Escolar Documentos
Profissional Documentos
Cultura Documentos
Cisco
CyberOps
Associado
CBROPS 200-201
Guia Oficial de Certificação
OMAR SANTOS
Imprensa Cisco
Machine Translated by Google
Publicado por:
Imprensa Cisco
Hoboken, NJ
Todos os direitos reservados. Nenhuma parte deste livro pode ser reproduzida ou transmitida de qualquer forma ou por
qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou por qualquer sistema de armazenamento e
recuperação de informações, sem permissão por escrito da editora, exceto pela inclusão de breves citações. em um
Reveja.
ISBN-13: 978-0-13-680783-4
ISBN-10: 0-13-680783-6
Este livro foi desenvolvido para fornecer informações sobre o exame Understanding Cisco Cybersecurity Operations
Fundamentals (CBROPS 200-201). Todos os esforços foram feitos para tornar este livro o mais completo e preciso possível,
mas nenhuma garantia ou adequação está implícita.
As informações são fornecidas “como estão”. O autor, a Cisco Press e a Cisco Systems, Inc. não terão obrigação nem
responsabilidade perante qualquer pessoa ou entidade com relação a quaisquer perdas ou danos decorrentes das
informações contidas neste livro ou do uso dos discos ou programas que possam acompanhar isto.
As opiniões expressas neste livro pertencem ao autor e não são necessariamente as da Cisco Systems,
Inc.
Todos os termos mencionados neste livro que são conhecidos como marcas registradas ou marcas de serviço
foram devidamente capitalizados. A Cisco Press ou a Cisco Systems, Inc. não podem atestar a exatidão dessas
informações. O uso de um termo neste livro não deve ser considerado como afetando a validade de qualquer marca registrada
ou marca de serviço.
Machine Translated by Google
iii
Vendas Especiais
Para obter informações sobre como comprar este título em grandes quantidades ou para oportunidades de vendas especiais
(que podem incluir versões eletrônicas, designs de capa personalizados e conteúdo específico para sua empresa, metas de
treinamento, foco de marketing ou interesses de marca), entre em contato com nosso departamento de vendas corporativo em
corpsales@pearsoned.com ou (800) 382-3419.
Para perguntas sobre vendas fora dos EUA, entre em contato com intlcs@pearson.com.
Informações de feedback
Na Cisco Press, nosso objetivo é criar livros técnicos detalhados da mais alta qualidade e valor. Cada livro é elaborado
com cuidado e precisão, passando por um desenvolvimento rigoroso que envolve a experiência única de membros da
comunidade técnica profissional.
O feedback dos leitores é uma continuação natural desse processo. Se você tiver algum comentário sobre como
podemos melhorar a qualidade deste livro ou alterá-lo para melhor atender às suas necessidades, entre em contato
conosco pelo e-mail feedback@ciscopress.com. Certifique-se de incluir o título do livro e o ISBN em sua mensagem.
Gerente de Alianças, Cisco Press: Arezou Gol Editor Técnico: John Stuppi
Diretor, Gerenciamento de Produto ITP: Brett Bartow Assistente Editorial: Cindy Teeters
A Cisco tem mais de 200 escritórios em todo o mundo. Endereços, números de telefone e números de fax estão listados no site da Cisco em www.cisco.com/go/offices.
Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou de suas afiliadas nos EUA e em outros países. Para ver uma lista de marcas registradas da
Cisco, acesse este URL: www.cisco.com/go/trademarks. As marcas registradas de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra parceiro
não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)
Machine Translated by Google
Sobre o autor
Omar Santos é um membro ativo da comunidade de segurança, onde lidera várias iniciativas
em todo o setor. Sua função ativa ajuda empresas, instituições acadêmicas, agências de
aplicação da lei estaduais e locais e outros participantes dedicados a aumentar a segurança
da infraestrutura crítica. Omar é presidente do comitê técnico do OASIS Common Security
Advisory Framework (CSAF), co-presidente do grupo de trabalho Open Source Security do Forum
of Incident Response and Security Teams (FIRST) e co-líder do DEF CON Red Team Vila.
Omar é autor de mais de 20 livros e cursos em vídeo, além de vários white papers, artigos e
diretrizes de configuração de segurança e práticas recomendadas. Omar é engenheiro principal
da Equipe de Resposta a Incidentes de Segurança do Produto Cisco (PSIRT), onde orienta e
lidera engenheiros e gerentes de incidentes durante a investigação e resolução de vulnerabilidades
de segurança.
Omar foi citado por vários meios de comunicação, como TheRegister, Wired, ZDNet, ThreatPost,
CyberScoop, TechCrunch, Fortune Magazine, Ars Technica e muito mais. Você pode seguir
Omar no Twitter @santosomar.
dentro
Dedicação
Gostaria de dedicar este livro à minha adorável esposa, Jeannette, e aos meus
dois lindos filhos, Hannah e Derek, que me inspiraram e apoiaram durante o
desenvolvimento deste livro.
Machine Translated by Google
Agradecimentos
Gostaria de agradecer ao editor técnico e meu bom amigo, John Stuppi, por seu tempo e
conhecimento técnico.
vii
Conteúdo em resumo
Introdução xxvi
Apêndice B Noções básicas sobre os fundamentos das operações de segurança cibernética da Cisco
Atualizações do Exame CBROPS 200-201 614
Índice 616
Elementos on-line
Glossário de termos-chave
Machine Translated by Google
Serviços do Leitor
Além dos recursos em cada um dos capítulos principais, este livro tem recursos de estudo adicionais no site
complementar, incluindo o seguinte:
Exames práticos: O site complementar contém um mecanismo de exame que permite que você revise as
perguntas do exame prático. Use-os para se preparar com um exame de amostra e para identificar tópicos em que
você precisa estudar mais.
Exercícios e questionários interativos: O site complementar contém exercícios práticos e questionários interativos
para que você possa testar seus conhecimentos na hora.
Questionários do glossário: o site complementar contém questionários interativos que permitem que você se teste
em cada termo do glossário do livro.
O site complementar contém 30 minutos de treinamento exclusivo em vídeo de preparação para o teste.
Para acessar este conteúdo adicional, basta registrar seu produto. Para iniciar o processo de registro, acesse
www.ciscopress.com/register e faça login ou crie uma conta.* Insira o produto ISBN 9780136807834 e clique em
Enviar. Após a conclusão do processo, você encontrará qualquer conteúdo bônus disponível em Produtos
registrados.
*Certifique-se de marcar a caixa que você gostaria de ouvir de nós para receber descontos exclusivos em
futuras edições deste produto.
Machine Translated by Google
ix
Conteúdo
Introdução xxvi
Fundamentais 8
Inteligência de ameaças 17
Injeção de SQL 21
Injeção de HTML 22
Injeção de Comando 22
Vulnerabilidades baseadas em autenticação 22
Sequestro de Sessão 24
Credenciais padrão 24
APIs desprotegidas 27
Ataques Return-to-LibC e estouros de buffer 28
OWASP Top 10 29
Proxies de Aplicativo 35
Tradução de Endereço de Rede 36
Tradução Estática 37
Alta Disponibilidade 40
Clustering de Firewalls 41
Firewalls no Data Center 42
Firewalls Virtuais 44
Análise de Protocolo 48
Guarda-chuva (OpenDNS) 63
Nuvem Stealthwatch 63
CloudLock 64
Machine Translated by Google
Conteúdo xi
Cisco NetFlow 64
Confidencialidade 69
Integridade 70
Disponibilidade 70
PHI 72
Separação de Funções 73
Forense Digital 76
Perguntas de revisão 80
A Metodologia Ágil 89
DevOps 90
Oleodutos CI/CD 90
A palavra-chave sem servidor 92
Identificação 107
Autenticação 108
Contabilidade 110
TACACS+ 131
Diâmetro 133
Machine Translated by Google
Conteúdo xiii
Firewall 140
PGP 188
Hashes 189
Conteúdo xv
IPsec 196
Fundamentais 214
O que são VPNs? 214
IKEv2 222
Syslog 253
Conteúdo xvii
Planejamento 269
Monitoramento 270
do Questionário 299
O 5-Tuplo 317
Hashes de arquivo 320
Fundamentais 341
Conteúdo xix
NTFS 361
MFT 361
Ext4 366
Diário 366
Splunk 381
Graylog 381
IPFIX 402
tcpdump 415
Wireshark 417
Conteúdo xxi
Serviços 463
Garfos 471
Permissões 472
Demônios 480
de eventos 502 Túnel de DNS e outros métodos de exfiltração 502 Monitoramento de segurança
Girando 512
Conteúdo xxiii
Reconhecimento 540
Armamento 543
Entrega 544
Exploração 545
Instalação 545
Apêndice A Respostas à pergunta “Já sei disso?” Testes e Perguntas de Revisão 592
Apêndice B Noções básicas sobre os fundamentos das operações de segurança cibernética da Cisco
Atualizações do Exame CBROPS 200-201 614
Índice 616
Elementos on-line
Glossário de termos-chave
Machine Translated by Google
xxv
ÿ Negrito indica comandos e palavras-chave que são inseridos literalmente como mostrado. Em
exemplos e saídas de configuração reais (sem sintaxe de comando geral), negrito indica
comandos que são inseridos manualmente pelo usuário (como um comando show ).
ÿ Chaves entre colchetes ([{ }]) indicam uma escolha obrigatória dentro de um elemento opcional.
Machine Translated by Google
Introdução
O exame Understanding Cisco Cybersecurity Operations Fundamentals (CBROPS) é um exame de 120
minutos que inclui de 95 a 105 perguntas. Este exame e currículo são projetados para preparar os
analistas de segurança cibernética do futuro! A certificação CyberOps Associate fornece um caminho
para preparar indivíduos que buscam uma carreira de segurança cibernética e cargos de nível associado
em centros de operações de segurança (SOCs). O exame abrange os fundamentos que você precisa para
prevenir, detectar, analisar e responder a incidentes de segurança cibernética.
Este livro fornece a base e abrange os tópicos necessários para iniciar sua jornada de certificação
de Associado de CyberOps.
Introdução xxvii
Total 100%
1.4.b Ameaça
1.4.c Vulnerabilidade
1.4.d Explorar
Machine Translated by Google
1.7.e Escopo
1.10 Interpretar a abordagem de 5 tuplas para isolar um host comprometido em um conjunto agrupado
de logs
Domínio 2: Monitoramento de segurança: Este domínio é abordado principalmente nos Capítulos 5, 7, 10, 12, 14 e 15.
2.2.b NetFlow
Introdução xxix
2.3.c Túneis
2.3.d TOR
2.3.e Criptografia
2.3.f P2P
2.3.g Encapsulamento
2.4.e Metadados
2.5 Descrever ataques de rede, como baseado em protocolo, negação de serviço, distribuído
negação de serviço e man-in-the-middle
2.6 Descrever ataques a aplicativos da Web, como injeção de SQL, injeções de comando e scripts entre
sites
2.10 Descrever o impacto dos certificados na segurança (inclui PKI, público/privado cruzando a rede,
assimétrico/simétrico)
2.11.a Cipher-suite
2.11.e PKCS
Machine Translated by Google
Domínio 3: Análise baseada em host: Este domínio é abordado principalmente no Capítulo 11.
3.3.a Ativos
3.4 Identifique o tipo de evidência usada com base nos logs fornecidos
3.6 Interpretar logs de sistema operacional, aplicativo ou linha de comando para identificar
um evento
3.7 Interpretar o relatório de saída de uma ferramenta de análise de malware (como uma câmara de
detonação ou sandbox)
3.7.a Hashes
3.7.b URLs
Domínio 4: Análise de Intrusão de Rede: Este domínio é abordado principalmente nos Capítulos 10, 13 e 15.
4.1.a IDS/IPS
4.1.b Firewall
Machine Translated by Google
Introdução xxxi
4.1.e Antivírus
4.2.e Benigno
4.3 Compare a inspeção profunda de pacotes com filtragem de pacotes e firewall com estado
Operação
4.5 Comparar as características dos dados obtidos de taps ou monitoramento de tráfego e dados
transacionais (NetFlow) na análise do tráfego de rede
4.6 Extraia arquivos de um fluxo TCP quando recebe um arquivo PCAP e Wireshark
4.7.e Protocolos
4.8.b IPv4
4.8.c IPv6
4.8.d TCP
4.8.e UDP
4.8.f ICMP
4.8.g DNS
4.8.h SMTP/POP3/IMAP
Machine Translated by Google
4.8.i HTTP/HTTPS/HTTP2
4.8.j ARP
4.9.e Hashes
4.9.f URI/URL
Domínio 5: Proteção e detecção de endpoints: Este domínio é abordado principalmente nos Capítulos 7,
8, 9, 14 e 15.
5.4 Mapear elementos para essas etapas de análise com base no NIST.SP800-61
5.4.a Preparação
5.5.a Preparação
Introdução xxxiii
5.8.e Aplicativos
5.9.a PII
5.9.b PSI
5.9.c PHI
5.10 Classifique os eventos de intrusão em categorias definidas pelos modelos de segurança, como Cyber Kill
Chain Model e Diamond Model of Intrusion
5.11 Descreva a relação das métricas do SOC com a análise do escopo (tempo para detectar, tempo
para conter, tempo para responder, tempo para controlar)
Objetivos e métodos
Este livro usa várias metodologias-chave para ajudá-lo a descobrir os tópicos do exame sobre os quais você
precisa de mais revisão, para ajudá-lo a entender e lembrar totalmente desses detalhes e para ajudá-lo a
provar a si mesmo que reteve seu conhecimento desses tópicos. Este livro não tenta ajudá-lo a passar no
exame apenas por memorização; ele procura ajudá-lo a realmente aprender e entender os tópicos. Este livro
foi desenvolvido para ajudá-lo a passar no exame Implementação e compreensão dos fundamentos de
operações de segurança cibernética da Cisco (200-201 CBROPS) usando os seguintes métodos:
ÿ Fornecer exercícios que melhorem sua capacidade de recordar e deduzir as respostas para
perguntas do teste
ÿ Fornecer exercícios práticos sobre os tópicos e o processo de teste por meio de perguntas de teste
no site complementar
Machine Translated by Google
Introdução xxxv
Recursos do livro
Para ajudá-lo a personalizar seu tempo de estudo usando este livro, os capítulos principais têm vários
recursos que o ajudam a fazer o melhor uso do seu tempo:
ÿ Tópicos básicos: essas são as seções principais de cada capítulo. Eles explicam os conceitos para
os tópicos desse capítulo.
ÿ Tarefas de preparação para o exame: Após a seção "Tópicos básicos" de cada capítulo, o
A seção “Tarefas de preparação para o exame” lista uma série de atividades de estudo que você deve
fazer no final do capítulo:
ÿ Revisar todos os tópicos principais: o ícone Tópico principal aparece ao lado dos itens mais
importantes na seção "Tópicos básicos" do capítulo. A atividade Revisar Todos os Tópicos-Chave
lista os tópicos-chave do capítulo, juntamente com seus números de página. Embora o conteúdo de
todo o capítulo possa estar no exame, você definitivamente deve conhecer as informações listadas
em cada tópico-chave, portanto, revise-as.
Para acessar o site complementar, que lhe dá acesso ao conteúdo eletrônico deste livro, comece
estabelecendo um login em www.ciscopress.com e registrando seu livro.
Para isso, basta acessar www.ciscopress.com/register e digitar o ISBN do livro impresso: 9780136807834.
Após registrar seu livro, vá para a página da sua conta e clique na aba Produtos Registrados . A partir
daí, clique no link Access Bonus Content para obter acesso ao site complementar do livro.
Machine Translated by Google
Observe que se você comprar o eBook Premium Edition e a versão Practice Test deste livro da Cisco Press,
seu livro será registrado automaticamente na página da sua conta. Basta ir à página da sua conta, clicar na
guia Produtos registrados e selecionar Acessar conteúdo bônus para acessar o site complementar do
livro.
Observe que muitos de nossos arquivos de conteúdo complementares podem ser muito grandes, especialmente arquivos
de imagem e vídeo.
Se você não conseguir localizar os arquivos para este título seguindo estas etapas, visite
www.pearsonITcertification.com/contact e selecione a opção Site Problems/Comments .
Nossos representantes de atendimento ao cliente irão ajudá-lo.
ÿ Amazon Kindle: Para quem comprou uma edição Kindle da Amazon, o acesso
código será fornecido diretamente da Amazon.
ÿ E-books de outras livrarias: Observe que, se você comprar uma versão de e-book de qualquer
outra fonte, o teste prático não está incluído porque outros fornecedores até o momento não optaram
por fornecer o código de acesso exclusivo necessário.
NOTA Não perca o código de ativação, pois é o único meio pelo qual você pode acessar o conteúdo de
controle de qualidade com o livro.
Depois de ter o código de acesso, para encontrar instruções sobre o aplicativo Web PTP e o aplicativo para
desktop, siga estas etapas:
Etapa 1. Abra o site complementar deste livro, conforme mostrado anteriormente nesta introdução
sob o título “The Companion Website for Online Content Review”.
Observe que se você quiser usar o aplicativo da web apenas neste momento, basta
navegar até www.pearsontestprep.com, estabelecer um login gratuito se ainda não tiver um e registrar
os testes práticos deste livro usando o código de registro que você acabou de encontrar. O processo deve
levar apenas alguns minutos.
Machine Translated by Google
Introdução xxxvii
NOTA Clientes de e-book da Amazon (Kindle): É fácil perder o e-mail da Amazon que lista seu código de
acesso PTP. Logo após a compra do e-book Kindle, a Amazon deve enviar um e-mail. No entanto, o e-mail usa
um texto muito genérico e não faz menção específica ao PTP ou aos exames práticos. Para encontrar seu código,
leia todos os e-mails da Amazon depois de comprar o livro. Além disso, faça as verificações usuais para garantir
que seu e-mail chegue, como verificar sua pasta de spam.
NOTA Outros clientes de e-books: No momento da publicação, apenas a editora e a Amazon fornecem
códigos de acesso PTP quando você compra suas edições de e-book deste livro.
ÿ Modo de estudo: permite que você personalize totalmente seus exames e revise as respostas durante o
exame. Normalmente, esse é o modo que você usaria primeiro para avaliar seu conhecimento e identificar
lacunas de informação.
ÿ Modo de exame prático: bloqueia certas opções de personalização, pois está apresentando um
experiência de exame realista. Use este modo quando estiver se preparando para testar sua prontidão
para o exame.
Além desses três modos, você poderá selecionar a fonte de suas perguntas.
Você pode optar por fazer exames que abrangem todos os capítulos ou pode restringir sua seleção a
apenas um único capítulo ou aos capítulos que compõem partes específicas do livro.
Todos os capítulos são selecionados por padrão. Se você quiser restringir seu foco a capítulos individuais,
simplesmente desmarque todos os capítulos e selecione apenas aqueles em que deseja focar na área de
Objetivos.
Você também pode selecionar os bancos de exames nos quais se concentrar. Cada banco de exame vem
completo com um exame completo de perguntas que cobrem tópicos em cada capítulo. Os dois exames
impressos no livro estão disponíveis para você, bem como dois exames adicionais de perguntas exclusivas.
Você pode fazer com que o mecanismo de teste forneça exames de todos os quatro bancos ou apenas de um
banco individual selecionando os bancos desejados na área do banco de exames.
Existem várias outras personalizações que você pode fazer em seu exame na tela de configurações do
exame, como o horário do exame, o número de perguntas atendidas, se para randomizar perguntas e
respostas, se deve mostrar o número de respostas corretas para várias responder a perguntas e se deve
servir apenas tipos específicos de
Machine Translated by Google
questões. Você também pode criar bancos de teste personalizados selecionando apenas perguntas que
você marcou ou perguntas nas quais você adicionou notas.
Às vezes, devido a muitos fatores, os dados do exame podem não ser totalmente baixados quando
você ativa seu exame. Se você achar que faltam figuras ou exposições, talvez seja necessário atualizar
manualmente seus exames. Para atualizar um exame específico que você já ativou e baixou, basta clicar na
guia Ferramentas e clicar no botão Atualizar produtos . Novamente, esse é um problema apenas com o
aplicativo do Windows para desktop.
Se você deseja verificar atualizações para o software do mecanismo de exame Pearson Test Prep,
versão para desktop do Windows, basta clicar na guia Ferramentas e clicar no aplicativo Atualizar
botão. Isso garante que você esteja executando a versão mais recente do mecanismo de software.
Lista de créditos
Figura 1-2: Captura de tela de um aviso de segurança da Cisco © The MITRE Corporation
Figura 1-3: Captura de tela do Banco de Dados Nacional de Vulnerabilidades © National Institute of
Padrões e Tecnologia
Figura 1-4: Captura de tela do banco de dados de exploração © OffSec Services Limited
Figura 5-5: Captura de tela das raízes do sistema Mac OS X © Apple, Inc
Figura 8-13: Captura de tela de exemplo de eventos de segurança no Sguil © Bamm Visscher
Figura 8-14: Captura de tela da visão geral do painel do Kibana © 2020. Elasticsearch BV
Figura 8-15: Captura de tela da contagem de alertas NIDS, categorias e estatísticas de classificação ©
2020. Elasticsearch BV
Figura 8-16: Captura de tela da gravidade do alerta NIDS, as principais portas de origem e destino ©
2020. Elasticsearch BV
Figura 8-17: Captura de tela dos principais endereços IP de origem e destino que geraram alertas NIDS
no Snort © 2020. Elasticsearch BV
Figura 8-18: Captura de tela do exemplo de visualização do mapa ELK © 2020. Elasticsearch BV
Figura 8-23: Captura de tela de exemplos de captura de pacote de uma exploração contra uma vulnerabilidade
do Windows © Microsoft 2019
Figura 9-1: Captura de tela da aquisição de uma imagem de disco usando Guymager © Guymager
Machine Translated by Google
Introdução xxxix
Figura 9-3: Captura de tela de criação de uma imagem de disco com o comando dd Linux © 2020
A Fundação Linux
Figura 10-2: Captura de tela de logs de um switch Cisco no ELK © 2020. Elasticsearch BV
Figura 10-5: Captura de tela da visualização de diferentes categorias de alertas do NIDS © 2020.
Elasticsearch BV
Figura 11-2: Captura de tela da execução do comando tasklist na linha de comando do Windows ©
Microsoft 2019
Figura 11-3: Captura de tela do uso do comando ps -e em um sistema macOS © Apple, Inc
Figura 11-5 Captura de tela do Windows Task Manager mostrando aplicativos por usuário © Microsoft
2019
Figura 11-13: Captura de tela do computador Windows mostrando o serviço WMI © Microsoft 2019
Figura 11-15: Captura de tela do Windows Services Control Manager © Microsoft 2019
Figura 11-16: Exemplo de captura de tela do Visualizador de Eventos do Windows © Microsoft 2019
Figura 11-21: Captura de tela da ferramenta online Permissions Calculator © Dan's Tools
Figura 11-23: Captura de tela da ferramenta de logs de acesso NGINX © Nginx, Inc
Citação do Capítulo 13, “VERIS é um conjunto de métricas projetadas para fornecer uma linguagem comum
para descrever incidentes de segurança de maneira estruturada e repetível. O objetivo geral é estabelecer
uma base sobre a qual possamos aprender de forma construtiva e cooperativa com nossas experiências para
gerenciar melhor os riscos.” VISÃO GERAL DO VERIS , http://veriscommunity.net/veris-overview.html
Figura 14-5: Captura de tela do exemplo de malware MITRE ATT&CK © The MITRE
Corporação
Figura 14-6: Captura de tela do MITRE ATT&CK Navigator © The MITRE Corporation
Figura 14-7: Captura de tela da adição de metadados ao MITRE ATT&CK Navigator © The MITRE
Corporation
Figura 14-11: Captura de tela da consulta de exposição de protocolo inseguro no Shodan © Shodan
Figura 15-8: Captura de tela do exemplo Mimikatz no MITRE ATT&CK Navigator © The MITRE
Corporation
Figura 15-16: Captura de tela do exemplo Mimikatz no MITRE ATT&CK Navigator © The MITRE
Corporation
Machine Translated by Google
CAPÍTULO 12
Desafios na Segurança
Centro de Operações (SOC)
Neste capítulo, você aprenderá como os invasores obtêm acesso furtivo e os truques usados para
impactar negativamente a detecção e as tecnologias forenses.
Tabela 12-1 “Eu já sei disso?” Mapeamento de seção a pergunta dos tópicos básicos
Seção de Tópicos Fundamentais Questões
b. Privacidade e confidencialidade
c. Mitigação de malware
d. Identificação de malware
Machine Translated by Google
criptografia introduz requisitos de processamento adicionais pela CPU. c. A criptografia pode ser
usada por agentes de ameaças como um método de evasão e ofuscação, e as ferramentas de monitoramento
de segurança podem não conseguir inspecionar o tráfego criptografado.
d. A criptografia pode ser usada por invasores para monitorar túneis VPN.
Protocolos de criptografia
4. Se a data e a hora não estiverem sincronizadas entre a rede e os dispositivos de segurança, será quase
impossível correlacionar os logs. Qual protocolo é recomendado como uma prática recomendada para
implantar para mitigar esse problema? uma. Tradução do Endereço da Rede
para encapsulamento, mas algumas ferramentas o usaram para encapsular dados na carga útil de pacotes
DNS.
6. Quais das opções a seguir são exemplos de ferramentas de encapsulamento de DNS? (Selecione tudo que se aplica.)
uma. DeNiSe
b. dns2tcp c.
DNScapy
d. DNStor
7. O que é Tor?
Um protocolo de hash c. Um
cliente de túnel VPN
d. Uma ferramenta gratuita que permite que seus usuários naveguem na Internet anonimamente
Machine Translated by Google
Tor instalado em seu sistema para sair da Internet 9. O que é uma vulnerabilidade
de injeção de SQL?
uma. Uma vulnerabilidade de validação de entrada em que um invasor pode inserir ou injetar uma
consulta SQL por meio dos dados de entrada do cliente para o aplicativo ou banco de dados
b. Um tipo de vulnerabilidade em que um invasor pode injetar uma nova senha em um SQL
servidor ou cliente
11. Qual das opções a seguir descreve quando o invasor envia tráfego mais lentamente do que o normal, não
excedendo limites dentro das janelas de tempo que as assinaturas usam para correlacionar diferentes
pacotes? uma. Inserção de tráfego
b. Manipulação de protocolo c.
Fragmentação do tráfego d.
Ataque de tempo
12. Qual dos seguintes daria mais problemas a um IPS? uma. Pacotes jumbo b.
d. Ataque de
temporização 14. Qual dos seguintes não é um exemplo de fragmentação de tráfego? uma.
por dispositivos de detecção de segurança c. Modificando os cabeçalhos IP para fazer com que os
de segurança
17. Um ataque de substituição e inserção de tráfego faz qual dos seguintes?
uma. Substitui o tráfego por dados em um formato diferente, mas com o mesmo significado b. Substitui a
carga útil por dados no mesmo formato, mas com uma média diferente
ing, fornecendo uma nova carga útil
c. Substitui a carga útil por dados em um formato diferente, mas com o mesmo significado, não modificando
a carga útil
d. Substitui o tráfego por dados no mesmo formato, mas com um significado diferente
18. Qual dos seguintes não é uma defesa contra uma substituição e inserção de tráfego
ataque?
seguintes não é uma defesa contra um ataque de pivô? uma. Filtragem de conteúdo
d. Controle de acesso
20. Qual tecnologia de segurança seria melhor para detectar um ataque de pivô?
uma. Rede privada virtual (VPN) b. Antivírus
baseado em host
c. NetFlow
Tópicos Fundamentais
Desafios de monitoramento de segurança no SOC
Os analistas do centro de operações de segurança (SOC) tentam ter visibilidade completa do que está acontecendo
em uma rede. No entanto, essa tarefa é mais fácil dizer do que fazer. Existem vários desafios que podem levar a
falsos negativos (quando você não consegue detectar atividades maliciosas ou anormais na rede e nos sistemas).
As seções a seguir destacam alguns desses desafios.
Machine Translated by Google
Por outro lado, esses mesmos mecanismos podem ser usados por agentes de ameaças como um
método de evasão e ofuscação. Historicamente, até os governos tentaram regular o uso e a exportação
de tecnologias de criptografia. Um bom exemplo é o Acordo Wassenaar, que é um acordo multinacional
com o objetivo de regular a exportação de tecnologias como criptografia.
Outros exemplos incluem eventos em torno de agências de aplicação da lei, como o Federal Bureau of
Investigation (FBI) dos EUA, tentando forçar os fornecedores a deixar certas técnicas de investigação em
seus softwares e dispositivos. Algumas pessoas compraram a ideia de “criptografar tudo”.
No entanto, criptografar tudo teria consequências muito sérias, não apenas para as agências de aplicação
da lei, mas também para os profissionais de resposta a incidentes. Algo a ser lembrado sobre o conceito de
“criptografar tudo” é que a implantação da criptografia de ponta a ponta é difícil e pode deixar dados não
criptografados em risco de ataque.
Muitos produtos de segurança (incluindo IPSs e firewalls de última geração) podem interceptar,
descriptografar, inspecionar e recriptografar ou até mesmo ignorar cargas úteis de tráfego criptografado.
Algumas pessoas consideram isso um assunto man-in-the-middle (MITM) e têm muitas preocupações com a privacidade.
Por outro lado, você ainda pode usar metadados do tráfego de rede e outras fontes de eventos de segurança
para investigar e resolver problemas de segurança. Você pode obter muitas informações boas aproveitando
o NetFlow, logs de firewall, logs de proxy da Web, informações de autenticação de usuário e até mesmo
dados de DNS passivo (pDNS). Em alguns casos, a combinação desses logs pode tornar o conteúdo
criptografado de cargas de malware e outros tráfegos irrelevantes. Claro, isso é contanto que você possa
detectar seus padrões de tráfego para poder remediar um incidente.
É fato que você precisa lidar com dados criptografados, seja em trânsito ou “em repouso” em um endpoint
ou servidor. Se você implantar proxies da Web, precisará avaliar a viabilidade em seu ambiente de
conexões HTTP seguras MITM.
12
O NAT estático permite que as conexões sejam iniciadas bidirecionalmente, ou seja, tanto para o host
quanto para o host.
O NAT pode representar um desafio quando você está realizando monitoramento de segurança e análise
de logs, NetFlow e outros dados, porque os endereços IP do dispositivo podem ser vistos nos logs como o
endereço IP “traduzido” versus o endereço IP “real”. No caso do Port Address Translation (PAT), isso pode
se tornar ainda mais problemático porque muitos hosts diferentes podem ser traduzidos para um único
endereço, tornando a correlação quase impossível de ser alcançada.
Produtos de segurança, como o sistema Cisco Stealthwatch, fornecem recursos que podem ser
usados para correlacionar e “mapear” endereços IP traduzidos com o NetFlow. Esse recurso no sistema
Cisco Stealthwatch é chamado de costura NAT. Isso acelera as tarefas de resposta a incidentes e facilita
as operações contínuas de monitoramento de segurança.
Machine Translated by Google
Em muitos casos, o malware pode usar a codificação Base64 para colocar dados confidenciais (como
números de cartão de crédito, informações de identificação pessoal [PII] e assim por diante) na carga de pacotes
DNS para criminosos cibernéticos. A seguir estão alguns exemplos de métodos de codificação que podem ser
usados por invasores:
ÿ Codificação Base64
ÿ Codificação NetBIOS
ÿ Codificação hexadecimal
Vários utilitários foram criados para realizar o tunelamento DNS (para o bem e também para o mal). Seguem
alguns exemplos:
ÿ DeNiSe: essa ferramenta Python é usada para encapsular TCP sobre DNS.
ÿ dns2tcp: Escrito por Olivier Dembour e Nicolas Collignon em C, esta ferramenta suporta
Tipos de solicitação KEY e TXT.
ÿ DNScapy: criada por Pierre Bienaimé, esta ferramenta Scapy baseada em Python para geração de
pacotes oferece suporte a encapsulamento SSH sobre DNS, incluindo um proxy SOCKS.
ÿ DNScat ou DNScat-P: esta ferramenta baseada em Java criada por Tadeusz Pietraszek suporta
comunicação bidirecional através de DNS.
ÿ DNScat (DNScat-B): Escrito por Ron Bowes, esta ferramenta é executada em Linux, Mac OS X e
Windows. DNScat codifica solicitações de DNS em codificação NetBIOS ou codificação hexadecimal.
ÿ Heyoka: esta ferramenta, escrita em C, suporta encapsulamento bidirecional para exfiltração de dados.
Machine Translated by Google
ÿ Iodo: Escrito por Bjorn Andersson e Erik Ekman em C, esta ferramenta roda em Linux,
Mac OS X e Windows, e pode até ser portado para Android. 12
ÿ Protocolo de transferência de servidor de nomes (NSTX): essa ferramenta cria túneis IP usando DNS.
ÿ OzymanDNS: Escrito em Perl por Dan Kaminsky, esta ferramenta é usada para configurar um SSH
túnel sobre DNS ou para transferência de arquivos. As solicitações são codificadas em Base32 e as respostas
são registros TXT codificados em Base64.
ÿ psudp: Desenvolvida por Kenton Born, essa ferramenta injeta dados em solicitações de DNS existentes
modificando os comprimentos de IP/UDP.
ÿ Feederbot e Moto: os invasores usaram esse malware usando DNS para roubar informações confidenciais
de muitas organizações.
Algumas dessas ferramentas não foram criadas com a intenção de roubar dados, mas os criminosos cibernéticos
as usaram para seus próprios fins.
Os exemplos na Figura 12-2 e na Figura 12-3 demonstram como o encapsulamento de DNS pode ser obtido
com a ferramenta Iodine. A Figura 12-2 mostra o servidor Iodine escutando quaisquer conexões de clientes usando
resolução DNS para o domínio h4cker.org.
A Figura 12-3 mostra o cliente de iodo (suponha que este seja um sistema comprometido). O cliente estabeleceu
com êxito uma conexão com o servidor Iodine. O endereço IP 192.168.88.207 é o endereço configurado na placa de
interface de rede (NIC) do servidor. O 10.1.1.1 é o endereço IP usado pelo Iodo para se comunicar com os clientes pelo
túnel. Neste exemplo, o endereço IP do cliente é 10.1.1.2 e o endereço IP do túnel do servidor é 10.1.1.1. Todos os
dados agora são enviados pelo túnel DNS e o domínio h4cker.org é usado para resolução de DNS.
Machine Translated by Google
NOTA Tor é um acrônimo do nome original do projeto de software, “The Onion Router”.
O uso do Tor também dificulta o monitoramento de segurança e a resposta a incidentes porque é difícil atribuir e rastrear
o tráfego até o usuário. Diferentes tipos de malware são conhecidos por usar o Tor para cobrir seus rastros.
Esse “roteamento de cebola” é realizado criptografando a camada de aplicação de uma pilha de protocolos de
comunicação que está aninhada exatamente como as camadas de uma cebola. O cliente Tor criptografa os dados
várias vezes e os envia através de uma rede ou circuito que inclui relés Tor selecionados aleatoriamente. Cada uma das
retransmissões descriptografa uma camada da cebola para revelar apenas a próxima retransmissão, para que os dados
criptografados restantes possam ser roteados para ela.
A Figura 12-4 mostra o navegador Tor. Você pode ver o circuito Tor quando o usuário acessou h4cker.org a partir
do navegador Tor. Os pacotes foram primeiro para um host na Holanda, depois para hosts na Noruega e na Alemanha
e, finalmente, para h4cker.org.
Um nó de saída do Tor é basicamente o último nó do Tor ou o gateway onde o tráfego criptografado do Tor sai para a
Internet. Um nó de saída do Tor pode ser direcionado para monitorar o tráfego do Tor. Muitas organizações bloqueiam
os nós de saída do Tor em seu ambiente. O projeto Tor tem uma lista dinâmica de nós de saída do Tor que torna essa
tarefa um pouco mais fácil. Esta lista de nós de saída do Tor pode ser baixada em https://check.torproject.org/exit-
addresses.
Machine Translated by Google
12
NOTA Produtos de segurança como o software Cisco Next-Generation Firepower fornecem a capacidade
de aprender e bloquear dinamicamente os nós de saída Tor.
Os computadores ou nós participantes do P2P reservam uma parte de seus recursos (como CPU,
memória, armazenamento em disco e largura de banda da rede) para que outros pares ou participantes
possam acessar esses recursos. Isso tudo é feito sem a necessidade de um servidor centralizado. Em redes P2P,
Machine Translated by Google
cada par pode ser tanto um fornecedor quanto um consumidor de recursos ou dados. Um bom exemplo foi o
aplicativo de compartilhamento de música Napster na década de 1990.
As redes P2P têm sido usadas para compartilhar músicas, vídeos, livros roubados e outros dados; até
mesmo aplicativos de multimídia legítimos, como o Spotify, usam uma rede ponto a ponto junto com
servidores de streaming para transmitir áudio e vídeo para seus clientes. Existe até um aplicativo chamado
Peercoin (também conhecido como PPCoin) que é uma moeda criptográfica P2P que utiliza sistemas de
prova de participação e prova de trabalho.
Universidades como MIT e Penn State até criaram um projeto chamado LionShare, projetado para
compartilhar arquivos entre instituições educacionais globalmente.
Do ponto de vista da segurança, os sistemas P2P apresentam desafios únicos. O malware usou redes
P2P para se comunicar e também se espalhar para as vítimas. Muitos arquivos de música e filmes “gratuitos”
ou roubados geralmente vêm com a surpresa do malware. Além disso, como qualquer outra forma de
software, os aplicativos P2P não são imunes a vulnerabilidades de segurança. Isso, é claro, apresenta riscos
para o software P2P porque é mais suscetível a explorações remotas, devido à natureza da arquitetura de
rede P2P.
Rede Rede
Conexão Internet Conexão
Rede corporativa
Figura 12-5 Exemplo de VPN SSH
Você pode usar túneis SSH sobre outros túneis, como VPNs, túneis DNS e assim por diante. Por
exemplo, você pode criar um túnel DNS e, em seguida, ter um túnel SSH sobre ele.
Existem muitos casos de uso em que um invasor viola uma rede e inicia alguma forma de sessão VPN. Um
exemplo é usar o adaptador USB LAN Turtle do Hak5, que pode ser configurado para iniciar automaticamente
um túnel SSH reverso para um servidor de armazenamento em nuvem, essencialmente criando um backdoor
acessível na nuvem para a rede da vítima.
É um desafio para um administrador identificar o LAN Turtle porque ele fica em um sistema confiável e não
requer um endereço IP próprio para fornecer o túnel criptografado reverso para fora da rede.
Machine Translated by Google
A Figura 12-6 mostra um exemplo de uma LAN Turtle conectada a um servidor, fornecendo um túnel criptografado para o
servidor remoto de um invasor. Isso representaria um ataque físico que leva a um backdoor para acesso de partes mal- 12
intencionadas externas.
Nuvem do Atacante
Servidor
Dados roubados
Túnel criptografado
Internet
Conexão
Tartaruga LAN
interno
Servidor
A LAN Turtle é apenas um exemplo das muitas ferramentas disponíveis que podem ser plantadas em uma rede para criar
um backdoor não autorizado. O Packet Squirrel é outro dispositivo que pode ser implantado para fornecer a um invasor
acesso remoto a uma rede de destino. Todas essas ferramentas estão disponíveis ao público em sites como o hak5.org.
Outro conceito de criptografia é ocultar os dados reais. Existem muitas técnicas para fazer isso, como tecnologias de
criptografia de arquivos corporativos que criptografam arquivos e controlam o acesso para abri-los. Um exemplo é ter
um agente de software instalado em um servidor que especifica quais arquivos devem ser criptografados. Quando um
arquivo que deveria ser criptografado é removido, ele é marcado e criptografado, com acesso fornecido apenas a
pessoas dentro de um grupo de autenticação específico. As pessoas desse grupo podem usar um agente baseado em
host que as registra automaticamente no arquivo ou podem ser enviadas para um portal online para autenticar e obter
acesso ao arquivo.
O termo dados em repouso significa dados que são colocados em um meio de armazenamento. Os requisitos de
segurança de dados em repouso normalmente se referem à capacidade de negar todo o acesso a dados armazenados
que são considerados confidenciais e correm o risco de serem expostos. Normalmente, isso é feito criptografando os
dados e removendo posteriormente todos os métodos para descriptografar os dados. Os exemplos incluem criptografia de
disco rígido em que um disco rígido é criptografado, impossibilitando a clonagem. O mesmo conceito pode ser aplicado à
tecnologia de criptografia de arquivos, onde o proprietário dos dados pode expirar o acesso ao arquivo, o que significa que
todos os usuários não poderão descriptografar.
Muitos invasores abusam de conceitos de criptografia, como criptografia de arquivos e protocolos, para ocultar códigos
maliciosos. Um exemplo seria um ataque que ocorre a partir de um servidor web sobre criptografia SSL para ocultar o
ataque das tecnologias de detecção de intrusão na rede. Isso funciona porque uma ferramenta de detecção de intrusão
de rede usa assinaturas para identificar uma ameaça, o que é inútil se o tráfego que está sendo avaliado for criptografado.
Outro exemplo seria codificar um arquivo malicioso com um monte de texto inútil, com o objetivo de confundir um aplicativo
antivírus. Os aplicativos antivírus também usam assinaturas para detectar ameaças, adicionando texto adicional ao código
malicioso
Machine Translated by Google
poderia alterar o código o suficiente para não ser vinculado a um ataque conhecido quando avaliado por uma ferramenta
de segurança.
ÿ Uma VPN é usada para ocultar ou codificar algo para que o conteúdo seja protegido de partes
indesejadas.
ÿ O tráfego de criptografia pode ser usado para ignorar a detecção, como por uma prevenção de intrusão
sistema (IPS).
ÿ As duas formas de VPNs de acesso remoto são baseadas em cliente e sem cliente.
ÿ O SSH conecta um host a um servidor SSH e usa criptografia de chave pública para autenticar
cate o computador remoto e permita que ele autentique o usuário.
Em seguida, examinamos os recursos exaustivos para contornar a detecção e obter acesso não autorizado a sistemas
e redes.
Esgotamento de recursos
A exaustão de recursos é um tipo de ataque de negação de serviço; no entanto, também pode ser usado para evitar
a detecção pelas defesas de segurança. Uma definição simples de esgotamento de recursos é “consumir os recursos
necessários para realizar uma ação”. Um exemplo de ferramenta de ataque de negação de serviço que pode esgotar
os recursos disponíveis de aplicativos da web e outros sistemas é o Slowloris, que pode ser encontrado em https://
github.com/gkbrk/slowloris. Essa ferramenta mantém conexões enviando solicitações HTTP parciais para o site. A
ferramenta continua enviando várias centenas de cabeçalhos subsequentes em intervalos regulares para impedir que
os soquetes fechem, sobrecarregando assim os recursos do destino. Isso faz com que o site seja apanhado com as
solicitações existentes, atrasando assim as respostas ao tráfego legítimo. A Figura 12-7 mostra a ferramenta Slowloris
sendo usada no site h4cker.org.
Quando se trata de contornar a segurança do controle de acesso, os ataques de esgotamento de recursos podem
consumir todos os processos para forçar a abertura de um sistema, o que significa permitir o acesso a sistemas e redes
não autorizados. Esse ataque pode ser eficaz contra tecnologias de controle de acesso que os administradores
normalmente configuram para abrir com falha se uma falha de serviço for detectada. A mesma abordagem pode ser
usada para esgotar sistemas que possuem recursos de rastreamento, como intrusão
Machine Translated by Google
ferramentas de detecção ou outros sensores de rede, causando um período de blecaute para um invasor abusar
sem ser registrado. Os invasores usarão ataques de esgotamento de recursos contra sistemas de log que 12
identificarem durante um ataque, sabendo que muitos administradores não têm as habilidades ou entendimento
para se defender contra ataques de esgotamento de recursos e, portanto, não poderão impedir a ocorrência de
blecautes de monitoramento. Isso também impede que as evidências necessárias para uma investigação forense
sejam coletadas, protegendo legalmente o invasor de ser incriminado por uma futura investigação pós-violação.
O exemplo mais comum de um ataque de esgotamento de recursos envolve o envio de um monte de tráfego
diretamente no IPS.
Estratégias defensivas devem ser implementadas para evitar ataques de esgotamento de recursos. A primeira
camada de defesa, que envolve a verificação de métodos incomuns ou não autorizados de solicitação de recursos,
geralmente é incorporada pelo fornecedor. A ideia é reconhecer quando um ataque está sendo tentado e negar ao
invasor acesso adicional por um período de tempo específico para que os recursos do sistema possam sustentar o
tráfego sem afetar o serviço. Um método simples para impor esse efeito envolve o uso de limitação, que limita a
quantidade de serviço que um usuário ou grupo específico pode consumir, impondo assim uma quantidade
aceitável de consumo de recursos. Às vezes, esses recursos precisam ser habilitados antes de serem aplicados,
portanto, a melhor prática é validar se existem defesas de esgotamento de recursos em uma solução de segurança.
ÿ A limitação é um método para evitar o esgotamento de recursos limitando o número de processos que
podem ser consumidos ao mesmo tempo.
Agora vamos analisar e modificar o tráfego para contornar a detecção. Isso é conhecido como fragmentação de
tráfego.
Fragmentação de tráfego
As tecnologias de rede esperam que o tráfego se mova de uma determinada maneira. Isso é conhecido como o
conjunto TCP/ IP. Compreender como isso funciona pode ajudá-lo a identificar quando algo está operando de
maneira incomum. A fragmentação do tráfego é um método de evitar a detecção, dividindo um único datagrama
de protocolo de Internet (IP) em vários pacotes de tamanho menor. O objetivo é abusar do protocolo de
fragmentação dentro do IP, criando uma situação em que o tráfego pretendido pelo invasor é ignorado ou permitido
como tráfego confiável. A boa notícia é que a maioria dos sistemas de detecção de intrusão (IDSs) e sistemas de
prevenção de intrusões (IPSs) mais modernos estão cientes desse ataque e podem evitá-lo. A melhor prática é
verificar se sua versão do IDS/IPS possui recursos de detecção de fragmentação de tráfego.
Os produtos IPS devem ser capazes de remontar adequadamente os pacotes para avaliar se há intenção
maliciosa. Isso inclui entender a ordem correta dos pacotes. Infelizmente, os invasores têm várias técnicas que
podem usar para confundir uma solução IPS durante seu processo de remontagem. Um exemplo disso envolve o
uso de um ataque de segmentação e reordenação TCP projetado para confundir a ferramenta de detecção
enviando tráfego em um método não inspecionado
Machine Translated by Google
com a esperança de que não possa remontar adequadamente o tráfego e identificá-lo como malicioso.
Os dispositivos de segurança que não podem realizar a remontagem do tráfego automaticamente falharão na prevenção
desse ataque. Alguns dispositivos de segurança falharão quando o invasor reordenar ou fragmentar o tráfego com ajustes
suficientes para realizar o desvio.
Outro exemplo de ataque de fragmentação envolve o uso de fragmentos sobrepostos. Esse ataque funciona definindo os
valores de deslocamento no cabeçalho IP para que eles não correspondam, fazendo com que um fragmento se sobreponha
a outro. A confusão pode fazer com que a ferramenta de detecção ignore algum tráfego, deixando o tráfego malicioso passar.
A melhor prática para evitar ataques de fragmentação de tráfego é verificar com seu provedor de soluções de segurança
se a solução é capaz de detectar fragmentação de tráfego. As soluções que operam em modos do tipo proxy completo
não são suscetíveis a esse tipo de ataque (por exemplo, filtros de conteúdo e dispositivos de segurança em linha).
ÿ Os ataques de fragmentação de tráfego modificam o tráfego TCP/IP de forma inesperada pelos dispositivos de detecção
de segurança; o objetivo é confundir as funções de detecção.
ÿ Usar segmentação TCP e ataques de reordenação é uma maneira de modificar o tráfego para contornar
detecção.
ÿ Fazer com que os fragmentos se sobreponham ao modificar os cabeçalhos IP é outro tipo de fragmentação de tráfego
ataque mental.
ÿ Proxies e dispositivos de segurança em linha podem ajudar a evitar ataques de fragmentação de tráfego.
Assim como no tráfego TCP/IP, os protocolos também podem ser modificados para ignorar os dispositivos de segurança.
Vejamos como isso funciona.
Outro exemplo de má interpretação em nível de protocolo é o abuso do “tempo de vida” (TTL) do tráfego. TTL é um
protocolo dentro de um pacote que limita a vida útil dos dados em uma rede de computadores. Isso evita que um pacote
de dados circule indefinidamente. Abusar do TTL funciona enviando primeiro um valor TTL curto com o objetivo de passar
o receptor de segurança, assumindo que ele será descartado por um roteador posteriormente. Essa queda ocorre após o
dispositivo de segurança (ou seja, entre o destino e o dispositivo de segurança) devido ao TTL igualar um valor de zero
antes que o pacote possa atingir seu destino pretendido. O invasor segue o primeiro pacote com um TTL que tem um valor
muito alto, com o objetivo de parecer tráfego duplicado para o dispositivo de segurança, de modo que o
Machine Translated by Google
dispositivo de segurança irá ignorá-lo. Por ter o TTL mais longo, o pacote fará todo o caminho até o host
porque agora ele tem um valor de TTL alto o suficiente enquanto é ignorado pelas soluções de segurança de 12
rede. A Figura 12-8 mostra um exemplo de como esse ataque funciona. O primeiro pacote tem um valor TTL
de 1, o que significa que ele passará pelo dispositivo de segurança, mas será descartado pelo roteador por ter
um valor igual a 0. O segundo pacote tem um TTL grande o suficiente para chegar ao host, mas se são os
mesmos dados, o dispositivo de segurança assumirá que é uma duplicata, dando assim ao invasor a capacidade
de infiltrar os dados.
Pacote TTL 1
Caiu devido a
Tempo limite TTL
Confiável
Rede
Pacote TTL 10
Atacante
Assim como nos ataques de fragmentação de IP, a boa notícia é que muitas soluções de segurança estão
cientes dessa forma de ataque e possuem métodos para validar e manipular a manipulação do protocolo. A
melhor prática é verificar com seus provedores de soluções de segurança se seus produtos estão cientes de
ataques de interpretação incorreta em nível de protocolo.
ÿ Os protocolos podem ser manipulados para confundir os dispositivos de segurança de avaliar adequadamente
tráfego.
ÿ Os protocolos TCP checksum e time-to-live podem ser manipulados para primeiro parecer uma coisa e depois
parecer outra coisa, com o objetivo de enganar as defesas de segurança.
Agora vamos ver outra técnica de evasão que adota uma abordagem diferente para modificar o tráfego de
rede.
Um ataque de substituição e inserção de tráfego envolve a substituição dos dados da carga útil por dados em
um formato diferente, mas que tenham o mesmo significado, com o objetivo de serem ignorados devido a
Machine Translated by Google
não sendo reconhecido pelo dispositivo de segurança. Alguns métodos para alterar o formato incluem trocar espaços
com tabulações, usar Unicode em vez de strings ou caracteres ASCII em solicitações HTTP, modificar o código shell
legítimo com código de exploração e abusar da comunicação sensível a maiúsculas e minúsculas. A maioria dos
dispositivos de segurança pode decodificar o tráfego; no entanto, esse ataque é bem-sucedido quando uma falha é
encontrada no processo de decodificação. Um exemplo de um ataque de substituição e inserção de tráfego seria
ocultar código malicioso usando caracteres latinos, sabendo que o receptor traduzirá o código em ASCII. Se essa
vulnerabilidade existir, o dispositivo de segurança traduzirá o texto sem verificar se é uma ameaça, permitindo assim o
ataque ao ambiente.
A defesa contra ataques de tempo de tráfego, bem como ataques de substituição e inserção, mais uma vez, requer
recursos normalmente encontrados em muitos produtos de segurança oferecidos pelos principais fornecedores de
segurança. Os recursos de segurança precisam incluir a capacidade de se adaptar às mudanças no tempo dos padrões
de tráfego, bem como às mudanças no formato, processar corretamente os caracteres estendidos e realizar a
desobstrução de Unicode. Os exemplos de decodificação Unicode incluem a identificação de bits ambíguos, detecção
de codificação dupla e delimitadores multidiretórios. É recomendável que você verifique com seu provedor de soluções
de segurança confiável se sua solução de segurança possui esses recursos de detecção.
ÿ Os ataques de temporização de tráfego ocorrem quando o invasor evita a detecção executando suas ações
mais lentamente do que o normal, sem exceder os limites dentro das janelas de tempo que as assinaturas
de detecção usam para correlacionar diferentes pacotes.
ÿ Um ataque de substituição e inserção de tráfego substitui a carga útil por dados que estão em um formato
diferente, mas têm o mesmo significado.
ÿ Alguns métodos para realizar um ataque de substituição e inserção de tráfego incluem a troca de
espaços com tabulações, usando Unicode em vez de ASCII e abusando da comunicação sensível a
maiúsculas e minúsculas.
ÿ Os produtos de segurança podem interromper esse tipo de ataque por serem capazes de se adaptar às
alterações de formato, processando corretamente os caracteres estendidos e fornecendo
desobfuscação Unicode.
Uma técnica de evasão final para cobrir é pivotar dentro de uma rede.
Pivotante
Embora os ataques cibernéticos possam variar em natureza, um passo comum no processo de ataque, de acordo
com o modelo de cyber kill chain introduzido pela Lockheed Martin, é a ideia de estabelecer um ponto de apoio na
rede alvo e tentar girar para uma rede mais confiável. área da rede. Estabelecer um ponto de apoio significa violar a
rede por meio da exploração de uma vulnerabilidade e da criação de pontos de acesso na rede comprometida. O
desafio para o invasor é o nível de acesso concedido com a exploração. Por exemplo, violar um sistema convidado
em uma rede normalmente significaria obter acesso a uma rede convidada que recebe acesso muito limitado aos
recursos da rede. Um invasor gostaria de mudar da rede de convidados para outra rede com mais direitos de acesso,
como a rede de funcionários. Em relação à cadeia de morte, um pivô seria uma ação tomada para recomeçar a
sequência assim que o atacante atingir o ponto de “ação”. Conforme ilustrado na Figura 12-9, o invasor primeiro
Machine Translated by Google
realizar reconhecimento em outros sistemas na mesma rede que o sistema comprometido, armar um
ataque e, eventualmente, passar pela cadeia de eliminação de ataques com o objetivo de obter habilidades 12
de comando e controle em outros sistemas com maiores direitos de acesso à rede.
Comando e
Reconhecimento Armamento Entrega Exploração Instalação Ações
Ao controle
Normalmente, privilégios e recursos disponíveis em uma rede são agrupados em silos; isso é conhecido
como segmentação de rede. O acesso a cada segmento de rede é normalmente imposto por meio de
alguns meios de controle de acesso à rede. A Figura 12-10 demonstra o conceito de segmentação e
controle de acesso, onde impressoras, convidados e uma rede confiável estão em diferentes segmentos de
rede.
Impressora
Rede
Empregado
Hóspede
Impressora
Rede
Rede
Hóspede
Pivotar, também conhecido como salto de ilha, significa atacar outros sistemas na mesma rede. A ideia
é identificar um sistema com direitos de acesso de nível superior, como administrador.
Isso também é conhecido como uma forma de escalonamento de privilégios. Outros sistemas com
diferentes níveis de privilégios de acesso à rede também podem ser identificados para fornecer mais portas
de entrada na rede caso a violação original seja fechada, para identificar sistemas para alavancar para outra
forma ou ataque, para ocultar dados usando vários sistemas como pontos de saída da rede, e assim por diante.
Também é importante entender que a escalação de privilégios pode ocorrer dentro de um sistema. Isso
envolve violar um servidor com uma conta de convidado e, posteriormente, obter acesso root para fornecer
mais direitos de recursos nesse sistema. A Figura 12-11 mostra um invasor girando em um sistema
vulnerável sentado em uma rede confiável. Isso pode ser feito identificando uma vulnerabilidade no laptop
do funcionário, colocando uma ferramenta de acesso remoto (RAT) nele e conectando-se remotamente ao
sistema para usá-lo para navegar dentro da rede confiável. O pivô ocorre quando o agente da ameaça
obtém acesso ao computador do funcionário pela primeira vez e "pivô" desse sistema para outro sistema
na mesma rede para obter mais acesso à rede de destino.
Machine Translated by Google
Impressora
Rede
Empregado
Impressora
Rede
Atacante
Figura 12-11 Exemplo de giro
Existem diferentes métodos para pivotar em uma rede. A primeira envolve o uso das conexões de rede
e portas existentes disponíveis no sistema comprometido, essencialmente transformando esse sistema
em um ponto de articulação do proxy. Embora isso forneça algum acesso, o invasor ficará limitado às
portas TCP e UDP disponíveis no sistema comprometido. Uma segunda abordagem que fornece acesso
total é configurar uma conexão VPN do sistema comprometido para a rede confiável, dando ao invasor
acesso total ao ter todas as portas disponíveis do sistema do invasor até o ponto de encerramento da
VPN.
A Figura 12-12 mostra um exemplo de uso de um sistema conectado a duas redes como ponto de
pivô para um ataque remoto.
Atacante Empregado
Figura 12-12 Girando por meio de um host comprometido
A defesa contra o pivotamento pode ser abordada de algumas maneiras. O primeiro método é
impor o controle e a segmentação adequados de acesso à rede, limitando o que pode acessar
segmentos de rede específicos e filtrando o acesso apenas ao que é necessário para operar o
negócio nesses segmentos. Essa abordagem limita os sistemas disponíveis para os quais um invasor
pode girar, bem como quais novos serviços de rede se tornariam disponíveis ao violar outros sistemas
na mesma rede. Por exemplo, se todas as impressoras estiverem limitadas a um segmento de rede específico e um
Machine Translated by Google
impressora for violada, o invasor só poderá atacar outras impressoras e acessar o tráfego relacionado à
impressora. Descobrimos que o pivô ocorre quando uma arquitetura de segurança ruim é implementada, 12
como colocar todos os dispositivos no mesmo segmento de rede e não validar o que pode ser conectado
a uma rede. Existem muitas histórias de testes de penetração sobre organizações que se esqueceram de
um sistema mais antigo e vulnerável sentado na mesma rede que os administradores e críticos
servidores.
O Cisco Identity Services Engine (ISE) é a principal solução de gerenciamento de identidade e aplicação
de políticas da Cisco projetada para lidar com riscos de pivotamento. Um exemplo é fornecer a uma
funcionária chamada Hannah acesso limitado a recursos específicos devido ao fato de seu dispositivo ser
um iPhone, que não requer o mesmo acesso que seu laptop. A Figura 12-13 representa como o ISE
identificaria o usuário Hannah e limitaria seu acesso apenas a recursos específicos. Diferentes acessos seriam
provisionados para sua impressora, laptop e telefone de mesa, dependendo do status de postura de cada
dispositivo e de como os administradores configuraram a solução ISE. Essa é apenas uma das muitas
maneiras pelas quais o ISE simplifica drasticamente a aplicação da segmentação por meio de uma política centralizada.
10.201.3.149
macOS versão 10.19.9 Cisco ISE
Figura 12-13 Dispositivo Cisco Identity Services Engine (ISE) e Interrogação de Usuário
Outra estratégia de defesa é fornecer práticas adequadas de segurança de endpoint, como gerenciamento
de patches, antivírus, tecnologias de detecção de violação e assim por diante. Normalmente, os sistemas são
violados por meio de uma vulnerabilidade, em que uma carga útil, como uma ferramenta de acesso remoto, é
fornecida para fornecer acesso a uma parte remota indesejada. Impedir a violação impede que o invasor
tenha acesso à rede.
Os produtos de segurança NetFlow, como o Cisco Stealthwatch, podem ser usados para identificar tráfego
incomum, oferecendo uma defesa “canário na mina de carvão”. Um exemplo desse conceito em relação ao
Stealthwatch seria um invasor comprometendo o sistema de um funcionário e usando-o para dinamizar a
rede. Se Hannah estiver no departamento de vendas e começar a escanear a rede e acessar sistemas
críticos pela primeira vez, isso provavelmente significa que algo ruim está acontecendo, independentemente
de ela estar autorizada a fazê-lo. Embora o NetFlow possa não ser capaz de lhe dizer por que a situação
está ruim no início, ele pode rapidamente alertá-lo de que algo ruim está acontecendo para que você possa
começar a investigar a situação - assim como os mineradores fariam quando percebessem que o canário
havia morrido em a mina de carvão.
Machine Translated by Google
A segurança NetFlow não requer muito armazenamento, é suportada pela maioria dos fornecedores e pode ser
habilitada na maioria dos tipos de dispositivos (roteadores, switches, aplicativos sem fio, tráfego de comutação virtual,
tráfego de data center e assim por diante). Essencialmente, transforma toda a rede em uma grade de sensores de segurança.
A Figura 12-14 mostra o status do host do Cisco Stealthwatch para o sistema com o endereço IP 10.201.3.149.
ÿ Girar em termos de ataques cibernéticos (também conhecido como salto de ilha) significa atacar
outros sistemas na mesma rede com o objetivo de obter acesso a esse sistema.
ÿ A defesa contra o pivô pode ser realizada fornecendo controle de acesso adequado, segmentação de
rede, segurança DNS, segurança de reputação e gerenciamento adequado de patches.
ÿ O NetFlow é uma ótima ferramenta baseada em sensores para detectar a ocorrência de pivotagem não
autorizada na rede.
Machine Translated by Google
monitoramento de segurança
segurança
Seção Monitoramento de segurança e Tor 504
Definir termos-chave
Defina os seguintes termos-chave deste capítulo e verifique suas respostas no glossário:
Tor, nó de saída Tor, comunicação ponto a ponto (P2P), rede privada virtual (VPN), VPN de acesso remoto, ataque
de tempo de tráfego, VPN sem cliente, Secure Shell (SSH), ataque de esgotamento de recursos, ataque de
fragmentação de tráfego, protocolo ataque de má interpretação, ataque de substituição e inserção de tráfego, pivotagem,
VPN site-to-site
Perguntas de revisão
As respostas a essas perguntas aparecem no Apêndice A, “Respostas à pergunta 'Já sei disso?' Questionários e
perguntas de revisão.” Para mais prática com questões de formato de exame, use o mecanismo de exame no site.
3. O iodo é uma ferramenta que os invasores usam para ofuscar suas técnicas e informações de _________
uma organização que usa túneis DNS.
4. Base64 é um exemplo de um dos agentes de ameaças mais populares._________ mecanismos usados por
5. Por que o NTP deve ser ativado em dispositivos de infraestrutura e para monitoramento de segurança?
Machine Translated by Google
10. Que termo descreve quando o agente da ameaça obtém acesso ao computador do funcionário pela
primeira vez e "muda" desse sistema para outro sistema na mesma rede para obter mais acesso à
rede de destino?
Machine Translated by Google
Índice
dissuasão, 118
Numérico discricionário, 121-122
ACLs (listas de controle de acesso), 31–33, disco, 457 heap, 457 pilhas, 457 espaço
34–35, 138–139 de endereço virtual, 457–458
características, 32–33 para
download, 140
EtherType, 34
estendidos, 34 de processos e threads, 454–456 proxies,
rede, 139 baseados 35–36 serviços, 463–464 whitelisting, 490–
padrão, 33–34
Caldeira, 566
classificação, 260 e
AES-GCM (Criptografia Avançada
manipulação de informações, 260
Padrão no modo Galois/Contador), 217
inventário, 258–259 rotulagem, 260
Mesos, 95
Machine Translated by Google
618 ataques
C EtherType, 34
estendidos, 34
Caldera, 563–564
padrão, 33–34
54ndc47 agente, 563–565
Webtype, 34
emulação de adversários, 566
Registro ASDM, 379
Machine Translated by Google
443
contêineres de logs, 92, 94, 95 gerenciamento suporte executivo, 308 nacional, 314–315
políticas e procedimentos, 308–309
e orquestração, 94–95
E Syslog, 253
SIEM (Security Information and Event
ECC (criptografia de curva elíptica), Management), 255–257 Syslog
186–187 facilities, 253–254 cabeçalho de
Elasticsearch, 384–385 mensagem, 254–255 códigos de
ELK (Elasticsearch, Logstash e gravidade, 254 evidências, 342,
Kibana) pilha 343. Consulte também análise
Elasticsearch, 384–385 forense digital
Kibana, 324-326
FlexVPN 625
exploits, 13–15, 99, 310–311 dark web, FIPS (Processamento de Informações Federais
14 Padrões), 9
F 38–39, 142
journaling, 366
MBR (registro mestre de inicialização), 366 Registro de trap SNMP, 379
janelas
inspeção de estado, 38 tradução
área de dados e espaço livre, 360 estática, 37–38 registro de
EFI, 362
servidor syslog, 379 registro de
FAT (tabela de alocação de arquivos), terminal, 379 tradicional, 30–31
360–361
virtual, 44
MBR (registro mestre de inicialização),
359–360
FIRST (Fórum de Resposta a Incidentes e
MFT (tabela de arquivo mestre), 360, 361
Equipes de Segurança), 309
NTFS, 361
NetFlow Flexível, 400
atividades práticas de
FlexVPN, 224–225
preparação final , 574 planos
escaneamento semi-aberto,
423 handles, 462–463 IaaS (Infraestrutura como Serviço), 85–86
manipulação de evidências,
343 hardware, vulnerabilidades, 11 IAM (gerenciamento de identidade e acesso),
235
hashes, 189–191
ciclo de vida, fase
IPsec, 217
de revisão de 235 acessos, fase
MD5, 191
de revogação de 236 acessos, 236
vulnerabilidades, 191
Machine Translated by Google
Endereços IP 627
326 correlação global, 50 análise baseada em 528 vulnerabilidades de segurança do produto, 310
protocolo análise, 48, 330-331 reconhecimento de do produto), 309 –310 análise retrospectiva, 525–
correspondência de padrões com estado, 526 serviços, 316 estrutura de equipe, 307 usando o
48
eu
chaves pré-compartilhadas,
carregadores de
218 protocolos de segurança,
inicialização, processo de
220 modo de transporte, 222
inicialização 366, daemons 367, 480–481
modo túnel, 222
Ext4, 366
IPSs (sistemas de prevenção de intrusão), 47,
permissões de arquivo, 472–478
145–146, 333. Consulte também IDSs
bifurcações, 471 sistemas de
(sistemas de detecção de intrusão)
normalização de dados, 522 eventos, 146 falsos arquivos com journaling, 366
negativos, 326 falsos positivos, 326 de próxima MBR (registro mestre de inicialização), 366
ilha. Veja ataques de pivô ISO (International 411 nmap, 158 obtenção
calor, 470
Metasploit 629
estático, 37–38
Cisco ISE (Mecanismo de Serviços de Identidade),
60–61
Costura NAT, 501
Cisco SMA (Gerenciamento de Segurança
CSIRTs e CERTs nacionais, 314–315 Aparelho), 60
NBAR (Aplicativo baseado em rede Cisco WSA (Segurança Web
Reconhecimento), 452 Aparelho), 54-57
NetFlow, 395–399, 401–402. Consulte também
ESA (Aparelho de Segurança de E-mail), 58
cache IPFIX (Internet Protocol Flow
recursos, 58–59
Information Export) , captura 400–401, solução
ouvintes, 59 firewalls,
Cisco Stealthwatch 422, costura NAT 404–405,
140
pesquisa avançada 405–406,
IDSs (sistemas de detecção de intrusão), 46
análises baseadas em anomalias, 49–50
eventos, 146 correlações globais, 50 análises
injeção de SQL fora de banda, 22 PAT (Port Address Translation), 37, 501
OVAL (Vulnerabilidade Aberta e gerenciamento de patches, 29–30, 287–291
Idioma de Avaliação), 274–275 abordagens, 290–291 na nuvem, 86–88 modelos
OWASP (Aplicativo Web Aberto de implantação, 289
Projeto de Segurança), 29
correspondência de padrões,
P comunicação ponto a ponto 47–48, teste de
penetração 505–506, 277–278
PaaS (Plataforma como Serviço),
Distribuições Linx, 322–323
captura de 86 pacotes, 331–333, 334, 414 5
permissões, Linux, 472–478 firewalls
tuplas, 317–320 e criptografia, 415 sniffers,
pessoais, 31, 488–489
331, 414, 422 tcpdump, 415–417 Wireshark,
PGP (Pretty Good Privacy), 188–189 pharming,
331, 417–418 pacotes -técnicas de
160
filtragem, 31–35 ACLs (listas de
PHI (informações de saúde protegidas),
controle de acesso)
72–73
phishing, 160
controles físicos, 117
EtherType, 34
PII (informações de identificação
estendidos, 34 pessoal), 72
padrão, 33–34
varreduras de ping,
Webtype, 34 ataques 158 ataques de pivô, 512–
de senha, 171 senhas, 236– 514 defendendo contra, 514–516
237. Veja também autenticação Cadeia de matar Lockheed Martin, 512-513
pivotamento, 513-514 QR
PRNGs (geradores de números pseudo-
aleatórios), 189 análises probabilísticas, QoS (qualidade de serviço), 414, 422
corrida, 27
XSS refletidos, 25
caça a ameaças, 552, 554, 556–557 etapas de ataques de tempo de tráfego, 511, 512
e SOC camadas, 554 vs. tunelamento, 508. Veja também VPNs (redes
456–458, 442