatórios. O EventLog Analyzer ajuda portanto a monitorar dados como integridade de arquivo, a realizar análise de log forense, monitorar usuários privilegiados e na tarefa de estar compliance e em conformidade com diferentes órgãos reguladores, analisando os registros de forma inteligente e gerando de modo instantâneo uma variedade de relatórios, como relatórios de atividade do usuário, relatórios de histórico de tendência, e muito mais.
Correlação de Eventos em tempo real
1. Mais de 70 regras de correlação de eventos para a gestão proativa de ameaças já embarcados na solução.
2. Aponta tentativas de violação, ameaças internas, violações de políticas, e outras mais sem qualquer intervenção manual.
3. Recurso Drag-n-drop flexível para a correlação no construtor de regras que permite que os usuários definam padrões de ataque, e assim, ajude a reagir de forma proativa às ameaças de segurança.
Relatórios de conformidade
1. Gera relatórios pré-definidos de conformidade formatados para logs de eventos e syslogs, de modo a atender HIPAA, GLBA, PCI DSS, SOX, FISMA e mais.
2. Fornece recursos para criar relatórios personalizados que ajudam a cumprir com os crescentes novos atos normativos.
Coleta Universal de Logs
1. Coleta de registros de fontes heterogêneas (sistemas Windows, sistemas Unix / Linux, Aplicações, roteadores, firewalls, etc.) os reunindo em um local centralizado.
2. Decifra a grande maioria dos dados de log, independentemente da fonte ou formato de log.
3. Coleta de logs sem Agentes (agentes opcionais também estão disponíveis).
Monitoramento de Integridade dos Arquivos
1. Centralmente permite acompanhar todas as mudanças e receber alertas em tempo real quando os arquivos e pastas são criados, acessados, visualizados, excluídos, modificados, renomeados, etc.
2. Possibilita obter uma trilha de auditoria completa de todas as mudanças que acontecem em arquivos e pastas. Informações de auditoria com ‘o quê, quando, onde e como’ de todas as alterações em tempo real.
Monitoramento de usuários privilegiados
1. Coleta e analisa os eventos ligados à atividades de usuários privilegiados.
2. Obtenha informações precisas de acesso do usuário, como qual usuário executou a ação, qual foi o resultado da ação, em qual o servidor aconteceu e rastreie a estação de trabalho do usuário de onde a ação foi desencadeada. (Ligado à esta finalidade conheça também o ADAudit Plus)
Pesquisa de Log
1. Procure por qualquer coisa, com a poderosa ferramenta de pesquisa embarcada na solução, e rapidamente detecte anomalias de rede, s atividades do usuário, erros de aplicações / sistemas, etc.
2. Realize uma pesquisa usando wild-cards, frases e operadores booleanos.
3. Os usuários também podem realizar buscas agrupadas e pesquisas por range.
Alertas em tempo real
1. Seja alertado em tempo real via SMS ou e-mail após a ocorrência de anomalia rede. Você pode até mesmo executar um programa ou script para corrigir a condição de alerta.
2. Mais de 500 critérios de alerta pré-definidos para Windows, Unix / Linux, aplicativos e dispositivos de infra-estrutura de rede eliminam na maioria dos casos a necessidade de criação de perfil de alerta para tarefas de rotina, aumentando assim a eficiência operacional.
Análise Forense do Log
1. Permite Drill Down em eventos e registros crus possibilitando fazer uma análise de causa raiz em poucos minutos, e reduzir drasticamente o tempo de disponibilização da solução.
2. Possibilita gerar relatórios forenses de rede, como relatórios de atividade do usuário, relatórios de auditoria do sistema, relatórios de conformidade & compliance, etc.
Arquivo de log
1. Automaticamente arquiva os registros gerados em todas as máquinas, os logs de sistema, os logs de dispositivos e os logs de aplicativos em um repositório centralizado.
2. Criptografa o arquivo do log de eventos compactado para garantir que os dados de registro estão seguros para futuras análises forenses, de conformidade e auditoria interna.
O EventLog Analyzer fornece gerenciamento de log de ponta a ponta, com métodos de coleta de logs, análise de logs personalizados, análise completa de logs com relatórios e alertas, um poderoso mecanismo de pesquisa de registros e opções flexíveis de arquivamento de logs.
Auditoria de Aplicativos
O EventLog Analyzer permite auditar todos os seus servidores de aplicativos críticos. Com relatórios predefinidos para os aplicativos listados aqui, a solução também permite monitorar aplicativos personalizados. Seu poderoso analisador de log personalizado permite analisar e validar facilmente os formatos de log personalizados.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
