domingo, 24 de dezembro de 2017
Feliz natal!!!
Feliz natal e ótimas festas pra todos!!!
Mais um ano está chegando ao fim e desejo a todos muita saúde, sucesso, trabalho e blá blá blá kkkk
Abraços
sexta-feira, 22 de dezembro de 2017
SANS Penetration Testing
Fala galera beleza?
A SANS lançou esse mês um poster para auxiliar o profissional de segurança a realizar todas as etapas de um pentest profissional e para conseguir um mínimo de qualidade em cada etapa, achei bem interessante e pode servir como base para a criação de um padrão de pentest (não apenas rodar um Nessus ou NMAP e achar que está fazendo pentest kkkk):
Link para download:
https://pen-testing.sans.org/blog/2017/12/12/sans-poster-building-a-better-pen-tester-pdf-download/
Abraços
sábado, 16 de dezembro de 2017
CCNA CyberOps 210-255 Pass!!
Fala galera beleza?
Ontem na parte da tarde realizei novamente a prova 210-255 do CCNA Cybersecurity (primeira tentativa http://cafecomsecurity.blogspot.com.br/2017/09/prova-210-255-secops-fail.html), porém dessa vez consegui um resultado positivo e estou bem contente pois havia conseguido um segundo voucher para tentar a prova (100% grátis também).
Dessa vez levei mais a sério os estudos para essa prova, porém como já sabia mais ou menos o que iria cair, acabei focando mais no que lembrava da prova, além disso o colega Anderson Arruda (está estudando pras provas também) me ajudou bastante no entendimento do conteúdo (2 cabeças pensam melhor do que uma kkkk).
Sobre o que caiu na prova estude:
- Interpretação de PCAP, Syslogs, Tipos de logs de firewall, IDS e IPS;
- Fases do "incident handling";
- Fases do NIST;
- Expressões regulares;
- PCI compliance (pegadinhas);
- Muito CVSSv3 (muito mesmo);
- Muito Diamond Model of Intrusion (muito mesmo);
- Processos forenses (colection, report, etc);
- Incident response plan;
- CSIRTs;
- Cenários deterministicos, probabilisticos (diferenças e quando utilizar cada um);
- Wireshark (expressões, como exportar, análise etc);
- HTTP (GET, POST, User-agent etc);
- Veris;
- True/False positive e True/False Negative;
O grupo no telegram continua ativo com todos os materiais que utilizei para realizar as 2 provas e tem uma galera que está começando agora:
https://t.me/joinchat/AAAAAENuMvrINhu5OxDWJQ
O histórico mais detalhado de como foi o treinamento/materiais/o que cai nas provas está aqui no histórico do blog.
Agora o foco é 100% no CCIE, abraços pessoal.
CCNA CyberOps 210-255 Pass!!
Fala galera beleza?
Ontem na parte da tarde realizei novamente a prova 210-255 do CCNA Cybersecurity (primeira tentativa http://cafecomsecurity.blogspot.com.br/2017/09/prova-210-255-secops-fail.html), porém dessa vez consegui um resultado positivo e estou bem contente pois havia conseguido um segundo voucher para tentar a prova (100% grátis também).
Dessa vez levei mais a sério os estudos para essa prova, porém como já sabia mais ou menos o que iria cair, acabei focando mais no que lembrava da prova, além disso o colega Anderson Arruba (está estudando pras provas também) me ajudou bastante no entendimento do conteúdo (2 cabeças pensam melhor do que uma kkkk).
Sobre o que caiu na prova estude:
- Interpretação de PCAP, Syslogs, Tipos de logs de firewall, IDS e IPS;
- Fases do "incident handling";
- Fases do NIST;
- Expressões regulares ;
- PCI compliance (algumas pegadinhas);
- Muito CVSSv3 (muito mesmo);
- Muito Diamond Model of Intrusion (muito mesmo);
- Processos forenses (colection, report, etc);
- Incident response plan;
- CSIRTs;
- Cenários deterministicos, probabilisticos (diferenças e quando utilizar cada um);
- Wireshark (expressões, como exportar, análise etc);
- HTTP (GET, POST, User-agent etc);
- Veris;
- True/False positive e True/False Negative;
O grupo no telegram continua ativo com todos os materiais que utilizei para realizar as 2 provas e tem uma galera que está começando agora:
https://t.me/joinchat/AAAAAENuMvrINhu5OxDWJQ
O histórico mais detalhado de como foi o treinamento/materiais/o que cai nas provas está no outro blog:
http://cafecomsecurity.blogspot.com.br/
Agora o foco é 100% no CCIE, abraços pessoal.
quinta-feira, 14 de dezembro de 2017
ACL estendida baseada em horário
Fala galera beleza?
As ACLs extendidas podem ser utilizadas de diversas formas para atingir certos objetivos, aqui vou demonstrar como utilizar uma ACL para bloquear o tráfego desejado por períodos de tempo, ou seja, se você desejar pode bloquear o acesso de usuários/aplicações/etc durante o período que quiser te dando uma opção de controle em cima do que é trafegado na sua rede.
Primeiro passo é criar os "time-range" que são os periodos utilizados como base para a ACL extendida que você quer criar, no exemplo abaixo vamos definir que o tráfego será bloqueado das 20:00 às 6:00 durante a semana e o fim de semana inteiro para teste:
time-range SEMANA
periodic weekdays 20:00 to 23:59
periodic weekdays 0:00 to 5:59
!
time-range FDS
periodic weekend 0:00 to 23:59
O segundo passo é criar a ACL extendida negando ou permitindo o tráfego utilizando os períodos que foram propostos acima:
ip access-list extended SAIDA
deny ip any any time-range SEMANA
deny ip any any time-range FDS
permit ip any any
Por último, basta aplicar a ACL na interface desejada:
interface ethernet 0/1.13
ip access-group SAIDA in
Pronto pessoal, agora é só testar e verificar se a ACL está dando match nos campos selecionados:
Horário normal:
R3#sh clock
*19:23:47.247 CET Thu Dec 14 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
!!!!!
R3#clock set 21:00:00 14 Dec 2017
R1#clock set 21:00:00 14 Dec 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R1#sh access-lists
Extended IP access list SAIDA
10 deny ip any any time-range SEMANA (active) (25 matches)
20 deny ip any any time-range FDS (inactive)
30 permit ip any any
R1#
Bacana né, com esse conceito você pode criar diversas variações de ACL permitindo apenas os tráfegos que você quiser (ex. HTTP e HTTPS, SMTP etc) durante esses períodos, lembrando que para o bom funcionamento é necessária a sincronização dos horários dos equipamentos (NTP é a melhor solução).
Abraços
domingo, 10 de dezembro de 2017
JNCIA-Junos curso e voucher grátis
Fala galera beleza?
Trazendo uma dica que o colega Anderson Arruda (estuda CybeSec comigo) me passou, a Juniper está com algumas vagas abertas para o seu Juniper open learning que nada mais é que um curso online d três semanas para preparação para certificação JNCIA-Junos além do voucher grátis para a prova que é disponibilizado após a conclusão do curso.
O treinamento contará com cerca de 4 a 5 horas de lives explicando os materiais disponíveis, além de diversos laboratórios para te ajudar na preparação para o exame:
A turma 3 (05/02/2018) ainda possuí cerca de 170 vagas (quando me registrei eu era o número 30 e poucos) porém esse número deve aumentar bastante após a divulgação desse post, então galera não perca tempo e se registre no link abaixo:
Link:
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=10175
Já garanti a minha vaga, abraços!
Trazendo uma dica que o colega Anderson Arruda (estuda CybeSec comigo) me passou, a Juniper está com algumas vagas abertas para o seu Juniper open learning que nada mais é que um curso online d três semanas para preparação para certificação JNCIA-Junos além do voucher grátis para a prova que é disponibilizado após a conclusão do curso.
O treinamento contará com cerca de 4 a 5 horas de lives explicando os materiais disponíveis, além de diversos laboratórios para te ajudar na preparação para o exame:
A turma 3 (05/02/2018) ainda possuí cerca de 170 vagas (quando me registrei eu era o número 30 e poucos) porém esse número deve aumentar bastante após a divulgação desse post, então galera não perca tempo e se registre no link abaixo:
Link:
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=10175
Já garanti a minha vaga, abraços!
sexta-feira, 8 de dezembro de 2017
Anotações CCNA CyberOps (parte 2)
SOC Playbook - Análise feita coletando, analisando e correlacionando grandes quantidades de dados, é um documento vivo que deve ser atualizado, revisto e gerenciado sempre:
Security analytics 1 Collect and analyze data - dados vindos de HIPS,NIPS, NGFW, Mail server, apliances, DNS etc;
Security analytics 2 Information Sharing - Infra necessária para o SOC classificar/armazenar e esportar os COIs;
Security analytics 3 Network Service - Oferecer serviços de rede críticos;
Security analytics 4 Detection tools - Ferramentas de detecção, de inteligencia e analise;
Security analytics 5 Playbook - O armazenamento de "plays" que se repetem (metodos e reports) para detecção e resposta à incidentes de segurança;
Security analytics 6 Mitigate - Mitigação do incidente (ex. Vacina de um antivírus, regras de firewall etc).
Security analytics 7 Remediate - Ações de médio a longo prazo para reparos (ex. atualização nos controles de acesso);
Eventos de um Playbook:
- Report ID
- Objective
- Data query
- Action
- Analysis
- Reference
SIEM - correlacionador de eventos que prove dados em tempo real de analises/alertas e alarmes voltados pra área de segurança;
Time to detection - tempo médio em que um evento malicioso é detectado;
Metricas de um SOC:
- Speed: detecção rápida;
- Focus: redução de falso positivos e garantia de ações eficientes na remediação;
- Accuracy - monitoramento continuo e eliminação de pontos cegos de segurança;
Incident Timeline - Evento - Analise do evento (triagem) - Report - Cotain (contenção) - Remediate (tempo para remediação);
Metricas devem ser especificas, mensuráveis, acionáveis e relevantes;
SOC WMS - Workflow management system - sistema de respostas a incidentes que automatiza as remediações e ações tomadas em um incidente de segurança.
- 3 tipos de workflows:
- Sequencial - baseado em flow, progressivo de estágio em estágio;
- State Machine - retorna ao estado estável do equipamento/sistema;
- Rules-driven - também sequencial, porém as regras ditam o progresso;
- Podem ser automatizado algumas tarefas do WMS - audit, gerenciamento de tickerts, lookup de devices etc;
- Analista de nível 1 - monitoramento e triagem;
- Analista de nível 2 - analise mais profunda, correlacionamento, remediação etc.
- Incident response handler - gerencia o incidente (comunicação, processos etc;)
- Especialista forense - foca em conseguir, manter e analisar dados para proposito de investigação;
- Especialista em engenharia reversa de malware - Focado em analise/técnicas e procedimentos na identificação/prevenção de malwares;
- SOC manager - Gerente responsável pela estratégia/budges/etc da área;
- Executive - Prove a direção e objetivos do SOC;
Incident Response Plan - Procedimentos para gerenciamento de incidentes de segurança que podem comprometer a confidencialidade, integridade e disponibilidade de informações ou ativos levando em conta 4 questões básicas:
- O que estamos protegendo?
- Quais são as ameaças?
- Como detectamos as ameaças?
- Como respondemos as ameaças?
- Fases;
- Preparação - Estar pronto para o incidente (educação de usuários, documentação, planejamento, captura e retenção de dados etc);
- Identificação - Monitoramento continuo;
- Análise - Analises como escopo do incidente, tipos de devices, velocidade de propagação etc;
- Containment - Contenção do incidente;
- Erradiction and recovery - Investigação da origem do incidente e erradicação (ex. código removido, conta reestabelecida etc);
- Leassons learned - Recomendações para que não ocorra novamente (utilizam o FMEA - Failure mode and effects analys);
- Reporting - Reporte para as equipes necessárias (deve ser imediato e baseado na severidade do incidente);
US-CERT categorias de incidentes:
- CAT0 Exercise/Network defense testing
- CAT1 Unauthorized access
- CAT2 Denial of service (DoS)
- CAT3 Malicious code
- CAT4 Improper usage
- CAT5 Scans/probes/attempted access
- CAT6 Investigation
PCI DSS - protege informações de cartões de crédito e transações monetárias;
SOX 2002 - Legislação que protege de fraudes empresarias;
HIPPA - protege informações médicas e do paciente em geral (voltada para o setor da saúde);
PHI - Protege os dados dos usuários baseados nas informações de saúde (ex. condição física/mental do usuário, exames, etc);
Automação = realizar execuções repetitivas sem intervenção humana.
Orchestration = automatização em grande escala.
CSIRT - Organizações responsáveis por receber/analisar e responder a incidentes de segurança, tem o objetivo de ajudar as companhias a prevenir e a investigar incidentes (investigação, mitigação e prevenção);
Internal CSIRT - dentro de uma organização);
National CSIRT - responde a uma nação;
Cordination centers - trocam informações entre eles;
Vendors Teams - Ex. CSIRT Microsoft;
Incident response providers - "pagos"
Analysis centers
Serviço de tratamento de incidentes CSIRT:
- Triage - Handling - Feedback - Annoucement (opcional)
Network Baselining - analise do tráfego normal (comportamento) que é usado como referencia nos casos de atividades suspeitas, é estabelecido uma carga (break point) para a rede e caso essa carga seja ultrapassada é iniciada a investigação (inclusive se a carga aumentar rápido demais);
REGEX - Expressão regular (estude por fora desse material);
Veris - Vocabulário de eventos e compartilhamento de incidentes criados para manter uma linguagem única e estruturada na tratativa dos mesmos.
- 4 principais componentes:
- Actions (malware, variedade, vetor, vulnerabilidade, social, físico, erro, etc)
- Actors (externo, interno ou parceiro)
- Assests (hardware, server, devices etc)
- Atributes (integridade, disponibilidade, confidencialidade);
- 5 principais sessões:
- Incident tracking (informações gerais sobre o incidente);
- Victim demographics (descreve sem identificar a organização afetada);
- Incident descriptions (quem ou o que foi feito e qual o resultado);
- Discovery and responses ( como foi descoberto e lições aprendidas);
- Impact assessment ( mensura o impacto calculando a magnitude, as perdas e a quantidade de ativos afetados);
quarta-feira, 6 de dezembro de 2017
Anotações CCNA CyberOps (parte 1)
Galera, segue algumas anotações da preparação para o SECOPS da Cisco:
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
Vetores de ataques comuns:
Web:
- MySQL injections
- Local file inclusions or directory traversal
- Arbitrary code execution
- Obfuscated web scripting
- XSS
- CSRF
Software vulns.
Common payloads
End users
Code obfuscation - técnica usada para mudar a aparência do código rodando em um sistema para aumentar a dificuldade de exploit.
Metaexploits mais comuns:
- Single payload - funcionam sozinho, não dependem do Meptasploit (ex.Netcat);
- Stagers payload - configura uma conexão de rede entre o atacante e a vitima;
- Stages payload - Payload simples entregue ao host, todos os componentes estão fora da rede;
Directory transversal - leva vantagem de falta de checagem ou validação nos inputs do usuário.
SQL Injection - explora problemas de validação de input em bases SQL para injetar códigos ou obter informações.
Cross-site-scripting (XSS) - Script malicioso executado em um browser (geralmente Javascript), 2 tipos:
- Stored (persistent) - Embeda o código diretamente no webserver;
- Reflecter (non-persistent) atack - o atacante inclui um código HTML redirecionando para um link de uma página maliciosa;
- Punycode - utilização de caracteres diferentes (formato ASCII) para enganar o DNS e redirecionar para sites maliciosos.
- Pivoting - Uso de um pc para atacar outros computadores.
Identificando atividades maliciosas:
- Threat actor - individuo ou grupo responsaveis por causar um incidente de seguraça na organização, podem ser categorizados pelo seu nível de skill, tipos de atividades e pelas motivações.
- Script kiddies - Sem skill, sem experiência e utiliza ferramentas prontas para os ataques.
- Hacktivismo - Geralmente motivados politicamente.
- Crime organizado - modelo de negocios que oferecem serviços como botnets ou DoS.
- State-sponserd/nation-state actors - Ofensores de uma nação (ex.hackers do governo chinês);
- Insider threat - Empregado ofensor com motivos pessoais ou por simples acidentes.
Modelo determinístico de analise - baseado em fatos com o minimo de especulação;
Modelo probabilístico de analise - é criado uma hipótese e analisado todas as possibilidades até o descarte;
Continua...
quinta-feira, 30 de novembro de 2017
Curso Python para engenheiros de redes (grátis)
Fala galera beleza?
Postei há algum tempo atrás sobre um curso de python voltado exclusivamente para engenheiros de rede totalmente grátis em que o autor (Kirk Byers) disponibiliza via e-mail toda semana.
No dia 1 de fevereiro de 2018 o curso irá voltar, e para receber o conteúdo basta se cadastrar no link no final do post, segue o conteúdo que será disponibilizado:
Link para inscrição:
https://pynet.twb-tech.com/email-signup.html
Além desse cursos, ele possuí diversos artigos e cursos no site dele, inclusive de Ansible:
Link do site do autor:
https://pynet.twb-tech.com/
Abraços galera.
quarta-feira, 29 de novembro de 2017
Programa de certificação Trend Micro
Fala galera beleza?
A Trend Micro está abrindo vagas para o programa de capacitação em Segurança de TI, o programa foca no aprendizado da arquitetura/implantação/instalação/configuração e gerenciamento das soluções Trend Micro além de incluir exames escritos para cada solução.
A inscrição está aberta até o dia 03/12 e tem como pré requisito estar matriculado em uma faculdade/universidade de tecnologia/engenharia da computação, ciências da computação e afins, além de um bom conhecimento da linga inglesa e conhecimento básico em networking/security.
Segue:
Link:
https://resources.trendmicro.com/rs/945-CXD-062/images/TrendPTBRfinal%20%281%29.pdf
Abraços pessoal
A Trend Micro está abrindo vagas para o programa de capacitação em Segurança de TI, o programa foca no aprendizado da arquitetura/implantação/instalação/configuração e gerenciamento das soluções Trend Micro além de incluir exames escritos para cada solução.
A inscrição está aberta até o dia 03/12 e tem como pré requisito estar matriculado em uma faculdade/universidade de tecnologia/engenharia da computação, ciências da computação e afins, além de um bom conhecimento da linga inglesa e conhecimento básico em networking/security.
Segue:
Link:
https://resources.trendmicro.com/rs/945-CXD-062/images/TrendPTBRfinal%20%281%29.pdf
Abraços pessoal
terça-feira, 28 de novembro de 2017
Meraki Security / SD-WAN
Fala galera beleza, na última semana falei um pouco sobre Cisco Meraki e agora vou falar um pouco sobre as funicionalidades de Security/SD-WAN, metodos de deploy, topologia, features etc.
Pra começar vamos falar sobre a topologia, temos 2 modos de deploy:
- VPN concentrator (1-Armed) mode:
O Meraki (Datacenter) será instalado como um concentrador (Hub) VPN para todas as filiais (branch), esse modelo é indicado quando você já possui firewall configurado no datacenter e o Meraki trabalha como concentrador site-to-site VPN;
Esse é o modelo utilizado em 90% das empresas.
Obs. seguem os IPs/portas que deverão ser liberados no firewall do datacenter:
- NAT mode - O MX instalado trabalha diretamente como firewall do datacenter (features de L7 também):
Agora falando um pouco sobre alta disponibilidade das caixas, por padrão é utilizado o protocolo VRRP entre elas e ele pode utilizar um cabo conectado físicamente (VRRP Path similar a um heartbit):
Ou utilizando a infraestrutura do switch:
Para entender um pouco mais sobre o funcionamento das VPNs do meraki temos que falar como é feita a comunicação com a nuvem Meraki, os equipamentos seguem as seguintes etapas:
1º O MX testa a conectividade com a internet realizando um ping para os IPs do google (8.8.8.8 e 8.8.4.4);
2º O MX envia alguns pacotes UDP para tentar fechar uma conexão criptografada com a nuvem Meraki
(UDP port 7351), porém se estiver por trás de um NAT o Meraki realiza um processo chamado "UDP hole punching" que é o envio de diversos pacotes UDPs vazios para estabelecer um UDP port state, uma vez estabelecido a comunicação é realizada bastando apenas a troca de keep-alives (exemplo da tentativa de comunicação abaixo):
3º O MX baixa as configurações/atualizaçãos atreladas à sua organização (inclusive templates pré configurados);
4º O MX envia a interface de saída + IP público + "ID único dele" para nuvem que armazena essas informações para repassar para os Merakis Spokes fecharem a VPN;
5º O MX spoke realiza o mesmo processo, porém fecha uma VPN IPsec com as informações do MX HUB (IP público etc);
- Agora pensando o Meraki Spoke, cada equipamento possúi pelo menos 1 interface internet, 4 interfaces lans (1 delas pode virar internet também dependendo do modelo) e uma entrada USB para modem 3G;
- As interfaces Wan (internet) podem ser configuradas com IP estático, dinâmico, com PPoE (com ou sem autenticação) e com ou sem vlan atrelada;
- As interface podem trabalhar em modo trunk (diversas vlans) podendo ter regras de acesso e bloqueio para cada vlan especifica, além de serviços como DHCP para cada uma;
- É recomendado a criação de templates para realizar o deploy de diversos MX, alterando somente a velocidade dos links de cada localidade (dificilmente há uma padronização nos links contratados);
- Exemplos de configuração de Firewall e Traffic Shapping em templates:
- O MX permite também o cadastro das suas aplicações para uma melhor customização nos relatorios de consumo (ex. Intranet = 10.10.10.10):
Agora falando sobre a minha perspectiva dos equipamentos:
Pontos positivos encontrados no dia-a-dia:
- Failover dos equipamentos no datacenter (concentradores) funcionam muito bem e a comunicação com a nuvem é em tempo real;
- Deploy via templates facilita muito o trabalho da equipe de infra (redes,suporte e segurança);
- Atualizações constantes inclusive adicionando features que os clientes propõem (botão make a wish) na dashboard;
- Maior visibilidade do tráfego de rede e auxílio no tshoot;
- Integração com a linha de switches e APs da Meraki;
- Dashboard disponível via aplicativo IOS e Android;
Pontos negativos encontrados no dia-a-dia:
- O AMP (Advanced Malware Protection) acaba bloqueando diversas aplicações internas, no deploy crie uma Group police disabilitando o AMP em casos extremos;
- O Meraki não decripta tráfego (deep inspection), por exemplo HTTPS (muitos malwares utilizam ele para realizar um bypass em filtragens básicas);
- Quantidade de categorias do filtro de conteúdo pode ser limitado dependendo do modelo do MX;
- O failover dos MXs spokes podem demorar até 5 minutos para retornar, dependendo do segmento 5 minutos é uma eternidade:
- Poucos logs e dependendo da situação é necessário do suporte da Cisco para conseguir coisas básicas (captura de pacotes, logs mais avançados, etc);
- Poucos logs e dependendo da situação é necessário do suporte da Cisco para conseguir coisas básicas (captura de pacotes, logs mais avançados, etc);
- Pouca informação/documentação de alguns problemas específicos (por exemplo, apenas agora temos configuração via MPLS no suporte Meraki);
- Nuvem Meraki está na AWS então encontramos novos IPs que são bloqueados no firewall;
Pessoal, como falei no outro post, o Meraki não é a melhor solução de SD-WAN e nem de UTM, porém você provavelmente irá se deparar com o Meraki uma hora ou outra, melhor estar preparado pois o investimento da Cisco na LATAM em cima do Meraki vai ser pesado.
Link:
Abraços
segunda-feira, 27 de novembro de 2017
Kali Linux 2017.3
Fala galera beleza? na última semana foi lançado um novo release do Kali Linux (2017.3) e conta com fixes, patches e updates além de algumas novas ferramentas interessantes:
InSpy - Ferramenta que realiza enumeração no Linkedin e pode encontrar pessoas pelos seus cargos:
Cherrytree - Ferramenta utilizada para criar atalhos no teclado:
Sublist3r - enumera subdominios de diversas origens, pode ser integrado como o SubBrute permitindo bruteforce utilizando wordlists:
OSRFramework - uma coleção de scripts que permitem enumerar usuários, dominios e mais de 200 serviços:
Massive Maltego Metamorphosis - a fusão das ferramentas Maltego:
Link:
https://www.kali.org/releases/kali-linux-2017-3-release/
Abraços
terça-feira, 21 de novembro de 2017
Programa de estágios Cisco (CIIP)
Fala galera beleza?
A Cisco está com as inscrições abertas para o seu programa de estágio de 1 ano de duração na sede no vale do silício, nesse programa o estagiário irá adquirir habilidades técnicas, profissionais e de negócios também, além de ter acesso a todas as novidades da gigante de tecnologia.
Alguns requisitos para as vagas:
É uma oportunidade única na carreira do profissional de redes, boa sorte a todos!
Abraços
sexta-feira, 17 de novembro de 2017
Vamos falar sobre Meraki?
Fala galera beleza?
O titulo desse post é bem sugestivo kkk, mas como pouco gente no mercado conhece, ou conhece apenas a solução de wi-fi da Meraki, vou falar um pouco sobre eles.
Bem, falando um pouco sobre a história da Meraki antes de ser adquirida pela Cisco, na verdade a empresa surgiu em 2006 criada por 2 estudantes do MIT (PHDs) Sanjit Biswas e Jhon Bicket, porém foi em 2007 após a mudança da sua sede para San Francisco que a startup ficou famosa com um projeto chamado "Free the Net campaing" que colocava alguns access-points e repetidores ao redor de um bairro (Lower Haight)oferencendo internet de graça em São Francisco, assim o projeto pulou de 20,000 usuários para 100,000 no primeiro ano de utilização, tornando a empresa um grande sucesso no mercado americano.
A Meraki continuou investindo em seu portfólio de APs com as mais diversas tecnologias de mercado, porém o seu diferencial era que toda a gerencia dos dispositivos era realizada pela nuvem.
Em 2012 a Cisco adquiriu a Meraki por 1.2 bilhões de dólares e incorporou os seus serviços passando a se chamar Cisco Meraki e hoje em dia possuí mais de 230,000 clientes e mais de 3 milhões de dispositivos conectados.
Bom conhecendo um pouco sobre eles você deve estar se perguntando o que você tem haver com isso? Simples, a Cisco está investindo pesado no mercado da America Latina e principalmente nas pequenas empresas que é o foco do Cisco Meraki, então se você não trabalha com Cisco Meraki, provavelmente irá se deparar com eles em algum lugar daqui pra frente.
Na Cisco Live desse ano eles apresentaram 2 novos modelos de MX, 1 de Z3, a expansão da plataforma virtual do Meraki além da opção de dashboard em português.
Segue os modelos de APs oferecidos pela Meraki (últimas famílias lançadas):
Cada modelo tem a sua própria especificação, mas em geral o que muda é a potência, o ambiente que deve ser utilizado e algumas features mais simples (por exemplo o AP MR84 é utilizado em ambientes externos e tem proteção a poeira, vibração e choque), porém as features principais estão todas lá, que são:
Como podemos ver as vantagens das outras soluções Wireless são inumeras e vou citar algumas:
- Gerencia na nuvem (não necessita de controladora);
- Configuração simplificada (criação de templates na nuvem, basta conectar o AP na internet que ele faz o download das configurações);
- Acesso a guest simplificado (Aruba precisa do ClearPass, Cisco do ISE etc);
- Traffic Shapping em L7 - baseado na aplicação você consegue priorizar/bloquear/restringir o tráfego (ex.Facebook, Youtube etc);
- RF Optimization - Visão de spectrum em tempo real, radio especifico para segurança e gerencia de RF (concorrentes possuem appliance ou serviço cobrado a parte);
- Analytics - Visibilidade/localização dos seus clientes, podendo mensurar o tempo e os locais onde o cliente passou ou onde são os pontos de atenção do seus clientes;
- Layer 7 traffic shapping - priorização/restrição/bloqueio do trafego baseado na aplicação (L7);
Tudo isso acima apenas com 1 licença de utilização e o valor do equipamento, tudo em um.
Segue os modelos de Switches que a Meraki disponibiliza e as features encontradas neles:
Assim como os APs, os switches também são gerenciados pela nuvem e variam apneas a quantidade de portas SFPs de uplink, a potência do POE, a quantidade de stacks que podem ser feitos e as features de L3 para os switches de distribuição:
Security/SD-WAN:
Pessoal, a linha Security/SD-WAN chega com diversas features para atender diversos ambientes diferentes, features como Next-Generation Firewall,IPS, filtro de conteúdo, alta disponibilidade, proteção de malware etc.
Eles também seguem a tendencia do citados acima mudando somente o throughput, a quantidade de portas e a quantidade de clients suportados, com praticamente todas as features liberadas com 1 licença, segue as principais features:
Serviços de telefonia tradicionais gerenciados pela nuvem (voicemail, transferências, estatisticas etc):
Gerencias de sistemas:
Gerencia de devices, controle de desktops, smartphones, tablets etc:
Gerencia de camêras:
Além de todo esse portifólio de serviços e equipamentos, toda a gerencia pode ser realizada via aplicativo para android e IOS.
Link:
Abraços pessoal
Assinar:
Postagens (Atom)