Inteligência e Prevenção contra ameaças
Checagem do comprometimento individual de credenciais
Faça checagens periódicas, principalmente de credenciais que possuam provilégios dentro da infraestrutura computacional. Recomende e incentive esta checagem periódica também aos usuários dos serviços.
Exemplos de serviços de checagem. Seu uso seguro compreende em informar apenas o e-mail, e ele verificará se ele está comprometido e a fonte de comprometimento:
Have I Been Pwned - Informe seu e-mail e consulte possíveis comprometimentos
Have I Been Pwned NotifyMe - Informe seu e-mail e receba notificações em casos de incidentes
Firefox Monitor - Informe seu e-mail e consulte possíveis comprometimentos
O que fazer se minhas credenciais foram comprometidas:
- - Altere a senha no serviço que foi apontado como fonte do vazamento, imediante.
- - Se você utiliza as mesmas senhas em outros serviços, altere-as em todos eles, imediatamente. Veja mais aqui (assista ao vídeo e leia a pequena descriação).
- - Prefira sempre utilizar senhas fortes, com mais de 8 caracteres, incluindo letras maiúsculas, minúsculas, números e caracteres. Veja mais aqui (assista ao vídeo e leia a pequena descriação).
- - Tem dificuldade para memorizar senha? Utilize aplicativos cofres de senhas, veja aqui (assista ao vídeo e leia a pequena descriação).
- - Habilite o segundo fator de autenticação em todos os serviços que você faz uso e que possuam esta funcionalidade, independentemente se suas credenciais foram comprometidas ou não. Veja mais aqui (assista ao vídeo e leia a pequena descriação
- - Fique atento às notificações de tentativas de login feitas em suas contas de aplicativos de uso diario, redes sociais, bancários e e-mails pessoais e profisisonais.
- - Jamais forneça códigos ou dados solicitados em quaisquer tipos de contatos, sem antes de verificar em fontes confiáveis a veracidade da solicitação.
- - Veja outras recomendações no pequeno vídeo de alerta do NIC br e na "Cartilha de Segurança para Internet - FASCÍCULO - VAZAMENTO DE DADOS"
Checagem de URLs maliciosas (phishing) e Análise de malwares (sandbox)
Exemplos de serviços de checagem de URL Maliciosas. Seu uso seguro compreende em informar apenas a URL ou enviar o arquivo suspeito:
URLscan.io - Informe a URL suspeita e execute uma pré-visualização do conteúdo, com prints e uma pequena análise de reputação.
VirusTotal - Informe a URL ou envie o arquivo suspeito e realize uma análise de sua reputação.
Hybrid-Analysis - Informe a URL ou envie o arquivo suspeito e realize uma simulação realística, em tempo real, dentro de um computador em nuvem, de como o conteúdo se comportaria caso você o acessasse/executasse. Fornece prints e informações técnicas completas sobre os artefatos.
Joesandbox - Informe a URL ou envie o arquivo suspeito e realize uma simulação realística, em tempo real, dentro de um computador em nuvem, de como o conteúdo se comportaria caso você o acessasse/executasse. Fornece prints e informações técnicas completas sobre os artefatos.
Cuckoo - Informe a URL ou envie o arquivo suspeito e realize uma simulação realística, em tempo real, dentro de um computador em nuvem, de como o conteúdo se comportaria caso você o acessasse/executasse. Fornece prints e informações técnicas completas sobre os artefatos.
Conheça a sua infraestrutura e fique mais protegido
Atenção
Leia com atenção antes de prosseguir para as próximas abas! Este tópico tem o intuíto de proporcionar aos colaboradores que atuam tecnicamente na sustentação de tecnologia da informação da instituição, uma visão externa e olística de suas infraestruturas e como elas são vistas por atores, ameaças e possíveis atacantes externos, e através desta visão, incentivar ações contínuas de proatividade na defesa cibernética institucional com o uso de inteligência. Alertamos que todas as ações realizadas e informações obtidas utilizando os serviços exemplificados neste tópico, são de inteira responsabilidade de quem as pratica ou detém, direta ou indiretamente, dando causa a responsabilização nas esferas administrativa, cível e penal, em casos de transgressões, ações não autorizadas e/ou abusivas. Por isso, utilize no que compete a sua infraestrutura, desde que autorizado por sua coordenação, e com todo o devido cuidado.
Reputação de IPs Públicos
Verifique aqui como anda a reputação de seus IPs públicos.
Por que isso é importante?
- - Através da checagem de reputação de IPs você poderá identificar IPs/hosts, sob sua responsabilidade administrativa, que estejam infectados, realizando ações maliciosas contra terceiros ou que estejam sendo explorados através vulnerabilidades, de forma silenciosa, comprometendo a segurança da sua infraestrutura.
- - Por exemplo: Um IP que foi identificado com baixa reputação ou que está presente em listas de bloqueios como possível parte de uma botnet, foi reportado por terceiros que foram atacados.
Exemplos de ferramentas online para verificação de reputação de IPs:
- - MxToolBox BlackLists
- - MultiRBL
- - AbuseIPDB
- - BarracudaCentral
- - IPVOID Reputation
- - VirusTotal Check
- - Talos Intelligence
- - Symantec Broadcom IP Reputation Investigation
O que devo fazer se identifiquei um IP comprometido?
- - Este é o ponto de partida para uma investigação em sua infraestrutura. Verifique a data em que a reputação deste IP foi comprometida, identifique o host em sua infraestrutura, verifique processos, conexões e portas suspeitas, analise os logs de serviços e acessos locais, logs de firewall e logs de mecanismos internos de proteção, tente identificar também as tentativas ou acessos deste IP a outros hosts da rede, se ficar comprovado o comprometimento, retire-o da sua rede e isole-o.
- - Todos os hosts identificados como comprometidos deverão ser totalmente sanitizados antes de voltarem a fazer parte da infraestrutura.
Portas/serviços externos
Verifique as principais portas de serviços expostas.
Por que isso é importante?
- - As portas de serviços que estão públicas na sua infraestrutura são canais de comunicação com o mundo externo, por isso você deve ter o conhecimento exato de quais portas os atores, ameaças e possíveis atacantes externos estão conseguindo ou tentando acessar, qual o serviço responsável por cada uma delas e o mais importante, se estes serviços são do seu conhecimento.
- - Sempre monitore em sua proteção de borda as conexões que entram e as que saem da infraestrutura, gere relatórios de inteligência como: serviços que mais geraram tráfego, mais geraram conexões, portas mais requisitadas, host de destino e origem mais requisitados. Com certeza você terá bons insights através destes dados, melhorará a segurança e o desempenho da sua rede.
- - Este é o principal objetivo deste tópico, trazer a você as informações necessárias para controle das portas públicas de sua infraestrutura, e assim identificar ações suspeitas ou desconhecidas, identificar serviços inseguros publicamente, vulnerabilidades e incentivar o fortalecimento das proteções em todos os tipos de serviços, sejam eles externos ou internos.
Exemplos de ferramentas online para verificação de suas portas externas:
O que devo fazer quando identificar uma porta aberta externamente?
- - Verifique se o serviço é do seu conhecimento ou de conhecimento da equipe, e se sim, se deveria estar público.
- - Caso se depare com um serviço desconhecido, verifique imediatamente o host que hospeda o serviço e as regras de acesso a ele. Se mesmo assim não reconhecerem o serviço, bloqueie-o na proteção local, na proteção de borda e faça uma análise detalhada no host, ele pode estar comprometido, comprometendo também toda a sua infraestrutura.
- - Verifique as versões do serviço e procure saber se não estão vulneráveis. Serviços expostos e vulneráveis são certeza de incidentes sérios de segurança cibernética. Atualize-os!
- - Serviços sensíveis como, por exemplo: bancos de dados, gerenciadores de banco de dados, acessos ou gerenciamentos remotos de servidores, jamais devem ser expostos. Em caso de necessidade, estes serviços devem ser mantidos com acesso através de uma VPN.
- - Ao desativar um serviço, jamais se esqueça de remover sua regra de acesso na proteção local ou proteção de borda.
Portas/serviços internos
Verifique as principais portas de serviços internas.
Por que isso é importante?
- - Conhecer as portas que cada host disponibiliza para serviços e suas finalidades em seu ambiente interno é essencial, afinal, mesmo sendo portas internas, podem ocorrer incidentes de segurança cibernética, como por exemplo a propagação de malware entre os hosts de uma mesma rede, que entrou no ambiente através de um dispositivo externo.
- - Além deste cuidados, devemos dar atanção às portas de serviços internos que operam entre outras subredes internas (vlans) da infraestrutura, que aumentam ainda mais os canais comunicação entre seus ambientes locais. Por isso você deve ter o conhecimento exato de quais portas de serviços estão disponíveis internamente entre suas redes (vlans), qual o serviço responsável por cada uma delas, se estes serviços são do seu conhecimento e o mais importante, se realmente a vlan "X" deveria estar acessando a vlan "Y" e o serviço disponibilizado nela.
- - Por isso fortemente recomendada a segmentação da sua rede em vlans, esta camada de isolamento poderá ser decisiva diante de alguns ataques, por exemplo, de Ransomwares e Worms, casos em que o malware tentará se propagar para outros hosts das redes internas através de portas de serviços vulneráveis. A segmentação da sua rede também proporciona uma visão clara de possíveis ações maliciosas realizadas entre as redes, facilitando a detecção e mitigação de um ataque, além de muitos outros benefícios técnicos e operacionais.
- - Sempre monitore em sua proteção de borda as conexões que entram e as que saem da infraestrutura, gere relatórios de inteligência como: serviços que mais geraram tráfego, mais geraram conexões, portas mais requisitadas, host de destino e origem mais requisitados. Com certeza você terá bons insights através destes dados, melhorará a segurança e o desempenho da sua rede.
- - Este é o principal objetivo deste tópico, trazer as informações necessárias para controle das portas internas e a segmentação das redes de sua infraestrutura, e assim identificar ações suspeitas ou desconhecidas, identificar serviços inseguros , vulnerabilidades e incentivar o fortalecimento das proteções em todos os serviços.
Exemplos de ferramentas para checagem de portas internas e segmentação de rede:
O que devo fazer quando identificar uma porta aberta internamente?
- - Verifique se o serviço é do seu conhecimento ou de conhecimento da equipe, e se sim, se deveria estar compartilhado entre outros hosts e outras redes.
- - Caso se depare com um serviço desconhecido, identifique imediatamente o host que hospeda o serviço em sua infraestrutura, verifique processos, conexões e outras portas suspeitas, analise os logs de serviços e acessos locais, logs de firewall, as regras de acesso a ele e logs de mecanismos internos de proteção, tente identificar também as tentativas ou acessos deste IP a outros hosts da rede, se ficar comprovado o comprometimento, retire-o da sua rede e isole-o.
- - Se mesmo assim não reconhecerem o serviço, bloqueie-o na proteção local, na proteção de borda e faça uma análise detalhada no host, ele pode estar comprometido, comprometendo também toda a sua infraestrutura.
- - Todos os hosts identificados como comprometidos deverão ser totalmente sanitizados antes de voltarem a fazer parte da infraestrutura.
- Durante as análises, caso se depare com um host ou um serviço de uma vlan que não deveria estar sendo acessado, reveja imaediatamente suas configurações de segurança e roteamento, limitando tal acesso.
- - Verifique as versões do serviço e procure saber se não estão vulneráveis. Serviços internos e vulneráveis propiciam ações de deslocamentos laterais na rede e são certeza de incidentes sérios de segurança cibernética. Atualize-os!
- - Serviços sensíveis como, por exemplo: bancos de dados, gerenciadores de banco de dados, acessos ou gerenciamentos remotos de servidores, jamais devem estar acessíveis a múltiplas redes, além das redes que os administram.
- - Ao desativar um serviço, jamais se esqueça de remover sua regra de acesso na proteção local ou proteção de borda.
Testes
Verifique as principais vulnerabilidades em alguns de seus serviços externos/públicos.
Por que isso é importante?
- - Conhecer as vulnerabilidades que cada host expõe é essencial, principalmente quando este host está publicado na internet. Através deste reconhecimento, poderemos estar a frente dos atacantes, corrigindo-as o mais rápido possível, prevenindo e evitando ataques que podem causar incidentes cibernéticos.
- - Este é o principal objetivo da ferramenta VTEST, disponibilizada pleo CAIS/RNP, a execução de testes e validações das principais vulnerabilidades em serviços.
Ferramenta VTEST disponibilizada pelo CAIS/RNP:
Checagem de vulnerabilidades dos serviços identificados
Verifique as principais vulnerabilidades de seus produtos e serviços.
Por que isso é importante?
Após identificar os serviços internos e externos da sua infraestrutura, você deverá checar se suas versões estão vulneráveis. Esta checagem é de extrema importância, pois é através da exploração dessas vulnerabilidades que os ataques são realizados com sucesso e as infraestruturas são comprometidas.
Serviços externos vulneráveis proporcionam uma porta de entrada aos criminosos virtuais, que podem acessar um host totalmente limitado, porém, um serviço interno vulnerável e a falta de segmentação de uma rede, permite o deslocamento lateral deste criminoso e a sua elevação de prvilégios dentro da infraestrutura, gerando prejuízos sem precedentes.
OpenCVE - Repositório OpenSource de informações sobre vulnerabilidades.
NVD NIST CVEs - Busca genérica referente a seus produtos, fornecedores, softwares e versões.
CVE MITRE Search - Busca genérica referente a seus produtos, fornecedores, softwares e versões.
Twitter CVE.org - Lista diária de vulnerabilidade publicadas.
Indicadores de ameaças e ataques cibernéticos nacionais em andamento
Fonte: CERT.br - Distributed Honeypots Project (dados das últimas 24 horas) - Veja aqui onde existem sensores deste projeto instalados.
Os indicadores gerados abaixo contém ataques direcionados ao território nacional, mostrando portanto, tendências que já estão sendo executadas, impactando diretamente em nossa realidade territorial e de atuação profissional. Por isso, realize uma análise criteriosa cruzando as informações que possui. Evite riscos, ameças e incidentes desnecessários.
Como devo usar as informações deste tópico?
- - Elas devem ser comparadas às informações que você reconheceu em sua infraestrutura, gerando insights de possíveis riscos, ameaças e vulnerabilidades.
As seguintes perguntas podem lhe ajudar a ampliar sua visão:
- - Tenho serviços internos e externos em minha infraestrutura que utilizam os protocolos e as portas abaixo?
- - De acordo com o ranking abaixo, eles estão entre as principais tedências de ataques identificados?
- - Quais níveis de proteções eles possuem atualmente? É possível fortalecer e implementar outras camadas de proteção?
- - Eles precisam realmente estar públicos? São serviços sensíveis?
- - As credenciais de acesso a estes serviços não estão comprometidas? É possível habilitar um segundo fator de autenticação?
- - Eles estão atualizados?
- - Como estão a divisões das suas redes em vlans? Já testou se a vlan"X", menos sesnível, não está acessando indevidamente a vlan "Y" e seus serviços mais sensíveis?
- - Quais são os serviços/portas mais requisitados de dentro da rede e de fora da rede, incluindo entre redes internas? Quem mais os requisita?
- - Quais são os serviços que mais geram tráfego de dentro da rede e de fora da rede, incluindo entre redes internas? Quais as origens e os destinos deste tráfego?
- - Quais são os serviços que mais geram conexões entrando e saindo da rede, incluindo entre redes internas? Quais a origens e os destinos destas conexões?
Redes Sociais