Ebook - Segurança Defensiva e Resposta A Incidentes (2023) PDF

Como você já viu até aqui, existem diversas áreas dentro do pilar de segurança da
informação.
Nesta disciplina vamos conversar sobre a defesa cibernética.
Convido você para que observemos a proteção cibernética sobre dois pontos de vista, o
ponto de vista de consultoria e o ponto de vista de cliente final.
Por hora, parece um tanto quanto confuso, mas acredite, observar a atuação de defesa
sob estas duas óticas fará você compreender como funciona o mercado de segurança da
informação.
Fique tranquilo, que ao longo deste material você vai entender melhor o que estou
querendo dizer!
Muito prazer, eu me chamo Victor de Queiroz, sou conhecido na comunidade de

segurança como CATx003_.
Para quem já conhece o beco do exploit e meu canal no YouTube, sabe que eu sou Red
Teamer e minha carreira dentro da área de segurança é voltada para simulação de
adversário e reprodução de ataques cibernéticos. Porém, particularmente acredito que o
mindset ofensivo pode ser um diferencial para a proteção cibernética, pois nada
melhor que saber de onde vem a pancada antes de ter que se proteger dela não?!
Eu atualmente sou líder do time de simulação de adversário (Red Team e PenTest) da T-

Systems, anteriormente fui PenTester no banco Itaú e antes disso fui lider de uma
operação global de Red Team na BRF. Até o presente momento da elaboração deste
material eu possuo as certificações OSWP, CRTP, CEH pratical, PenTest+, MCAF, CSA1,
sou graduado em Análise de Sistemas, fiz um curso de extensão em Cyber Warfare and
Terrorism, Pós graduação em Detecção e Prevenção de Crimes Cibernéticos e Cyber
Security, pós graduação em Ethical Hacking e MBA em Gestão de Cyber Security.
Também sou perito forense computacional pela Eccouncil e líder de pesquisa de
segurança ofensiva e desenvolvimento de exploits no Project Oct0PS do Beco do Exploit.
Quem quiser me adicionar no linkedin, fique à vontade:

https://linkedin.com/in/victordequeiroz
Você pode estar se perguntando, mas o que é isso de Blue Team e Red Team, e se Blue
Team é “defesa” e Red Team é “ataque”, por que meu professor de defesa cibernética é
especialista em Red Team?
Para que você entenda melhor sobre o assunto, o conceito de War Games foi criado no
âmbito militar para que um time defensivo (Blue Team) realizasse a proteção cibernética e
o time ofensivo (Red Team) realizasse simulações de ataques cibernéticos para testar os
controles de segurança implementados pelo time de defesa.
Esta prática se propagou para o mercado, e as empresas como incentivo para os

colaboradores disponibilizava uma recompensa financeira para os times. Por exemplo, se
o Red Team obtivesse sucesso em uma operação, o time recebe uma remuneração em
dinheiro. O mesmo ocorre se o Blue Team defende o ataque operado pelo Red Team.
2
Observe que neste modelo, por mais que a empresa ganhe com a contribuição dos dois
times, se o time ofensivo obtém sucesso na exploração de 2 falhas por exemplo, o time
pode acabar reportando uma falha de cada vez para ganhar duas recompensas… O que
faz com que a empresa não tenha 100% de aproveitamento desta atividade…
Por este motivo foi criado o que é chamado de Purple Team. Que é a fusão dos dois
times. Em muitas empresas, a prática do Purple Team faz parte de uma war room em
momentos de resposta à incidentes e momentos de preparação de operações de
simulação de adversário, com objetivo de testar controles cibernéticos.
Se você está no começo da sua carreira, com certeza você tem bastante tempo ainda
para decidir se irá se especializar em ataque ou defesa.
Eu sou apaixonado por simulação de ataques cibernéticos e desenvolvimento de cyber

weapons, e mesmo seguindo a área de pesquisa ofensiva, no final das contas o objetivo
sempre será defesa cibernética!
Você pode estar se perguntando, ué… mas se o Red Team ataca a rede como isso pode
se enquadrar em defesa cibernética?
Toda operação de simulação de adversário, gera um report de correções que precisam

ser aplicadas para proteção do ambiente. No fim das contas, estamos todos aqui para
proteger nosso cliente!
Agora que estamos apresentados, vamos seguir com nossa aula que tem bastante
conteúdo para você esquentar a cabeça daqui para a frente hein?!
Eu não sou o tipo de professor que vai te passar 200 atividades e te cobrar entrega para
que você obtenha nota para ser aprovado...
Sou o tipo de professor que vai te passar 400 atividades se você de fato quer aprender e
está buscando referência! Mas não vou “te obrigar” me entregar algo. Então daqui para
frente, vou passar atividades para você fazer em quanto explico determinado tema, porém
as atividades não serão obrigatórias.
Cabe a você definir se quer se aprofundar ou não nos temas propostos.
Recomendo que se você estiver buscando se tornar um bom profissional, realize as

atividades propostas!
Vamos nessa!
3
APT – Advanced Persistent Threat
APTs são grupos que realizam ataques avançados em infraestruturas cibernéticas e

geralmente não são notados, pois o objetivo, boa parte das vezes é a exfiltração
silenciosa de dados.
Você com certeza já ouviu falar de grupos de APTs e talvez não se deu conta, como por
exemplo no malware Wanna-Cry, que explora a vulnerabilidade MS_17010, o objetivo
principal do malware era a propagação e criptografia do disco no ambiente para
solicitação de resgate (ransomware).
Porém o que chama atenção neste ocorrido, é que o exploit (Eternal-Blue e Eternal-
Romance) aparentemente foi exfiltrado da NSA (National Security Agency).
Você pode entender um pouco mais sobre as especulações no podcast da Dark Net
Diares, que relata um pouco sobre a Shadow Browkers, que é um grupo de APT.
https://podcasts.apple.com/us/podcast/shadow-brokers/id1296350485?i=1000459172458
Ataques recentes como por exemplo o exploit encontrado no produto da Solar Winds –
Orion (CVE-2021-3109)
https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html foi encontrado em
diversos IOCs (Indicadores de comprometimento, falaremos mais sobre isso adiante), que
demonstram que dados estariam possivelmente sendo exfiltrados devido à esta falha no
produto.
Levando em consideração que diversas grandes empresas utilizam este produto, observe
que conseguimos identificar neste tipo de atuação um comportamento padrão em APTs,
que é explorar falhas em serviços críticos e amplamente utilizados. Geralmente APTs
utilizam o que chamamos de zero day, que são falhas que ainda não obtiveram uma
correção efetiva por parte do fabricante, ou ainda não foi criado medidas compensatórias
no ambiente para que o mesmo não seja explorado.
APTs, geralmente tem objetivos maiores do que somente obtenção de lucros.

Você pode como atividade para este primeiro assunto, buscar sobre APTs e entender o
modus operandi de APTs que foram identificadas no mundo real. Como por exemplo, no
ano de 2019 o grupo Japonês - APT 41 foi preso por criar uma cadeia de distribuição de
software malicioso em algo que chamamos de Software Supply Chain Attacks.
Você pode entender melhor no link:
https://www.dni.gov/files/NCSC/documents/supplychain/Software_Supply_Chain_Attacks.
pdf
O setor de contra inteligência do governo dos Estados Unidos publicou informações sobre
o grupo.
(Repare que APT 41 não é o nome do grupo, os APTs que estão sendo monitorados são
categorizados por números. Sugiro que você pesquise sobre o tema!)
4
Como atividade sobre APT, pesquise também sobre Stuxnet. Este evento que ocorreu nas
usinas nucleares do Irã mostra detalhadamente como é o modus operando de um APT.
Vulnerabilidades em Softwares
Você pode obter informações sobre vulnerabilidades em serviços e produtos utilizando o

que chamamos de CVE – Common Vulnerabilities and Exposures https://cve.mitre.org/
No mercado de segurança, existem pesquisadores que procuram ativamente por

vulnerabilidades em serviços e softwares.
Quando um hacker ético encontra uma vulnerabilidade em um software, ele reporta esta
falha para o fabricante, que por sua vez pode aplicar as correções que afetam o produto.
No meio deste processo, existe a categorização da vulnerabilidade, pois é necessário
entender qual é a criticidade, impacto e etc...
O Mitre é o “órgão” responsável por documentar as CVEs que podem ser submetidas
tanto pelo pesquisador quanto pelo fabricante. Porém, como nossa área não possui de
fato um órgão regulamentador, não é uma regra que toda vulnerabilidade precisa ser
submetida ao Mitre.
Uma dica interessante para administradores de sistemas e servidores é buscar se existe

uma CVE publicada para o serviço que você está implementando proteções.
Geralmente a correção se trata de uma implementação de patch, porém quando não é

possível, utilizamos medidas compensatórias para a proteção do ambiente.
É importante que você tenha em mente que nem sempre será possível aplicar correções
em determinados ambientes!
Geralmente em grandes empresas, existe um processo de Gestão de Mudanças que é

dirigido pelo time de Governança.
(Uma mudança pode ser desde uma aplicação de patch, até uma troca de periférico de
hardware, como memória ram de um server por exemplo.)
Neste processo de mudança, é definido a criticidade da operação que será realizada.
Em geral, serviços críticos como por exemplo um ERP, um Banco de dados, ou qualquer
tipo de serviço crítico acaba sendo tratado de maneira prioritária, dificultando a atividade
de atualização e aplicação de patchs.
Em alguns cenários, não é possível realizar atualizações do serviço em questão pois o

serviço é o que chamamos de legado (por exemplo um sistema Windows antigo que não
recebe mais atualização da Microsoft, como o Windows Server 2008 por exemplo).
Então se faz necessário a criação de algumas medidas compensatórias para proteger o
ambiente.
Você deve estar se perguntando, então por que não atualizamos o sistema operacional?
Geralmente sistemas legados, são legados por que softwares ou hardwares que
dependem deste ativo não suportam atualizações.
5
Por exemplo, é muito comum em 2021 encontrar sistemas com Windows XP em redes
industriais. Pois por exemplo, existem sistemas de esteiras, caldeiras e outros ativos de
OT (Rede Industrial) que não são compatíveis com sistemas modernos.
Na indústria o que chamamos de chão de fábrica, é onde se encontram os PLCs, entre
outros hardwares, porém, estes equipamentos são controlados pelo que é conhecido
como Interface Homem Máquina ou Supervisório.
Este tipo de equipamento de supervisão geralmente se trata de um Windows embebed, e
acaba sendo muito mais caro para o business pagar pela atualização de todo o processo
de esteira como neste exemplo, do que preparar o ambiente para que se torne mais
seguro.
Então você deve estar se perguntando, mas se o sistema não recebe atualização do
fabricante mais, como podemos aplicar proteções?
Você precisa ser criativo na defesa cibernética, pois novamente, você vai se deparar com
diversos cenários onde você não terá a oportunidade de atuar “da maneira correta”, que
no exemplo acima seria atualizar o SO.
Então como proteger um ambiente como este?
Você pode contar com algumas tecnologias como por exemplo Firewalls Next Generation,
EDR, Ferramentas de monitoramento ativo, entre diversas outras técnicas.
Antes de falarmos de ferramentas, para encerrar vou demonstrar um case de como

proteger este ambiente do exemplo.
Recomendo que como atividade, você pesquise sobre o tema e elabore um pequeno texto
expressando como você atuaria na proteção deste ambiente.
Case:
Você se deparou com uma rede industrial acessível da rede corporativa da empresa
Batata Corp.
Este acesso permite que você acesse diretamente da rede de TI um sistema de
supervisão de aquecimento de caldeiras na rede de OT.
Repare que este sistema existe pois se a caldeira passar de 500 Graus Celsius ela
superaquecerá, e caso ultrapasse 700 graus existe risco de contaminação dos
colaboradores.
O sistema que faz a supervisão dos PLCs está rodando em um sistema Windows XP
embebed e não pode ser atualizado pois toda a estrutura de caldeiras não suporta um
supervisório mais moderno.
Você como profissional de defesa cibernética precisa proteger este ambiente... O que
você faria?
Se você não tem ideia de como proteger o ambiente sem a necessidade de atualização
do SO, por hora vou te dar uma possível resposta.
Após a conclusão, você provavelmente obterá o mindset suficiente para “se virar” em uma
situação parecida com esta…
6
Se prepare, proteger um ambiente cibernético não é nem um pouco simples na vida
real!
Possível Resposta:
A rede industrial não deve ser acessível a partir da rede corporativa, justamente pelo fato
da rede industrial ser “mais sensível”. O conceito que precisamos aplicar aqui é o conceito
de Segmentação.
Mais adiante falaremos sobre segmentação. A princípio, uma boa maneira de impedir que
exista movimento da rede corporativa para a rede industrial é a aplicando uma
segmentação via firewall.
Não existe motivo plausível para a rede corporativa acessar a rede industrial, então esta
segmentação pode ser de fato restritiva.
Então para resolver o problema do sistema que não pode ser atualizado, existem
softwares de antivírus que aplicam patchs virtuais. Proteções avançadas de endpoint que
atuam com heurística podem proteger ataques em tempo de execução, porém geralmente
em sistemas legados quando se trata de Windows embebed principalmente, não
podemos alterar o ambiente do sistema operacional, logo a aplicação de um sistema de
anti-virus pode “crashar” o ambiente…
Novamente você pensa, ok, faço o que agora?
Existe um conceito chamado bubble protect que se trata de virtualizar o ambiente e

proteger o perímetro com ferramentas modernas de proteção cibernética.
Desta forma o ambiente continua funcionando e você terá controle do tráfego que chegará
no supervisório sem a necessidade de alterar o estado do SO.
Não entendeu?
Fique tranquilo, ao decorrer da disciplina os conceitos de proteção cibernética se tornarão

mais claros!
Processo de Contratação de Ferramentas
Lembra que vamos observar a segurança defensiva sob duas perspectivas, consultoria e
cliente final?
É importante compreender que geralmente cliente final tem um processo demorado para
contratação de softwares e serviços. (Cliente final são empresas que tem a finalidade
atender o público, por exemplo uma empresa que produz frango é um cliente final. Uma
consultoria pode atender um cliente final. Por exemplo a Coca Cola é um cliente final, a
IBM é uma consultoria.)
Em S/As (empresas grandes e multinacionais) geralmente existe um processo de

aquisição que é burocrático.
7
Em quase 100% dos casos existe um time de compliance que estabelece regras de
negociação para evitar que colaboradores sejam “comprados” por fornecedores.
É muito comum consultorias e fabricantes levarem os profissionais de segurança da
informação dos clientes finais para almoços, jantares, festas, eventos e etc…
Os times de compliance das empresas estabelecem regras para evitar que exista
corrupção.
É muito comum que seja necessário que o analista de cyber security ao contratar um
software ou produto precise assinar um NDA com o fabricante.
Geralmente o analista pede os dados do fabricante, cadastra estes dados em um sistema

na empresa em que trabalha, então o time jurídico da empresa entra em contato com o
fabricante e assina o contrato de confidencialidade. Em empresas grandes este processo
pode levar de 3 até 6 meses somente para a assinatura.
Boa parte das empresas pede que você teste ao menos 3 fabricantes do mesmo tipo de
solução.
Depois da assinatura do NDA, você inicia o processo de POC (Proof of concept). Ou seja,
você vai experimentar o produto para anotar suas impressões.
Geralmente uma POC precisa de infraestrutura, então lembre-se que durante POC de
soluções, muitas vezes você vai precisar provisionar ambientes, e isso tem custo!
Durante o processo de POC você poderá testar a solução completamente, conhecer
todos os detalhes e tirar todas as suas dúvidas.
Lembre-se de fazer anotações sobre os pontos positivos e negativos, pois você vai
precisar comparar com outras soluções para definir qual se encaixou melhor
tecnicamente.
Ao final das POCs você terá um documento de benchmark entre os players que você
testou. O que fará com que você tome uma decisão correta e embasada sobre a
contratação.
Contratar uma solução não pode ser algo impulsivo e baseado em gostos pessoais. Você
precisa de um embasamento técnico para a decisão final.
Para que você possa ter este embasamento, você pode enumerar tópicos em uma
planilha e dar nota de 1 a 3 para o tópico, ao final o tópico que obtiver a maior pontuação
vence.
Você como analista de segurança, não vai ter acesso a negociação financeira.
Geralmente é um time de suprimentos que faz este tipo de negociação. Em algumas
empresas um analista de segurança não pode nem receber propostas financeiras, e se o
fabricante enviar proposta para o analista, a empresa pode até demitir o funcionário que
recebeu proposta formal financeira, por motivos de compliance.
Então você está se perguntando, como eu defendo orçamento?

Como vou saber quanto custa? Preciso saber o valor antes de iniciar um projeto!
Você pode pedir o que chamamos de “Estimativa de Valores”. Isso será uma “Ideia
aproximada” do valor do produto. Assim você conseguirá pedir o budget necessário sem
receber a proposta formal.
8
Existem empresas que não tem este tipo de política, porém multinacionais e grandes
empresas em geral possuem este tipo de política! Antes de iniciar qualquer processo se
certifique de que está atendendo as políticas da empresa em que você trabalha! E caso
você comece a trabalhar em uma consultoria, certifique-se de que o analista que está em
contato com você pode receber uma proposta formal antes de enviar!
Uma coisa muito importante sobre o processo de contratação de ferramentas é que

geralmente em clientes finais, o time de segurança defensiva não opera as tools.
(Estas ferramentas podem ser desde softwares até apliances como firewalls, WAFs,
produtos SaaS e etc…)
Estranho né?!
Mas é muito comum que um time de MSSP (Managed Security Service Provider) de uma
consultoria faça a gestão dos firewalls, SIEM, DLP, Casb, WAF e etc… E os analistas de
segurança defensiva que atuam neste cliente final somente façam projetos, analises e
coordene os parceiros. (Consultorias e Fabricantes).
O papel de um profissional de segurança defensiva em um cliente final não é operar

ferramentas, não é atuar no monitoramento (SOC/NOC), não é criar regras de firewall,
não é executar nenhuma atividade técnica operacional...
O profissional de segurança defensiva de cliente final, vai coordenar os parceiros

(consultorias) que farão o que o cliente final indicar!
Por exemplo, Empresas grandes tem filas de chamados. Nestas filas eles podem receber
solicitações de criação ou alteração de regras de firewall.
O analista vai analisar a solicitação, entender se faz sentido ou não e aprovar este
chamado.
Então o chamado é direcionado para o parceiro (MSSP) e o parceiro (consultoria) é quem
vai executar a alteração no ambiente.
Outro exemplo; O software de antivírus está barrando uma planilha com macro do time de
engenharia de CIEX, eles precisam da planilha e eles mesmos desenvolveram a macro
para automatizar cálculos complexos. Porém o AV parou a execução do macro deles pois
para antivírus macros são consideradas maliciosas by default, e está impactando no
transporte de insumos de 3 regiões no país.
Então o analista de TI deste time de CIEX entra na fila de chamados de cybersecurity e

solicita liberação da planilha.
O analista de segurança vai receber o chamado, entender o problema e direcionar para o

parceiro realizar a liberação...
Geralmente existe uma cadeia complexa por trás das estruturas de grandes
empresas!
Outro exemplo: O sistema de análise laboratorial de insumos de uma centrífuga de

vacinas bovinas perdeu a conexão com o sistema que emite os laudos de autorização
para vacinação dos animais.
9
Este sistema se conecta via VPN client-to-site com o data center principal da empresa
XPTO que fica localizado na França.
Então o analista de TI responsável pelo projeto de vacinação bovina abre um chamado

emergencial para o field de TI global que faz a triagem do atendimento.
Este field entende que pode ser um problema de roteamento e direciona o chamado para
o time de telecom.
O time de telecom por sua vez faz o troubleshoot e percebe que ouve uma change no dia
anterior aprovada no comitê de mudanças para atualização do Windows Server 2012 que
hospeda o sistema de análise laboratorial para o sistema Windows Server 2019.
Como o time de telecom não conseguiu resolver o problema, foi aberto uma war room
para entendimento do ocorrido.
Nesta war room os especialistas de operações de TI, Telecom, Data Center, Segurança
da Informação, Arquitetura e Engenharia Industrial se reúnem em uma sala e tentam
entender o problema para colocar a operação crítica que está com problemas no ar
novamente.
Nesta war room o time de operações informa as alterações realizadas na change que
ocorreu na noite anterior e o plano de roll-back não precisou ser implementado pois o
analista de TI responsável validou a alteração no ambiente e autorizou o encerramento da
change.
O analista de segurança da informação ao escutar quais alterações foram executadas,

percebe que ao realizar a movimentação do servidor não foi inserido o endereço ip do
novo host na rota da Vlan no datacenter da França no grupo de VPN em questão. O
analista abriu o console do firewall que gerencia todos os firewalls da companhia (Este
analista só possui acesso de leitura nos FWs) e percebeu que o tráfego não estava
chegando no destino devido a um block de firewall.
Então o analista de segurança solicita uma change emergencial para a criação da regra
de firewall no perfil de VPN do sistema de vacinação. Esta autorização passa pelo
Gerente Executivo de TI e é enviada para o parceiro de MSSP para que seja criada a
regra de firewall.
O problema foi resolvido e o processo de vacinação volta ao normal.
Percebeu que complexo este simples exemplo?
Isso é o dia a dia de um analista de segurança defensiva em uma multinacional com

operação global.
É por este tipo de complexibilidade que os analistas de segurança defensiva possuem

somente acesso de leitura em firewalls e outras ferramentas, pois o papel do analista de
segurança é analisar os problemas, e não administrar as ferramentas.
Se você deseja “pôr a mão na massa” não trabalhe em cliente final, pois dificilmente você
vai ter permissão para dar um commit em um firewall por exemplo.
10
Na consultoria o trabalho também é complexo, por mais que a consultoria só receba os
chamados, eles também monitoram e mantem o ambiente, atividade que exige 24/7 horas
de atenção.
Logo você vai entender mais sobre estes processos!!!
Uma rede corporativa de grande porte geralmente possui arquitetura full mesh, ou seja,
são várias redes interligadas via MPLS e VPN e possui uma DMZ e pode ter diversos
datacenters.
Você vai conhecer os mecanismos de segurança que podemos implementar nestas
grandes redes nos próximos capítulos!
Sugiro que você pesquise sobre MPLS, quais são os principais players de MPLS, o que é
SD-WAN, quais são os principais players e entender o que é uma rede full mesh.
Proteção contra Malware
Você provavelmente já ouviu falar de assinaturas e vacinas. Lembra de ter escutado “as
definições de vírus foram atualizadas”? Se não talvez eu esteja ficando velho… rs.
Você vai ver várias literaturas te explicando diferença de worm, malware, virus, e etc…
Não vamos entrar neste aspecto, até por que boa parte das ameaças de hoje possuem
comportamentos de malware. Buscam ser indetectáveis, se propagam explorando falhas
e podem desde exfiltrar dados, até sequestrar dados como no caso dos tão famosos
ransomwares.
Antigamente as proteções de antivírus se baseavam em assinatura para identificar uma

ameaça.
Até hoje algumas soluções possuem análise por assinatura, mas você já vai entender o
porquê isso é bem ineficaz.
A assinatura funciona assim; determinado software é considerado malicioso. Então o anti-

virus pega um trecho do binário deste executável e cria uma assinatura, ou seja,
categoriza aquele trecho de binário como malicioso.
Aí você está pensando, mas se eu alterar o binário eu bypassei o antivírus certo?
Maravilha! Você entendeu por que isso não funciona…
Existe um processo muito utilizado por hackers que é a utilização de packers e cripters
para ofuscar um binário.
Então se por exemplo o antivírus detectou que o ransomware Wanna-Cry estiver presente
na máquina ele deve ser removido como uma ameaça. Para que isso seja possível, os
analistas deste produto antivírus pegaram o executável deste malware e utilizaram
trechos do binário para criar um reconhecimento para ele. Por isso que ao executar uma
varredura o AV consegue detectar o vírus.
Então se este vírus é executado, o AV já tem mapeado qual é o nome dos processos que
ele vai abrir, logo se um processo com o nome X for aberto, isso é um aviso para o AV
que o malware está rodando.
11
Repare que isso é possível por que este malware já é conhecido certo?
E se eu criar meu próprio malware, como este antivírus vai detectar ele???
Atualmente existem soluções que são conhecidas por EDR – Entpoint Detection and
Response.
Você vai ouvir falar muito sobre Endpoint! Neste caso considere um Endpoint as
máquinas que os colaboradores utilizam no parque.
Este tipo de solução tem a capacidade de análise heurística. Não isso não é uma mágica
milagrosa como os vendedores vão te falar!!! rs.
Análise heurística é simplesmente análise de comportamento do sistema operacional.
Ou seja, quando algo acontece, o EDR analisa o comportamento, e se o comportamento
é suspeito o EDR vai parar a execução.
Por exemplo, em um ataque de Buffer Overflow Vanilla, o invasor altera o fluxo de

execução da aplicação inserindo um shell-code (código malicioso que fará a aplicação
executar uma tarefa maliciosa) em memória, fazendo com que a aplicação execute uma
tarefa inesperada.
Como um antivírus convencional poderia detectar esta atividade se a aplicação é uma

aplicação normal que não possui indicativos de que seja maliciosa?
A resposta é, não consegue detectar…
Agora um EDR tem esta capacidade, pois quando o invasor realizar o JMP ESP e alocar
o shell-code em memória na aplicação, o EDR está analisando todo o ambiente, isso
inclui análise de memória em tempo de execução. Ou seja, este comportamento é
claramente uma execução de Buffer Overflow. Logo, o EDR para a execução antes
mesmo da alocação do Shell-code nos registradores do processador…
Alguns vendedores de solução vão dizer para vocês que a ferramenta deles é milagrosa e
para qualquer zero day… (zero day são falhas que ainda não foram corrigidas.)
Porém como especialista em Red Team, garanto para você que não existe software que
não possa ser burlado… Mesmo a análise heurística possui falhas, pois as soluções de
EDR dependem de algumas libs do sistema para funcionar! Quer ver?
Você vai ouvir falar muito sobre o Gartner, inclusive é uma das métricas que você irá
utilizar para escolher uma solução em um projeto. Você geralmente vai analisar o
quadrante mágico do Gartner.
Vou te contar um case onde eu consegui bypassar uma proteção de EDR, somente para
que você entenda que não existe bala de prata! Estas soluções são de fato incríveis, e te
trarão uma boa proteção. Mas fique esperto, não existe almoço grátis… (mesmo que o
fabricante do EDR te leve para almoçar as vezes kkk).
Existe uma tool que hackers utilizam para enumeração e busca de falhas em redes
Microsoft chamada BloodHound.
12
Certa vez, eu estava em uma operação de Red Team e o time de Defesa contratou uma
tool de EDR nova. Ouvi em uma reunião que era “impossível” que invasores
conseguissem rodar códigos maliciosos pois a tool é top Gartner e a heurística não
deixaria…
Então eu realizei a análise da tool, meu objetivo era executar o BloodHound e enumerar o
domínio.
Qualquer solução de antivírus corporativa minimamente configurada pega a execução do
BloodHound pois ele faz diversas queryes SMB, LLMNR, LDAP e etc.
Obviamente executando o BloodHound o EDR parava a execução antes mesmo das

queryes começarem.
Mas sabe por que? Ele estava utilizando uma API do Windows chamada AMSI –
Antimalware Scan Interface.
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
E obviamente isso não é um problema, lembra que eu falei que os EDRs utilizam APIs do
Windows para realizar os monitoramentos?
Seguindo nesta linha, existem algumas técnicas de bypass de AMSI. Não vou explicar
qual técnica utilizei, pois, este tema é complexo e não cabe nos tópicos desta disciplina.
Seguindo esta técnica de bypass do AMSI, eu consegui desabilitar esta função
temporariamente. Ou seja, o que eu executava no powershell não era mais visto como
malicioso pois a API do Windows que identifica o que está sendo executado foi
desabilitada durante o ataque.
Moral da história, o EDR top1 do Gartner que custou uma Ferrari e meia por ano, pode
ser bypassado por que exploramos uma falha no Windows que permitiu a execução de
um script ps1 sem “parecer” malicioso…
Isso que estou contando para você, não é para menosprezar a tool de EDR, muito pelo
contrário! Estas tools são infinitamente superiores a AVs convencionais!!!
Este foi somente um exemplo para que você saiba que não existe bala de prata. Mesmo a
tool sendo a melhor tool disponível no mercado, não basta somente que a tool esteja ali
para que o ambiente seja protegido.
Está querendo saber como protegemos o ambiente se só o EDR não deu conta né?
Criamos uma regra no SIEM pegando logs do Endpoint via ETW e Sysmon. O que
resolveu o problema do bypass de AMSI e tornou o ambiente um pouco mais seguro.
Repare que uma andorinha só não faz verão rs…

Você nunca deve confiar somente em um mecanismo de defesa!!! Você precisa proteger a
rede como um todo e não só um pedaço dela confiando que aquilo que o vendedor te
disse é verdade absoluta!
13
Não estou menosprezando os vendors também! Meu objetivo aqui é fazer com que você
se torne cético e não espere um ataque real para ver que as tools não fazem mágica!!!
Sabe estas APIs do Windows que eu citei? ETC, Sysmon, AMSI e etc? Você não precisa
decorar sobre elas! Existem muitas outras…
Você pode ler um livro chamado Windows Internals:

https://www.amazon.com.br/Windows-Internals-Part-architecture-management-ebook/dp/B
0711FDMRR
A documentação da Microsoft tem bastante coisa interessante também.

https://docs.microsoft.com/en-us/sysinternals/resources/windows-internals
Conhecendo como o sistema funciona por dentro, você vai saber como monitorar ele,
como protege-lo e principalmente, nenhum vendedor te passará a perna. =D
Agora você está se perguntando, mas e Linux? E outros sistemas?
Você também precisa estudar Linux Internals e o mesmo vale para BSD, MacOSX e etc…
Eu avisei que tem muita coisa para estudar…

Mas fique tranquilo que você será recompensado pelo esforço!
Para conhecer o Gartner e entender um pouco mais sobre o Magic Quadrant:

https://www.gartner.com/en/research/magic-quadrant
Sobre Windows Internals;
ETW:
https://docs.microsoft.com/en-us/windows/win32/etw/about-event-tracing
Sysmon:
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon#:~:text=System%20Moni
tor%20(Sysmon)%20is%20a,changes%20to%20file%20creation%20time.
AMSI:
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
Este site aqui vai te ajudar MUITO sobre como proteger uma rede Microsoft:
https://adsecurity.org/
Firewall Next Generation X Firewall Convencional
O que acontece com os Antivírus X EDRs também acontece com os Firewalls…

Antigamente (não tão antigamente, até hoje isso é muito utilizado.) Firewalls que
chamamos de convencionais, atuam em layer 3 e 4 do modelo OSI.
Ou seja, o Firewall atua somente analisando portas de origem e destino no tráfego.
Um firewall muito utilizado por ser gratuito e opensource é o PfSense. Este firewall é
baseado em Free BSD e tem uma interface gráfica amigável…
Este firewall é MUITO utilizado por pequenas e medias empresas que não querem investir
em segurança. Se você é fã de PfSense, depois desta aula vai perceber que precisa
14
rebolar bastante para fazer ele atender as ameaças modernas, e infelizmente vai
perceber que pra isso vai precisar de uma bela grana…
Os firewalls convencionais que atuam em layer 3 e 4 fazem a análise do tráfego se

baseando no endereço de origem e destino somado a portas abertas ou não.
Só para você entender o porquê isso é ruim, vou te dar um exemplo de uma invasão
bypassando uma regra de firewall comum:
Cenário:
O servidor SRVAPP01 está em uma DMZ e existe uma regra de firewall que ele
pode ser acessado somente na porta 80 e 443 statefull, ou seja, tanto entrada como
saída. Este servidor se comunica com a internet e etc, porém todo tráfego de saída
somente pode acontecer pela porta 443 e pela porta 80.
Você está pensando, pronto, um invasor não vai conseguir uma conexão reversa com
este server certo?
Exploração:
O hacker explora uma falha de RFI – Remote File Include no php da aplicação que
roda no server SRVAPP01, então por meio da execução remota de código php, o invasor
insere um arquivo php que abre uma conexão via socket com o servidor dele pela porta
443.
Como o nosso server pode sair pela porta 443 e nosso firewall não inspeciona o
protocolo, ou seja, não verifica se de fato o que está passando é o que diz ser, o invasor
obtém uma conexão reversa com o nosso servidor.
Repare que não adiantou nada restringir portas…

Mas por que? Por que somente atuar em layer 3 e 4 do modelo OSI causam este tipo de
GAP…
Os firewalls next generation, ou NGWF como são conhecidos, atuam em layer 7… ou

seja, camada de aplicação!
No caso demonstrado acima, o invasor também exploraria o RFI (daqui a pouco você vai
aprender proteger isso também). Porém ele não conseguiria o que chamamos de call
back…
Ou seja, a conexão reversa não iria acontecer pois o firewall analisaria o pacote que está
sendo enviado e entenderia que não se trata de uma requisição HTTP e sim uma
comunicação socket.
Fora que NGWFs trabalham com liberação de URL por URL Filtering…
Para você fazer algo parecido com o PfSense, você precisaria de um proxy Squid + um
IDS Snort + regra de firewall.
Aí você pensou; - Então não preciso contratar um NGWF, pois se eu posso configurar um
Squid + Snort…
Os NGWFs possuem um time de Threat Intell que recolhe IOCs (Indicadores de

comprometimentos) pelo mundo todo e criam regras automatizadas de bloqueio de
15
comportamento malicioso, assinatura de ataques, black list de IPs com reputação
comprovada maliciosa, correlação de eventos, Gestão unificada de firewalls, ou seja, você
pode ter 300 firewalls controlados por um único painel… (300 foi um exemplo, este
número é infinito).
Você pode contar com inspeção de tráfego SSL, ou seja, você pode abrir o tráfego para
saber o que tem dentro mesmo que esteja cifrado com SSL, e caso você não consiga
abrir pode dropar a request.
NGWFs possuem proteções para ataques de negação de serviço, como por exemplo
DNS SynkHole e etc…
Estes firewalls custam caro pois de fato fazem uma baita diferença na infra!
Mas lembre-se não existe bala de prata! Por mais que estes firewalls sejam
maravilhosamente poderosos, eles também possuem falhas!
Este tipo de firewall tem sistema operacional proprietário e em alguns casos até hardware
proprietário.
Alguns destes firewalls trabalham em conjunto com os outros ativos de segurança da

rede, auxiliando no correlacionamento de eventos e detecção de ameaças em tempo real.
Como exercício, procure quem são os principais players de firewall e quais estão à frente
do quadrante mágico do Gartner.
Como exercício, simule que está fazendo uma pesquisa para contratação de firewalls
para a empresa que você trabalha, então procure 3 fabricantes, crie uma planilha e faça
uma análise de cada um deles como te expliquei ali em cima…
Veja os pros e contras, o que um fabricante faz que o outro não faz e etc…
Você pode estar pensando, nossa mas custa muito caro pagar 3 milhões por ano para ter
uma infra toda com este firewall verdinho, ou então este outro israelense aí…
Lembre-se que seu papel como analista de defesa cibernética não é ver o preço das
coisas, e sim propor soluções poderosas de defesa! Quem tem que se preocupar se é
caro ou não é a empresa não a gente…
Acredite, as empresas investem pesado neste tipo de produto pois é necessário! E se

você está tendo dificuldades para “vender” para o CISO (Chief Information Security
Officer, conhecido no Brasil como gerente de SI), ou você precisa melhorar os seus
argumentos, ou está na hora de voar para outro canto. =D
É difícil que sem experiência prévia você consiga trabalhar em consultoria atuando na
operação deste tipo de firewall.
Para você obter este tipo de experiência, ou você entra para um cliente final e se
aproxima do MSSP ou você tira certificações dos players!
Para começar, alguns players como Juniper e Fortinet possuem certificações gratuitas de
entrada. Mas mesmo assim, as certificações pagas de todos os players não são caras e
são um investimento que você deve fazer se quer um bom emprego!
16
Como atividade, observe no gráfico abaixo as certificações de players de firewall e
pesquise vagas que pedem estas certificações no linkedin.
As certs para operadores de firewall estão na aba verde; Network Security

https://pauljerimy.com/security-certification-roadmap/
Arquitetura Zero Trust
Firewalls NGWF te permitem implementar uma arquitetura chamada zero trust.

Não é uma tarefa nem um pouco simples implementar este tipo de arquitetura, pois muita
coisa pode parar de funcionar. Por este motivo somente empresas com um alto grau de
maturidade de segurança, como instituições financeiras e grandes multinacionais
conseguem implementar.
Na arquitetura Zero Trust, como o próprio nome diz, não existe confiança! Você vai ter que
autenticar cada movimento!
Ou seja, não existe aquela coisa de RDP trust de uma máquina para outra sem digitar
senha, liberação ANY para ANY ou para qualquer destino… Ou seja, ao criar uma regra
de firewall, será descrito exatamente quais são os serviços que podem trafegar.
Você deve estar pensando, mas como vai fazer isso? Em cada criação de regra é feito um
troubleshoot para identificar quais são os blocks que estão ocorrendo e por fim é criado a
regra específica.
Não existe regra genérica em Zero Trust.
Os firewalls de borda fazem inspeção de SSL e se o firewall não tem chave privada para
abrir o SSL o pacote é dropado…
Repare que para se chegar neste nível é preciso uma grande maturidade!
Como atividade, pesquise mais sobre Zero Trust.
https://www.paloaltonetworks.com/cyberpedia/what-is-a-zero-trust-architecture
Ferramentas de Detecção de Ameaças
Toda ferramenta de segurança pode ser utilizada como uma fonte para detecção de
ameaças. E não somente as tools de segurança, tudo que gera log pode ser utilizado para
esta finalidade!
Porém algumas ferramentas de segurança são desenvolvidas exclusivamente para

identificar a movimentação de invasores.
17
É cada vez mais comum o uso de machine learning para a proteção cibernética.
Ferramentas de proteção modernas geralmente analisam o comportamento da rede e dos
usuários a fim de encontrar comportamentos maliciosos…
Você já deve ter ouvido falar de IDS/IPS (Intrusion Detection System e Itrusion Prevention
System).
Geralmente este tipo de ferramenta convencional de detecção de intrusão se baseia em

logs de ferramentas como firewall de aplicação por exemplo.
Quando um hacker está atacando uma aplicação, por exemplo em um ataque de LFI –
Local File Include, ele envia uma query bem característica, como:
https://xxxx.xx/file.php?=../../../../../../../../../../../../../etc/passwd
É muito fácil de encontrar esta query no arquivo de logs do apache por exemplo (em
/var/log/apache2/access.log).
Então estas ferramentas convencionais estão lendo os logs e detectam um padrão

(lembra da assinatura do AV? Esta ação é bem parecida).
Neste caso o padrão está em “../../../../../” claramente alguém está tentando um path
traversal.
Logo a tool detecta desta maneira um “comportamento malicioso” que caracteriza um

ataque de RFI.
O mesmo acontece para outros ataques conhecidos como XSS, SQL Injection e etc...
Baseado no que você já aprendeu sobre análise heurística VS assinatura, já conseguiu

identificar um gap neste procedimento?
À primeira vista parece bem funcional, mas hackers bypassam fácil este tipo de
mecanismo pois as assinaturas de patterns de ataques podem não conter os caracteres
enviados pelo hacker. O que causa um gap na proteção e possibilita que o hacker
obtenha sucesso na exploração enviando algo que o mecanismo de proteção não espera.
Por este motivo, ferramentas modernas de detecção de intrusão fazem análise

comportamental na rede. Ou seja, quando um comportamento que não é comum na rede
acontece a tool avisa os administradores.
Você está se perguntando, mas não é a mesma coisa?
Não, pois estas tools modernas trabalham com machine learning e aprendem o
comportamento da rede, não somente fazendo a leitura de logs!
Por exemplo:
O João do RH somente abre documentos do office e acessa sites como linkedin,

vagas.com e etc…
Repare que este é o dia a dia dele, conversa no teams, envia e-mails e faz ligações.
Se o João acessar uma máquina via SSH, concorda que não tem sentido com o dia a dia
dele?
18
João não é técnico, ele não sabe fazer um scan de portas, e se de repente João roda um
scan de portas utilizando powershell?
João nunca abriu o powershell antes…
Obviamente a credencial do João foi comprometida!!!
Como a tool sabe que isso aconteceu?
Lembra do machine learning? A tool está o tempo inteiro aprendendo o comportamento

da rede. Está analisando o flow de rede, processos em execução, está conectada ao EDR
e todos os outros mecanismos de defesa…
Logo, este tipo de tool consegue no momento em que o João executar o scan de portas,
barrar o comportamento dele…. Ou ao menos avisar o time de segurança, pois barrar
pode se tornar um problema grave em uma grande rede!!!
Percebe que as tools têm evoluído bastante? Isso é ótimo, mas nunca esqueça que não
existe bala de prata!!! Não caia nesta de que “esta tool resolve tudo”…
Segmentação
Segmentação é o processo de dividir ativos na rede, de maneira que você consiga

controlar o tráfego entre o local A e B.
Por exemplo:
Existe um ambiente na rede que possui diversos servidores legados que não podem ser
atualizados pois se trata de um ambiente histórico.
Como é um ambiente histórico e a empresa não pode apagar os dados que estão lá, e
também não podem atualizar o ambiente pois não se pode mexer nas maquinas.
Você pode segmentar a rede de forma que quem está na rede corporativa não consiga
chegar nesta rede histórica!
Isso evita que hackers consigam explorar este ambiente.
Porém esta segmentação não pode ser feita com firewalls convencionais!!!
Vamos ver se você entendeu bem como os firewalls funcionam...

Antes de ler a resposta do por que, responda para você mesmo, por que não adianta
inserir um firewall convencional layer 3 e 4 entre a rede corporativa e a rede histórica do
exemplo?
Lembra que os NGWF conseguem analisar o tráfego em layer 7?

Você não quer ninguém bypassando seu firewall e chegando no ambiente histórico…
Olha esta cadeia de ataque que poderia acontecer se você estivesse utilizando um
firewall convencional:
(Este é só um exemplo!)
19
O hacker envia um malware na rede corporativa, de alguma forma este malware foi
executado.
Então este malware começa a movimentação lateral e durante os scans ele recebe a
resposta de um zero logon no windows server 2008 que está na rede histórica.
Então o malware se movimenta para o server e dumpa os hashs NTLM armazenados no
LSASS e utilizando a técnica de PTH – Pass The Hash ele se movimenta para o Active
Directory da rede corp, e com privilégio de Domain Admin ele criptografa toda a rede.
Se o Firewall que segmenta a rede fosse um NGWF o tráfego nem ao menos chegaria no
servidor Windows server 2008…
Lembra que o controle de tráfego acontece em nível de aplicação (Layer 7) e não porta
protocolo?
O firewall convencional bloqueia somente o tráfego via porta e protocolo, porém ainda é
possível bypassar este tipo de firewall utilizando diversas técnicas. Sempre priorize
atuação em Layer 7, pois dificulta bastante a exploração de falhas no ambiente.
Existem dois tipos de segmentação, a Micro-Segmentação que faz a segmentação entre

uma rede e outra e a Nano-Segmentação que faz a segmentação entre um servidor e
outro…. Em alguns casos existe Nano-Segmentação entre processos no próprio sistema
operacional. Existem tools que tem esta capacidade.
Todo este procedimento de segmentação pode ser feito via software também…. Existem
softwares que fazem a segmentação e até nano segmentação a nível de kernel,
segmentando syscall no SO.
Mais adiante vamos conversar sobre cadeias de ataques, e você vai conseguir ver mais
exemplos de explorações!
WAF – Web Application Firewall
Para proteger aplicações web, não basta somente o desenvolvimento seguro!

Algumas falhas que não são percebidas em tempo de desenvolvimento podem ser
mitigadas com um firewall de aplicação. Mas lembre-se de não confiar 100% no WAF pois
20
é possível bypassar facilmente um WAF como eu demonstro nesta palestra que ministrei
para a OWASP de Brasília: https://www.youtube.com/watch?v=f0ErvZeTFVQ
A função do WAF como o próprio nome diz é um firewall de aplicação. Aí você está se
perguntando, mas se eu tenho um firewall que atua na camada de aplicação (NGWF) isso
substitui um WAF?
NÃO!!! São coisas diferentes! Você já vai entender o porquê.
O firewall NGWF que conversamos atua no segmento de rede, e mesmo que ele faça
inspeção de pacotes em layer 7 (camada de aplicação) a atuação se limita em analisar o
pacote e entender se de fato o pacote enviado é o que diz ser!
Um WAF atua exclusivamente nos protocolos WEB e consegue atuar na aplicação como
um todo!
Por exemplo, um sistema WEB sem um WAF realizando a proteção pode sofrer diversos
ataques independentes de falhas de programação. Por exemplo, se um hacker envia
múltiplas requisições em um parâmetro da aplicação, um NGWF identificaria estas
requisições como válidas. Já um WAF identificaria como um possível ataque de negação
de serviço…. Pois o WAF consegue identificar o que é um comportamento humano e o
que é um comportamento automatizado.
Por exemplo, existem WAFs que conseguem identificar se um bot está requisitando
enviando um código javascript para o browser do solicitante, e caso o solicitante não seja
um browser o WAF bloqueia a request.
Vou dar um exemplo para vocês de algo que presenciei na atuação de um WAF.
Era véspera de natal, uma empresa com operação global estava sofrendo um ataque de
negação de serviço pesado no seu portal de vendas de produtos.
O WAF conseguiu identificar dentre as requisições quais eram de bots e quais eram de
clientes reais. Fazendo esta diferença, os clientes continuaram acessando o site como se
nada estivesse acontecendo, o tráfego dos bots foi direcionado para um synchole (um
endereço próprio para estancar o ataque).
Depois que o ataque foi finalizado a empresa recebeu uma alta conta do fornecedor do
WAF, porém a operação não foi impactada…
Os WAFs atuam por throughput, ou seja, por tráfego analisado. Como no exemplo acima,
a conta veio alta, pois para estancar o ataque de DDoS, um throughput alto foi
consumido.
Outro exemplo em que presenciei um funcionamento de WAF foi em uma campanha de

marketing de uma empresa global que teve um sucesso absurdo e o time de produto não
contatou o time de TI antes da campanha. O site da empresa que estava ligado a esta
campanha recebeu um pico de acesso gigantesco, coisa de 700x o esperado em um
ano…
21
Sem um WAF decente, o site teria caído pois o recurso não aguentaria as requests…
Logo depois a empresa recebeu também uma conta gigantesca… porém serviu de
aprendizado!
Repare que a função do WAF não é só proteger de ataques!!!
O WAF pode ser utilizado também como uma medida compensatória quando não é
possível no momento codificar uma proteção.
Por exemplo, vamos supor que a aplicação está vulnerável a SQL Injection, você pode
criar no WAF uma regra específica para o parâmetro vulnerável.
Mas nunca deixe que a empresa confie 100% no WAF! Como eu mostrei ali na minha
palestra, é possível bypassar mecanismos de defesa, basta ter tempo e vontade.
O WAF protege by default todos os ataques previstos na OWASP top 10. Se você não
tem conhecimento dos principais ataques web, recomendo que você realize a leitura dos
documentos da OWASP!!!
https://owasp.org/www-project-top-ten/
Como atividade, pesquise quais são os principais WAFs do mercado, faça uma análise do
quadrante mágico do Gartner e entenda diferença entre os produtos.
Existem firewalls de backend como por exemplo o modsecurity do apache que você pode
configurar no webserver, mas estes WAFs nem se comparam com o poder de um WAF
externo! Você vai ver como isso funciona quando estiver fazendo suas pesquisas.
Assista minha palestra que nela eu demonstro como é o funcionamento de um WAF de

mercado:
https://www.youtube.com/watch?v=f0ErvZeTFVQ
Vazamento de Dados
Atualmente vazamento de dados se tornou um assunto muito comentado com o advento

da lei geral de proteção de dados LGPD.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htmv
Porém lei de proteção de dados não é uma exclusividade do Brasil, por exemplo, na
Europa existe a GDPR, no oriente médio a KVKK entre outras.
O vazamento de dados é muito ruim desde sempre, porém hoje se tem uma atenção
maior devido as legislações que aplicam multas astronômicas caso os vazamentos
ocorram…
Geralmente grupos de APT buscam por exfiltração de dados. Os hackers sabem da

importância do dado para uma empresa. Imagine por exemplo se a Coca Cola tem sua
receita vazada? Qual seria o impacto para a companhia?
Quando falamos de vazamento de dados, não estamos falando somente do endereço do

joãozinho da TI e da mariazinha do Financeiro. Isso é ruim? É e gera uma multa violenta.
22
Quando estamos falando de vazamento de dados o pior cenário é o de espionagem
industrial…
Acredite, existem hackers contratados para obter segredos de empresas. Alguns hackers
o fazem por vontade própria e oferecem os dados obtidos para concorrentes, utilizam
estes dados para manipulação de ações na bolsa e as vezes até mesmo extorsão.
Alguns grupos de ransomware como por exemplo o ransomaxx, caso a empresa não
efetue o pagamento do resgate para de criptografia dos arquivos, eles vazam os dados da
empresa na sequência…
Existe um trabalho muito importante que deve ser feito que é a categorização dos dados e
criação de políticas internas de uso dos dados. Porém este tema não faz parte do escopo
desta matéria.
Você então deve estar se perguntando…
Como se proteger de vazamento de dados?
Existem diversas tools que fazem a proteção de dados que dificultam que um invasor ou
até mesmo um insider consiga exfiltrar dados.
Você sabe o que é um insider?
Um insider pode ser desde um funcionário que não está feliz com sua posição e sente
vontade de fazer mal para a empresa, então abusa dos acessos que possui para vazar
dados ou destruir algo, até mesmo um hacker contratado para vazar dados que passa
pelo processo seletivo da empresa, começa a trabalhar, então exfiltra dados…
Um insider pode ser usado por um hacker sem saber também… Este processo tem que
ser analisado por um time de inteligência cibernética. Também não está no escopo desta
matéria!
Assim como conversamos anteriormente sobre algumas tools de proteção cibernética,

existem tools voltadas para “impossibilitar” o vazamento de dados.
Novamente, não existe bala de prata! Estas tools são ótimas, mas não entregue sua vida
a elas esperando que o Taffarel segure todas as bolas!
DLP – Data Loss Prevention
As ferramentas de DLP fazem a prevenção de vazamento de dados de diversas formas.

Estas tools geralmente criam assinaturas para conteúdos, então desde dados
classificados, nomes de arquivos, binários assinados até texto escrito dentro de arquivo
pode ser monitorado.
Então por exemplo, você pode criar uma regra que todo documento que contenha um
número de CPF terá o CPF ofuscado quando este arquivo for copiado (sim olha que da
hora, a tool consegue manipular o arquivo e colocar uma tarja no CPF). Isso pode ser
feito em números de cartão de crédito ou qualquer outra informação que você quiser.
23
O DLP pode identificar se um arquivo foi movido na rede. Por exemplo, vamos supor que
uma planilha que está categorizada como confidencial está no servidor de arquivos do
time de compliance. Somente 3 pessoas do compliance podem abrir esta planilha.
Se um user que não é um dos 3 autorizados abrir a planilha, ou se alguém tentar copiar a
planilha uma ação escolhida pelo administrador do DLP pode acontecer, desde bloquear o
usuário e enviar um alerta por e-mail para os responsáveis até explodir uma bomba na
cadeira do meliante.
Brincadeira, seria bem legal se desse para dar um choque no xereta kk
Repare que as regras são criadas pelo administrador! Logo se você quiser por exemplo
que se caso alguém copie arquivos confidenciais para um pendrive por exemplo, seja
disparado um alerta para a segurança patrimonial deter a pessoa, seja bloqueado o
crachá e o usuário e o gestor imediato da pessoa seja acionado isso é possível com um
software de DPL.
Existe também DLP de hardware, como por exemplo alguns monitores são a prova de
fotografia!
Eu não encontrei o link deste relato, então vamos considerar como uma história fictícia.
Por mais que tenha acontecido de fato, como não encontrei a fonte vamos considerar
como uma história.
Um engenheiro de formula 1 de uma grande empresa fabricante de carros decidiu trocar

de emprego e ir trabalhar na concorrência. Ele sabia que não poderia mandar seus
projetos por e-mail e menos ainda copiar para um pendrive…
Então este engenheiro imprimiu seus projetos e foi trabalhar na concorrência.
Estas impressões acabaram vazando na internet, o engenheiro acabou sendo preso.
Mas como descobriram que ele fez o vazamento?
A impressora da empresa possuía um mecanismo de DLP que insere metadados do

usuário que imprimiu o arquivo quando uma cópia do documento é negativada (sabe
quando você inverte as cores da imagem?).
Desta maneira, o arquivo vazado publicado na internet foi analisado por peritos forense e
foi identificado quem foi o autor do vazamento.
Repare que existem diversos mecanismos para detecção de vazamento… A prevenção é

fundamental, porém você precisa sempre de uma maneira de identificar quem vazou o
dado caso o dado seja vazado também.
Eu já presenciei investigações de compliance sobre funcionários que estariam vazando

dados sigilosos, e conseguimos pegar eles por causa do DLP.
Este tipo de tool é muito importante para empresas que possuem segredos industriais!!!
CASB – Cloud Access Security Broker
24
Basicamente o CASB faz o mesmo que o DLP porém na nuvem!
O DLP atua dentro da rede da empresa e consegue monitorar os arquivos dentro da rede.
Porém, quando estamos falando de nuvens públicas como One Drive, Drop Box, Google
Cloud e etc, é importante obter controle deste tipo de dado também.
O CASB faz exatamente a mesma coisa que o DLP em ambiente de nuvem. Ofuscar
dados sensíveis, regras de movimentação de dados, etc…
Bacana que o CASB auxilia também na gestão de containers de dados como blobs na
Azure, Buckets S3 na AWS e etc.
Como atividade, pesquise sobre DLP e CASB, faça uma comparação entre os principais
players, pesquise quais são os top players do quadrante mágico do Gartner e pesquise
sobre casos de vazamento de dados.
Proteção de Dominio
Para uma empresa é muito importante que seja feito o que chamamos de Brand
Protection. Que é a proteção da marca na internet.
É muito comum que páginas fake sejam criadas para ludibriar pessoas em nome das
grandes empresas.
Monitorar a marca na internet é fundamental para a defesa cibernética.
Geralmente as grandes empresas de cliente final contratam consultorias que fazem o

trabalho de brand protection e take down.
O serviço de take down acontece quando uma página fake precisa ser derrubada por não
fazer parte realmente do planejamento da empresa.
Mas não é tão legal quanto parece, não são hackers que vão lá e derrubam a página!
Seria legal se fosse, mas isso é crime segundo o artigo 154-a do código penal Brasileiro.
Mas então como eles derrubam o site falso?
É realizado primeiramente um contato com a empresa responsável pela hospedagem. Por

exemplo, se o site está hospedado na Amazon, a empresa que faz o take down aciona o
time jurídico da Amazon que por sua vez retira o site do ar.
Caso esta ação não funcione a empresa aciona juridicamente o fornecedor de

hospedagem.
Geralmente funciona no primeiro contato! Estas empresas de take down tem uma boa
reputação e conseguem resolver rapidamente.
Você como um analista de defesa cibernética pode criar regras para monitoramento da
sua marca via dorks.
25
Inclusive você pode utilizar dorks até mesmo para encontrar falhas nos sistemas que você
possui publicados para a internet.
Não sabe o que é dork? Como atividade pesquise sobre google dorks.
Este aqui é um belo repositório de dorks para te ajudar no dia a dia:

https://www.exploit-db.com/google-hacking-database
Pishing e Spear Phishing
Você com certeza já ouviu falar de e-mails ou sms ou qualquer tipo de mensagem falsa
que tenta enganar as pessoas.
Os hackers utilizam uma técnica chamada engenharia social para criar falsa impressão de
que a mensagem recebida é de fato verídica.
Mas vamos ao que interessa, você provavelmente já conhece este termo, caso não
conheça faça uma pesquisa sobre!
O objetivo aqui é te mostrar como se proteger deste tipo de ataque, pois quando você
estiver no dia a dia no mercado vai precisar se preocupar com isso!
Será que existe ferramenta de proteção contra phishing?
Algumas tools protegem o servidor de e-mail, como por exemplo o produto safe-links da
Microsoft que auxilia na análise dos links que estão presentes no corpo do e-mail que foi
recebido.
A esta altura do campeonato você deve estar pensando, mas com certeza da para
bypassar né?
Acertou! Rs
https://thehackernews.com/2018/05/microsoft-safelinks-phishing.html
Ai você está pensando, mas tudo que a gente fala aqui dá pra bypassar… Exato, isso é a
graça do nosso trabalho! Lembrem-se não existe bala de prata!!!
Isso não significa que você não deve utilizar as tools, muito pelo contrário, você deve sim!
E deve combinar tudo que estamos falando aqui sempre que possível!
Voltando ao nosso phishing, se somente uma proteção de links não é suficiente, ajuda,
mas não é suficiente, o que mais posso fazer?
Existe uma opção no exchange e no office365 que você pode criar uma tag de e-mail
externo! Assim todo e-mail que chegar de fora do seu domínio vai exibir uma mensagem
para o usuário prestar atenção no conteúdo do e-mail pois ele veio de uma fonte externa
a companhia.
https://techcommunity.microsoft.com/t5/exchange-team-blog/native-external-sender-callout
s-on-email-in-outlook/ba-p/2250098
26
Claro que não adianta somente confiar em tools neste caso!
O processo MAIS IMPORTANTE para a proteção contra-ataques de phishing e

engenharia social é o que chamamos de Security Awareness.
Traduzindo para o Português, estamos falando de conscientização sobre segurança!
E isso pode ser feito de uma maneira bem simples! Basta criar comunicações com os
colaboradores, enviando e-mails explicando como um phishing funciona, como se
defender, como os fraudadores trabalham e etc…
Você pode fazer palestras para os funcionários, reuniões rápidas explicando o tema e
principalmente disponibilizar um canal para que os colaboradores possam verificar se um
e-mail é phishing ou não, podendo submeter o e-mail para análise e até mesmo reportar
casos de ataques para que o time de segurança possa efetuar os devidos bloqueios.
Como atividade procure sobre phishing e como os atacantes utilizam este tipo de técnica
para obter acessos a redes corporativas!
As campanhas de Phishing englobam diversos endereços, geralmente são enviadas para

um mailing (lista de e-mails) e “quem cair caiu…”.
Você pode estar se perguntando, mas de onde o invasor consegue uma lista dos meus
endereços?
É simples, geralmente o padrão de e-mail das companhias é:

nome.sobrenome@empresa.com.br
O que possibilita que um invasor vá até o linkedin, levante o nome dos alvos e crie o
mailing para o ataque…
Existem tools que ajudam a procurar pelo padrão de e-mail utilizado no alvo, como por
exemplo:
https://hunter.io/
Ataques de Spear Phishing são direcionados, e geralmente buscam alvos específicos.
O que você pode fazer para combater ataques direcionados para diretores e cargos
executivos ou críticos para a empresa, é criar uma forte campanha de conscientização
deste público!
Assim você terá uma maior segurança das informações críticas.
Lidar com o C-level é complicado, pois geralmente eles não estão “muito aí” para a
segurança, então você precisa saber muito bem como falar com este público!
Faça eles entenderem que a segurança da empresa depende deles também e use
exemplos do mundo real que causaram impacto financeiro para a companhia!
Como atividade, crie uma arte de conscientização sobre phishing e faça uma publicação
em seu linkedin conscientizando as pessoas sobre como se proteger de phishings e como
analisar se um e-mail é verdadeiro!
27
Mande para sua mãe, tia, tio, avó, se as pessoas que não trabalham com tecnologia
próximas a você entenderem sua mensagem, você aprendeu como fazer security
awareness.
DevSecOps e APPSec
Normalmente as empresas possuem squads internas que desenvolvem softwares sob

demanda para atender a própria empresa. É muito mais barato montar várias squads do
que comprar software sob demanda.
Algumas empresas até contratam consultorias para este tipo de desenvolvimento
interno…
Aí que mora o perigo! As squads estão desenvolvendo os softwares que serão utilizados
pela empresa. Mas aí devemos perguntar, e a segurança? Será que estes softwares não
estão vulneráveis?
O processo do DevSecOps, ou APPSec como alguns chamam, é o momento onde

cybersecurity é inserida no processo para realizar a análise dos softwares desenvolvidos.
Você deve estar pensando, mas se a empresa tem vamos supor 37 softwares sendo
desenvolvidos… como olhar para todos eles?
Geralmente uma esteira de DevOps convencional vai receber os commits dos devs,
analisar a qualidade de código, caso aprovado o pipeline envia o commit para QAS. No
ambiente de qualidade é realizado os testes de software, então é transportado para um
servidor de homologação e depois das validações necessárias é enviado para PRD
(produção).
Muitos commits são realizados por dia… Como Vamos garantir que este código está
seguro?
Se você não tem nenhuma noção de desenvolvimento de software, eu recomendo que

você
estude programação pelo menos o suficiente para fazer uma operação de CRUD (Create,
Remove, Update e Delete) integrado a um banco de dados.
Para fazer a análise desta aplicação em quanto ela está sendo desenvolvida, não é tão
difícil como parece!
Existem tools para isso!
Vou demonstrar para vocês como seria um pipeline de DevSecOps;
Primeiramente precisamos entender dois conceitos de análise. A análise SAST e DAST.
SAST – Static Application Security Testing
28
Como o próprio nome sugere, esta é uma análise estática de código.
Ou seja, é uma análise de código fonte para busca de vulnerabilidades.
Por exemplo, para uma vulnerabilidade de SQL Injection acontecer, é necessário que uma
query SQL seja executada pelo backend da aplicação sem que o conteúdo do payload
seja validado.
Ou seja, o conteúdo que é inserido pelo usuário é inserido ou consultado no banco de
dados sem passar por alguma função de validação.
Algumas linguagens possuem alguns mecanismos implementados para a validação dos

conteúdos que farão a manipulação de dados no banco.
Como por exemplo em Java existe o Prepared Statement.

Em alguns casos se faz necessário desenvolver este tipo de função de validação.
Então se a aplicação não faz este tipo de validação, se faz possível injetar comandos no
banco de dados.
Durante a análise SAST este tipo de falha é facilmente identificada pois, se é default da
linguagem utilizada que toda manipulação de querys de banco de dados seja analisada
pela função criada para tal, se o desenvolvedor não a utiliza, o mecanismo de análise
consegue identificar a falha.
Ou se por exemplo o desenvolvedor não faz as devidas validações este processo também
será “pego”.
Então você deve estar se perguntando, este tipo de análise vai deixar a aplicação sem
nenhuma falha?
Não existe aplicação 100% segura, até por que como em todos os exemplos que
comentamos até o momento, o fator humano sempre fará com que softwares possam ser
subvertidos ou bypassados.
Neste caso esta análise é realizada novamente por assinatura, ou seja, existe uma serie
de strings que quando identificadas geram um padrão na tool durante a análise que faz
com que o código vulnerável seja identificado.
Então como isso pode falhar?
Pode acontecer de a tool de análise estática não possuir todas as assinaturas

necessárias para identificar falhas específicas.
Mas então como garanto que está seguro?
Após esta análise você pode executar a análise DAST.
DAST – Dynamic Application Security Testing
O teste dinâmico acontece com a aplicação em execução. Diferente da análise estática

que é realizada em código fonte, a análise dinâmica precisa que a aplicação esteja em
29
execução para que scaners de vulnerabilidades consigam buscar por possíveis vetores de
ataque.
Mas então como esta análise descobre vulnerabilidades?
As ferramentas de análise DAST também possuem assinaturas e buscam por possíveis

explorações em bancos de vulnerabilidades conhecidos. Lembra que conversamos sobre
CVE no começo do curso?
Por exemplo, o Exploit DB é um repositório público de exploits e pode ser utilizado como
uma das fontes para estas tools.
https://www.exploit-db.com/
Estas tools vão buscar por versões de serviços utilizados, tecnologias utilizadas, e por
meio destas analises, a tool faz a busca de CVEs para possíveis explorações destes
serviços.
Por exemplo, se a análise DAST identifica que a aplicação está rodando com um
framework Struts no Java, a tool vai buscar exploits existentes para este framework.
Vamos supor que o Struts utilizado está na versão 2.3.34. A tool vai trazer como retorno
que possivelmente a aplicação está vulnerável a uma falha de RCE – Remote Code
Execution. CVE-2018-11776
https://www.exploit-db.com/exploits/45260
Repare que este procedimento pode trazer o que chamamos de falso positivo. Ou seja,
esta pode não ser de fato uma falha!
Vamos supor que de fato este struts esteja na versão 2.3.34, porém ao não conseguir
atualizar a versão o time de operações de TI em conjunto com o time de cybersecurity
criou medidas compensatórias para a proteção do ambiente, e ao se executar o exploit
para esta falha os mecanismos de defesa atuam e o exploit é parado em tempo de
execução.
Repare que mesmo ainda “existindo” a falha, as medidas compensatórias estão de certo
modo protegendo o ambiente. (Nunca confie em medidas compensatórias, um hacker só
precisa de tempo e esforço para bypassar qualquer mecanismo de defesa!)
Neste caso você provavelmente já entendeu qual é o problema de uma análise DAST. Por
mais que seja efetivo até certo ponto, e torna o pipeline capaz de identificar possíveis
falhas que não foram pegas na análise SAST, este não é um processo que sozinho
garante segurança da aplicação.
O próximo passo seria um PenTest, mas já chegaremos lá.
Então vamos a um exemplo de como funciona um pipeline de DevSecOps que auxilia o

time de segurança a manter a segurança do software em quanto o mesmo é
desenvolvido.
30
Geralmente as tools mais completas que são oferecidas para o mercado, fazem análise
SAST na IDE do desenvolvedor antes mesmo de o código ser enviado para a esteira.
Desta maneira, se o desenvolvedor codifica algo que esteja vulnerável, ele será avisado
em tempo de desenvolvimento.
Assim que este dev faz o commit (envia o código que ele desenvolveu para o pipeline),
antes do código ser enviado para o repositório de homologação, a tool de análise SAST
faz novamente uma análise do código commitado, e se caso existe alguma
vulnerabilidade o código é devolvido para o dev.
Caso seja aprovado é enviado para homologação e segue o fluxo de qualidade e testes
normais de uma esteira.
Quando a versão de homologação do software é produzida, a tool de análise DAST faz a

varredura de possíveis vulnerabilidades na aplicação, e caso encontre o mesmo devolve
para o pipeline o que precisa ser corrigido.
Aí você pode estar se perguntando, já posso garantir que está seguro?
Não, lembra que estas analises podem falhar?
Agora a gente entra no processo de PenTest. Não é escopo desta matéria de defesa
cibernética explicar como funciona um PenTest, porém basicamente um analista de
PenTest vai reproduzir a exploração de possíveis falhas que ele mesmo vai identificar na
aplicação e irá gerar um relatório.
Este relatório demonstra como a exploração aconteceu e o que precisa ser feito para
correção.
Então, este PenTest é executado neste ambiente de homologação. Em boa parte das
empresas que possuem uma maturidade de segurança considerável, o software não pode
ser transportado para produção se não estiver OK com o PenTest realizado.
Após a devolutiva do time de PenTest que manualmente testou a aplicação, a squad irá
corrigir os problemas apontados e será submetido para um retest.
Sim, toda feature desenvolvida, mesmo que seja um simples formulário ou página estática
precisa passar pelo processo de PenTest antes de chegar em produção.
Tendo em vista que tudo foi corrigido ou riscos foram assumidos, a aplicação segue no
pipeline para a produção.
No ambiente de PRD é realizado novamente uma analise DAST.
Você pode estar se perguntando, mas por que uma nova análise se já foi testado em
homolog?
Em homologação todos os mecanismos de defesa como por exemplo o WAF é

desabilitado, captchas e outras proteções são desabilitadas.
Então em PRD se faz necessário novas análises.
31
A nova análise DAST em PRD irá encontrar possíveis novas falhas, e depois de
corrigidas, novamente um time de PenTest irá realizar testes em produção.
Repare que todo este processo é bem complexo e custoso. Porém quando bem
implementado a aplicação terá uma maturidade de segurança considerável.
Você pode se basear na documentação da OWASP para criar um processo deste na

empresa que trabalha caso não exista.
https://owasp.org/
Como atividade, pesquise quais são as principais ferramentas de APPsec, quais são os
principais players apontados pelo quadrante mágico do Gartner, e crie uma planilha de
benchmark sobre features das tools.
Correlação de Eventos
Cada ataque, exploração, ou até mesmo tentativas de explorações que acontecem na

rede são chamadas de eventos.
Lembra do exemplo do scan de portas? Se um host está efetuando um scan de portas na

rede você gostaria de saber disso não?
Até por que como um profissional de defesa cibernética, você precisa atuar de alguma
forma quando algo assim ocorrer…
Tudo que existe na rede pode ser utilizado como uma maneira de se coletar eventos!
Lembre-se, como sempre digo, não existe uma bala de prata! Porém você pode criar
regras eficientes que de certo modo podem te auxiliar na proteção do ambiente.
A correlação de eventos é um processo de análise de eventos coletados em diversos

locais na sua rede, com a finalidade de transformar estes dados em inteligência.
É importante compreender o conceito de inteligência, para isso recomendo que vocês

leiam o conceito tridimensional de Sherman Kent.
https://www.hsdl.org/?abstract&did=442468
Resumindo rapidamente, este conceito consiste em se obter dados, organizar estes

dados e transforma-los em inteligência. Ou seja, estes dados serão compartilhados com
um tomador de decisão.
Vamos trazer isso para nosso conceito de correlação de eventos;
Se uma workstation recebe um alerta de que um executável acaba de injetar um processo

de conexão reversa após realizar o download de uma fonte externa (é possível identificar
este tipo de ação utilizando algumas APIs do Windows como Sysmon, ETW, AMSI entre
outras).
32
Obviamente aconteceu um comprometimento desta workstation, pois esta conexão
remota não deveria estar acontecendo…
Porém somente saber que ela foi comprometida não é o suficiente, precisamos saber de
onde veio o ataque certo?
Repare que estamos analisando somente uma fonte de eventos, que neste caso é o
Windows desta workstation…
Para entender melhor o que aconteceu, outras fontes de eventos precisam nos informar o
que está acontecendo.
Então momentos antes, o servidor de e-mails alertou eventos de tentativa de execução de

links que possuem tag de external mail para o endereço do mesmo usuário da máquina
que abriu o processo de comunicação reversa…
Porém depois da terceira tentativa de execução de links externos o usuário conseguiu

abrir um link, pois não existe logs de block no mecanismo de proteção de e-mail externo.
Até aí você pode deduzir que talvez tenha acontecido um ataque de phishing, mas isso
ainda não é conclusivo.
Você precisa de mais eventos para ter certeza do que está acontecendo!
Então você analisando os eventos do firewall de borda, você pode observar que o
endereço da workstation efetuou diversas tentativas de conexão na porta 443 para um
endereço Chinês que foi bloqueado pois entrou na regra de ação maliciosa, já que a
tentativa de conexão não era de fato uma requisição HTTP e sim uma comunicação via
socket…
Você consegue deduzir que este comportamento malicioso tentou se comunicar com a
rede externa e os serviços de firewall bloquearam a requisição.
Mas então por que existe comunicação tcp aberta na máquina? Este processo injetado
está abrindo comunicação reversa com quem?
Você precisa de mais eventos!
Você percebe então que outra workstation está respondendo o processo na máquina
comprometida, e elas estão se comunicando na porta 445.
Você recebe um evento mostrando que a segunda máquina está com o processamento
extremamente alto, e ao verificar você percebe que a máquina está criptografada…
Não vou continuar descrevendo o ataque, você já entendeu que tem um ransomware
acontecendo e a fonte foi um ataque de phishing, provavelmente por uma macro
infectada!
Por que dei toda esta volta para demonstrar um trecho de ataque?
Reparou que tudo que percebemos veio de eventos coletados por diversos mecanismos
na rede?
33
A correlação de eventos é o que vai te fazer compreender o que está acontecendo e vai
te dar base para conseguir agir!
SIEM – Security Information and Event Management
As tools de SIEM recebem os eventos de todas as fontes que estiverem configuradas e

fará automaticamente a análise destes eventos e a correlação do mesmo.
Repare que manualmente é muito complexo de se entender uma cadeia de ataque em

uma rede corporativa de grande porte! Então este tipo de tool vai fazer com que estas
analises cheguem “mastigadas” para você.
Lembra do conceito de inteligência? Neste caso você é o tomador de decisão, e a tool de
SIEM vai correlacionar os eventos e te entregar a inteligência para que você tome uma
ação.
O grande problema neste caso é que licenciamento de SIEM não é barato, e geralmente
tools profissionais atuam com licenciamento por eventos. Logo cada evento que acontece
consome uma porcentagem de licenciamento…
Repare que para que o SIEM funcione de uma maneira interessante você vai precisar de
diversas fontes de envio de eventos! Esta não vai ser uma tarefa fácil, geralmente leva
alguns anos para que se obtenha uma maturidade considerável para o processo como um
todo.
Como atividade recomendo que você procure por quais são os principais fabricantes de
SIEM do mercado e faça uma comparação entre as features oferecidas.
SOAR – Security Orchestration, Automation and Response
SOAR significa Orquestração de Segurança, Automação e Resposta. As plataformas

SOAR são uma coleção de soluções e ferramentas de software de segurança para
navegar e coletar dados de uma variedade de fontes. As soluções SOAR usam uma
combinação de aprendizagem humana e de máquina para analisar esses diversos dados
a fim de compreender e priorizar as ações de resposta a incidentes.
O termo é usado para descrever três recursos de software - gerenciamento de ameaças e

vulnerabilidade, resposta a incidentes de segurança e automação de operações de
segurança.
O SOAR permite que as empresas coletem dados relacionados a ameaças de uma

variedade de fontes e automatizem as respostas às ameaças. O termo foi originalmente
criado pelo Gartner, que também definiu os três recursos. O gerenciamento de ameaças e
vulnerabilidades (Orquestração) cobre tecnologias que ajudam a corrigir as ameaças
cibernéticas, enquanto a automação de operações de segurança (Automação) está
relacionada às tecnologias que permitem a automação e a orquestração dentro das
operações.
34
Ou seja, o SOAR é uma automatização de decisões, então além de detecção, também é
possível que automatizações de proteções sejam executadas. Como por exemplo
contenção de ataques em andamento e tudo que estiver planejado como resposta a
incidentes.
Tudo que é recolhido via logs, tudo que os sensores na rede geram como eventos são
chamados de IOCs – Indicator of Compromise
Geralmente tools de segurança enviam IOCs coletados para os times de threat intell deles
mesmos para que sejam criadas vacinas, regras, e etc…
Os IOCs podem ser utilizados para análise de incidente, criação de regras, inteligência
cibernética entre outros.
Como atividade, recomendo que você pesquise sobre tecnologias que implementam
SOAR e como este tipo de mecanismo pode proteger a empresa.
Pesquise os principais players, procure por parceiros que aplicam este conceito e faça
novamente uma planilha com a avaliação das principais tools.
Threat Intelligence
Geralmente os times de threat intell internos fazem buscas por ameaças na rede, em
alguns casos participam de respostas a incidente e fazem buscas ativas por IOCs.
Quando é contratado um parceiro para o Threat Hunting, este parceiro faz a atividade de
brand protection, se infiltrando em comunidades para quando a marca for citada, gerar
alertas sobre a fonte e o conteúdo da citação.
Por exemplo, em grupos de crimes cibernéticos, meliantes vendem acessos, cartões de

crédito e etc… É comum que nestes grupos os criminosos enviem prints de ações
maliciosas. Por exemplo o joãozinho acabou de aprovar uma compra em um ecomerce
com um cartão clonado e posta um print no grupo dizendo que conseguiu aprovar a
compra. O time de Threat Hunting que está infiltrado neste grupo coleta esta evidência
(IOC) e envia para o cliente para que seja cancelado a entrega a tempo por exemplo.
Os times de Threat Intel também atuam na análise de malwares, análise de documentos

maliciosos, participam da resolução de incidentes contribuindo com a busca pelos IOCs e
identificação de padrões e até mesmo os próximos passos.
É bem difícil que clientes finais façam a infiltração em comunidades criminosas pois a
empresa não vai querer estar ligada a grupos desta natureza, e menos ainda expor seus
colaboradores desta maneira. É por isso que geralmente quem faz estas infiltrações é um
time externo de alguma consultoria especializada.
Existem times de threat intelligence dentro de fabricantes que utilizam os IOCs (Indicator
of Compromise) para criar regras de detecção automatizadas para as tools.
Indicadores de comprometimento (IOCs) referem-se a dados que indicam que um sistema

pode ter sido infiltrado por uma ameaça cibernética. Eles fornecem às equipes de
35
segurança cibernética um conhecimento crucial após uma violação de dados ou outra
violação de segurança.
As equipes de resposta a incidentes de segurança de computadores (CSIRTs) usam IOCs
para detecção de malware, para aprimorar a segurança do Sandbox e para verificar a
eficácia da análise heurística. Eles também são usados para detectar e prevenir ataques
ou para limitar os danos causados ao interromper os ataques logo no início.
Indicadores de comprometimento vs. indicadores de ataque:

Os indicadores de ataque são diferentes dos IOCs porque se concentram na identificação
da atividade associada ao ataque enquanto o ataque está ocorrendo, enquanto os IOCs
se concentram em examinar o que aconteceu após a ocorrência de um ataque.
Os IOCs atuam como sinalizadores que os profissionais de segurança cibernética usam

para detectar atividades incomuns que são evidências ou podem levar a um ataque
futuro. Existem vários tipos diferentes de IOCs. Alguns incluem elementos simples, como
metadados, e outros são mais complexos, como códigos complicados de conteúdo
malicioso.
Geralmente, é útil para os profissionais de segurança da informação reunir vários IOCs e,

em seguida, ver se há uma correlação entre eles, indicando os detalhes de um possível
ataque.
Indicadores mais comuns de comprometimento são tráfego de rede de saída incomum.

O tráfego que sai da rede é um indicador que as equipes de TI usam para identificar
possíveis problemas. Se os padrões de tráfego de saída forem suspeitamente incomuns,
a equipe de TI pode ficar de olho nisso para verificar se algo está errado. Como esse
tráfego se origina de dentro da rede, geralmente é o mais fácil de monitorar e, se uma
ação for realizada imediatamente, ele pode ser usado para interromper muitos tipos de
ameaças.
Anomalias na atividade da conta de usuário privilegiado:

As contas de usuário com privilégios geralmente têm acesso a áreas especiais ou
particularmente confidenciais da rede ou aplicativos. Portanto, se forem detectadas
anomalias, elas podem ajudar as equipes de TI a identificar um ataque no início do
processo, potencialmente antes que ele tenha causado danos significativos. As anomalias
podem incluir um usuário tentando escalar privilégios de uma conta específica ou usar a
conta para acessar outras pessoas com mais privilégios.
Irregularidades Geográficas:
Se houver tentativas de login de países com os quais sua organização normalmente não
faz negócios, isso pode ser um sinal de um possível comprometimento da segurança.
Pode ser a evidência de um hacker em outro país tentando entrar no sistema.
Outras bandeiras vermelhas de login:

Quando um usuário legítimo tenta fazer login, ele normalmente obtém sucesso com
algumas tentativas. Portanto, se um usuário existente tentar fazer login muitas vezes, isso
pode indicar uma tentativa de invadir o sistema por um malfeitor. Além disso, se houver
logins com falha com contas de usuário que não existem, isso pode indicar que alguém
está testando contas de usuário para ver se uma delas fornecerá acesso ilícito.
36
Aumento no volume de leitura do banco de dados:
Quando um invasor tenta exfiltrar seus dados, seus esforços podem resultar em um
aumento no volume de leitura. Isso pode ocorrer quando o invasor coleta suas
informações para tentar extraí-las.
Tamanhos de resposta HTML:

Se o tamanho típico da resposta HTML (Hypertext Markup Language) for relativamente
pequeno, mas você notar um tamanho de resposta muito maior, isso pode indicar que os
dados foram filtrados. A massa de dados resulta em um tamanho de resposta HTML
maior à medida que os dados são transmitidos ao invasor.
Grande número de solicitações para o mesmo arquivo:

Os hackers sempre tentam solicitar arquivos que estão tentando roubar. Se o mesmo
arquivo está sendo solicitado muitas vezes, isso pode indicar que um hacker está
testando várias maneiras diferentes de solicitar os arquivos, na esperança de encontrar
uma que funcione.
Tráfego incompatível nas portas de aplicativos:

Os invasores podem explorar portas obscuras enquanto executam um ataque. Os
aplicativos usam portas para trocar dados com uma rede. Se uma porta incomum estiver
sendo usada, isso pode indicar que um invasor está tentando penetrar na rede através do
aplicativo ou para afetar o próprio aplicativo.
Registro suspeito ou alterações no arquivo do sistema:

O malware geralmente inclui código que faz alterações no registro ou nos arquivos do
sistema. Se houver mudanças suspeitas, pode ser um IoC. Estabelecer uma linha de
base pode facilitar a localização de alterações feitas por invasores.
Anomalias de solicitação de DNS

Os hackers costumam usar servidores de comando e controle (C&C) para comprometer
uma rede com malware. O servidor C&C envia comandos para roubar dados, interromper
serviços da web ou infectar o sistema com malware. Se houver solicitações anômalas de
Sistema de Nomes de Domínio (DNS), especialmente aquelas que vêm de um
determinado host, pode ser um IOC.
Além disso, a geolocalização das solicitações pode ajudar as equipes de TI a detectar

possíveis problemas, especialmente se a solicitação de DNS vier de um país de onde os
usuários legítimos normalmente não vêm.
As tecnologias digitais estão no centro de quase todos os setores da atualidade. A

automação e a maior conexão que eles oferecem revolucionaram as instituições
econômicas e culturais do mundo - mas também trouxeram riscos na forma de ataques
cibernéticos. Inteligência de ameaças é o conhecimento que permite prevenir ou mitigar
esses ataques. Com base em dados, a inteligência contra ameaças fornece contexto -
como quem está atacando você, quais são suas motivações e recursos e quais
indicadores de comprometimento em seus sistemas procurar - que o ajuda a tomar
decisões informadas sobre sua segurança.
37
“Inteligência de ameaças é o conhecimento baseado em evidências, incluindo contexto,
mecanismos, indicadores, implicações e conselhos orientados para a ação sobre uma
ameaça existente ou emergente ou perigo para ativos. Essa inteligência pode ser usada
para informar as decisões sobre a resposta do sujeito a essa ameaça ou perigo. ” -
Gartner
Para obter informações mais detalhadas, verifique as seções desta visão geral intituladas
“The Threat Intelligence Lifecycle” e “The Types of Threat Intelligence”.
Por que a inteligência sobre ameaças é importante?

Hoje, o setor de segurança cibernética enfrenta vários desafios - agentes de ameaças
cada vez mais persistentes e tortuosos, uma enxurrada diária de dados cheios de
informações estranhas e alarmes falsos em vários sistemas de segurança não
conectados e uma séria escassez de profissionais qualificados.
Algumas organizações tentam incorporar feeds de dados de ameaças em sua rede, mas
não sabem o que fazer com todos esses dados extras, aumentando a carga de analistas
que podem não ter as ferramentas para decidir o que priorizar e o que ignorar.
Uma solução de inteligência contra ameaças cibernéticas pode resolver cada um desses
problemas. As melhores soluções usam o aprendizado de máquina para automatizar a
coleta e o processamento de dados, integrar com suas soluções existentes, obter dados
não estruturados de fontes distintas e, em seguida, conectar os pontos fornecendo
contexto sobre indicadores de comprometimento (IoCs) e as táticas, técnicas e
procedimentos (TTPs) de atores de ameaças.
A inteligência de ameaças é acionável - é oportuna, fornece contexto e pode ser

compreendida pelas pessoas responsáveis pela tomada de decisões.
A inteligência contra ameaças cibernéticas é amplamente considerada como domínio de

analistas de elite. Na realidade, ele agrega valor às funções de segurança para
organizações de todos os tamanhos.
Quando a inteligência de ameaças é tratada como uma função separada dentro de um

paradigma de segurança mais amplo, em vez de um componente essencial que amplia
todas as outras funções, o resultado é que muitas das pessoas que mais se beneficiariam
com a inteligência de ameaças não têm acesso a ela quando preciso disso.
As equipes de operações de segurança normalmente não conseguem processar os

alertas que recebem - a inteligência contra ameaças se integra às soluções de segurança
que você já usa, ajudando a priorizar e filtrar automaticamente os alertas e outras
ameaças. As equipes de gerenciamento de vulnerabilidades podem priorizar com mais
precisão as vulnerabilidades mais importantes com acesso aos insights externos e ao
contexto fornecido pela inteligência de ameaças. E a prevenção de fraude, análise de
risco e outros processos de segurança de alto nível são enriquecidos pela compreensão
do cenário de ameaças atual que a inteligência de ameaças fornece, incluindo
percepções importantes sobre os atores da ameaça, suas táticas, técnicas e
procedimentos, e muito mais de fontes de dados em a teia.
38
Veja nossa seção sobre casos de uso abaixo para uma visão mais aprofundada de como
cada função de segurança pode se beneficiar da inteligência contra ameaças.
O ciclo de vida da inteligência de ameaças

Então, como a inteligência sobre ameaças cibernéticas é produzida? Dados brutos não
são a mesma coisa que inteligência - inteligência contra ameaças cibernéticas é o produto
final que surge de um ciclo de seis partes de coleta, processamento e análise de dados.
Esse processo é um ciclo porque novas questões e lacunas no conhecimento são
identificadas no decorrer do desenvolvimento da inteligência, levando ao estabelecimento
de novos requisitos de coleta. Um programa de inteligência eficaz é iterativo, tornando-se
mais refinado com o tempo.
Para maximizar o valor da inteligência contra ameaças que você produz, é fundamental
que você identifique seus casos de uso e defina seus objetivos antes de fazer qualquer
outra coisa.
1. Planejamento e direção
A primeira etapa para produzir inteligência de ameaças acionável é fazer a pergunta
certa.
As perguntas que melhor orientam a criação de inteligência de ameaças acionáveis

concentram-se em um único fato, evento ou atividade - perguntas amplas e abertas
geralmente devem ser evitadas.
Priorize seus objetivos de inteligência com base em fatores como o grau de aderência aos
valores centrais da sua organização, o tamanho do impacto que a decisão resultante terá
e o quão sensível ao tempo é a decisão.
Um fator orientador importante nesta fase é entender quem consumirá e se beneficiará do

produto acabado - a inteligência irá para uma equipe de analistas com conhecimento
técnico que precisa de um relatório rápido sobre um novo exploit, ou para um executivo
que está procurando uma ampla visão geral das tendências para informar suas decisões
de investimento em segurança para o próximo trimestre?
2. Coleção
A próxima etapa é coletar dados brutos que atendam aos requisitos definidos no primeiro
estágio. É melhor coletar dados de uma ampla gama de fontes - internas, como logs de
eventos de rede e registros de respostas a incidentes anteriores, e externas da web
aberta, dark web e fontes técnicas.
Os dados de ameaças geralmente são considerados listas de IoCs, como endereços IP

maliciosos, domínios e hashes de arquivo, mas também podem incluir informações de
vulnerabilidade, como informações de identificação pessoal de clientes, código bruto de
sites colados e texto de notícias fontes ou redes sociais.
3. Processamento
39
Uma vez que todos os dados brutos foram coletados, você precisa classificá-los,
organizando-os com tags de metadados e filtrando informações redundantes ou falsos
positivos e negativos.
Hoje, até mesmo pequenas organizações coletam dados da ordem de milhões de eventos
de log e centenas de milhares de indicadores todos os dias. É demais para os analistas
humanos processarem com eficiência - a coleta e o processamento de dados devem ser
automatizados para começar a fazer algum sentido.
Soluções como SIEMs são um bom lugar para começar porque tornam relativamente fácil
estruturar dados com regras de correlação que podem ser configuradas para alguns
casos de uso diferentes, mas só podem aceitar um número limitado de tipos de dados.
Se estiver coletando dados não estruturados de muitas fontes internas e externas

diferentes, você precisará de uma solução mais robusta. O Recorded Future usa
aprendizado de máquina e processamento de linguagem natural para analisar texto de
milhões de documentos não estruturados em sete idiomas diferentes e classificá-los
usando ontologias e eventos independentes de linguagem, permitindo que analistas
realizem pesquisas poderosas e intuitivas que vão além de palavras-chave simples e
regras de correlação simples.
4. Análise
A próxima etapa é entender os dados processados. O objetivo da análise é pesquisar
possíveis problemas de segurança e notificar as equipes relevantes em um formato que
atenda aos requisitos de inteligência descritos no estágio de planejamento e direção.
A inteligência sobre ameaças pode assumir várias formas, dependendo dos objetivos
iniciais e do público-alvo, mas a ideia é colocar os dados em um formato que o público
compreenda. Isso pode variar de simples listas de ameaças a relatórios revisados por
pares.
5. Disseminação
O produto acabado é então distribuído aos consumidores pretendidos. Para que a
inteligência de ameaças seja acionável, ela precisa chegar às pessoas certas no
momento certo.
Também precisa ser rastreado para que haja continuidade entre um ciclo de inteligência e
o próximo e o aprendizado não sejam perdidos. Use sistemas de tíquetes que se integram
com seus outros sistemas de segurança para rastrear cada etapa do ciclo de inteligência -
cada vez que uma nova solicitação de inteligência surge, os tíquetes podem ser enviados,
redigidos, revisados e preenchidos por várias pessoas em equipes diferentes, tudo em um
Lugar, colocar.
6. Feedback
A etapa final é quando o ciclo de inteligência fecha o círculo, tornando-o intimamente
relacionado à fase inicial de planejamento e direção. Depois de receber o produto de
inteligência acabado, quem fez a solicitação inicial o analisa e determina se suas
40
perguntas foram respondidas. Isso direciona os objetivos e procedimentos do próximo
ciclo de inteligência, novamente tornando a documentação e a continuidade essenciais.
Os tipos de inteligência contra ameaças

Conforme demonstrado pelo ciclo de vida da inteligência de ameaças, o produto final terá
uma aparência diferente, dependendo dos requisitos iniciais de inteligência, das fontes de
informações e do público-alvo. Pode ser útil dividir a inteligência sobre ameaças em
algumas categorias com base nesses critérios.
A inteligência de ameaças é frequentemente dividida em três subcategorias:
Estratégico - tendências mais amplas normalmente destinadas a um público não técnico

Tático - Esboços das táticas, técnicas e procedimentos dos atores da ameaça para um
público mais técnico
Operacional - detalhes técnicos sobre ataques e campanhas específicas
Inteligência estratégica de ameaças

A inteligência estratégica de ameaças fornece uma ampla visão geral do cenário de
ameaças de uma organização. Destina-se a informar as decisões de alto nível tomadas
por executivos e outros tomadores de decisão em uma organização - como tal, o
conteúdo é geralmente menos técnico e é apresentado por meio de relatórios ou briefings.
Uma boa inteligência estratégica deve fornecer insights sobre áreas como os riscos
associados a certas linhas de ação, padrões gerais nas táticas e alvos do ator da ameaça
e eventos e tendências geopolíticas.
Fontes comuns de informações para inteligência de ameaças estratégicas incluem:
Documentos de política de estados-nação ou organizações não governamentais

Notícias da mídia local e nacional, publicações específicas do setor e do assunto ou
outros especialistas no assunto
White papers, relatórios de pesquisa e outros conteúdos produzidos por organizações de
segurança
A produção de uma inteligência estratégica forte sobre ameaças começa com perguntas
específicas e focadas para definir os requisitos de inteligência. Também leva analistas
com experiência fora das habilidades típicas de segurança cibernética - em particular, um
forte entendimento de conceitos sociopolíticos e de negócios.
Embora o produto final não seja técnico, a produção de inteligência estratégica eficaz
exige uma pesquisa profunda em grandes volumes de dados, geralmente em vários
idiomas. Isso pode tornar a coleta inicial e o processamento de dados muito difíceis de
serem executados manualmente, mesmo para os analistas raros que possuem as
habilidades linguísticas, o conhecimento técnico e a destreza corretos. Uma solução de
inteligência de ameaças que automatiza a coleta e o processamento de dados ajuda a
reduzir essa carga e permite que os analistas que não têm tanto conhecimento trabalhem
com mais eficácia.
Inteligência tática de ameaças

A inteligência tática de ameaças descreve as táticas, técnicas e procedimentos (TTPs)
dos atores da ameaça. Deve ajudar os defensores a entender, em termos específicos,
41
como sua organização pode ser atacada e as melhores maneiras de se defender ou
mitigar esses ataques. Geralmente inclui contexto técnico e é usado pelo pessoal
diretamente envolvido na defesa de uma organização, como arquitetos de sistema,
administradores e equipe de segurança.
Os relatórios produzidos por fornecedores de segurança costumam ser a maneira mais

fácil de obter inteligência tática sobre ameaças. Procure informações em relatórios sobre
os vetores de ataque, ferramentas e infraestrutura que os invasores estão usando,
incluindo detalhes sobre quais vulnerabilidades estão sendo visadas e quais explorações
os invasores estão aproveitando, bem como quais estratégias e ferramentas eles podem
estar usando para evitar ou atrasar detecção.
A inteligência tática contra ameaças deve ser usada para informar melhorias nos
controles e processos de segurança existentes e acelerar a resposta a incidentes. Porque
muitas das perguntas respondidas pela inteligência tática são exclusivas de sua
organização e precisam ser respondidas em um curto prazo - por exemplo, “Esta
vulnerabilidade crítica está sendo explorada por agentes de ameaças que visam meu
setor presente em meus sistemas?” - ter uma solução de inteligência de ameaças que
integre dados de sua própria rede é crucial.
Inteligência de ameaças operacionais

Inteligência operacional é o conhecimento sobre ataques cibernéticos, eventos ou
campanhas. Ele fornece percepções especializadas que ajudam as equipes de resposta a
incidentes a compreender a natureza, a intenção e o momento de ataques específicos.
Como isso geralmente inclui informações técnicas - informações como qual vetor de
ataque está sendo usado, quais vulnerabilidades estão sendo exploradas ou quais
domínios de comando e controle estão sendo empregados - esse tipo de inteligência
também é conhecido como inteligência técnica de ameaças. Uma fonte comum de
informações técnicas são os feeds de dados de ameaças, que geralmente se concentram
em um único tipo de indicador, como hashes de malware ou domínios suspeitos.
Mas se a inteligência técnica sobre ameaças é estritamente considerada como derivando

de informações técnicas, como feeds de dados de ameaças, então as informações
técnicas e operacionais sobre ameaças não são totalmente sinônimos - mais como um
diagrama de Venn com grandes sobreposições. Outras fontes de informações sobre
ataques específicos podem vir de fontes fechadas, como a interceptação das
comunicações do grupo de ameaças, seja por infiltração ou invasão desses canais de
comunicação.
Consequentemente, existem algumas barreiras para reunir esse tipo de inteligência:
Acesso - os grupos de ameaças podem se comunicar por canais privados e

criptografados ou exigir alguma prova de identificação. Também existem barreiras
linguísticas com grupos de ameaças localizados em países estrangeiros.
Ruído - pode ser difícil ou impossível coletar manualmente boa inteligência de fontes de
alto volume, como salas de bate-papo e mídia social.
Ofuscação - para evitar a detecção, os grupos de ameaças podem empregar táticas de
ofuscação, como o uso de codinomes.
42
As soluções de inteligência de ameaças que dependem de processos de aprendizado de
máquina para coleta automatizada de dados em grande escala podem superar muitos
desses problemas ao tentar desenvolver inteligência operacional eficaz contra ameaças.
Uma solução que usa processamento de linguagem natural, por exemplo, será capaz de
coletar informações de fontes em línguas estrangeiras sem a necessidade de
conhecimento humano para decifrá-las.
Aprendizado de máquina para melhor inteligência contra ameaças

O processamento de dados ocorre em uma escala hoje que exige que a automação seja
abrangente. Combine pontos de dados de muitos tipos diferentes de fontes - incluindo
open, dark web e fontes técnicas - para formar a imagem mais robusta possível.
O Recorded Future usa técnicas de aprendizado de máquina de quatro maneiras para

melhorar a coleta e agregação de dados - para estruturar dados em categorias, analisar
texto em vários idiomas, fornecer pontuações de risco e gerar modelos preditivos.
1. Para estruturar dados em entidades e eventos

Ontologia tem a ver com como dividimos conceitos e como os agrupamos. Na ciência de
dados, as ontologias representam categorias de entidades com base em seus nomes,
propriedades e relacionamentos entre si, tornando mais fácil classificá-las em hierarquias
de conjuntos. Por exemplo, Boston, Londres e Gotemburgo são entidades distintas que
também se enquadrarão na entidade “cidade” mais ampla.
Se as entidades representam uma maneira de classificar conceitos fisicamente distintos,

os eventos classificam os conceitos ao longo do tempo. Os eventos futuros gravados são
independentes do idioma - algo como "John visitou Paris", "John fez uma viagem a Paris",
"Джон прилетел в Париж" e "John a visité Paris" são todos reconhecidos como o mesmoevento.
Ontologias e eventos permitem pesquisas poderosas sobre categorias, permitindo que os

analistas se concentrem no panorama geral, em vez de ter que classificar os dados
manualmente.
2. Estruturar texto em vários idiomas por meio do processamento de linguagem natural

Com o processamento de linguagem natural, entidades e eventos são capazes de ir além
de palavras-chave simples, transformando texto não estruturado de fontes em diferentes
idiomas em um banco de dados estruturado.
O aprendizado de máquina que conduz esse processo pode separar a publicidade do

conteúdo principal, classificar o texto em categorias como prosa, registros de dados ou
código e desambiguar entidades com o mesmo nome (como "Apple" a empresa e "apple"
a fruta) por usando pistas contextuais no texto circundante.
Dessa forma, o sistema pode analisar texto de milhões de documentos diariamente em

sete idiomas diferentes - uma tarefa que exigiria uma equipe pouco prática de analistas
humanos grande e habilidosa. Economizar tempo como esse ajuda as equipes de
segurança de TI a trabalhar com 32% mais eficiência com o Recorded Future.
43
3. Classificar eventos e entidades, ajudando analistas humanos a priorizar alertas
O aprendizado de máquina e a metodologia estatística são usados para classificar
entidades e eventos por importância - por exemplo, atribuindo pontuações de risco a
entidades maliciosas.
As pontuações de risco são calculadas por meio de dois sistemas: um orientado por
regras baseadas na intuição e experiência humanas e o outro orientado por aprendizado
de máquina treinado em um conjunto de dados já examinado.
Classificadores como pontuações de risco fornecem um julgamento (“este evento é

crítico”) e um contexto explicando a pontuação (“porque várias fontes confirmam que este
endereço IP é malicioso”).
Automatizar como os riscos são classificados economiza tempo dos analistas

classificando os falsos positivos e decidindo o que priorizar, ajudando a equipe de
segurança de TI que usa o Recorded Future a gastar 34% menos tempo compilando
relatórios.
4. Para prever eventos e propriedades de entidade por meio de modelos preditivos

O aprendizado de máquina também pode gerar modelos que preveem o futuro, muitas
vezes com muito mais precisão do que qualquer analista humano, com base em
profundos pools de dados previamente extraídos e categorizados.
Essa é uma aplicação particularmente forte da “lei dos grandes números” do aprendizado
de máquina - à medida que continuamos a recorrer a mais fontes de dados, esses
modelos preditivos se tornarão cada vez mais precisos.
Casos de uso de inteligência de ameaças

Os diversos casos de uso de inteligência de ameaças a tornam um recurso essencial para
equipes multifuncionais em qualquer organização. Embora seja talvez o mais valioso
imediatamente quando ajuda a prevenir um ataque, a inteligência de ameaças também é
uma parte útil da triagem, análise de risco, gerenciamento de vulnerabilidade e tomada de
decisão de amplo escopo.
Resposta ao Incidente
Os analistas de segurança encarregados da resposta a incidentes relatam alguns dos
mais altos níveis de estresse do setor, e não é de se admirar por que - a taxa de
incidentes cibernéticos tem subido continuamente nas últimas duas décadas e uma alta
proporção de alertas diários acabam sendo falsos positivos. Ao lidar com incidentes reais,
os analistas muitas vezes devem gastar tempo classificando cuidadosamente os dados
manualmente para avaliar o problema.
A inteligência contra ameaças reduz a pressão de várias maneiras:
44
Identificando e dispensando falsos positivos automaticamente
Enriquecer alertas com contexto em tempo real, como pontuações de risco
personalizadas
Comparando informações de fontes internas e externas
Os usuários futuros registrados identificam os riscos 10 vezes mais rápido do que antes
de integrar a inteligência contra ameaças em suas soluções de segurança, dando a eles
dias a mais de tempo, em média, para responder às ameaças em um setor onde até
segundos podem ser importantes.
Operações de Segurança
A maioria das equipes do centro de operações de segurança (SOC) deve lidar com
grandes volumes de alertas gerados pelas redes que monitoram. A triagem desses alertas
demora muito e muitos nunca são investigados. A “fadiga do alerta” leva os analistas a
levar os alertas menos a sério do que deveriam. A inteligência de ameaças resolve muitos
desses problemas - ajudando a reunir informações sobre ameaças com mais rapidez e
precisão, filtrar alarmes falsos, acelerar a triagem e simplificar a análise de incidentes.
Com ele, os analistas podem parar de perder tempo buscando alertas com base em:
Ações com maior probabilidade de serem inócuas do que maliciosas

Ataques que não são relevantes para essa empresa
Ataques para os quais as defesas e controles já estão em vigor
Além de acelerar a triagem, a inteligência de ameaças pode ajudar as equipes do SOC a
simplificar a análise e contenção de incidentes. Usuários futuros registrados resolvem
ameaças 63% mais rápido, reduzindo em mais da metade as horas críticas que gastam
em remediação.
Gestão de Vulnerabilidade
O gerenciamento eficaz de vulnerabilidades significa mudar de uma abordagem de
“corrigir tudo, o tempo todo” - que ninguém pode realmente alcançar - para priorizar
vulnerabilidades com base no risco real.
Embora o número de vulnerabilidades e ameaças tenha aumentado a cada ano, a

pesquisa mostra que a maioria das ameaças tem como alvo o mesmo, uma pequena
proporção de vulnerabilidades. Os agentes de ameaças também são mais rápidos - agora
leva apenas quinze dias, em média, entre o anúncio de uma nova vulnerabilidade e o
surgimento de um exploit direcionado a ela.
Isso tem duas implicações:
Você tem duas semanas para corrigir ou corrigir seus sistemas contra um novo exploit. Se
você não puder corrigir nesse período de tempo, tenha um plano para mitigar os danos.
Se uma nova vulnerabilidade não for explorada dentro de duas semanas a três meses, é
improvável que o seja - corrigi-la pode ter uma prioridade menor.
A inteligência de ameaças ajuda a identificar as vulnerabilidades que representam um
risco real para sua organização, indo além da pontuação CVE, combinando dados de
varredura de vulnerabilidade interna, dados externos e contexto adicional sobre os TTPs
dos atores da ameaça. Com o Recorded Future, os usuários identificam 22 por cento mais
ameaças reais antes que tenham um impacto sério.
45
Análise de risco
A modelagem de risco pode ser uma maneira útil para as organizações definirem
prioridades de investimento. Mas muitos modelos de risco sofrem de resultados vagos e
não quantificados que são compilados às pressas, com base em informações parciais,
com base em suposições infundadas, ou sobre os quais é difícil agir.
A inteligência de ameaças fornece contexto que ajuda os modelos de risco a fazer

medições de risco definidas e a ser mais transparentes sobre suas suposições, variáveis
e resultados. Pode ajudar a responder a perguntas como:
Quais agentes de ameaças estão usando este ataque e eles visam nossa indústria?
Com que frequência esse ataque específico foi observado recentemente por empresas
como a nossa?
A tendência é para cima ou para baixo?
Quais vulnerabilidades este ataque explora e essas vulnerabilidades estão presentes em
nossa empresa?
Que tipo de dano, técnico e financeiro, esse ataque causou em empresas como a nossa?
Fazer as perguntas certas com a inteligência de ameaças da Recorded Future é uma das
maneiras pelas quais os usuários veem uma redução de 86% no tempo de inatividade
não planejado - uma grande diferença quando até mesmo um minuto de inatividade pode
custar a algumas organizações até US $ 9.000 em perda de produtividade e outros danos.
Prevenção de Fraude
Para manter sua organização segura, não é suficiente apenas detectar e responder às
ameaças que já estão explorando seus sistemas. Você também precisa evitar o uso
fraudulento de seus dados ou marca.
A inteligência de ameaças coletada de comunidades criminosas clandestinas fornece uma

janela para as motivações, métodos e táticas dos atores da ameaça, especialmente
quando essa inteligência está correlacionada com informações da web de superfície,
incluindo feeds técnicos e indicadores.
Use inteligência de ameaças para prevenir:
Fraude de pagamento - o monitoramento de fontes como comunidades criminosas, sites

de colagem e outros fóruns em busca de números de cartões de pagamento relevantes,
números de identificação de bancos ou referências específicas a instituições financeiras
pode fornecer um aviso prévio de ataques futuros que podem afetar sua organização.
Dados comprometidos - os cibercriminosos carregam regularmente caches enormes de
nomes de usuário e senhas para colar sites e a dark web, ou disponibilizá-los para venda
em mercados clandestinos. Monitore essas fontes com inteligência de ameaças para
observar o vazamento de credenciais, dados corporativos ou código proprietário.
Typosquatting - Obtenha alertas em tempo real sobre domínios de phishing e
typosquatting recém-registrados para evitar que os cibercriminosos se façam passar por
sua marca e enganem usuários desavisados.
Ao evitar mais violações com inteligência de ameaças, os usuários do Recorded Future
podem economizar mais de US $ 1 milhão por violação potencial por meio de multas,
penalidades e perda da confiança do consumidor.
46
Liderança de Segurança
Os CISOs e outros líderes de segurança devem gerenciar os riscos equilibrando os
recursos disponíveis limitados com a necessidade de proteger suas organizações contra
ameaças em constante evolução. A inteligência de ameaças pode ajudar a mapear o
cenário de ameaças, calcular riscos e fornecer ao pessoal de segurança a inteligência e o
contexto para tomar decisões melhores e mais rápidas.
Hoje, os líderes de segurança devem:
Avalie os riscos comerciais e técnicos, incluindo ameaças emergentes e "desconhecidos

conhecidos" que podem impactar os negócios
Identifique as estratégias e tecnologias certas para mitigar os riscos
Comunicar a natureza dos riscos à alta administração e justificar os investimentos em
medidas defensivas
A inteligência de ameaças pode ser um recurso crítico para todas essas atividades,
fornecendo informações sobre tendências gerais, como:
Quais tipos de ataques estão se tornando mais (ou menos) frequentes

Quais tipos de ataques são mais caros para as vítimas
Que novos tipos de agentes de ameaças estão surgindo, e os ativos e empresas que eles
têm como alvo
As práticas e tecnologias de segurança que tiveram mais (ou menos) sucesso em
interromper ou mitigar esses ataques
Ele também pode permitir que grupos de segurança avaliem se uma ameaça emergente
pode afetar sua empresa específica com base em fatores como:
Indústria - a ameaça está afetando outras empresas em nossa vertical?

Tecnologia - a ameaça envolve o comprometimento de software, hardware ou outras
tecnologias usadas em nossa empresa?
Geografia - A ameaça visa instalações em regiões onde temos operações?
Método de ataque - Os métodos usados no ataque, incluindo engenharia social e métodos
técnicos, foram usados com sucesso contra nossa empresa ou similares?
Com esses tipos de inteligência, reunidos a partir de um amplo conjunto de fontes de
dados externas, os tomadores de decisão de segurança obtêm uma visão holística do
cenário de risco cibernético e dos maiores riscos para sua empresa.
Aqui estão quatro áreas principais onde a inteligência de ameaças ajuda os líderes de
segurança a tomar decisões:
Mitigação - A inteligência de ameaças ajuda os líderes de segurança a priorizar as

vulnerabilidades e fraquezas que os agentes da ameaça têm maior probabilidade de visar,
fornecendo contexto sobre os TTPs que esses agentes usam e, portanto, os pontos
fracos que eles tendem a explorar.
Comunicação - os CISOs costumam ser desafiados pela necessidade de descrever
ameaças e justificar contramedidas em termos que motivem líderes de negócios não
técnicos, como custo, impacto nos clientes, novas tecnologias. A inteligência de ameaças
fornece munição poderosa para essas discussões, como o impacto de ataques
semelhantes em empresas do mesmo tamanho em outros setores ou tendências e
inteligência da dark web indicando que a empresa provavelmente será o alvo.
47
Líderes de apoio - a inteligência de ameaças pode fornecer aos líderes de segurança uma
imagem em tempo real das ameaças, tendências e eventos mais recentes, ajudando os
líderes de segurança a responder a uma ameaça ou comunicar o impacto potencial de um
novo tipo de ameaça aos líderes de negócios e membros do conselho em um maneira
oportuna e eficiente.
A lacuna das habilidades de segurança - os CISOs devem garantir que a organização de
TI tenha os recursos humanos para cumprir sua missão. Mas a escassez de habilidades
em segurança cibernética significa que a equipe de segurança existente frequentemente
lida com cargas de trabalho incontroláveis. A inteligência contra ameaças automatiza
algumas das tarefas mais trabalhosas, coletando dados rapidamente e correlacionando o
contexto de várias fontes de inteligência, priorizando riscos e reduzindo alertas
desnecessários. A inteligência poderosa contra ameaças também ajuda o pessoal júnior a
“aprimorar suas habilidades” e ter um desempenho acima de seu nível de experiência.
Inúmeras organizações estão transformando a maneira como fazem negócios por meio de
processos digitais. Eles estão movendo dados de redes internas para a nuvem e
coletando mais informações do que nunca.
Tornar os dados mais fáceis de coletar, armazenar e analisar certamente está mudando
muitos setores para melhor, mas esse fluxo livre de informações tem um preço. Isso
significa que, para avaliar o risco de nossa própria organização, também devemos
considerar a segurança de nossos parceiros, fornecedores e outros terceiros.
Infelizmente, muitas das práticas mais comuns de gerenciamento de risco de terceiros

empregadas atualmente estão aquém dos requisitos de segurança. Avaliações estáticas
de risco, como auditorias financeiras e verificações de certificados de segurança, ainda
são importantes, mas muitas vezes não têm contexto e nem sempre são oportunas. É
necessária uma solução que ofereça contexto em tempo real no cenário real de ameaças.
A inteligência contra ameaças é uma maneira de fazer exatamente isso. Ele pode
fornecer transparência aos ambientes de ameaças de terceiros com quem você trabalha,
fornecendo alertas em tempo real sobre ameaças e mudanças em seus riscos e
fornecendo o contexto de que você precisa para avaliar seus relacionamentos.
Analise de Malware
O processo de análise de malware é complexo! Antes de conversarmos um pouco sobre

isso, escute este episódio do meu podcast onde entrevisto o Major Salema, que é
responsável por desenvolvimento de armas cibernéticas para as forças armadas do
Brasil:
https://youtu.be/uu_0Zs8sErQ
Existem ferramentas que fazem parte das suites de ferramentas que conversamos por
aqui que fazem análise automatizada de artefatos maliciosos.
Por exemplo, alguns firewalls possuem features de análise de artefatos maliciosos. Então
quando algum comportamento malicioso é percebido, o artefato malicioso é submetido
para análise em uma sandbox.
48
Sandbox é uma espécie de “caixa segura” que permite que o artefato malicioso seja
analisado sem prejudicar o ambiente externo a ela.
Estas análises destes softwares são automatizadas, e alguns malwares podem acabar
não sendo analisados corretamente por estas sandbox.
Alguns destes serviços vendem a análise manual também dos artefatos maliciosos,
depois que passa pela análise automatizada o artefato vai para um time de pesquisa
analisar e transformar o comportamento em IOCs.
Para você entender como é feito o processo de análise de malware é importante que você
entenda como é montada uma sandbox e quais os principais cuidados que você precisa
ter caso vá praticar algum tipo de análise de malware.
O processo de análise de malware consiste basicamente em realizar análise estática e

análise dinâmica do artefato malicioso.
A análise estática você vai tentar fazer o disassembly do malware. Assembly é a

linguagem mais baixa de programação que é o step mais perto do código de máquina
executado no computador.
Este processo é chamado de engenharia reversa, vamos falar disso mais além.
Durante a análise dinâmica de um artefato malicioso, você vai executar este malware em
uma sandbox para analisar o comportamento dele. Geralmente estas sandbox são
configuradas em uma VM. Estas máquinas virtuais são preparadas para que não
consigam ter acesso a rede externa, pois estamos falando de análise de um malware!
Você não vai querer que este malware se movimente pela rede…
Porém existem alguns problemas na análise de malware em máquinas virtuais… A

análise basicamente consiste em analisar as comunicações de rede com a finalidade de
observar para quais endereços o artefato está enviando informações, quais destinos são
comunicados. Neste tipo de análise, verifica-se quais processos são criados, se exploits
são executados, como é feita a persistência, enfim… Esta análise consiste em de fato
analisar todo o comportamento do malware.
O problema é que os malwares possuem geralmente mecanismos que fazem com que o
malware não seja executado corretamente quando está sendo analisado!
Existem técnicas como por exemplo técnicas de anti-vm que fazem com que o malware
identifique que está em uma VM, logo provavelmente está sendo analisado. O que não é
do interesse do hacker!
O malware pode identificar que está em uma VM facilmente pois os módulos de kernel de
uma vm client-side como por exemplo em um virtualbox ou vmware player, utilizam o
conceito de “Guest”, o que é facilmente identificado. Outras infos como por exemplo,
pouca memória ram, pouco disco, uma única thread de processamento sendo utilizada,
são coisas que demonstram para o malware que ele está em uma VM.
49
Outras coisas a nível de processos, como por exemplo se você está fazendo uma análise
de rede com wireshark, o malware pode identificar o processo do wireshark e trigar
funções de anti-vm.
Em alguns casos o malware pode ter comportamentos bem sofisticados para iniciar suas
ações, como por exemplo um caso que pude acompanhar de análise que o malware
somente iniciava sua ação depois de 9 mil cliques do usuário…
Os hackers utilizam técnicas de smoking para camuflar ações maliciosas, o que pode
tornar a análise bem difícil.
Técnicas como packers e cripters podem obfuscar o código de uma forma que fica bem
difícil de se fazer uma engenharia reversa.
Muitas funções sem sentido são criadas pelos meliantes para fazer com que o analista
que está observando o comportamento do malware não entenda o que o hacker quer
fazer…
Por toda esta complexibilidade envolvida, acredito que você já tenha entendido que uma
análise automática deste tipo de artefato malicioso não é interessante, pois com certeza
os hackers que codificaram esta ameaça já pensaram nas ferramentas de análise e já
bypassaram suas defesas.
Malwares utilizam técnicas conhecidas para bypass, como já falamos antes por exemplo o
bypass de ASLR, Dep, Canary, AMSI, ETW, SYSMON entre outros...
Engenharia Reversa
A análise estática do malware consiste em tentar entender o que o malware faz

analisando seu código.
Mas você está pensando, como vou analisar o código fonte se não tenho acesso???
O processo de engenharia reversa basicamente acontece quando você desmonta algo

para entender como funciona…
Se você por exemplo abre um iphone, você vai ter acesso a todos os componentes, então
você pode pesquisar sobre os componentes e construir um celular parecido com o que
você está vendo fisicamente…
Você pode por exemplo pegar um tênis da nike, desmontar ele inteiro e entender como é
feita a tecnologia do tênis e aplicar algo parecido nos tênis da sua marca…
Repare que a ideia é desmontar para entender como funciona.
Mesmo você não tendo acesso ao código fonte, os executáveis antes de serem
executados pelo sistema operacional, eles enviam códigos de máquina que serão
executados no processador e em memória.
50
Porém você como um ser humano não tem a capacidade de entender o código de
máquina, por isso existe o assembly que é uma representação mais humanizada do que
acontece por baixo dos panos.
Quando você faz a engenharia reversa de um artefato malicioso, você vai tentar obter o
disassembly do executável, que é o processo de converter o executável de instruções de
máquina para instruções em assembly, assim você vai conseguir entender os fluxos de
execução do malware e pode interceptar leitura de arquivos, exfiltração de dados e etc.
Este processo é importante! Todo o processo de análise de malware é complexo, vai

requerer bastante estudo da sua parte e caberia uma pós graduação inteira somente
sobre este tema e ainda faltaria aulas.
Como exercício, pesquise sobre análise de malware, você vai achar várias análises
públicas e vai ver como este universo é divertido!
Resposta a Incidentes
Resposta a Incidentes é uma atribuição extremamente importante para a área de

segurança da informação! Um incidente pode ser desde uma indisponibilidade até um
comprometimento de fato dado a um ataque cibernético.
Para nós que somos profissionais de segurança da informação, um incidente está

relacionado a ataques que possam estar ocorrendo.
É importante que exista um plano de resposta a incidentes. Pode acontecer de você ir

trabalhar em uma empresa que ainda não possui um plano de resposta a incidentes,
então você pode acabar tendo que criar um!
Para criar um plano de resposta a incidentes, você precisa mapear os processos da

empresa, quais são os serviços críticos, quais são os usuários críticos, quais dados são
críticos e etc…
Repare que este plano deve ser realizado em conjunto com diversas áreas, pois
segurança da informação sozinha não é capaz de identificar todos os processos chave e
etc...
Incidente de segurança da informação é qualquer situação em que ocorra a violação de

algum dos pilares da Segurança da Informação: a confidencialidade, a integridade e a
disponibilidade.
Dentro deste gênero de incidentes, estão os incidentes por exemplo que interessam à
LGPD, isto é, aqueles que envolvam especificamente dados pessoais (informações
relacionadas a pessoas físicas).
Portanto, nem todo incidente de segurança envolverá dados pessoais, mas todo incidente
de dados pessoais será um incidente de segurança.
Assim, um incidente de segurança de dados pessoais é todo acontecimento indesejado

ou inesperado, hábil a comprometer a segurança dos dados pessoais, de modo a
51
expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Exemplos de incidentes de segurança

Vazamento ou sequestro de dados pessoais após um ataque hacker;
Acesso a dados pessoais por qualquer pessoa não autorizada;
Exposição acidental de dados pessoais em sites, comunicados ou redes sociais;
Perda de dados devido a catástrofes naturais, queda de energia e atualizações de
sistemas;
Eliminação indesejada de dados pessoais;
Alteração indevida de dados pessoais por parte de um colaborador, etc.
Reforça-se que um incidente não se resume ao famigerado “vazamento de dados”.
A depender das circunstâncias, uma eliminação de dados indevida pode ser ainda mais
danosa aos titulares. Por exemplo a indisponibilidade de dados pessoais relacionados à
saúde, sensíveis, portanto, em um hospital, impossibilitando o tratamento adequado pelos
profissionais de saúde.
Incidentes de segurança: consequências e medidas

Além das consequências legais, um incidente de segurança também pode levar a perdas
financeiras, danos à reputação, sanções administrativas e ações judiciais individuais e
coletivas.
Deste modo, é fundamental que as organizações estabeleçam medidas de Segurança da

Informação para o tratamento de riscos e, também, medidas para caso um incidente
ocorra. Por mais robusto que seja um sistema, nenhum está livre do risco da ocorrência
de incidentes.
Um protocolo de resposta a incidentes prepara a organização para agir rapidamente

diante de uma situação adversa, convocando os responsáveis previamente estabelecidos
para agir.
O que a LGPD estabelece para casos de incidentes de segurança

A LGPD é clara ao determinar que garantir a segurança dos dados pessoais é uma
obrigação dos envolvidos no tratamento de dados.
De acordo com a lei, os agentes de tratamento devem adotar medidas de segurança,

técnicas e administrativas aptas a proteger os dados pessoais de qualquer incidente de
segurança.
Isso passa por reforçar que a LGPD é uma lei baseada no risco, sendo imprescindível a
adoção de medidas mitigadoras. Por exemplo, a segurança de sistemas, a escolha
cuidadosa de parceiros comerciais que tenham acesso a dados pessoais, o treinamento
de equipes e a restrição ao máximo quanto a quem pode ter acesso aos dados.
Caso algum incidente ocorra, a LGPD estabelece que o controlador deve primeiro avaliar
se o incidente pode acarretar risco ou dano relevante aos titulares. Por exemplo, se os
dados foram expostos publicamente; se foram perdidos e podem prejudicar o
fornecimento de um serviço etc.
52
Se houver risco ou dano relevante ao titular, o controlador deve comunicar a ocorrência
do incidente à ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados.
Quanto às especificidades da avaliação do risco, do dano e da comunicação do incidente,

é esperado da ANPD esta regulamentação, conforme agenda regulatória já divulgada e
noticiada pela Get Privacy.
Comunicação de incidentes de segurança à ANPD

A comunicação à ANPD deve ser feita em um prazo razoável, que ainda será
regulamentado pela autoridade, e conter, no mínimo:
A descrição da natureza dos dados pessoais afetados;

As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados,
observados os segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de a comunicação não ter sido imediata; e
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do
prejuízo.
Em seguida, a ANPD vai avaliar a gravidade do incidente e poderá determinar a adoção
de algumas providências, tais como:
Ampla divulgação do fato em meios de comunicação;
Primeiros passos para criar um Plano de Resposta a Incidentes
Definir quem fará parte do time de resposta e estabelecer as tarefas de cada um. O plano
pode incluir o DPO e integrantes de diferentes áreas, como TI, jurídico, marketing,
relações públicas etc.
Estabelecer critérios para uma triagem inicial de todos os incidentes, definindo o que é
considerado um incidente de segurança e quais gatilhos acionam o time de resposta;
Definir os critérios para avaliar se o incidente envolve dados pessoais e se há risco aos
titulares de dados;
Criar modelos de comunicação de incidentes, com o formato de comunicados à empresa,
aos titulares, à ANPD e à imprensa.
Depois das definições prévias, é hora de passar ao desenvolvimento e teste do plano em

si, que costuma envolver ao menos seis etapas essenciais.
1. Notificação do incidente e acionamento do time de resposta

Esta primeira etapa se trata basicamente da notificação de um incidente que, após passar
por uma triagem inicial, cumpriu os critérios para levar ao acionamento do time de
resposta.
A notícia inicial do incidente, aliás, pode vir de várias fontes: colaborador; parceiros;
cliente; autoridades (como o Ministério Público e entidades de defesa do consumidor);
mídia; redes sociais; ferramentas de monitoramento etc.
2. Avaliação do incidente e da necessidade de comunicação à ANPD e aos titulares
53
Nesta segunda etapa, é feita uma avaliação mais detalhada do incidente. Isso inclui
identificar se há riscos aos titulares de dados. Se houver, é preciso notificar a ANPD e os
titulares.
Além disso, é importante levantar o máximo de informação possível a respeito do

incidente, identificando, por exemplo:
Qual foi a causa do incidente;

Quais foram as vulnerabilidades exploradas ou que levaram ao incidente;
Se houve o uso de credenciais comprometidas e quais são essas credenciais;
Quais sistemas, equipamentos e redes foram comprometidos;
Quais setores da empresa foram afetados;
Se houve exposição, transferência ou sequestro de dados;
Quais dados e quais titulares, exatamente, foram afetados; etc.
Inclusive, deve-se documentar o incidente ainda que seja feita a opção pela não
comunicação, como forma de demonstrar a conformidade com a lei, exibindo-se as
razões pelas quais foi feita esta opção.
3. Contenção e erradicação
Essa é a fase de conter e erradicar o incidente, limitando os danos. A ação depende do
incidente específico, mas o objetivo é evitar que ele cause mais prejuízos do que já
causou.
Isso implica atuar na raiz do incidente e estabelecer formas de contenção (podendo até
mesmo ser necessário desabilitar sistemas inteiros). É importante, nesta etapa, procurar
preservar as evidências que possam ajudar a identificar melhor o que ocorreu e os
eventuais responsáveis.
4. Recuperação
Depois que o incidente estiver contido e erradicado, é hora de tentar restaurar dados e
serviços. Se a organização conta com Planos de Continuidade dos Negócios e
Recuperação de Desastres, eles também devem ser acionados.
Essa etapa pode incluir a restauração de backups, clonagem de máquinas virtuais e

reinstalação de sistemas, dentre outras medidas.
5. Levantamento das lições aprendidas

Com o incidente contido e os dados e serviços restaurados, é preciso fazer uma análise
crítica da situação e documentar as lições aprendidas.
Isso possibilitará a identificação de eventuais erros, vulnerabilidades, dificuldades e

melhorias necessárias a subsidiar a tomada de decisão para alteração e melhoria interna.
Disto, sugestões de aprimoramento de processo e do próprio Plano de Resposta a
Incidentes devem ser levadas aos responsáveis.
6. Documentação do incidente
Por fim, deve-se documentar o incidente de forma detalhada, incluindo todas as ações
tomadas nas etapas anteriores e as lições aprendidas com o caso.
Quer ajuda para elaborar um Plano de Resposta a Incidentes?
54
Elaborar um Plano de Resposta a Incidentes é uma tarefa fundamental, mas também
complexa, pois transversal na organização e multisetorial. A questão deve ser abordada
de forma customizada a cada ambiente organizacional.
Geralmente contratar um parceiro para auxiliar neste ponto é uma ótima escolha.
Como atividade, pesquise por plano de resposta a incidentes e elabore um plano fictício
citando todos os envolvidos que conversamos aqui.
Cadeia de Custódia
Dentro da resposta a incidente nós precisamos proteger os equipamentos durante e após

os ataques, pois se alguém comprometer algum dos ativos, a análise posterior pode ser
completamente perdida!
Dentro da resposta a incidentes nós podemos também ter a ação de um time de

computação forense. Este time vai realizar a perícia do ativo e identificará de fato o que
ocorreu e como ocorreu.
Porém, este processo é complexo! Computação Forense não é o tópico desta disciplina,
porém é importante que você saiba o que é uma cadeia de custódia e como seguir
quando um incidente acontecer!!!
Basicamente a cadeia de custódia é o processo de condução da evidência após a coleta

dos equipamentos. Geralmente é criado um documento de cadeia de custódia e cada
pessoa que entrar em contato com a evidencia deve preencher o documento.
Como diz Edmond Locards, “Every contact leaves a trace”. Ou seja, todo contato pode
comprometer as evidências! Então lembre-se seu plano de resposta a incidentes deve
prever a condução e manipulação dos ativos de forma que as evidências não sejam
perdidas ou comprometidas.
https://www.oabes.org.br/artigos/a-importancia-da-cadeia-de-custodia-108.html#:~:text=C
onsidera%2Dse%20cadeia%20de%20cust%C3%B3dia,seu%20reconhecimento%20at%C
3%A9%20o%20descarte.
First Responder
Ainda dentro da análise forense dentro da resposta a incidentes, é extremamente

importante que vocês realizem treinaementos de first responder com TODOS os
responsáveis por qualquer atendimento durante um incidente!
O first responder, como o nome diz, é o primeiro que fará alguma coisa quando um ataque
estiver acontecendo. Então você concorda que se esta pessoa fizer algo errado as
consequências poderão ser catastróficas?
55
Vamos lá, este não é um treinamento de computação forense, por este motivo vamos ser
breves neste assunto!
Um first responder pode ser um field de TI, um analista de operações, um suporte n1, n2
e até n3…
Qualquer profissional que terá contato com o ativo que está sendo comprometido durante
o incidente será um first responder. Logo este profissional precisa saber de coisas básicas
sobre forense.
Desde NUNCA DESLIGAR uma máquina que estava ligada, não mexer no sistema
operacional, até realizar o dump de memória ram para que os analistas responsáveis
possam conduzir o atendimento.
Então você está se perguntando, mas realizar o dump de memória ram não vai alterar o
estado do SO?
Sendo feito de maneira correta não!
Este tema é complexo e não está previsto no escopo desta disciplina pois está
relacionado a computação forense.
Recomendo que você escute este episódio do meu podcast onde entrevisto o Major Eder:
https://youtu.be/qsvMhGXBdg8
Como atividade, recomendo que você pesquise bastante sobre computação forense e a
aplicação da computação forense dentro da resposta a incidentes cibernéticos.
Anti-Opsec
Material para estudo da palestra ministrada nas aulas:
GitHub - CATx003/opsec: Counter Surveillance and OPSEC research
A arte do Bypass
Material para estudo da palestra:
GitHub - CATx003/TheArtOFBypass-OWASP-Brasilia: Presentation slides: Evasion - The art of bypass
presented at OWASP Brasilia 2021
A conclusão que imagino que você pode ter chegado com esta disciplina está
demonstrada na imagem abaixo:
56
Não adianta somente se apoiar em ferramentas! Observe os processos e entenda tudo
sobre seu cliente e principalmente mostre para “quem paga” que é mais barato investir em
tecnologia para proteger o ambiente do que pagar o resgate de um ransomware. Porém
nunca se esqueça que ferramentas não fazem milagres!!!
Até mais.
57

Ebook - Segurança Defensiva e Resposta A Incidentes (2023) PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Ebook - Segurança Defensiva e Resposta A Incidentes (2023) PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Como você já viu até aqui, existem diversas áreas dentro do pilar de segurança da

Muito prazer, eu me chamo Victor de Queiroz, sou conhecido na comunidade de

Eu atualmente sou líder do time de simulação de adversário (Red Team e PenTest) da T-

Quem quiser me adicionar no linkedin, fique à vontade:

Esta prática se propagou para o mercado, e as empresas como incentivo para os

Eu sou apaixonado por simulação de ataques cibernéticos e desenvolvimento de cyber

Toda operação de simulação de adversário, gera um report de correções que precisam

Recomendo que se você estiver buscando se tornar um bom profissional, realize as

APTs são grupos que realizam ataques avançados em infraestruturas cibernéticas e

APTs, geralmente tem objetivos maiores do que somente obtenção de lucros.

Você pode obter informações sobre vulnerabilidades em serviços e produtos utilizando o

No mercado de segurança, existem pesquisadores que procuram ativamente por

Uma dica interessante para administradores de sistemas e servidores é buscar se existe

Geralmente a correção se trata de uma implementação de patch, porém quando não é

Geralmente em grandes empresas, existe um processo de Gestão de Mudanças que é

Em alguns cenários, não é possível realizar atualizações do serviço em questão pois o

Então como proteger um ambiente como este?

Antes de falarmos de ferramentas, para encerrar vou demonstrar um case de como

Novamente você pensa, ok, faço o que agora?

Existe um conceito chamado bubble protect que se trata de virtualizar o ambiente e

Fique tranquilo, ao decorrer da disciplina os conceitos de proteção cibernética se tornarão

Processo de Contratação de Ferramentas

Em S/As (empresas grandes e multinacionais) geralmente existe um processo de

Geralmente o analista pede os dados do fabricante, cadastra estes dados em um sistema

Então você está se perguntando, como eu defendo orçamento?

Uma coisa muito importante sobre o processo de contratação de ferramentas é que

O papel de um profissional de segurança defensiva em um cliente final não é operar

O profissional de segurança defensiva de cliente final, vai coordenar os parceiros

Então o analista de TI deste time de CIEX entra na fila de chamados de cybersecurity e

O analista de segurança vai receber o chamado, entender o problema e direcionar para o

Outro exemplo: O sistema de análise laboratorial de insumos de uma centrífuga de

Então o analista de TI responsável pelo projeto de vacinação bovina abre um chamado

O analista de segurança da informação ao escutar quais alterações foram executadas,

O problema foi resolvido e o processo de vacinação volta ao normal.

Percebeu que complexo este simples exemplo?

Isso é o dia a dia de um analista de segurança defensiva em uma multinacional com

É por este tipo de complexibilidade que os analistas de segurança defensiva possuem

Logo você vai entender mais sobre estes processos!!!

Proteção contra Malware

Antigamente as proteções de antivírus se baseavam em assinatura para identificar uma

A assinatura funciona assim; determinado software é considerado malicioso. Então o anti-

Aí você está pensando, mas se eu alterar o binário eu bypassei o antivírus certo?

Maravilha! Você entendeu por que isso não funciona…

Por exemplo, em um ataque de Buffer Overflow Vanilla, o invasor altera o fluxo de

Como um antivírus convencional poderia detectar esta atividade se a aplicação é uma

A resposta é, não consegue detectar…

Obviamente executando o BloodHound o EDR parava a execução antes mesmo das

Repare que uma andorinha só não faz verão rs…

Você pode ler um livro chamado Windows Internals:

A documentação da Microsoft tem bastante coisa interessante também.

Agora você está se perguntando, mas e Linux? E outros sistemas?

Eu avisei que tem muita coisa para estudar…

Para conhecer o Gartner e entender um pouco mais sobre o Magic Quadrant:

Sobre Windows Internals;

Firewall Next Generation X Firewall Convencional

O que acontece com os Antivírus X EDRs também acontece com os Firewalls…

Os firewalls convencionais que atuam em layer 3 e 4 fazem a análise do tráfego se

Repare que não adiantou nada restringir portas…

Os firewalls next generation, ou NGWF como são conhecidos, atuam em layer 7… ou

Os NGWFs possuem um time de Threat Intell que recolhe IOCs (Indicadores de

Alguns destes firewalls trabalham em conjunto com os outros ativos de segurança da

Acredite, as empresas investem pesado neste tipo de produto pois é necessário! E se

As certs para operadores de firewall estão na aba verde; Network Security