APTs ou UAPs?

Criado em 12 de Dezembro, 2024

2024   ·   SIEM   ·   CyberSecurity

Antes de tudo, quero deixar claro que me considero cético. Não estou dizendo que hackers são alienígenas (risos). Na verdade, embora eu acredite que possa haver vida inteligente fora da Terra, acredito também que estamos isolados devido às enormes distâncias interestelares.

Desde criança, sempre fui curioso sobre o assunto, e com os UAPs (Fenômenos Aéreos Não Identificados) discutidos no Senado americano e os drones de New Jersey ganhando destaque na mídia, percebi que muitos fenômenos anômalos — sejam eles no céu ou no seu ambiente — são frutos da falta de conhecimento ou da falta de dados sobre o evento. As pessoas acabam ignorando o princípio da Navalha de Occam e acreditam que estão sendo hackeadas ou até mesmo vendo alienígenas (risos).

Tenho trabalhado em SOCs (Centros de Operações de Segurança) há alguns anos, passando do N1 até a engenharia de detecção para SIEMs (Sistemas de Gerenciamento de Eventos e Informações de Segurança), e cansei de ver casos em que ferramentas que deveriam detectar anomalias acabam identificando eventos normais como possíveis ameaças. Na verdade, isso é o mais comum quando se habilita tudo o que vem por padrão nas ferramentas (talvez até ajude a conhecer o ambiente e descobrir o shadow IT…), o que resulta em um cenário de um SIEM cheio de alertas, sobrecarregando os times do SOC com falsos positivos, levando à famosa fadiga de alertas e memes como:

Mas isso também gera um segundo cenário, onde, devido à falta de conhecimento de quem está no N1, muitos eventos de segurança são erroneamente avaliados como incidentes e escalados, simplesmente porque não entendem as informações que estão analisando. Então, na verdade, aquele suposto incidente de madrugada que gerou uma sala de guerra é apenas um falso positivo. E aquele UAP é só um balão.

Outro ponto é que muitas vezes é difícil ter bons dados sobre o evento. Mesmo com a tecnologia de hoje, as filmagens de UAPs continuam péssimas, e os SIEMs, trabalhando a partir de logs (mal parseados, para piorar), são incapazes de fornecer a certeza necessária para afirmar que um fenômeno não se trata de uma visita extraterrestre ou de um APT (Advanced Persistent Threat).



    Gostou de Ler este Artigo?

    Aqui estão alguns artigos relacionados que você pode gostar de ler:

  • CyberDefenders Qradar101 Write up.
  • FIRST Fortaleza 2023.
  • FnStegoCrypt - Encrypted Data in Images
  • APTs or UAPs?
  • Exposing Local Applications with FNLocalCloud.
  • Detection CVE-2024-35250
    • para selecionar para navegar esc para fechar voltar um nível