sysblog

Comprehensive Monitoring as a Service (CMaaS)

CMaaS, em tradução livre Monitorização Abrangente como Serviço, é um conceito recente e inovador a entrar no mundo das soluções de monitorização.

cmaas

Inserido no contexto dos XaaS um termo colectivo com uma série de significados – incluindo “X como um serviço”, “qualquer coisa como serviço” ou “tudo como serviço” – que se referem a um crescente número de serviços prestados através da Internet em vez de fornecidos localmente.

CMaaS é um caso particular de um SaaS – Software as a Service (software como serviço) herdando assim todas as vantagens que advêm de fornecer um software desta forma.

O CMaaS é uma ferramenta de monitorização cujo objetivo principal é o de informar os seus utilizadores sobre o estado e o desempenho de todos os seus serviços, aplicações e infra-estruturas, independentemente das respectivas localizações geográficas, arquiteturas e plataformas tecnológicas.

Como qualquer SaaS, o CMaaS oferece os seus serviços através de um aplicativo central, baseado na web, alojado pelo fornecedor do serviço de monitorização, sem os custos diretos e indirectos da infraestrutura para o cliente.

O termo Abrangente (do inglês comprehensive) realça a capacidade desta filosofia de monitorizar tudo o que for necessario. Apresentando-se assim como uma solução para praticamente todo o tipo de situações de monitorização: desde a monitorização dos sistemas de produção numa indústria, até o seguimento dos parâmetros ambientais numa casa de habitação, passando por uma PME que necessite de monitorizar os seus servidores e aplicações, entre outros cenários.

O principal benefício da monitorização como um serviço é a facilidade de configuração e manutenção. Em geral, para se iniciar o processo de monitorização num sistema deste tipo, basta a criação on-line de uma conta junto de um dos fornecedores deste tipo de soluções, e garantir que a infra-estrutura está pronta a ser monitorizada (geralmente algo bastante simples bastando que os serviços sejam acessíveis pelos sistemas de monitorização) e pode-se começar a monitorizar imediatamente. O funcionamento e manutenção do CMaaS é garantido pelo fornecedor do serviço.

Dos muitos benefícios desta abordagem destacam-se:

  • Fácil de configurar, ainda mais fácil de manter – Como dito anteriormente, para iniciar a monitorização, o utilizador não tem que instalar os tradicionalmente complexos  sistemas, nem de manter servidores aplicacionais, bases de dados e outros equipamentos referentes à ferramenta de monitorização, ao contrário do que acontece numa solução local (on-premise).

  • Evolução rápida do produto – Os sistemas CMaasS são atualizados centralmente, sem problemas logísticos e de forma transparente para os utilizadores da solução.

  • Aplicações distribuídas são facilmente monitorizadas – Através deste tipo de soluções, uma aplicação distribuida por múltiplos servidores e/ou geografias é muito mais fácil de monitorizar, não necessitando de agentes nem de instalação de software especifico.

  • Perfeito para nuvens públicas – Porque o sistema de monitorização deve ser independente do sistema cloud que está a servir a aplicação em si  e porque não faz sentido pagar pelo alojamento na cloud de mais um sistema de monitorização.

  • Acessibilidade Global – Acesso ao sistema de monitorização de qualquer lugar e a partir de qualquer dispositivo.

Como não existem soluções perfeitas, há alguns aspetos a considerar na comparação entre uma solução local (on premise) e uma solução CMaaS:

  • Segurança dos dados resultantes da monitorização – Como a logística do serviço está do lado dos fornecedores do CMaaS, os dados resultados da monitorização não estão sobre o controlo direto do cliente.

  • Segurança das aplicações e infraestruturas – Os pontos de entrada para a infraestrutura a monitorizar podem ser explorados como vetores de intrusão. Para mitigar este risco, a instalação de componentes de monitorização locais (dentro da infraestrutura) pode ser uma solução.

  • Fiabilidade do sistema de monitoramento – No fim do dia é tudo uma questão de confiança. Há que confiar nos fornecedores do serviço de monitorização a vários níveis: disponibilidade da monitorização (24/7) / segurança de dados do cliente / competência.

  • Os dados em tempo real – Este é provavelmente o “calcanhar de Aquiles” dos CMaaS. Se os requisitos de monitorização envolvem a avaliação do estado dos serviços em tempo real (e não com o habitual atraso que muitas das soluções CMaaS apresentam) o CMaaS pode não ser a solução mais adequada.

  • Desempenho da solução de monitorização – A configuração das taxas de recolha de dados de performance em soluções CMaaS normalmente não estão disponíveis ou não têm possibilidade de baixa resolução.

  • Personalização da solução de monitorização – Qualquer solução CMaaS, por melhor que seja e por maior variedade de possibilidades de configuração e personalização que apresente, não poderá competir com uma solução desenvolvida à medida das necessidades do cliente.

Em Conclusão, A Monitorização Abrangente como Serviço é uma solução atraente para muitas empresas e situações especialmente em sistemas baseados em nuvem e empresas que não queiram ou não possam suportar os custos de uma solução local.

 
 
 
Bibliografia:

Autor: Tiago Pombeiro @SysValue

logotipo_POR_Lisboa_100pxlogotipo_QREN_100px
logotipo_UE_Feder_100px

Análise de malware em resposta a incidentes de segurança (2/3) – Identificação de ficheiros maliciosos

Este é o segundo de uma série de 3 posts sobre análise de malware e o seu papel na resposta a incidentes de segurança.  O post anterior pode ser encontrado aqui. Neste artigo será descrito o processo de identificação de malware num sistema que se supõe infectado.

Após constatação de que um ataque está a decorrer é necessário identificar e localizar os ficheiros de malware para que estes possam ser analisados. A identificação destes ficheiros é um processo gradual de filtragem de candidatos até que reste apenas um pequeno conjunto que será sujeito a análise mais aprofundada.

O primeiro passo é tipicamente a execução de software antivírus numa cópia integral dos dados do disco rígido do sistema afectado. Este primeiro passo pode ser suficiente para a detecção dos ficheiros maliciosos, podendo-se passar à fase de análise. No entanto, muitas vezes o antivírus não tem ainda um registo (assinatura) para o malware em questão ou tem apenas uma assinatura genérica que não permite retirar quaisquer conclusões.

Caso o antivirus não produza resultados suficientes, um segundo passo comum, consiste na extracção da memória volátil (RAM) do sistema em execução para posterior análise. A análise de memória permite explorar o facto de que, embora o malware pretenda estar escondido no sistema, tem a necessidade de ser executado, pelo que tem que estar presente na memória volátil do sistema. Assim, os mecanismos de camuflagem do malware são na sua maioria ineficazes quando é feita uma análise directamente a um dump de memória.

Uma vez extraída a memória, esta pode ser analisada com o objectivo de identificar indicadores da existência de malware. Existem diversos tipos de indicadores que podem ser utilizados, como por exemplo:

  • A existência de processos em execução com nomes pouco comuns;
  • A existência de processos com nomes comuns iniciados de forma pouco comum (e.g. Paths errados, User errado);
  • Existência de evidencias de memória injectada nos processos em execução;
  • A existência de hooks típicos utilizados para esconder a presença do malware no sistema;
  • A utilização de mecanismos comuns de persistência que permitem ao malware sobreviver a reboots;

A identificação destes indicadores permite na maioria dos casos a identificação e extracção de ficheiros de malware do sistema para uma posterior análise. No entanto, para que a análise seja o mais completa possível, a realização de uma cópia integral do disco rígido poderá fornecer alguma informação adicional de grande valor.

Através da cópia do disco é possível criar uma linha temporal dos eventos de sistema para reconstruir o momento em que o malware entrou no sistema e desta forma não só fornecer informação de contexto tal como a data e a forma de infecção (e.g. Email, site malicioso, vulnerabilidade explorada) como também revelar outros ficheiros relevantes que fazem parte do ataque tais como emails, exploits, downloaders etc.

Para além de possibilitar a criação da linha temporal, a cópia do disco poderá ainda permitir a recuperação de ficheiros importantes que façam parte do processo de infecção e que tenham sido eliminados pelo malware.

Assim, terminada a fase de identificação do malware, poderá (umas vezes com mais sucesso que outras) ser possível a obtenção de informação chave para a resposta ao incidente, tal como:

  • O tipo de malware identificado pelos sistemas de antivirus;
  • Ficheiros que fazem parte do malware;
  • Algumas características do malware (mecanismos de persistencia, técnicas de camuflagem)
  • Informação sobre o vector de ataque utilizado para a instalação do malware (email, drive-by download, etc.)

No próximo artigo, será descrito o processo de análise do malware obtido de forma a reunir informação adicional sobre o seu comportamento e capacidades.

Autor: Tiago Pereira @ SysValue

Vulnerabilidade crítica em implementações SSL/TLS – Vulnerabilidade Heartbleed

Foi tornada pública ontem (7 de Abril) uma vulnerabilidade crítica na implementação da biblioteca open source OpenSSL, conhecida como Heartbleed attack. Esta vulnerabilidade permite a leitura de blocos de memória do processo em questão o que pode levar ao comprometimento de informação sensível tal como:

  • Chaves privadas de certificados SSL;
  • Credenciais (passwords) de utilizadores;
  • Outras chaves criptográficas

As seguintes versões do OpenSSL estão vulneráveis:

  • OpenSSL 1.0.1 a 1.0.1f – (inclusivé) estão vulneráveis
  • OpenSSL 1.0.1g – NÃO ESTÁ vulnerável
  • OpenSSL 1.0.0 branch – NÃO ESTÁ vulnerável
  • OpenSSL 0.9.8 branch – NÃO ESTÁ vulnerável

A maioria das implementações baseadas em OpenSSL (p. ex. VPN’s SSL) que suportem TLS 1.2 com a extensão “heartbeat” deverão ser afetadas.

Aconselhamos todos os clientes com sites que utilizem SSL/TLS a fazerem o despiste da vulnerabilidade. Este despiste pode ser realizado através do Qualys SSL Labs:

Em alternativa existe um script em Python que tem sido utilizado pela equipa da SysValue para testes internos e pode ser utilizada (sem garantias dadas sobre o funcionamento do mesmo):

Este ataque tem afetado grande percentagem da Internet, tendo sido já reportado, p. ex. o comprometimento de credenciais de utilizadores do site Yahoo, entre outros.

Para mais informações pode ser consultado o seguinte site (em desenvolvimento):

Para informação sobre o desenvolvimento deste ataque pode ser seguida a hashtag #heartbleed no Twitter.

Artigo por: Luis Grangeia