Escolar Documentos
Profissional Documentos
Cultura Documentos
informação.
Nesta disciplina vamos conversar sobre a defesa cibernética.
Convido você para que observemos a proteção cibernética sobre dois pontos de vista, o
ponto de vista de consultoria e o ponto de vista de cliente final.
Por hora, parece um tanto quanto confuso, mas acredite, observar a atuação de defesa
sob estas duas óticas fará você compreender como funciona o mercado de segurança da
informação.
Fique tranquilo, que ao longo deste material você vai entender melhor o que estou
querendo dizer!
Você pode estar se perguntando, mas o que é isso de Blue Team e Red Team, e se Blue
Team é “defesa” e Red Team é “ataque”, por que meu professor de defesa cibernética é
especialista em Red Team?
Para que você entenda melhor sobre o assunto, o conceito de War Games foi criado no
âmbito militar para que um time defensivo (Blue Team) realizasse a proteção cibernética e
o time ofensivo (Red Team) realizasse simulações de ataques cibernéticos para testar os
controles de segurança implementados pelo time de defesa.
2
Observe que neste modelo, por mais que a empresa ganhe com a contribuição dos dois
times, se o time ofensivo obtém sucesso na exploração de 2 falhas por exemplo, o time
pode acabar reportando uma falha de cada vez para ganhar duas recompensas… O que
faz com que a empresa não tenha 100% de aproveitamento desta atividade…
Por este motivo foi criado o que é chamado de Purple Team. Que é a fusão dos dois
times. Em muitas empresas, a prática do Purple Team faz parte de uma war room em
momentos de resposta à incidentes e momentos de preparação de operações de
simulação de adversário, com objetivo de testar controles cibernéticos.
Se você está no começo da sua carreira, com certeza você tem bastante tempo ainda
para decidir se irá se especializar em ataque ou defesa.
Você pode estar se perguntando, ué… mas se o Red Team ataca a rede como isso pode
se enquadrar em defesa cibernética?
Agora que estamos apresentados, vamos seguir com nossa aula que tem bastante
conteúdo para você esquentar a cabeça daqui para a frente hein?!
Eu não sou o tipo de professor que vai te passar 200 atividades e te cobrar entrega para
que você obtenha nota para ser aprovado...
Sou o tipo de professor que vai te passar 400 atividades se você de fato quer aprender e
está buscando referência! Mas não vou “te obrigar” me entregar algo. Então daqui para
frente, vou passar atividades para você fazer em quanto explico determinado tema, porém
as atividades não serão obrigatórias.
Cabe a você definir se quer se aprofundar ou não nos temas propostos.
Vamos nessa!
3
APT – Advanced Persistent Threat
Você com certeza já ouviu falar de grupos de APTs e talvez não se deu conta, como por
exemplo no malware Wanna-Cry, que explora a vulnerabilidade MS_17010, o objetivo
principal do malware era a propagação e criptografia do disco no ambiente para
solicitação de resgate (ransomware).
Porém o que chama atenção neste ocorrido, é que o exploit (Eternal-Blue e Eternal-
Romance) aparentemente foi exfiltrado da NSA (National Security Agency).
Você pode entender um pouco mais sobre as especulações no podcast da Dark Net
Diares, que relata um pouco sobre a Shadow Browkers, que é um grupo de APT.
https://podcasts.apple.com/us/podcast/shadow-brokers/id1296350485?i=1000459172458
Ataques recentes como por exemplo o exploit encontrado no produto da Solar Winds –
Orion (CVE-2021-3109)
https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html foi encontrado em
diversos IOCs (Indicadores de comprometimento, falaremos mais sobre isso adiante), que
demonstram que dados estariam possivelmente sendo exfiltrados devido à esta falha no
produto.
Levando em consideração que diversas grandes empresas utilizam este produto, observe
que conseguimos identificar neste tipo de atuação um comportamento padrão em APTs,
que é explorar falhas em serviços críticos e amplamente utilizados. Geralmente APTs
utilizam o que chamamos de zero day, que são falhas que ainda não obtiveram uma
correção efetiva por parte do fabricante, ou ainda não foi criado medidas compensatórias
no ambiente para que o mesmo não seja explorado.
O setor de contra inteligência do governo dos Estados Unidos publicou informações sobre
o grupo.
(Repare que APT 41 não é o nome do grupo, os APTs que estão sendo monitorados são
categorizados por números. Sugiro que você pesquise sobre o tema!)
4
Como atividade sobre APT, pesquise também sobre Stuxnet. Este evento que ocorreu nas
usinas nucleares do Irã mostra detalhadamente como é o modus operando de um APT.
Vulnerabilidades em Softwares
É importante que você tenha em mente que nem sempre será possível aplicar correções
em determinados ambientes!
Você deve estar se perguntando, então por que não atualizamos o sistema operacional?
Geralmente sistemas legados, são legados por que softwares ou hardwares que
dependem deste ativo não suportam atualizações.
5
Por exemplo, é muito comum em 2021 encontrar sistemas com Windows XP em redes
industriais. Pois por exemplo, existem sistemas de esteiras, caldeiras e outros ativos de
OT (Rede Industrial) que não são compatíveis com sistemas modernos.
Na indústria o que chamamos de chão de fábrica, é onde se encontram os PLCs, entre
outros hardwares, porém, estes equipamentos são controlados pelo que é conhecido
como Interface Homem Máquina ou Supervisório.
Este tipo de equipamento de supervisão geralmente se trata de um Windows embebed, e
acaba sendo muito mais caro para o business pagar pela atualização de todo o processo
de esteira como neste exemplo, do que preparar o ambiente para que se torne mais
seguro.
Então você deve estar se perguntando, mas se o sistema não recebe atualização do
fabricante mais, como podemos aplicar proteções?
Você precisa ser criativo na defesa cibernética, pois novamente, você vai se deparar com
diversos cenários onde você não terá a oportunidade de atuar “da maneira correta”, que
no exemplo acima seria atualizar o SO.
Você pode contar com algumas tecnologias como por exemplo Firewalls Next Generation,
EDR, Ferramentas de monitoramento ativo, entre diversas outras técnicas.
Recomendo que como atividade, você pesquise sobre o tema e elabore um pequeno texto
expressando como você atuaria na proteção deste ambiente.
Case:
Você se deparou com uma rede industrial acessível da rede corporativa da empresa
Batata Corp.
Este acesso permite que você acesse diretamente da rede de TI um sistema de
supervisão de aquecimento de caldeiras na rede de OT.
Repare que este sistema existe pois se a caldeira passar de 500 Graus Celsius ela
superaquecerá, e caso ultrapasse 700 graus existe risco de contaminação dos
colaboradores.
O sistema que faz a supervisão dos PLCs está rodando em um sistema Windows XP
embebed e não pode ser atualizado pois toda a estrutura de caldeiras não suporta um
supervisório mais moderno.
Você como profissional de defesa cibernética precisa proteger este ambiente... O que
você faria?
Se você não tem ideia de como proteger o ambiente sem a necessidade de atualização
do SO, por hora vou te dar uma possível resposta.
Após a conclusão, você provavelmente obterá o mindset suficiente para “se virar” em uma
situação parecida com esta…
6
Se prepare, proteger um ambiente cibernético não é nem um pouco simples na vida
real!
Possível Resposta:
A rede industrial não deve ser acessível a partir da rede corporativa, justamente pelo fato
da rede industrial ser “mais sensível”. O conceito que precisamos aplicar aqui é o conceito
de Segmentação.
Mais adiante falaremos sobre segmentação. A princípio, uma boa maneira de impedir que
exista movimento da rede corporativa para a rede industrial é a aplicando uma
segmentação via firewall.
Não existe motivo plausível para a rede corporativa acessar a rede industrial, então esta
segmentação pode ser de fato restritiva.
Então para resolver o problema do sistema que não pode ser atualizado, existem
softwares de antivírus que aplicam patchs virtuais. Proteções avançadas de endpoint que
atuam com heurística podem proteger ataques em tempo de execução, porém geralmente
em sistemas legados quando se trata de Windows embebed principalmente, não
podemos alterar o ambiente do sistema operacional, logo a aplicação de um sistema de
anti-virus pode “crashar” o ambiente…
Não entendeu?
Lembra que vamos observar a segurança defensiva sob duas perspectivas, consultoria e
cliente final?
É importante compreender que geralmente cliente final tem um processo demorado para
contratação de softwares e serviços. (Cliente final são empresas que tem a finalidade
atender o público, por exemplo uma empresa que produz frango é um cliente final. Uma
consultoria pode atender um cliente final. Por exemplo a Coca Cola é um cliente final, a
IBM é uma consultoria.)
7
Em quase 100% dos casos existe um time de compliance que estabelece regras de
negociação para evitar que colaboradores sejam “comprados” por fornecedores.
É muito comum consultorias e fabricantes levarem os profissionais de segurança da
informação dos clientes finais para almoços, jantares, festas, eventos e etc…
Os times de compliance das empresas estabelecem regras para evitar que exista
corrupção.
É muito comum que seja necessário que o analista de cyber security ao contratar um
software ou produto precise assinar um NDA com o fabricante.
Boa parte das empresas pede que você teste ao menos 3 fabricantes do mesmo tipo de
solução.
Depois da assinatura do NDA, você inicia o processo de POC (Proof of concept). Ou seja,
você vai experimentar o produto para anotar suas impressões.
Geralmente uma POC precisa de infraestrutura, então lembre-se que durante POC de
soluções, muitas vezes você vai precisar provisionar ambientes, e isso tem custo!
Durante o processo de POC você poderá testar a solução completamente, conhecer
todos os detalhes e tirar todas as suas dúvidas.
Lembre-se de fazer anotações sobre os pontos positivos e negativos, pois você vai
precisar comparar com outras soluções para definir qual se encaixou melhor
tecnicamente.
Ao final das POCs você terá um documento de benchmark entre os players que você
testou. O que fará com que você tome uma decisão correta e embasada sobre a
contratação.
Contratar uma solução não pode ser algo impulsivo e baseado em gostos pessoais. Você
precisa de um embasamento técnico para a decisão final.
Para que você possa ter este embasamento, você pode enumerar tópicos em uma
planilha e dar nota de 1 a 3 para o tópico, ao final o tópico que obtiver a maior pontuação
vence.
Você como analista de segurança, não vai ter acesso a negociação financeira.
Geralmente é um time de suprimentos que faz este tipo de negociação. Em algumas
empresas um analista de segurança não pode nem receber propostas financeiras, e se o
fabricante enviar proposta para o analista, a empresa pode até demitir o funcionário que
recebeu proposta formal financeira, por motivos de compliance.
Você pode pedir o que chamamos de “Estimativa de Valores”. Isso será uma “Ideia
aproximada” do valor do produto. Assim você conseguirá pedir o budget necessário sem
receber a proposta formal.
8
Existem empresas que não tem este tipo de política, porém multinacionais e grandes
empresas em geral possuem este tipo de política! Antes de iniciar qualquer processo se
certifique de que está atendendo as políticas da empresa em que você trabalha! E caso
você comece a trabalhar em uma consultoria, certifique-se de que o analista que está em
contato com você pode receber uma proposta formal antes de enviar!
Estranho né?!
Mas é muito comum que um time de MSSP (Managed Security Service Provider) de uma
consultoria faça a gestão dos firewalls, SIEM, DLP, Casb, WAF e etc… E os analistas de
segurança defensiva que atuam neste cliente final somente façam projetos, analises e
coordene os parceiros. (Consultorias e Fabricantes).
Por exemplo, Empresas grandes tem filas de chamados. Nestas filas eles podem receber
solicitações de criação ou alteração de regras de firewall.
O analista vai analisar a solicitação, entender se faz sentido ou não e aprovar este
chamado.
Então o chamado é direcionado para o parceiro (MSSP) e o parceiro (consultoria) é quem
vai executar a alteração no ambiente.
Outro exemplo; O software de antivírus está barrando uma planilha com macro do time de
engenharia de CIEX, eles precisam da planilha e eles mesmos desenvolveram a macro
para automatizar cálculos complexos. Porém o AV parou a execução do macro deles pois
para antivírus macros são consideradas maliciosas by default, e está impactando no
transporte de insumos de 3 regiões no país.
Geralmente existe uma cadeia complexa por trás das estruturas de grandes
empresas!
9
Este sistema se conecta via VPN client-to-site com o data center principal da empresa
XPTO que fica localizado na França.
Este field entende que pode ser um problema de roteamento e direciona o chamado para
o time de telecom.
O time de telecom por sua vez faz o troubleshoot e percebe que ouve uma change no dia
anterior aprovada no comitê de mudanças para atualização do Windows Server 2012 que
hospeda o sistema de análise laboratorial para o sistema Windows Server 2019.
Como o time de telecom não conseguiu resolver o problema, foi aberto uma war room
para entendimento do ocorrido.
Nesta war room os especialistas de operações de TI, Telecom, Data Center, Segurança
da Informação, Arquitetura e Engenharia Industrial se reúnem em uma sala e tentam
entender o problema para colocar a operação crítica que está com problemas no ar
novamente.
Nesta war room o time de operações informa as alterações realizadas na change que
ocorreu na noite anterior e o plano de roll-back não precisou ser implementado pois o
analista de TI responsável validou a alteração no ambiente e autorizou o encerramento da
change.
Então o analista de segurança solicita uma change emergencial para a criação da regra
de firewall no perfil de VPN do sistema de vacinação. Esta autorização passa pelo
Gerente Executivo de TI e é enviada para o parceiro de MSSP para que seja criada a
regra de firewall.
Se você deseja “pôr a mão na massa” não trabalhe em cliente final, pois dificilmente você
vai ter permissão para dar um commit em um firewall por exemplo.
10
Na consultoria o trabalho também é complexo, por mais que a consultoria só receba os
chamados, eles também monitoram e mantem o ambiente, atividade que exige 24/7 horas
de atenção.
Uma rede corporativa de grande porte geralmente possui arquitetura full mesh, ou seja,
são várias redes interligadas via MPLS e VPN e possui uma DMZ e pode ter diversos
datacenters.
Você vai conhecer os mecanismos de segurança que podemos implementar nestas
grandes redes nos próximos capítulos!
Sugiro que você pesquise sobre MPLS, quais são os principais players de MPLS, o que é
SD-WAN, quais são os principais players e entender o que é uma rede full mesh.
Você provavelmente já ouviu falar de assinaturas e vacinas. Lembra de ter escutado “as
definições de vírus foram atualizadas”? Se não talvez eu esteja ficando velho… rs.
Você vai ver várias literaturas te explicando diferença de worm, malware, virus, e etc…
Não vamos entrar neste aspecto, até por que boa parte das ameaças de hoje possuem
comportamentos de malware. Buscam ser indetectáveis, se propagam explorando falhas
e podem desde exfiltrar dados, até sequestrar dados como no caso dos tão famosos
ransomwares.
Existe um processo muito utilizado por hackers que é a utilização de packers e cripters
para ofuscar um binário.
Então se por exemplo o antivírus detectou que o ransomware Wanna-Cry estiver presente
na máquina ele deve ser removido como uma ameaça. Para que isso seja possível, os
analistas deste produto antivírus pegaram o executável deste malware e utilizaram
trechos do binário para criar um reconhecimento para ele. Por isso que ao executar uma
varredura o AV consegue detectar o vírus.
Então se este vírus é executado, o AV já tem mapeado qual é o nome dos processos que
ele vai abrir, logo se um processo com o nome X for aberto, isso é um aviso para o AV
que o malware está rodando.
11
Repare que isso é possível por que este malware já é conhecido certo?
E se eu criar meu próprio malware, como este antivírus vai detectar ele???
Atualmente existem soluções que são conhecidas por EDR – Entpoint Detection and
Response.
Você vai ouvir falar muito sobre Endpoint! Neste caso considere um Endpoint as
máquinas que os colaboradores utilizam no parque.
Este tipo de solução tem a capacidade de análise heurística. Não isso não é uma mágica
milagrosa como os vendedores vão te falar!!! rs.
Análise heurística é simplesmente análise de comportamento do sistema operacional.
Ou seja, quando algo acontece, o EDR analisa o comportamento, e se o comportamento
é suspeito o EDR vai parar a execução.
Agora um EDR tem esta capacidade, pois quando o invasor realizar o JMP ESP e alocar
o shell-code em memória na aplicação, o EDR está analisando todo o ambiente, isso
inclui análise de memória em tempo de execução. Ou seja, este comportamento é
claramente uma execução de Buffer Overflow. Logo, o EDR para a execução antes
mesmo da alocação do Shell-code nos registradores do processador…
Alguns vendedores de solução vão dizer para vocês que a ferramenta deles é milagrosa e
para qualquer zero day… (zero day são falhas que ainda não foram corrigidas.)
Porém como especialista em Red Team, garanto para você que não existe software que
não possa ser burlado… Mesmo a análise heurística possui falhas, pois as soluções de
EDR dependem de algumas libs do sistema para funcionar! Quer ver?
Você vai ouvir falar muito sobre o Gartner, inclusive é uma das métricas que você irá
utilizar para escolher uma solução em um projeto. Você geralmente vai analisar o
quadrante mágico do Gartner.
Vou te contar um case onde eu consegui bypassar uma proteção de EDR, somente para
que você entenda que não existe bala de prata! Estas soluções são de fato incríveis, e te
trarão uma boa proteção. Mas fique esperto, não existe almoço grátis… (mesmo que o
fabricante do EDR te leve para almoçar as vezes kkk).
Existe uma tool que hackers utilizam para enumeração e busca de falhas em redes
Microsoft chamada BloodHound.
12
Certa vez, eu estava em uma operação de Red Team e o time de Defesa contratou uma
tool de EDR nova. Ouvi em uma reunião que era “impossível” que invasores
conseguissem rodar códigos maliciosos pois a tool é top Gartner e a heurística não
deixaria…
Então eu realizei a análise da tool, meu objetivo era executar o BloodHound e enumerar o
domínio.
Qualquer solução de antivírus corporativa minimamente configurada pega a execução do
BloodHound pois ele faz diversas queryes SMB, LLMNR, LDAP e etc.
Mas sabe por que? Ele estava utilizando uma API do Windows chamada AMSI –
Antimalware Scan Interface.
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
E obviamente isso não é um problema, lembra que eu falei que os EDRs utilizam APIs do
Windows para realizar os monitoramentos?
Seguindo nesta linha, existem algumas técnicas de bypass de AMSI. Não vou explicar
qual técnica utilizei, pois, este tema é complexo e não cabe nos tópicos desta disciplina.
Seguindo esta técnica de bypass do AMSI, eu consegui desabilitar esta função
temporariamente. Ou seja, o que eu executava no powershell não era mais visto como
malicioso pois a API do Windows que identifica o que está sendo executado foi
desabilitada durante o ataque.
Moral da história, o EDR top1 do Gartner que custou uma Ferrari e meia por ano, pode
ser bypassado por que exploramos uma falha no Windows que permitiu a execução de
um script ps1 sem “parecer” malicioso…
Isso que estou contando para você, não é para menosprezar a tool de EDR, muito pelo
contrário! Estas tools são infinitamente superiores a AVs convencionais!!!
Este foi somente um exemplo para que você saiba que não existe bala de prata. Mesmo a
tool sendo a melhor tool disponível no mercado, não basta somente que a tool esteja ali
para que o ambiente seja protegido.
Está querendo saber como protegemos o ambiente se só o EDR não deu conta né?
Criamos uma regra no SIEM pegando logs do Endpoint via ETW e Sysmon. O que
resolveu o problema do bypass de AMSI e tornou o ambiente um pouco mais seguro.
13
Não estou menosprezando os vendors também! Meu objetivo aqui é fazer com que você
se torne cético e não espere um ataque real para ver que as tools não fazem mágica!!!
Sabe estas APIs do Windows que eu citei? ETC, Sysmon, AMSI e etc? Você não precisa
decorar sobre elas! Existem muitas outras…
Conhecendo como o sistema funciona por dentro, você vai saber como monitorar ele,
como protege-lo e principalmente, nenhum vendedor te passará a perna. =D
Você também precisa estudar Linux Internals e o mesmo vale para BSD, MacOSX e etc…
ETW:
https://docs.microsoft.com/en-us/windows/win32/etw/about-event-tracing
Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#:~:text=System%20Moni
tor%20(Sysmon)%20is%20a,changes%20to%20file%20creation%20time.
AMSI:
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
Este site aqui vai te ajudar MUITO sobre como proteger uma rede Microsoft:
https://adsecurity.org/
14
rebolar bastante para fazer ele atender as ameaças modernas, e infelizmente vai
perceber que pra isso vai precisar de uma bela grana…
Só para você entender o porquê isso é ruim, vou te dar um exemplo de uma invasão
bypassando uma regra de firewall comum:
Cenário:
O servidor SRVAPP01 está em uma DMZ e existe uma regra de firewall que ele
pode ser acessado somente na porta 80 e 443 statefull, ou seja, tanto entrada como
saída. Este servidor se comunica com a internet e etc, porém todo tráfego de saída
somente pode acontecer pela porta 443 e pela porta 80.
Você está pensando, pronto, um invasor não vai conseguir uma conexão reversa com
este server certo?
Exploração:
O hacker explora uma falha de RFI – Remote File Include no php da aplicação que
roda no server SRVAPP01, então por meio da execução remota de código php, o invasor
insere um arquivo php que abre uma conexão via socket com o servidor dele pela porta
443.
Como o nosso server pode sair pela porta 443 e nosso firewall não inspeciona o
protocolo, ou seja, não verifica se de fato o que está passando é o que diz ser, o invasor
obtém uma conexão reversa com o nosso servidor.
No caso demonstrado acima, o invasor também exploraria o RFI (daqui a pouco você vai
aprender proteger isso também). Porém ele não conseguiria o que chamamos de call
back…
Ou seja, a conexão reversa não iria acontecer pois o firewall analisaria o pacote que está
sendo enviado e entenderia que não se trata de uma requisição HTTP e sim uma
comunicação socket.
Fora que NGWFs trabalham com liberação de URL por URL Filtering…
Para você fazer algo parecido com o PfSense, você precisaria de um proxy Squid + um
IDS Snort + regra de firewall.
Aí você pensou; - Então não preciso contratar um NGWF, pois se eu posso configurar um
Squid + Snort…
15
comportamento malicioso, assinatura de ataques, black list de IPs com reputação
comprovada maliciosa, correlação de eventos, Gestão unificada de firewalls, ou seja, você
pode ter 300 firewalls controlados por um único painel… (300 foi um exemplo, este
número é infinito).
Você pode contar com inspeção de tráfego SSL, ou seja, você pode abrir o tráfego para
saber o que tem dentro mesmo que esteja cifrado com SSL, e caso você não consiga
abrir pode dropar a request.
NGWFs possuem proteções para ataques de negação de serviço, como por exemplo
DNS SynkHole e etc…
Estes firewalls custam caro pois de fato fazem uma baita diferença na infra!
Mas lembre-se não existe bala de prata! Por mais que estes firewalls sejam
maravilhosamente poderosos, eles também possuem falhas!
Este tipo de firewall tem sistema operacional proprietário e em alguns casos até hardware
proprietário.
Como exercício, procure quem são os principais players de firewall e quais estão à frente
do quadrante mágico do Gartner.
Como exercício, simule que está fazendo uma pesquisa para contratação de firewalls
para a empresa que você trabalha, então procure 3 fabricantes, crie uma planilha e faça
uma análise de cada um deles como te expliquei ali em cima…
Veja os pros e contras, o que um fabricante faz que o outro não faz e etc…
Você pode estar pensando, nossa mas custa muito caro pagar 3 milhões por ano para ter
uma infra toda com este firewall verdinho, ou então este outro israelense aí…
Lembre-se que seu papel como analista de defesa cibernética não é ver o preço das
coisas, e sim propor soluções poderosas de defesa! Quem tem que se preocupar se é
caro ou não é a empresa não a gente…
É difícil que sem experiência prévia você consiga trabalhar em consultoria atuando na
operação deste tipo de firewall.
Para você obter este tipo de experiência, ou você entra para um cliente final e se
aproxima do MSSP ou você tira certificações dos players!
Para começar, alguns players como Juniper e Fortinet possuem certificações gratuitas de
entrada. Mas mesmo assim, as certificações pagas de todos os players não são caras e
são um investimento que você deve fazer se quer um bom emprego!
16
Como atividade, observe no gráfico abaixo as certificações de players de firewall e
pesquise vagas que pedem estas certificações no linkedin.
Na arquitetura Zero Trust, como o próprio nome diz, não existe confiança! Você vai ter que
autenticar cada movimento!
Ou seja, não existe aquela coisa de RDP trust de uma máquina para outra sem digitar
senha, liberação ANY para ANY ou para qualquer destino… Ou seja, ao criar uma regra
de firewall, será descrito exatamente quais são os serviços que podem trafegar.
Você deve estar pensando, mas como vai fazer isso? Em cada criação de regra é feito um
troubleshoot para identificar quais são os blocks que estão ocorrendo e por fim é criado a
regra específica.
Não existe regra genérica em Zero Trust.
Os firewalls de borda fazem inspeção de SSL e se o firewall não tem chave privada para
abrir o SSL o pacote é dropado…
Repare que para se chegar neste nível é preciso uma grande maturidade!
https://www.paloaltonetworks.com/cyberpedia/what-is-a-zero-trust-architecture
Toda ferramenta de segurança pode ser utilizada como uma fonte para detecção de
ameaças. E não somente as tools de segurança, tudo que gera log pode ser utilizado para
esta finalidade!
17
É cada vez mais comum o uso de machine learning para a proteção cibernética.
Ferramentas de proteção modernas geralmente analisam o comportamento da rede e dos
usuários a fim de encontrar comportamentos maliciosos…
Você já deve ter ouvido falar de IDS/IPS (Intrusion Detection System e Itrusion Prevention
System).
À primeira vista parece bem funcional, mas hackers bypassam fácil este tipo de
mecanismo pois as assinaturas de patterns de ataques podem não conter os caracteres
enviados pelo hacker. O que causa um gap na proteção e possibilita que o hacker
obtenha sucesso na exploração enviando algo que o mecanismo de proteção não espera.
Não, pois estas tools modernas trabalham com machine learning e aprendem o
comportamento da rede, não somente fazendo a leitura de logs!
Por exemplo:
Se o João acessar uma máquina via SSH, concorda que não tem sentido com o dia a dia
dele?
18
João não é técnico, ele não sabe fazer um scan de portas, e se de repente João roda um
scan de portas utilizando powershell?
Logo, este tipo de tool consegue no momento em que o João executar o scan de portas,
barrar o comportamento dele…. Ou ao menos avisar o time de segurança, pois barrar
pode se tornar um problema grave em uma grande rede!!!
Percebe que as tools têm evoluído bastante? Isso é ótimo, mas nunca esqueça que não
existe bala de prata!!! Não caia nesta de que “esta tool resolve tudo”…
Segmentação
Por exemplo:
Existe um ambiente na rede que possui diversos servidores legados que não podem ser
atualizados pois se trata de um ambiente histórico.
Como é um ambiente histórico e a empresa não pode apagar os dados que estão lá, e
também não podem atualizar o ambiente pois não se pode mexer nas maquinas.
Você pode segmentar a rede de forma que quem está na rede corporativa não consiga
chegar nesta rede histórica!
Porém esta segmentação não pode ser feita com firewalls convencionais!!!
Olha esta cadeia de ataque que poderia acontecer se você estivesse utilizando um
firewall convencional:
(Este é só um exemplo!)
19
O hacker envia um malware na rede corporativa, de alguma forma este malware foi
executado.
Então este malware começa a movimentação lateral e durante os scans ele recebe a
resposta de um zero logon no windows server 2008 que está na rede histórica.
Então o malware se movimenta para o server e dumpa os hashs NTLM armazenados no
LSASS e utilizando a técnica de PTH – Pass The Hash ele se movimenta para o Active
Directory da rede corp, e com privilégio de Domain Admin ele criptografa toda a rede.
Se o Firewall que segmenta a rede fosse um NGWF o tráfego nem ao menos chegaria no
servidor Windows server 2008…
Lembra que o controle de tráfego acontece em nível de aplicação (Layer 7) e não porta
protocolo?
O firewall convencional bloqueia somente o tráfego via porta e protocolo, porém ainda é
possível bypassar este tipo de firewall utilizando diversas técnicas. Sempre priorize
atuação em Layer 7, pois dificulta bastante a exploração de falhas no ambiente.
Todo este procedimento de segmentação pode ser feito via software também…. Existem
softwares que fazem a segmentação e até nano segmentação a nível de kernel,
segmentando syscall no SO.
Mais adiante vamos conversar sobre cadeias de ataques, e você vai conseguir ver mais
exemplos de explorações!
20
é possível bypassar facilmente um WAF como eu demonstro nesta palestra que ministrei
para a OWASP de Brasília: https://www.youtube.com/watch?v=f0ErvZeTFVQ
A função do WAF como o próprio nome diz é um firewall de aplicação. Aí você está se
perguntando, mas se eu tenho um firewall que atua na camada de aplicação (NGWF) isso
substitui um WAF?
O firewall NGWF que conversamos atua no segmento de rede, e mesmo que ele faça
inspeção de pacotes em layer 7 (camada de aplicação) a atuação se limita em analisar o
pacote e entender se de fato o pacote enviado é o que diz ser!
Um WAF atua exclusivamente nos protocolos WEB e consegue atuar na aplicação como
um todo!
Por exemplo, um sistema WEB sem um WAF realizando a proteção pode sofrer diversos
ataques independentes de falhas de programação. Por exemplo, se um hacker envia
múltiplas requisições em um parâmetro da aplicação, um NGWF identificaria estas
requisições como válidas. Já um WAF identificaria como um possível ataque de negação
de serviço…. Pois o WAF consegue identificar o que é um comportamento humano e o
que é um comportamento automatizado.
Por exemplo, existem WAFs que conseguem identificar se um bot está requisitando
enviando um código javascript para o browser do solicitante, e caso o solicitante não seja
um browser o WAF bloqueia a request.
Vou dar um exemplo para vocês de algo que presenciei na atuação de um WAF.
Era véspera de natal, uma empresa com operação global estava sofrendo um ataque de
negação de serviço pesado no seu portal de vendas de produtos.
O WAF conseguiu identificar dentre as requisições quais eram de bots e quais eram de
clientes reais. Fazendo esta diferença, os clientes continuaram acessando o site como se
nada estivesse acontecendo, o tráfego dos bots foi direcionado para um synchole (um
endereço próprio para estancar o ataque).
Depois que o ataque foi finalizado a empresa recebeu uma alta conta do fornecedor do
WAF, porém a operação não foi impactada…
Os WAFs atuam por throughput, ou seja, por tráfego analisado. Como no exemplo acima,
a conta veio alta, pois para estancar o ataque de DDoS, um throughput alto foi
consumido.
21
Sem um WAF decente, o site teria caído pois o recurso não aguentaria as requests…
Logo depois a empresa recebeu também uma conta gigantesca… porém serviu de
aprendizado!
O WAF pode ser utilizado também como uma medida compensatória quando não é
possível no momento codificar uma proteção.
Por exemplo, vamos supor que a aplicação está vulnerável a SQL Injection, você pode
criar no WAF uma regra específica para o parâmetro vulnerável.
Mas nunca deixe que a empresa confie 100% no WAF! Como eu mostrei ali na minha
palestra, é possível bypassar mecanismos de defesa, basta ter tempo e vontade.
O WAF protege by default todos os ataques previstos na OWASP top 10. Se você não
tem conhecimento dos principais ataques web, recomendo que você realize a leitura dos
documentos da OWASP!!!
https://owasp.org/www-project-top-ten/
Como atividade, pesquise quais são os principais WAFs do mercado, faça uma análise do
quadrante mágico do Gartner e entenda diferença entre os produtos.
Existem firewalls de backend como por exemplo o modsecurity do apache que você pode
configurar no webserver, mas estes WAFs nem se comparam com o poder de um WAF
externo! Você vai ver como isso funciona quando estiver fazendo suas pesquisas.
Vazamento de Dados
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htmv
Porém lei de proteção de dados não é uma exclusividade do Brasil, por exemplo, na
Europa existe a GDPR, no oriente médio a KVKK entre outras.
O vazamento de dados é muito ruim desde sempre, porém hoje se tem uma atenção
maior devido as legislações que aplicam multas astronômicas caso os vazamentos
ocorram…
22
Quando estamos falando de vazamento de dados o pior cenário é o de espionagem
industrial…
Acredite, existem hackers contratados para obter segredos de empresas. Alguns hackers
o fazem por vontade própria e oferecem os dados obtidos para concorrentes, utilizam
estes dados para manipulação de ações na bolsa e as vezes até mesmo extorsão.
Alguns grupos de ransomware como por exemplo o ransomaxx, caso a empresa não
efetue o pagamento do resgate para de criptografia dos arquivos, eles vazam os dados da
empresa na sequência…
Existe um trabalho muito importante que deve ser feito que é a categorização dos dados e
criação de políticas internas de uso dos dados. Porém este tema não faz parte do escopo
desta matéria.
Existem diversas tools que fazem a proteção de dados que dificultam que um invasor ou
até mesmo um insider consiga exfiltrar dados.
Um insider pode ser desde um funcionário que não está feliz com sua posição e sente
vontade de fazer mal para a empresa, então abusa dos acessos que possui para vazar
dados ou destruir algo, até mesmo um hacker contratado para vazar dados que passa
pelo processo seletivo da empresa, começa a trabalhar, então exfiltra dados…
Um insider pode ser usado por um hacker sem saber também… Este processo tem que
ser analisado por um time de inteligência cibernética. Também não está no escopo desta
matéria!
Novamente, não existe bala de prata! Estas tools são ótimas, mas não entregue sua vida
a elas esperando que o Taffarel segure todas as bolas!
Então por exemplo, você pode criar uma regra que todo documento que contenha um
número de CPF terá o CPF ofuscado quando este arquivo for copiado (sim olha que da
hora, a tool consegue manipular o arquivo e colocar uma tarja no CPF). Isso pode ser
feito em números de cartão de crédito ou qualquer outra informação que você quiser.
23
O DLP pode identificar se um arquivo foi movido na rede. Por exemplo, vamos supor que
uma planilha que está categorizada como confidencial está no servidor de arquivos do
time de compliance. Somente 3 pessoas do compliance podem abrir esta planilha.
Se um user que não é um dos 3 autorizados abrir a planilha, ou se alguém tentar copiar a
planilha uma ação escolhida pelo administrador do DLP pode acontecer, desde bloquear o
usuário e enviar um alerta por e-mail para os responsáveis até explodir uma bomba na
cadeira do meliante.
Repare que as regras são criadas pelo administrador! Logo se você quiser por exemplo
que se caso alguém copie arquivos confidenciais para um pendrive por exemplo, seja
disparado um alerta para a segurança patrimonial deter a pessoa, seja bloqueado o
crachá e o usuário e o gestor imediato da pessoa seja acionado isso é possível com um
software de DPL.
Existe também DLP de hardware, como por exemplo alguns monitores são a prova de
fotografia!
Eu não encontrei o link deste relato, então vamos considerar como uma história fictícia.
Por mais que tenha acontecido de fato, como não encontrei a fonte vamos considerar
como uma história.
Desta maneira, o arquivo vazado publicado na internet foi analisado por peritos forense e
foi identificado quem foi o autor do vazamento.
Este tipo de tool é muito importante para empresas que possuem segredos industriais!!!
24
Basicamente o CASB faz o mesmo que o DLP porém na nuvem!
O DLP atua dentro da rede da empresa e consegue monitorar os arquivos dentro da rede.
Porém, quando estamos falando de nuvens públicas como One Drive, Drop Box, Google
Cloud e etc, é importante obter controle deste tipo de dado também.
O CASB faz exatamente a mesma coisa que o DLP em ambiente de nuvem. Ofuscar
dados sensíveis, regras de movimentação de dados, etc…
Bacana que o CASB auxilia também na gestão de containers de dados como blobs na
Azure, Buckets S3 na AWS e etc.
Como atividade, pesquise sobre DLP e CASB, faça uma comparação entre os principais
players, pesquise quais são os top players do quadrante mágico do Gartner e pesquise
sobre casos de vazamento de dados.
Proteção de Dominio
Para uma empresa é muito importante que seja feito o que chamamos de Brand
Protection. Que é a proteção da marca na internet.
É muito comum que páginas fake sejam criadas para ludibriar pessoas em nome das
grandes empresas.
O serviço de take down acontece quando uma página fake precisa ser derrubada por não
fazer parte realmente do planejamento da empresa.
Mas não é tão legal quanto parece, não são hackers que vão lá e derrubam a página!
Seria legal se fosse, mas isso é crime segundo o artigo 154-a do código penal Brasileiro.
Geralmente funciona no primeiro contato! Estas empresas de take down tem uma boa
reputação e conseguem resolver rapidamente.
Você como um analista de defesa cibernética pode criar regras para monitoramento da
sua marca via dorks.
25
Inclusive você pode utilizar dorks até mesmo para encontrar falhas nos sistemas que você
possui publicados para a internet.
Não sabe o que é dork? Como atividade pesquise sobre google dorks.
Você com certeza já ouviu falar de e-mails ou sms ou qualquer tipo de mensagem falsa
que tenta enganar as pessoas.
Os hackers utilizam uma técnica chamada engenharia social para criar falsa impressão de
que a mensagem recebida é de fato verídica.
Mas vamos ao que interessa, você provavelmente já conhece este termo, caso não
conheça faça uma pesquisa sobre!
O objetivo aqui é te mostrar como se proteger deste tipo de ataque, pois quando você
estiver no dia a dia no mercado vai precisar se preocupar com isso!
Algumas tools protegem o servidor de e-mail, como por exemplo o produto safe-links da
Microsoft que auxilia na análise dos links que estão presentes no corpo do e-mail que foi
recebido.
A esta altura do campeonato você deve estar pensando, mas com certeza da para
bypassar né?
Acertou! Rs
https://thehackernews.com/2018/05/microsoft-safelinks-phishing.html
Ai você está pensando, mas tudo que a gente fala aqui dá pra bypassar… Exato, isso é a
graça do nosso trabalho! Lembrem-se não existe bala de prata!!!
Isso não significa que você não deve utilizar as tools, muito pelo contrário, você deve sim!
E deve combinar tudo que estamos falando aqui sempre que possível!
Voltando ao nosso phishing, se somente uma proteção de links não é suficiente, ajuda,
mas não é suficiente, o que mais posso fazer?
Existe uma opção no exchange e no office365 que você pode criar uma tag de e-mail
externo! Assim todo e-mail que chegar de fora do seu domínio vai exibir uma mensagem
para o usuário prestar atenção no conteúdo do e-mail pois ele veio de uma fonte externa
a companhia.
https://techcommunity.microsoft.com/t5/exchange-team-blog/native-external-sender-callout
s-on-email-in-outlook/ba-p/2250098
26
Claro que não adianta somente confiar em tools neste caso!
E isso pode ser feito de uma maneira bem simples! Basta criar comunicações com os
colaboradores, enviando e-mails explicando como um phishing funciona, como se
defender, como os fraudadores trabalham e etc…
Você pode fazer palestras para os funcionários, reuniões rápidas explicando o tema e
principalmente disponibilizar um canal para que os colaboradores possam verificar se um
e-mail é phishing ou não, podendo submeter o e-mail para análise e até mesmo reportar
casos de ataques para que o time de segurança possa efetuar os devidos bloqueios.
Como atividade procure sobre phishing e como os atacantes utilizam este tipo de técnica
para obter acessos a redes corporativas!
Você pode estar se perguntando, mas de onde o invasor consegue uma lista dos meus
endereços?
Existem tools que ajudam a procurar pelo padrão de e-mail utilizado no alvo, como por
exemplo:
https://hunter.io/
O que você pode fazer para combater ataques direcionados para diretores e cargos
executivos ou críticos para a empresa, é criar uma forte campanha de conscientização
deste público!
Assim você terá uma maior segurança das informações críticas.
Lidar com o C-level é complicado, pois geralmente eles não estão “muito aí” para a
segurança, então você precisa saber muito bem como falar com este público!
Faça eles entenderem que a segurança da empresa depende deles também e use
exemplos do mundo real que causaram impacto financeiro para a companhia!
Como atividade, crie uma arte de conscientização sobre phishing e faça uma publicação
em seu linkedin conscientizando as pessoas sobre como se proteger de phishings e como
analisar se um e-mail é verdadeiro!
27
Mande para sua mãe, tia, tio, avó, se as pessoas que não trabalham com tecnologia
próximas a você entenderem sua mensagem, você aprendeu como fazer security
awareness.
DevSecOps e APPSec
Aí que mora o perigo! As squads estão desenvolvendo os softwares que serão utilizados
pela empresa. Mas aí devemos perguntar, e a segurança? Será que estes softwares não
estão vulneráveis?
Você deve estar pensando, mas se a empresa tem vamos supor 37 softwares sendo
desenvolvidos… como olhar para todos eles?
Geralmente uma esteira de DevOps convencional vai receber os commits dos devs,
analisar a qualidade de código, caso aprovado o pipeline envia o commit para QAS. No
ambiente de qualidade é realizado os testes de software, então é transportado para um
servidor de homologação e depois das validações necessárias é enviado para PRD
(produção).
Muitos commits são realizados por dia… Como Vamos garantir que este código está
seguro?
Para fazer a análise desta aplicação em quanto ela está sendo desenvolvida, não é tão
difícil como parece!
28
Como o próprio nome sugere, esta é uma análise estática de código.
Ou seja, é uma análise de código fonte para busca de vulnerabilidades.
Por exemplo, para uma vulnerabilidade de SQL Injection acontecer, é necessário que uma
query SQL seja executada pelo backend da aplicação sem que o conteúdo do payload
seja validado.
Ou seja, o conteúdo que é inserido pelo usuário é inserido ou consultado no banco de
dados sem passar por alguma função de validação.
Então se a aplicação não faz este tipo de validação, se faz possível injetar comandos no
banco de dados.
Durante a análise SAST este tipo de falha é facilmente identificada pois, se é default da
linguagem utilizada que toda manipulação de querys de banco de dados seja analisada
pela função criada para tal, se o desenvolvedor não a utiliza, o mecanismo de análise
consegue identificar a falha.
Ou se por exemplo o desenvolvedor não faz as devidas validações este processo também
será “pego”.
Então você deve estar se perguntando, este tipo de análise vai deixar a aplicação sem
nenhuma falha?
Não existe aplicação 100% segura, até por que como em todos os exemplos que
comentamos até o momento, o fator humano sempre fará com que softwares possam ser
subvertidos ou bypassados.
Neste caso esta análise é realizada novamente por assinatura, ou seja, existe uma serie
de strings que quando identificadas geram um padrão na tool durante a análise que faz
com que o código vulnerável seja identificado.
29
execução para que scaners de vulnerabilidades consigam buscar por possíveis vetores de
ataque.
Por exemplo, o Exploit DB é um repositório público de exploits e pode ser utilizado como
uma das fontes para estas tools.
https://www.exploit-db.com/
Estas tools vão buscar por versões de serviços utilizados, tecnologias utilizadas, e por
meio destas analises, a tool faz a busca de CVEs para possíveis explorações destes
serviços.
Por exemplo, se a análise DAST identifica que a aplicação está rodando com um
framework Struts no Java, a tool vai buscar exploits existentes para este framework.
Vamos supor que o Struts utilizado está na versão 2.3.34. A tool vai trazer como retorno
que possivelmente a aplicação está vulnerável a uma falha de RCE – Remote Code
Execution. CVE-2018-11776
https://www.exploit-db.com/exploits/45260
Repare que este procedimento pode trazer o que chamamos de falso positivo. Ou seja,
esta pode não ser de fato uma falha!
Vamos supor que de fato este struts esteja na versão 2.3.34, porém ao não conseguir
atualizar a versão o time de operações de TI em conjunto com o time de cybersecurity
criou medidas compensatórias para a proteção do ambiente, e ao se executar o exploit
para esta falha os mecanismos de defesa atuam e o exploit é parado em tempo de
execução.
Repare que mesmo ainda “existindo” a falha, as medidas compensatórias estão de certo
modo protegendo o ambiente. (Nunca confie em medidas compensatórias, um hacker só
precisa de tempo e esforço para bypassar qualquer mecanismo de defesa!)
Neste caso você provavelmente já entendeu qual é o problema de uma análise DAST. Por
mais que seja efetivo até certo ponto, e torna o pipeline capaz de identificar possíveis
falhas que não foram pegas na análise SAST, este não é um processo que sozinho
garante segurança da aplicação.
30
Geralmente as tools mais completas que são oferecidas para o mercado, fazem análise
SAST na IDE do desenvolvedor antes mesmo de o código ser enviado para a esteira.
Desta maneira, se o desenvolvedor codifica algo que esteja vulnerável, ele será avisado
em tempo de desenvolvimento.
Assim que este dev faz o commit (envia o código que ele desenvolveu para o pipeline),
antes do código ser enviado para o repositório de homologação, a tool de análise SAST
faz novamente uma análise do código commitado, e se caso existe alguma
vulnerabilidade o código é devolvido para o dev.
Caso seja aprovado é enviado para homologação e segue o fluxo de qualidade e testes
normais de uma esteira.
Agora a gente entra no processo de PenTest. Não é escopo desta matéria de defesa
cibernética explicar como funciona um PenTest, porém basicamente um analista de
PenTest vai reproduzir a exploração de possíveis falhas que ele mesmo vai identificar na
aplicação e irá gerar um relatório.
Este relatório demonstra como a exploração aconteceu e o que precisa ser feito para
correção.
Então, este PenTest é executado neste ambiente de homologação. Em boa parte das
empresas que possuem uma maturidade de segurança considerável, o software não pode
ser transportado para produção se não estiver OK com o PenTest realizado.
Após a devolutiva do time de PenTest que manualmente testou a aplicação, a squad irá
corrigir os problemas apontados e será submetido para um retest.
Sim, toda feature desenvolvida, mesmo que seja um simples formulário ou página estática
precisa passar pelo processo de PenTest antes de chegar em produção.
Tendo em vista que tudo foi corrigido ou riscos foram assumidos, a aplicação segue no
pipeline para a produção.
No ambiente de PRD é realizado novamente uma analise DAST.
Você pode estar se perguntando, mas por que uma nova análise se já foi testado em
homolog?
31
A nova análise DAST em PRD irá encontrar possíveis novas falhas, e depois de
corrigidas, novamente um time de PenTest irá realizar testes em produção.
Repare que todo este processo é bem complexo e custoso. Porém quando bem
implementado a aplicação terá uma maturidade de segurança considerável.
https://owasp.org/
Como atividade, pesquise quais são as principais ferramentas de APPsec, quais são os
principais players apontados pelo quadrante mágico do Gartner, e crie uma planilha de
benchmark sobre features das tools.
Correlação de Eventos
Até por que como um profissional de defesa cibernética, você precisa atuar de alguma
forma quando algo assim ocorrer…
Tudo que existe na rede pode ser utilizado como uma maneira de se coletar eventos!
Lembre-se, como sempre digo, não existe uma bala de prata! Porém você pode criar
regras eficientes que de certo modo podem te auxiliar na proteção do ambiente.
32
Obviamente aconteceu um comprometimento desta workstation, pois esta conexão
remota não deveria estar acontecendo…
Porém somente saber que ela foi comprometida não é o suficiente, precisamos saber de
onde veio o ataque certo?
Repare que estamos analisando somente uma fonte de eventos, que neste caso é o
Windows desta workstation…
Para entender melhor o que aconteceu, outras fontes de eventos precisam nos informar o
que está acontecendo.
Até aí você pode deduzir que talvez tenha acontecido um ataque de phishing, mas isso
ainda não é conclusivo.
Você precisa de mais eventos para ter certeza do que está acontecendo!
Então você analisando os eventos do firewall de borda, você pode observar que o
endereço da workstation efetuou diversas tentativas de conexão na porta 443 para um
endereço Chinês que foi bloqueado pois entrou na regra de ação maliciosa, já que a
tentativa de conexão não era de fato uma requisição HTTP e sim uma comunicação via
socket…
Você consegue deduzir que este comportamento malicioso tentou se comunicar com a
rede externa e os serviços de firewall bloquearam a requisição.
Mas então por que existe comunicação tcp aberta na máquina? Este processo injetado
está abrindo comunicação reversa com quem?
Você precisa de mais eventos!
Você percebe então que outra workstation está respondendo o processo na máquina
comprometida, e elas estão se comunicando na porta 445.
Você recebe um evento mostrando que a segunda máquina está com o processamento
extremamente alto, e ao verificar você percebe que a máquina está criptografada…
Não vou continuar descrevendo o ataque, você já entendeu que tem um ransomware
acontecendo e a fonte foi um ataque de phishing, provavelmente por uma macro
infectada!
Por que dei toda esta volta para demonstrar um trecho de ataque?
Reparou que tudo que percebemos veio de eventos coletados por diversos mecanismos
na rede?
33
A correlação de eventos é o que vai te fazer compreender o que está acontecendo e vai
te dar base para conseguir agir!
O grande problema neste caso é que licenciamento de SIEM não é barato, e geralmente
tools profissionais atuam com licenciamento por eventos. Logo cada evento que acontece
consome uma porcentagem de licenciamento…
Repare que para que o SIEM funcione de uma maneira interessante você vai precisar de
diversas fontes de envio de eventos! Esta não vai ser uma tarefa fácil, geralmente leva
alguns anos para que se obtenha uma maturidade considerável para o processo como um
todo.
Como atividade recomendo que você procure por quais são os principais fabricantes de
SIEM do mercado e faça uma comparação entre as features oferecidas.
34
Ou seja, o SOAR é uma automatização de decisões, então além de detecção, também é
possível que automatizações de proteções sejam executadas. Como por exemplo
contenção de ataques em andamento e tudo que estiver planejado como resposta a
incidentes.
Tudo que é recolhido via logs, tudo que os sensores na rede geram como eventos são
chamados de IOCs – Indicator of Compromise
Geralmente tools de segurança enviam IOCs coletados para os times de threat intell deles
mesmos para que sejam criadas vacinas, regras, e etc…
Os IOCs podem ser utilizados para análise de incidente, criação de regras, inteligência
cibernética entre outros.
Como atividade, recomendo que você pesquise sobre tecnologias que implementam
SOAR e como este tipo de mecanismo pode proteger a empresa.
Pesquise os principais players, procure por parceiros que aplicam este conceito e faça
novamente uma planilha com a avaliação das principais tools.
Threat Intelligence
Geralmente os times de threat intell internos fazem buscas por ameaças na rede, em
alguns casos participam de respostas a incidente e fazem buscas ativas por IOCs.
Quando é contratado um parceiro para o Threat Hunting, este parceiro faz a atividade de
brand protection, se infiltrando em comunidades para quando a marca for citada, gerar
alertas sobre a fonte e o conteúdo da citação.
É bem difícil que clientes finais façam a infiltração em comunidades criminosas pois a
empresa não vai querer estar ligada a grupos desta natureza, e menos ainda expor seus
colaboradores desta maneira. É por isso que geralmente quem faz estas infiltrações é um
time externo de alguma consultoria especializada.
Existem times de threat intelligence dentro de fabricantes que utilizam os IOCs (Indicator
of Compromise) para criar regras de detecção automatizadas para as tools.
35
segurança cibernética um conhecimento crucial após uma violação de dados ou outra
violação de segurança.
As equipes de resposta a incidentes de segurança de computadores (CSIRTs) usam IOCs
para detecção de malware, para aprimorar a segurança do Sandbox e para verificar a
eficácia da análise heurística. Eles também são usados para detectar e prevenir ataques
ou para limitar os danos causados ao interromper os ataques logo no início.
Irregularidades Geográficas:
Se houver tentativas de login de países com os quais sua organização normalmente não
faz negócios, isso pode ser um sinal de um possível comprometimento da segurança.
Pode ser a evidência de um hacker em outro país tentando entrar no sistema.
36
Aumento no volume de leitura do banco de dados:
Quando um invasor tenta exfiltrar seus dados, seus esforços podem resultar em um
aumento no volume de leitura. Isso pode ocorrer quando o invasor coleta suas
informações para tentar extraí-las.
37
“Inteligência de ameaças é o conhecimento baseado em evidências, incluindo contexto,
mecanismos, indicadores, implicações e conselhos orientados para a ação sobre uma
ameaça existente ou emergente ou perigo para ativos. Essa inteligência pode ser usada
para informar as decisões sobre a resposta do sujeito a essa ameaça ou perigo. ” -
Gartner
Para obter informações mais detalhadas, verifique as seções desta visão geral intituladas
“The Threat Intelligence Lifecycle” e “The Types of Threat Intelligence”.
Algumas organizações tentam incorporar feeds de dados de ameaças em sua rede, mas
não sabem o que fazer com todos esses dados extras, aumentando a carga de analistas
que podem não ter as ferramentas para decidir o que priorizar e o que ignorar.
Uma solução de inteligência contra ameaças cibernéticas pode resolver cada um desses
problemas. As melhores soluções usam o aprendizado de máquina para automatizar a
coleta e o processamento de dados, integrar com suas soluções existentes, obter dados
não estruturados de fontes distintas e, em seguida, conectar os pontos fornecendo
contexto sobre indicadores de comprometimento (IoCs) e as táticas, técnicas e
procedimentos (TTPs) de atores de ameaças.
38
Veja nossa seção sobre casos de uso abaixo para uma visão mais aprofundada de como
cada função de segurança pode se beneficiar da inteligência contra ameaças.
Para maximizar o valor da inteligência contra ameaças que você produz, é fundamental
que você identifique seus casos de uso e defina seus objetivos antes de fazer qualquer
outra coisa.
1. Planejamento e direção
A primeira etapa para produzir inteligência de ameaças acionável é fazer a pergunta
certa.
Priorize seus objetivos de inteligência com base em fatores como o grau de aderência aos
valores centrais da sua organização, o tamanho do impacto que a decisão resultante terá
e o quão sensível ao tempo é a decisão.
2. Coleção
A próxima etapa é coletar dados brutos que atendam aos requisitos definidos no primeiro
estágio. É melhor coletar dados de uma ampla gama de fontes - internas, como logs de
eventos de rede e registros de respostas a incidentes anteriores, e externas da web
aberta, dark web e fontes técnicas.
3. Processamento
39
Uma vez que todos os dados brutos foram coletados, você precisa classificá-los,
organizando-os com tags de metadados e filtrando informações redundantes ou falsos
positivos e negativos.
Hoje, até mesmo pequenas organizações coletam dados da ordem de milhões de eventos
de log e centenas de milhares de indicadores todos os dias. É demais para os analistas
humanos processarem com eficiência - a coleta e o processamento de dados devem ser
automatizados para começar a fazer algum sentido.
Soluções como SIEMs são um bom lugar para começar porque tornam relativamente fácil
estruturar dados com regras de correlação que podem ser configuradas para alguns
casos de uso diferentes, mas só podem aceitar um número limitado de tipos de dados.
4. Análise
A próxima etapa é entender os dados processados. O objetivo da análise é pesquisar
possíveis problemas de segurança e notificar as equipes relevantes em um formato que
atenda aos requisitos de inteligência descritos no estágio de planejamento e direção.
A inteligência sobre ameaças pode assumir várias formas, dependendo dos objetivos
iniciais e do público-alvo, mas a ideia é colocar os dados em um formato que o público
compreenda. Isso pode variar de simples listas de ameaças a relatórios revisados por
pares.
5. Disseminação
O produto acabado é então distribuído aos consumidores pretendidos. Para que a
inteligência de ameaças seja acionável, ela precisa chegar às pessoas certas no
momento certo.
Também precisa ser rastreado para que haja continuidade entre um ciclo de inteligência e
o próximo e o aprendizado não sejam perdidos. Use sistemas de tíquetes que se integram
com seus outros sistemas de segurança para rastrear cada etapa do ciclo de inteligência -
cada vez que uma nova solicitação de inteligência surge, os tíquetes podem ser enviados,
redigidos, revisados e preenchidos por várias pessoas em equipes diferentes, tudo em um
Lugar, colocar.
6. Feedback
A etapa final é quando o ciclo de inteligência fecha o círculo, tornando-o intimamente
relacionado à fase inicial de planejamento e direção. Depois de receber o produto de
inteligência acabado, quem fez a solicitação inicial o analisa e determina se suas
40
perguntas foram respondidas. Isso direciona os objetivos e procedimentos do próximo
ciclo de inteligência, novamente tornando a documentação e a continuidade essenciais.
Embora o produto final não seja técnico, a produção de inteligência estratégica eficaz
exige uma pesquisa profunda em grandes volumes de dados, geralmente em vários
idiomas. Isso pode tornar a coleta inicial e o processamento de dados muito difíceis de
serem executados manualmente, mesmo para os analistas raros que possuem as
habilidades linguísticas, o conhecimento técnico e a destreza corretos. Uma solução de
inteligência de ameaças que automatiza a coleta e o processamento de dados ajuda a
reduzir essa carga e permite que os analistas que não têm tanto conhecimento trabalhem
com mais eficácia.
41
como sua organização pode ser atacada e as melhores maneiras de se defender ou
mitigar esses ataques. Geralmente inclui contexto técnico e é usado pelo pessoal
diretamente envolvido na defesa de uma organização, como arquitetos de sistema,
administradores e equipe de segurança.
A inteligência tática contra ameaças deve ser usada para informar melhorias nos
controles e processos de segurança existentes e acelerar a resposta a incidentes. Porque
muitas das perguntas respondidas pela inteligência tática são exclusivas de sua
organização e precisam ser respondidas em um curto prazo - por exemplo, “Esta
vulnerabilidade crítica está sendo explorada por agentes de ameaças que visam meu
setor presente em meus sistemas?” - ter uma solução de inteligência de ameaças que
integre dados de sua própria rede é crucial.
Como isso geralmente inclui informações técnicas - informações como qual vetor de
ataque está sendo usado, quais vulnerabilidades estão sendo exploradas ou quais
domínios de comando e controle estão sendo empregados - esse tipo de inteligência
também é conhecido como inteligência técnica de ameaças. Uma fonte comum de
informações técnicas são os feeds de dados de ameaças, que geralmente se concentram
em um único tipo de indicador, como hashes de malware ou domínios suspeitos.
42
As soluções de inteligência de ameaças que dependem de processos de aprendizado de
máquina para coleta automatizada de dados em grande escala podem superar muitos
desses problemas ao tentar desenvolver inteligência operacional eficaz contra ameaças.
Uma solução que usa processamento de linguagem natural, por exemplo, será capaz de
coletar informações de fontes em línguas estrangeiras sem a necessidade de
conhecimento humano para decifrá-las.
43
3. Classificar eventos e entidades, ajudando analistas humanos a priorizar alertas
O aprendizado de máquina e a metodologia estatística são usados para classificar
entidades e eventos por importância - por exemplo, atribuindo pontuações de risco a
entidades maliciosas.
As pontuações de risco são calculadas por meio de dois sistemas: um orientado por
regras baseadas na intuição e experiência humanas e o outro orientado por aprendizado
de máquina treinado em um conjunto de dados já examinado.
Essa é uma aplicação particularmente forte da “lei dos grandes números” do aprendizado
de máquina - à medida que continuamos a recorrer a mais fontes de dados, esses
modelos preditivos se tornarão cada vez mais precisos.
Resposta ao Incidente
Os analistas de segurança encarregados da resposta a incidentes relatam alguns dos
mais altos níveis de estresse do setor, e não é de se admirar por que - a taxa de
incidentes cibernéticos tem subido continuamente nas últimas duas décadas e uma alta
proporção de alertas diários acabam sendo falsos positivos. Ao lidar com incidentes reais,
os analistas muitas vezes devem gastar tempo classificando cuidadosamente os dados
manualmente para avaliar o problema.
44
Identificando e dispensando falsos positivos automaticamente
Enriquecer alertas com contexto em tempo real, como pontuações de risco
personalizadas
Comparando informações de fontes internas e externas
Os usuários futuros registrados identificam os riscos 10 vezes mais rápido do que antes
de integrar a inteligência contra ameaças em suas soluções de segurança, dando a eles
dias a mais de tempo, em média, para responder às ameaças em um setor onde até
segundos podem ser importantes.
Operações de Segurança
A maioria das equipes do centro de operações de segurança (SOC) deve lidar com
grandes volumes de alertas gerados pelas redes que monitoram. A triagem desses alertas
demora muito e muitos nunca são investigados. A “fadiga do alerta” leva os analistas a
levar os alertas menos a sério do que deveriam. A inteligência de ameaças resolve muitos
desses problemas - ajudando a reunir informações sobre ameaças com mais rapidez e
precisão, filtrar alarmes falsos, acelerar a triagem e simplificar a análise de incidentes.
Com ele, os analistas podem parar de perder tempo buscando alertas com base em:
Gestão de Vulnerabilidade
O gerenciamento eficaz de vulnerabilidades significa mudar de uma abordagem de
“corrigir tudo, o tempo todo” - que ninguém pode realmente alcançar - para priorizar
vulnerabilidades com base no risco real.
Você tem duas semanas para corrigir ou corrigir seus sistemas contra um novo exploit. Se
você não puder corrigir nesse período de tempo, tenha um plano para mitigar os danos.
Se uma nova vulnerabilidade não for explorada dentro de duas semanas a três meses, é
improvável que o seja - corrigi-la pode ter uma prioridade menor.
A inteligência de ameaças ajuda a identificar as vulnerabilidades que representam um
risco real para sua organização, indo além da pontuação CVE, combinando dados de
varredura de vulnerabilidade interna, dados externos e contexto adicional sobre os TTPs
dos atores da ameaça. Com o Recorded Future, os usuários identificam 22 por cento mais
ameaças reais antes que tenham um impacto sério.
45
Análise de risco
A modelagem de risco pode ser uma maneira útil para as organizações definirem
prioridades de investimento. Mas muitos modelos de risco sofrem de resultados vagos e
não quantificados que são compilados às pressas, com base em informações parciais,
com base em suposições infundadas, ou sobre os quais é difícil agir.
Quais agentes de ameaças estão usando este ataque e eles visam nossa indústria?
Com que frequência esse ataque específico foi observado recentemente por empresas
como a nossa?
A tendência é para cima ou para baixo?
Quais vulnerabilidades este ataque explora e essas vulnerabilidades estão presentes em
nossa empresa?
Que tipo de dano, técnico e financeiro, esse ataque causou em empresas como a nossa?
Fazer as perguntas certas com a inteligência de ameaças da Recorded Future é uma das
maneiras pelas quais os usuários veem uma redução de 86% no tempo de inatividade
não planejado - uma grande diferença quando até mesmo um minuto de inatividade pode
custar a algumas organizações até US $ 9.000 em perda de produtividade e outros danos.
Prevenção de Fraude
Para manter sua organização segura, não é suficiente apenas detectar e responder às
ameaças que já estão explorando seus sistemas. Você também precisa evitar o uso
fraudulento de seus dados ou marca.
46
Liderança de Segurança
Os CISOs e outros líderes de segurança devem gerenciar os riscos equilibrando os
recursos disponíveis limitados com a necessidade de proteger suas organizações contra
ameaças em constante evolução. A inteligência de ameaças pode ajudar a mapear o
cenário de ameaças, calcular riscos e fornecer ao pessoal de segurança a inteligência e o
contexto para tomar decisões melhores e mais rápidas.
Aqui estão quatro áreas principais onde a inteligência de ameaças ajuda os líderes de
segurança a tomar decisões:
47
Líderes de apoio - a inteligência de ameaças pode fornecer aos líderes de segurança uma
imagem em tempo real das ameaças, tendências e eventos mais recentes, ajudando os
líderes de segurança a responder a uma ameaça ou comunicar o impacto potencial de um
novo tipo de ameaça aos líderes de negócios e membros do conselho em um maneira
oportuna e eficiente.
A lacuna das habilidades de segurança - os CISOs devem garantir que a organização de
TI tenha os recursos humanos para cumprir sua missão. Mas a escassez de habilidades
em segurança cibernética significa que a equipe de segurança existente frequentemente
lida com cargas de trabalho incontroláveis. A inteligência contra ameaças automatiza
algumas das tarefas mais trabalhosas, coletando dados rapidamente e correlacionando o
contexto de várias fontes de inteligência, priorizando riscos e reduzindo alertas
desnecessários. A inteligência poderosa contra ameaças também ajuda o pessoal júnior a
“aprimorar suas habilidades” e ter um desempenho acima de seu nível de experiência.
Inúmeras organizações estão transformando a maneira como fazem negócios por meio de
processos digitais. Eles estão movendo dados de redes internas para a nuvem e
coletando mais informações do que nunca.
Tornar os dados mais fáceis de coletar, armazenar e analisar certamente está mudando
muitos setores para melhor, mas esse fluxo livre de informações tem um preço. Isso
significa que, para avaliar o risco de nossa própria organização, também devemos
considerar a segurança de nossos parceiros, fornecedores e outros terceiros.
A inteligência contra ameaças é uma maneira de fazer exatamente isso. Ele pode
fornecer transparência aos ambientes de ameaças de terceiros com quem você trabalha,
fornecendo alertas em tempo real sobre ameaças e mudanças em seus riscos e
fornecendo o contexto de que você precisa para avaliar seus relacionamentos.
Analise de Malware
Existem ferramentas que fazem parte das suites de ferramentas que conversamos por
aqui que fazem análise automatizada de artefatos maliciosos.
Por exemplo, alguns firewalls possuem features de análise de artefatos maliciosos. Então
quando algum comportamento malicioso é percebido, o artefato malicioso é submetido
para análise em uma sandbox.
48
Sandbox é uma espécie de “caixa segura” que permite que o artefato malicioso seja
analisado sem prejudicar o ambiente externo a ela.
Estas análises destes softwares são automatizadas, e alguns malwares podem acabar
não sendo analisados corretamente por estas sandbox.
Alguns destes serviços vendem a análise manual também dos artefatos maliciosos,
depois que passa pela análise automatizada o artefato vai para um time de pesquisa
analisar e transformar o comportamento em IOCs.
Para você entender como é feito o processo de análise de malware é importante que você
entenda como é montada uma sandbox e quais os principais cuidados que você precisa
ter caso vá praticar algum tipo de análise de malware.
Este processo é chamado de engenharia reversa, vamos falar disso mais além.
Durante a análise dinâmica de um artefato malicioso, você vai executar este malware em
uma sandbox para analisar o comportamento dele. Geralmente estas sandbox são
configuradas em uma VM. Estas máquinas virtuais são preparadas para que não
consigam ter acesso a rede externa, pois estamos falando de análise de um malware!
Você não vai querer que este malware se movimente pela rede…
O problema é que os malwares possuem geralmente mecanismos que fazem com que o
malware não seja executado corretamente quando está sendo analisado!
Existem técnicas como por exemplo técnicas de anti-vm que fazem com que o malware
identifique que está em uma VM, logo provavelmente está sendo analisado. O que não é
do interesse do hacker!
O malware pode identificar que está em uma VM facilmente pois os módulos de kernel de
uma vm client-side como por exemplo em um virtualbox ou vmware player, utilizam o
conceito de “Guest”, o que é facilmente identificado. Outras infos como por exemplo,
pouca memória ram, pouco disco, uma única thread de processamento sendo utilizada,
são coisas que demonstram para o malware que ele está em uma VM.
49
Outras coisas a nível de processos, como por exemplo se você está fazendo uma análise
de rede com wireshark, o malware pode identificar o processo do wireshark e trigar
funções de anti-vm.
Em alguns casos o malware pode ter comportamentos bem sofisticados para iniciar suas
ações, como por exemplo um caso que pude acompanhar de análise que o malware
somente iniciava sua ação depois de 9 mil cliques do usuário…
Os hackers utilizam técnicas de smoking para camuflar ações maliciosas, o que pode
tornar a análise bem difícil.
Técnicas como packers e cripters podem obfuscar o código de uma forma que fica bem
difícil de se fazer uma engenharia reversa.
Muitas funções sem sentido são criadas pelos meliantes para fazer com que o analista
que está observando o comportamento do malware não entenda o que o hacker quer
fazer…
Por toda esta complexibilidade envolvida, acredito que você já tenha entendido que uma
análise automática deste tipo de artefato malicioso não é interessante, pois com certeza
os hackers que codificaram esta ameaça já pensaram nas ferramentas de análise e já
bypassaram suas defesas.
Malwares utilizam técnicas conhecidas para bypass, como já falamos antes por exemplo o
bypass de ASLR, Dep, Canary, AMSI, ETW, SYSMON entre outros...
Engenharia Reversa
Mas você está pensando, como vou analisar o código fonte se não tenho acesso???
Se você por exemplo abre um iphone, você vai ter acesso a todos os componentes, então
você pode pesquisar sobre os componentes e construir um celular parecido com o que
você está vendo fisicamente…
Você pode por exemplo pegar um tênis da nike, desmontar ele inteiro e entender como é
feita a tecnologia do tênis e aplicar algo parecido nos tênis da sua marca…
Mesmo você não tendo acesso ao código fonte, os executáveis antes de serem
executados pelo sistema operacional, eles enviam códigos de máquina que serão
executados no processador e em memória.
50
Porém você como um ser humano não tem a capacidade de entender o código de
máquina, por isso existe o assembly que é uma representação mais humanizada do que
acontece por baixo dos panos.
Quando você faz a engenharia reversa de um artefato malicioso, você vai tentar obter o
disassembly do executável, que é o processo de converter o executável de instruções de
máquina para instruções em assembly, assim você vai conseguir entender os fluxos de
execução do malware e pode interceptar leitura de arquivos, exfiltração de dados e etc.
Como exercício, pesquise sobre análise de malware, você vai achar várias análises
públicas e vai ver como este universo é divertido!
Resposta a Incidentes
Repare que este plano deve ser realizado em conjunto com diversas áreas, pois
segurança da informação sozinha não é capaz de identificar todos os processos chave e
etc...
Dentro deste gênero de incidentes, estão os incidentes por exemplo que interessam à
LGPD, isto é, aqueles que envolvam especificamente dados pessoais (informações
relacionadas a pessoas físicas).
Portanto, nem todo incidente de segurança envolverá dados pessoais, mas todo incidente
de dados pessoais será um incidente de segurança.
51
expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A depender das circunstâncias, uma eliminação de dados indevida pode ser ainda mais
danosa aos titulares. Por exemplo a indisponibilidade de dados pessoais relacionados à
saúde, sensíveis, portanto, em um hospital, impossibilitando o tratamento adequado pelos
profissionais de saúde.
Isso passa por reforçar que a LGPD é uma lei baseada no risco, sendo imprescindível a
adoção de medidas mitigadoras. Por exemplo, a segurança de sistemas, a escolha
cuidadosa de parceiros comerciais que tenham acesso a dados pessoais, o treinamento
de equipes e a restrição ao máximo quanto a quem pode ter acesso aos dados.
Caso algum incidente ocorra, a LGPD estabelece que o controlador deve primeiro avaliar
se o incidente pode acarretar risco ou dano relevante aos titulares. Por exemplo, se os
dados foram expostos publicamente; se foram perdidos e podem prejudicar o
fornecimento de um serviço etc.
52
Se houver risco ou dano relevante ao titular, o controlador deve comunicar a ocorrência
do incidente à ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados.
Definir quem fará parte do time de resposta e estabelecer as tarefas de cada um. O plano
pode incluir o DPO e integrantes de diferentes áreas, como TI, jurídico, marketing,
relações públicas etc.
Estabelecer critérios para uma triagem inicial de todos os incidentes, definindo o que é
considerado um incidente de segurança e quais gatilhos acionam o time de resposta;
Definir os critérios para avaliar se o incidente envolve dados pessoais e se há risco aos
titulares de dados;
Criar modelos de comunicação de incidentes, com o formato de comunicados à empresa,
aos titulares, à ANPD e à imprensa.
A notícia inicial do incidente, aliás, pode vir de várias fontes: colaborador; parceiros;
cliente; autoridades (como o Ministério Público e entidades de defesa do consumidor);
mídia; redes sociais; ferramentas de monitoramento etc.
53
Nesta segunda etapa, é feita uma avaliação mais detalhada do incidente. Isso inclui
identificar se há riscos aos titulares de dados. Se houver, é preciso notificar a ANPD e os
titulares.
3. Contenção e erradicação
Essa é a fase de conter e erradicar o incidente, limitando os danos. A ação depende do
incidente específico, mas o objetivo é evitar que ele cause mais prejuízos do que já
causou.
Isso implica atuar na raiz do incidente e estabelecer formas de contenção (podendo até
mesmo ser necessário desabilitar sistemas inteiros). É importante, nesta etapa, procurar
preservar as evidências que possam ajudar a identificar melhor o que ocorreu e os
eventuais responsáveis.
4. Recuperação
Depois que o incidente estiver contido e erradicado, é hora de tentar restaurar dados e
serviços. Se a organização conta com Planos de Continuidade dos Negócios e
Recuperação de Desastres, eles também devem ser acionados.
6. Documentação do incidente
Por fim, deve-se documentar o incidente de forma detalhada, incluindo todas as ações
tomadas nas etapas anteriores e as lições aprendidas com o caso.
54
Elaborar um Plano de Resposta a Incidentes é uma tarefa fundamental, mas também
complexa, pois transversal na organização e multisetorial. A questão deve ser abordada
de forma customizada a cada ambiente organizacional.
Geralmente contratar um parceiro para auxiliar neste ponto é uma ótima escolha.
Como atividade, pesquise por plano de resposta a incidentes e elabore um plano fictício
citando todos os envolvidos que conversamos aqui.
Cadeia de Custódia
Porém, este processo é complexo! Computação Forense não é o tópico desta disciplina,
porém é importante que você saiba o que é uma cadeia de custódia e como seguir
quando um incidente acontecer!!!
https://www.oabes.org.br/artigos/a-importancia-da-cadeia-de-custodia-108.html#:~:text=C
onsidera%2Dse%20cadeia%20de%20cust%C3%B3dia,seu%20reconhecimento%20at%C
3%A9%20o%20descarte.
First Responder
O first responder, como o nome diz, é o primeiro que fará alguma coisa quando um ataque
estiver acontecendo. Então você concorda que se esta pessoa fizer algo errado as
consequências poderão ser catastróficas?
55
Vamos lá, este não é um treinamento de computação forense, por este motivo vamos ser
breves neste assunto!
Um first responder pode ser um field de TI, um analista de operações, um suporte n1, n2
e até n3…
Qualquer profissional que terá contato com o ativo que está sendo comprometido durante
o incidente será um first responder. Logo este profissional precisa saber de coisas básicas
sobre forense.
Desde NUNCA DESLIGAR uma máquina que estava ligada, não mexer no sistema
operacional, até realizar o dump de memória ram para que os analistas responsáveis
possam conduzir o atendimento.
Então você está se perguntando, mas realizar o dump de memória ram não vai alterar o
estado do SO?
Este tema é complexo e não está previsto no escopo desta disciplina pois está
relacionado a computação forense.
Recomendo que você escute este episódio do meu podcast onde entrevisto o Major Eder:
https://youtu.be/qsvMhGXBdg8
Como atividade, recomendo que você pesquise bastante sobre computação forense e a
aplicação da computação forense dentro da resposta a incidentes cibernéticos.
Anti-Opsec
Material para estudo da palestra ministrada nas aulas:
GitHub - CATx003/opsec: Counter Surveillance and OPSEC research
A arte do Bypass
Material para estudo da palestra:
GitHub - CATx003/TheArtOFBypass-OWASP-Brasilia: Presentation slides: Evasion - The art of bypass
presented at OWASP Brasilia 2021
A conclusão que imagino que você pode ter chegado com esta disciplina está
demonstrada na imagem abaixo:
56
Não adianta somente se apoiar em ferramentas! Observe os processos e entenda tudo
sobre seu cliente e principalmente mostre para “quem paga” que é mais barato investir em
tecnologia para proteger o ambiente do que pagar o resgate de um ransomware. Porém
nunca se esqueça que ferramentas não fazem milagres!!!
Até mais.
57