Foi efectuado um levantamento de sintomas que indiciam acessos an´omalos, para com eles desenvolver heur´ısticas que permitam encontrar anomalias. Alguns destes acessos apenas se tornam suspeitos e potencialmente an´omalos para cada utilizador, pela sua excessiva repeti¸c˜ao em per´ıodos de tempo reduzidos. Com este racioc´ınio tenta-se excluir qualquer pedido ou erro que n˜ao tenha sido executado com inten¸c˜oes maliciosas. Mesmo assim, ´e importante referir que a este modelo est´a associada uma margem de erro relevante pelo que, os seus resultados apenas servem para detectar casos suspeitos. De seguida, apresentam-se os casos utilizados na detec¸c˜ao positiva de acessos an´omalos, bem como, o modo como s˜ao co-relacionados entre si para uma an´alise discreta 1:
3.3.1
Alertas graves
H´a erros de elevada gravidade nomeadamente a n´ıvel da integridade e disponibi- lidade, cuja detec¸c˜ao merece um tratamento espec´ıfico. Especialistas como admi- nistradores de bases de dados podem ajudar a fazer o levantamento dos mais im- portantes para que, quando detectados, possam ser lan¸cados alarmes. Para cada utilizador, o aparecimento de um destes erros ´e considerado suspeito.
3.3.2
Intrus˜ao
Erros de autentica¸c˜ao s˜ao muito relevantes para detec¸c˜ao de tentativas de intrus˜ao nomeadamente atrav´es de ataques de for¸ca bruta. Para cada utilizador, considera-se suspeito um n´umero de erros superior a 5 para uma janela temporal de 20 segundos ou mais de 10 erros para uma janela temporal de 500 segundos.
3.3.3
Factor humano
Pedidos e erros que indiciem um controlo directo por parte de utilizadores huma- nos que revelem desconhecimento do modelo e/ou da s´ıntaxe formam um grupo de eventos que indicia intrus˜oes ou pelo menos, actividade potencialmente lesiva. Para cada utilizador, considera-se suspeito um n´umero de eventos superior a 5 para uma janela temporal de 20 segundos ou superior a 10 para uma janela temporal de 500 segundos.
1Os limites abaixo indicados para detec¸c˜ao de acessos suspeitos, bem como, as dura¸c˜oes apresen-
tadas para cada janela temporal servem apenas como referˆencia. Estes valores tˆem de ser ajustados
em conformidade com a realidade `a qual se pretende aplicar este modelo e com a proximidade face
Cap´ıtulo 3. An´alise de acessos a fontes de informa¸c˜ao 20
3.3.4
Fuga de informa¸c˜ao I
Pedidos que incluam informa¸c˜ao considerada confidencial devem ser minimizados ao estritamente necess´ario. O seu acesso excessivo ou em momentos temporais que n˜ao o justifiquem atendendo aos procedimentos internos da empresa pode tamb´em ser suspeito. Para cada utilizador, considera-se suspeito um n´umero de eventos deste tipo superior a 3 para uma janela temporal de 20 segundos ou superior a 6 para uma janela temporal de 500 segundos.
3.3.5
Problemas de eficiˆencia I
Independentemente da inten¸c˜ao, pretende-se detectar acessos que afectem o desem- penho e disponibilidade da fonte de informa¸c˜ao. Todos os eventos, sejam erros ou pedidos, que possam causar este tipo de problemas tamb´em devem ser considerados suspeitos sempre que ocorram com demasiada frequˆencia. Como referˆencia para este caso, considera-se excessiva frequˆencia valores superiores a 5 para uma janela temporal de 20 segundos ou a 10 para uma janela temporal de 500 segundos.
3.3.6
Problemas de integridade
As altera¸c˜oes do modelo de bases de dados s˜ao momentos importantes e raros em muitas infra-estruturas maduras. Ap´os uma opera¸c˜ao deste g´enero ´e importante verificar poss´ıveis aumentos do n´umero de erros relacionados com o desconhecimento do modelo. Este tipo de acontecimento pode ocorrer tanto em cen´arios de ataque como de erro fortuito. Em qualquer caso, considera-se para cada utilizador, um n´umero de eventos relacionados com CRUD e erros desconhecimento do modelo superior a 3 para uma janela temporal de 20 segundos ou superior a 6 para uma janela temporal de 500 segundos.
3.3.7
Fuga de informa¸c˜ao e problemas de eficiˆencia II
Uma situa¸c˜ao conhecida de fuga de informa¸c˜ao sob a forma de v´arios pedidos a uma fonte de informa¸c˜ao que partilham a mesma estrutura onde apenas se alteram coeficientes ou vari´aveis que servem para indexar conte´udos para assim extrair in- forma¸c˜ao de forma massiva. Estes problemas tamb´em podem resultar da actua¸c˜ao de aplica¸c˜oes pouco eficientes. Uma forma de detectar estes casos consiste em agre- gar todos os pedidos efectuados pela sua forma e sua origem e tentar encontrar intercep¸c˜oes nestes dois conjuntos que formem, tamb´em elas, um conjunto conside- ravelmente grande para uma dada janela temporal.
Como referˆencia para este caso, considera-se excessiva frequˆencia valores superi- ores a 8 para uma janela temporal de 20 segundos. Assim se podem detectar muitos pedidos do mesmo tipo a partir da mesma origem num espa¸co curto de tempo.
Cap´ıtulo 3. An´alise de acessos a fontes de informa¸c˜ao 21
3.3.8
Acessos a partir de origens desconhecidas
Em muitas situa¸c˜oes tˆem-se fontes de informa¸c˜ao em produ¸c˜ao internamente, onde ´e poss´ıvel saber a priori quais s˜ao as origens poss´ıveis e/ou expect´aveis para interagir com estas. Em caso positivo, pode-se considerar suspeito todo o acesso a partir de origens desconhecidas.
3.3.9
Problemas desconhecidos ou raros
Ao longo do tempo de utiliza¸c˜ao de uma fonte de informa¸c˜ao ´e normal ter-se um conjunto de erros que se repetem com, mais ou menos, frequˆencia. A varia¸c˜ao do n´umero de erros de cada tipo comporta-se muitas vezes de forma c´ıclica. Feito um levantamento destas mensagens para uma amostra significativa de tempo, torna- se poss´ıvel inferir para cada erro encontrado, se este ´e incomum e, eventualmente, in´edito. Este pode ser um sintoma de que algo invulgar e potencialmente lesivo, est´a a acontecer.