Escolar Documentos
Profissional Documentos
Cultura Documentos
de Vulnerabilidades
Prof. Alexandre Domingos de Sousa
Ameaças proinfo.fia.com.br
MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK:
Active Scanning Malware Spearphishing Local Job Scheduling Application Data Obfuscation Email Collection
Passive Scanning Scripting Attachment/Link Scripting Shimming Domain Fronting Data from Local
Determine Domain Service Execution Exploit Public-Facing Rundll32 Hooking Web Service System/Network Share
and IP Address Application Login Items
Space Supply Chain
Analyze Third-Party Compromise
IT Footprint
Controles de Controles de Segurança: Controles de Segurança: Controles de Segurança: Controles de Segurança: Controles de Segurança:
Segurança: Gestão de Antivirus Antivirus Antivirus IDS
Políticas e Vulnerabilidades e Web Proxy EDR EDR Web proxy
Procedimentos Ameaças Mobile Device Mgt. IDS Políticas e Firewalls
Firewall Directory Services Procedimentos EDR
Conscientização
Ameaças proinfo.fia.com.br
APT - STUXNET
Um worm de computador destrutivo datado de 2007 é considerado a primeira ciber arma conhecida. O
Stuxnet teve como alvo o programa nuclear do Irã, destruindo em última instância quase um quinto das
centrífugas nucleares do país. A infecção inicial foi por meio de uma unidade flash USB corrompida. Depois
de encontrar controladores lógicos programáveis, o malware executaria códigos que danificaram o
equipamento controlado pelo PC infectado.
APT - LAZARUS
Um APT que está ativo desde pelo menos 2009. Acredita-se que esse grupo seja responsável por inúmeras
campanhas multifacetadas que incluem ciberespionagem, ciber sabotagem, ransomware e ataques contra
instituições financeiras. Originalmente, o grupo estava focado em realizar o que parecia ser uma agenda
geopolítica focada principalmente na Coreia do Sul. No entanto, desde então mudou para alvos globais e
começou a lançar ataques para obter ganhos financeiros.
Ano primeiro "sample" 2009
Ano descoberta 2016
Tipo Toolkit para espionagem cibernética
Plataformas-alvo Windows
Top países-alvo Brasil, China, Índia, Irã, Iraque, EUA, Rússia, Coreia Sul
Forma de propagação Phishing
Propósito Sabotagem e espionagem cibernética
Características especiais Primeira arma cibernética para causar dano físico
Alvo Instituições financeiras, governo e militar
61,9% deles têm pelo menos um recurso de PE com localidade ou
idioma coreano. Um IP norte-coreano esteve envolvido em pelo
Atribuição menos duas operações contra bancos na Europa em 2017
Ameaças proinfo.fia.com.br
APT - WANNACRY
O maior ataque de ransomware da história, atribuído ao Lazarus, visando centenas de milhares de
organizações, incluindo instituições médicas, em pelo menos 74 países. Depois que o acesso ao sistema é
obtido por meio de um exploit já corrigido e vazado para uma vulnerabilidade do Windows, as redes
corporativas são infectadas com um ransomware que criptografa seus dados.
APT - OCTOPUS
Um programa malicioso do Windows distribuído pelo DustSquad. Em abril de 2018, os atacantes usaram o
potencial banimento do Telegram para empurrar o malware como software de comunicação alternativo.
Gestão de Vulnerabilidades
Gestão de Vulnerabilidades proinfo.fia.com.br
Divulgação de vulnerabilidades
O CVSS evoluiu com o tempo - houve três versões até o momento. As classificações
para a versão 3 são representadas na tabela abaixo:
Outro termo importante para entender é vulnerabilidade de “dia zero” ou “zero day”.
Uma vulnerabilidade de dia zero é a que foi divulgada publicamente antes que o
fornecedor responsável por ela lançasse uma atualização de segurança para corrigi-la.
Essas vulnerabilidades são as mais valiosas de todas as vulnerabilidades, com invasores
e governos dispostos a pagar quantias relativamente altas por elas (potencialmente U$
1 milhão ou mais por uma exploração funcional).
O pior cenário para as equipes de gerenciamento de vulnerabilidade é uma
vulnerabilidade crítica de dia zero no software ou hardware que possuem em seu
ambiente. Isso significa que o risco de exploração pode ser muito alto e que a
atualização de segurança que pode impedir a exploração da vulnerabilidade não está
disponível publicamente.
Gestão de Vulnerabilidades proinfo.fia.com.br
https://www.first.org/cvss/calculator/3.0
Gestão de Vulnerabilidades proinfo.fia.com.br
Exemplos de CVSS
Vulnerabilidade: uma vulnerabilidade no banco de dados do MySQL Server pode permitir que um usuário
remoto autenticado injete código SQL na funcionalidade de replicação do MySQL executando com altos
privilégios. Um ataque bem-sucedido pode permitir que quaisquer dados em um banco de dados MySQL
remoto sejam lidos ou modificados.
Ataque: um invasor requer uma conta no banco de dados MySQL de destino com o privilégio de modificar
identificadores fornecidos pelo usuário, como nomes de tabelas. A conta deve estar em um banco de dados que
está sendo replicado para um ou mais bancos de dados MySQL. Um ataque consiste em efetuar login usando a
conta e modificar um identificador para um novo valor que contém um caractere de aspas e um fragmento de
SQL malicioso. Esse SQL será executado posteriormente como um usuário altamente privilegiado no(s)
sistema(s) remoto(s). O SQL malicioso é injetado em instruções SQL que fazem parte da funcionalidade de
replicação, evitando que o invasor execute instruções SQL arbitrárias.2.3.
Gestão de Vulnerabilidades proinfo.fia.com.br
Impacto na confidencialidade Baixo O SQL injetado é executado com alto privilégio e pode acessar informações às quais o invasor não
deveria ter acesso. Embora seja executado em um banco de dados remoto (ou bancos de dados),
pode ser possível exfiltrar as informações como parte da instrução SQL. O SQL malicioso é injetado em
instruções SQL que fazem parte da funcionalidade de replicação, evitando que o invasor execute
instruções SQL arbitrárias.
Impacto na Integridade Baixo O SQL injetado é executado com alto privilégio e pode modificar informações às quais o invasor não
deve ter acesso. O SQL malicioso é injetado em instruções SQL que fazem parte da funcionalidade de
replicação, evitando que o invasor execute instruções SQL arbitrárias.
Impacto na Disponibilidade Nenhum Embora o código injetado seja executado com alto privilégio, a natureza desse ataque evita que
instruções SQL arbitrárias sejam executadas, o que poderia afetar a disponibilidade dos bancos de
dados MySQL.
Gestão de Vulnerabilidades proinfo.fia.com.br
• SQL Injection
• Bypass Autentication
• Buffer overflow
• Unauthenticated Arbitrary File Upload
• Directory traversal
• Remote Code Execution (RCE)
Gestão de Vulnerabilidades proinfo.fia.com.br
Política
- Escopo
- Critérios de classificação e
priorização
- Definição de SLA para
tratamento
- Papéis e responsabilidades
- Ferramentas para analise de
vulnerabilidades
Gestão de Vulnerabilidades proinfo.fia.com.br
1.
Qualys
Analisar
Rapid7
5. 2. Tenable
Melhorar Priorizar
Nessus
Acunnetix
4. 3. OpenVAS
Reanalisar Tratar
Nikto
Gestão de Vulnerabilidades proinfo.fia.com.br
1.
(SAST). Tecnologia que analisa códigos binários de
Analisar
aplicativos ou fontes para vulnerabilidades de
segurança
1.
Analisar
5. 2.
Melhorar Priorizar
4. 3.
Reanalisar Tratar
Gestão de Vulnerabilidades proinfo.fia.com.br
1.
Analisar
5. 2.
Melhorar Priorizar
4. 3.
Reanalisar Tratar
Gestão de Vulnerabilidades proinfo.fia.com.br
• Atrasar a implantação: para organizações que são extremamente sensíveis a interrupções de TI, que
foram interrompidas por atualizações de segurança de baixa qualidade no passado, atrasar a
implantação de atualizações de segurança se tornou uma prática infeliz. Em outras palavras, essas
organizações aceitam o risco relacionado a todas as vulnerabilidades publicamente conhecidas e não
corrigidas nos produtos que usam por um período de meses para garantir que as atualizações de
segurança de seus fornecedores não sejam relançadas devido a problemas de qualidade. Essas
organizações decidiram que a cura é potencialmente pior do que a doença, ou seja, a interrupção de
atualizações de segurança de baixa qualidade apresenta o mesmo risco ou maior para eles do que
todos os invasores em potencial no mundo. As organizações que aderem a essa escola de
pensamento tendem a agrupar e implementar meses de atualizações. O apetite por risco entre essas
organizações é alto, para dizer o mínimo.
Gestão de Vulnerabilidades proinfo.fia.com.br
Ameaças
Considerações finais
Considerações Finais proinfo.fia.com.br
Cenário de ameaças
Ameaças
Gestão de vulnerabilidades: