domingo, 24 de dezembro de 2017
Feliz natal!!!
Feliz natal e ótimas festas pra todos!!!
Mais um ano está chegando ao fim e desejo a todos muita saúde, sucesso, trabalho e blá blá blá kkkk
Abraços
sexta-feira, 22 de dezembro de 2017
SANS Penetration Testing
Fala galera beleza?
A SANS lançou esse mês um poster para auxiliar o profissional de segurança a realizar todas as etapas de um pentest profissional e para conseguir um mínimo de qualidade em cada etapa, achei bem interessante e pode servir como base para a criação de um padrão de pentest (não apenas rodar um Nessus ou NMAP e achar que está fazendo pentest kkkk):
Link para download:
https://pen-testing.sans.org/blog/2017/12/12/sans-poster-building-a-better-pen-tester-pdf-download/
Abraços
sábado, 16 de dezembro de 2017
CCNA CyberOps 210-255 Pass!!
Fala galera beleza?
Ontem na parte da tarde realizei novamente a prova 210-255 do CCNA Cybersecurity (primeira tentativa http://cafecomsecurity.blogspot.com.br/2017/09/prova-210-255-secops-fail.html), porém dessa vez consegui um resultado positivo e estou bem contente pois havia conseguido um segundo voucher para tentar a prova (100% grátis também).
Dessa vez levei mais a sério os estudos para essa prova, porém como já sabia mais ou menos o que iria cair, acabei focando mais no que lembrava da prova, além disso o colega Anderson Arruda (está estudando pras provas também) me ajudou bastante no entendimento do conteúdo (2 cabeças pensam melhor do que uma kkkk).
Sobre o que caiu na prova estude:
- Interpretação de PCAP, Syslogs, Tipos de logs de firewall, IDS e IPS;
- Fases do "incident handling";
- Fases do NIST;
- Expressões regulares;
- PCI compliance (pegadinhas);
- Muito CVSSv3 (muito mesmo);
- Muito Diamond Model of Intrusion (muito mesmo);
- Processos forenses (colection, report, etc);
- Incident response plan;
- CSIRTs;
- Cenários deterministicos, probabilisticos (diferenças e quando utilizar cada um);
- Wireshark (expressões, como exportar, análise etc);
- HTTP (GET, POST, User-agent etc);
- Veris;
- True/False positive e True/False Negative;
O grupo no telegram continua ativo com todos os materiais que utilizei para realizar as 2 provas e tem uma galera que está começando agora:
https://t.me/joinchat/AAAAAENuMvrINhu5OxDWJQ
O histórico mais detalhado de como foi o treinamento/materiais/o que cai nas provas está aqui no histórico do blog.
Agora o foco é 100% no CCIE, abraços pessoal.
CCNA CyberOps 210-255 Pass!!
Fala galera beleza?
Ontem na parte da tarde realizei novamente a prova 210-255 do CCNA Cybersecurity (primeira tentativa http://cafecomsecurity.blogspot.com.br/2017/09/prova-210-255-secops-fail.html), porém dessa vez consegui um resultado positivo e estou bem contente pois havia conseguido um segundo voucher para tentar a prova (100% grátis também).
Dessa vez levei mais a sério os estudos para essa prova, porém como já sabia mais ou menos o que iria cair, acabei focando mais no que lembrava da prova, além disso o colega Anderson Arruba (está estudando pras provas também) me ajudou bastante no entendimento do conteúdo (2 cabeças pensam melhor do que uma kkkk).
Sobre o que caiu na prova estude:
- Interpretação de PCAP, Syslogs, Tipos de logs de firewall, IDS e IPS;
- Fases do "incident handling";
- Fases do NIST;
- Expressões regulares ;
- PCI compliance (algumas pegadinhas);
- Muito CVSSv3 (muito mesmo);
- Muito Diamond Model of Intrusion (muito mesmo);
- Processos forenses (colection, report, etc);
- Incident response plan;
- CSIRTs;
- Cenários deterministicos, probabilisticos (diferenças e quando utilizar cada um);
- Wireshark (expressões, como exportar, análise etc);
- HTTP (GET, POST, User-agent etc);
- Veris;
- True/False positive e True/False Negative;
O grupo no telegram continua ativo com todos os materiais que utilizei para realizar as 2 provas e tem uma galera que está começando agora:
https://t.me/joinchat/AAAAAENuMvrINhu5OxDWJQ
O histórico mais detalhado de como foi o treinamento/materiais/o que cai nas provas está no outro blog:
http://cafecomsecurity.blogspot.com.br/
Agora o foco é 100% no CCIE, abraços pessoal.
quinta-feira, 14 de dezembro de 2017
ACL estendida baseada em horário
Fala galera beleza?
As ACLs extendidas podem ser utilizadas de diversas formas para atingir certos objetivos, aqui vou demonstrar como utilizar uma ACL para bloquear o tráfego desejado por períodos de tempo, ou seja, se você desejar pode bloquear o acesso de usuários/aplicações/etc durante o período que quiser te dando uma opção de controle em cima do que é trafegado na sua rede.
Primeiro passo é criar os "time-range" que são os periodos utilizados como base para a ACL extendida que você quer criar, no exemplo abaixo vamos definir que o tráfego será bloqueado das 20:00 às 6:00 durante a semana e o fim de semana inteiro para teste:
time-range SEMANA
periodic weekdays 20:00 to 23:59
periodic weekdays 0:00 to 5:59
!
time-range FDS
periodic weekend 0:00 to 23:59
O segundo passo é criar a ACL extendida negando ou permitindo o tráfego utilizando os períodos que foram propostos acima:
ip access-list extended SAIDA
deny ip any any time-range SEMANA
deny ip any any time-range FDS
permit ip any any
Por último, basta aplicar a ACL na interface desejada:
interface ethernet 0/1.13
ip access-group SAIDA in
Pronto pessoal, agora é só testar e verificar se a ACL está dando match nos campos selecionados:
Horário normal:
R3#sh clock
*19:23:47.247 CET Thu Dec 14 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
!!!!!
R3#clock set 21:00:00 14 Dec 2017
R1#clock set 21:00:00 14 Dec 2017
R3#ping 155.1.13.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 155.1.13.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R1#sh access-lists
Extended IP access list SAIDA
10 deny ip any any time-range SEMANA (active) (25 matches)
20 deny ip any any time-range FDS (inactive)
30 permit ip any any
R1#
Bacana né, com esse conceito você pode criar diversas variações de ACL permitindo apenas os tráfegos que você quiser (ex. HTTP e HTTPS, SMTP etc) durante esses períodos, lembrando que para o bom funcionamento é necessária a sincronização dos horários dos equipamentos (NTP é a melhor solução).
Abraços
domingo, 10 de dezembro de 2017
JNCIA-Junos curso e voucher grátis
Fala galera beleza?
Trazendo uma dica que o colega Anderson Arruda (estuda CybeSec comigo) me passou, a Juniper está com algumas vagas abertas para o seu Juniper open learning que nada mais é que um curso online d três semanas para preparação para certificação JNCIA-Junos além do voucher grátis para a prova que é disponibilizado após a conclusão do curso.
O treinamento contará com cerca de 4 a 5 horas de lives explicando os materiais disponíveis, além de diversos laboratórios para te ajudar na preparação para o exame:
A turma 3 (05/02/2018) ainda possuí cerca de 170 vagas (quando me registrei eu era o número 30 e poucos) porém esse número deve aumentar bastante após a divulgação desse post, então galera não perca tempo e se registre no link abaixo:
Link:
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=10175
Já garanti a minha vaga, abraços!
Trazendo uma dica que o colega Anderson Arruda (estuda CybeSec comigo) me passou, a Juniper está com algumas vagas abertas para o seu Juniper open learning que nada mais é que um curso online d três semanas para preparação para certificação JNCIA-Junos além do voucher grátis para a prova que é disponibilizado após a conclusão do curso.
O treinamento contará com cerca de 4 a 5 horas de lives explicando os materiais disponíveis, além de diversos laboratórios para te ajudar na preparação para o exame:
A turma 3 (05/02/2018) ainda possuí cerca de 170 vagas (quando me registrei eu era o número 30 e poucos) porém esse número deve aumentar bastante após a divulgação desse post, então galera não perca tempo e se registre no link abaixo:
Link:
https://learningportal.juniper.net/juniper/user_activity_info.aspx?id=10175
Já garanti a minha vaga, abraços!
sexta-feira, 8 de dezembro de 2017
Anotações CCNA CyberOps (parte 2)
SOC Playbook - Análise feita coletando, analisando e correlacionando grandes quantidades de dados, é um documento vivo que deve ser atualizado, revisto e gerenciado sempre:
Security analytics 1 Collect and analyze data - dados vindos de HIPS,NIPS, NGFW, Mail server, apliances, DNS etc;
Security analytics 2 Information Sharing - Infra necessária para o SOC classificar/armazenar e esportar os COIs;
Security analytics 3 Network Service - Oferecer serviços de rede críticos;
Security analytics 4 Detection tools - Ferramentas de detecção, de inteligencia e analise;
Security analytics 5 Playbook - O armazenamento de "plays" que se repetem (metodos e reports) para detecção e resposta à incidentes de segurança;
Security analytics 6 Mitigate - Mitigação do incidente (ex. Vacina de um antivírus, regras de firewall etc).
Security analytics 7 Remediate - Ações de médio a longo prazo para reparos (ex. atualização nos controles de acesso);
Eventos de um Playbook:
- Report ID
- Objective
- Data query
- Action
- Analysis
- Reference
SIEM - correlacionador de eventos que prove dados em tempo real de analises/alertas e alarmes voltados pra área de segurança;
Time to detection - tempo médio em que um evento malicioso é detectado;
Metricas de um SOC:
- Speed: detecção rápida;
- Focus: redução de falso positivos e garantia de ações eficientes na remediação;
- Accuracy - monitoramento continuo e eliminação de pontos cegos de segurança;
Incident Timeline - Evento - Analise do evento (triagem) - Report - Cotain (contenção) - Remediate (tempo para remediação);
Metricas devem ser especificas, mensuráveis, acionáveis e relevantes;
SOC WMS - Workflow management system - sistema de respostas a incidentes que automatiza as remediações e ações tomadas em um incidente de segurança.
- 3 tipos de workflows:
- Sequencial - baseado em flow, progressivo de estágio em estágio;
- State Machine - retorna ao estado estável do equipamento/sistema;
- Rules-driven - também sequencial, porém as regras ditam o progresso;
- Podem ser automatizado algumas tarefas do WMS - audit, gerenciamento de tickerts, lookup de devices etc;
- Analista de nível 1 - monitoramento e triagem;
- Analista de nível 2 - analise mais profunda, correlacionamento, remediação etc.
- Incident response handler - gerencia o incidente (comunicação, processos etc;)
- Especialista forense - foca em conseguir, manter e analisar dados para proposito de investigação;
- Especialista em engenharia reversa de malware - Focado em analise/técnicas e procedimentos na identificação/prevenção de malwares;
- SOC manager - Gerente responsável pela estratégia/budges/etc da área;
- Executive - Prove a direção e objetivos do SOC;
Incident Response Plan - Procedimentos para gerenciamento de incidentes de segurança que podem comprometer a confidencialidade, integridade e disponibilidade de informações ou ativos levando em conta 4 questões básicas:
- O que estamos protegendo?
- Quais são as ameaças?
- Como detectamos as ameaças?
- Como respondemos as ameaças?
- Fases;
- Preparação - Estar pronto para o incidente (educação de usuários, documentação, planejamento, captura e retenção de dados etc);
- Identificação - Monitoramento continuo;
- Análise - Analises como escopo do incidente, tipos de devices, velocidade de propagação etc;
- Containment - Contenção do incidente;
- Erradiction and recovery - Investigação da origem do incidente e erradicação (ex. código removido, conta reestabelecida etc);
- Leassons learned - Recomendações para que não ocorra novamente (utilizam o FMEA - Failure mode and effects analys);
- Reporting - Reporte para as equipes necessárias (deve ser imediato e baseado na severidade do incidente);
US-CERT categorias de incidentes:
- CAT0 Exercise/Network defense testing
- CAT1 Unauthorized access
- CAT2 Denial of service (DoS)
- CAT3 Malicious code
- CAT4 Improper usage
- CAT5 Scans/probes/attempted access
- CAT6 Investigation
PCI DSS - protege informações de cartões de crédito e transações monetárias;
SOX 2002 - Legislação que protege de fraudes empresarias;
HIPPA - protege informações médicas e do paciente em geral (voltada para o setor da saúde);
PHI - Protege os dados dos usuários baseados nas informações de saúde (ex. condição física/mental do usuário, exames, etc);
Automação = realizar execuções repetitivas sem intervenção humana.
Orchestration = automatização em grande escala.
CSIRT - Organizações responsáveis por receber/analisar e responder a incidentes de segurança, tem o objetivo de ajudar as companhias a prevenir e a investigar incidentes (investigação, mitigação e prevenção);
Internal CSIRT - dentro de uma organização);
National CSIRT - responde a uma nação;
Cordination centers - trocam informações entre eles;
Vendors Teams - Ex. CSIRT Microsoft;
Incident response providers - "pagos"
Analysis centers
Serviço de tratamento de incidentes CSIRT:
- Triage - Handling - Feedback - Annoucement (opcional)
Network Baselining - analise do tráfego normal (comportamento) que é usado como referencia nos casos de atividades suspeitas, é estabelecido uma carga (break point) para a rede e caso essa carga seja ultrapassada é iniciada a investigação (inclusive se a carga aumentar rápido demais);
REGEX - Expressão regular (estude por fora desse material);
Veris - Vocabulário de eventos e compartilhamento de incidentes criados para manter uma linguagem única e estruturada na tratativa dos mesmos.
- 4 principais componentes:
- Actions (malware, variedade, vetor, vulnerabilidade, social, físico, erro, etc)
- Actors (externo, interno ou parceiro)
- Assests (hardware, server, devices etc)
- Atributes (integridade, disponibilidade, confidencialidade);
- 5 principais sessões:
- Incident tracking (informações gerais sobre o incidente);
- Victim demographics (descreve sem identificar a organização afetada);
- Incident descriptions (quem ou o que foi feito e qual o resultado);
- Discovery and responses ( como foi descoberto e lições aprendidas);
- Impact assessment ( mensura o impacto calculando a magnitude, as perdas e a quantidade de ativos afetados);
quarta-feira, 6 de dezembro de 2017
Anotações CCNA CyberOps (parte 1)
Galera, segue algumas anotações da preparação para o SECOPS da Cisco:
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
Vetores de ataques comuns:
Web:
- MySQL injections
- Local file inclusions or directory traversal
- Arbitrary code execution
- Obfuscated web scripting
- XSS
- CSRF
Software vulns.
Common payloads
End users
Code obfuscation - técnica usada para mudar a aparência do código rodando em um sistema para aumentar a dificuldade de exploit.
Metaexploits mais comuns:
- Single payload - funcionam sozinho, não dependem do Meptasploit (ex.Netcat);
- Stagers payload - configura uma conexão de rede entre o atacante e a vitima;
- Stages payload - Payload simples entregue ao host, todos os componentes estão fora da rede;
Directory transversal - leva vantagem de falta de checagem ou validação nos inputs do usuário.
SQL Injection - explora problemas de validação de input em bases SQL para injetar códigos ou obter informações.
Cross-site-scripting (XSS) - Script malicioso executado em um browser (geralmente Javascript), 2 tipos:
- Stored (persistent) - Embeda o código diretamente no webserver;
- Reflecter (non-persistent) atack - o atacante inclui um código HTML redirecionando para um link de uma página maliciosa;
- Punycode - utilização de caracteres diferentes (formato ASCII) para enganar o DNS e redirecionar para sites maliciosos.
- Pivoting - Uso de um pc para atacar outros computadores.
Identificando atividades maliciosas:
- Threat actor - individuo ou grupo responsaveis por causar um incidente de seguraça na organização, podem ser categorizados pelo seu nível de skill, tipos de atividades e pelas motivações.
- Script kiddies - Sem skill, sem experiência e utiliza ferramentas prontas para os ataques.
- Hacktivismo - Geralmente motivados politicamente.
- Crime organizado - modelo de negocios que oferecem serviços como botnets ou DoS.
- State-sponserd/nation-state actors - Ofensores de uma nação (ex.hackers do governo chinês);
- Insider threat - Empregado ofensor com motivos pessoais ou por simples acidentes.
Modelo determinístico de analise - baseado em fatos com o minimo de especulação;
Modelo probabilístico de analise - é criado uma hipótese e analisado todas as possibilidades até o descarte;
Continua...
Assinar:
Postagens (Atom)