Add to collection(s) Add to saved
  1. No category
Uploaded by lultotadri

Comptia-601-CAP 14 PT

advertisement 
Assine o DeepL Pro para poder editar este documento.
Visite www.DeepL.com/pro para mais informações.
Capítulo 14
Resposta a
Incidentes
OS OBJECTIVOS DO EXAME COMPTIA SECURITY+
ABORDADOS NESTE CAPÍTULO INCLUEM:
Domínio 1.0: Ataques, Ameaças, e Vulnerabilidades
1.7. Resumir as técnicas utilizadas nas avaliações de
segurança
Domínio 4.0: Operações e Resposta a Incidentes
4.2. Resumir a importância das políticas, processos e
procedimentos de resposta a incidentes
4.3. Dado um incidente, utilizar fontes de dados
apropriadas para apoiar uma investigação
4.4. Devido a um incidente, aplicar técnicas de
mitigação ou controlos para garantir um ambiente
Quando as coisas correm mal, as organizações precisam de uma
forma de responder aos incidentes para assegurar que o seu impacto
seja limitado e que as operações normais possam ser retomadas o
mais rapidamente possível. Isso significa que é necessário saber
como identificar um incidente, dada uma série de eventos ou pontos
de dados, como conter o incidente, e depois o que fazer em relação
ao mesmo.
Neste capítulo, aprenderá sobre os componentes de um processo
típico de resposta a incidentes, incluindo o ciclo de resposta a
incidentes. A resposta ao incidente não é apenas sobre como deter
um atacante ou remover as suas ferramentas. Inclui processos de
preparação e aprendizagem para assegurar que as organizações
aprendem e melhoram continuamente com base nos incidentes que
resolveram. Também aprenderá sobre as equipas de resposta a
incidentes, os tipos de exercícios que pode realizar para se preparar
para os incidentes, e os planos de resposta a incidentes que pode
querer ter em vigor. Com essa informação em mãos, aprenderá sobre
três modelos comuns que ajudam a contextualizar os incidentes:
MITRE's
Modelo ATI&CK, o Modelo Diamante de Análise de Intrusão, e a
Cadeia Cibernética de Assassinatos.
Com os princípios básicos de resposta a incidentes sob o seu cinto,
o seu próximo passo será explorar dados e ferramentas de resposta a
incidentes, com foco nos sistemas de informação de segurança e
gestão de eventos (SIEM). Explorará as capacidades e utilizações
comuns das ferramentas SIEM, bem como os registos e dados que os
sistemas SIEM ingerem e analisam para ajudar os responsáveis pela
resposta a incidentes.
O capítulo continua com uma exploração dos processos e ferramentas
de mitigação e recuperação. Os livros-jogo e runbooks são dois dos
elementos mais importantes para os respondentes porque ajudam a
orientar as respostas em situações stressantes e garantem que a sua
organização planeou antecipadamente o que fazer. As ferramentas
de orquestração de segurança, automação e resposta (SOAR) são
também comummente utilizadas para ajudar a orientar a recuperação
e a resposta. As ferramentas SOAR e as técnicas manuais ajudam
nos processos de mitigação e recuperação que muitas vezes
reconfiguram as soluções de segurança dos pontos finais para garantir
que as organizações estão seguras como parte de um processo de
resposta.
Resposta a Incidentes
Por mais fortes que sejam as protecções de segurança de uma
organização, eventualmente algo correrá mal. Quer isso envolva um
ataque directo por um actor malicioso, software malicioso, uma ameaça
interna, ou mesmo um simples erro, um incidente de segurança é uma
eventualidade para todas as organizações.
As organizações precisam, portanto, de um plano de resposta a
incidentes (RI), processo e equipa, bem como da tecnologia, aptidões
e formação para responder adequadamente. Um forte processo de
resposta a incidentes não é apenas uma acção pontual ou algo que é
aplicado apenas em situações de emergência.
Em vez disso, as RI são um processo contínuo que melhora a
segurança organizacional utilizando informação que é aprendida
com cada incidente de segurança.
Embora organizações individuais possam defini-las de forma
diferente, em geral um incidente constitui uma violação das
políticas e procedimentos da organização ou das práticas de
segurança. Os eventos, por outro lado, são uma ocorrência
observável, o que significa que há muitos eventos, poucos dos quais
são susceptíveis de serem incidentes. Estas definições podem
tornar-se confusas, porque as normas de gestão de serviços de TI
definem os incidentes de forma diferente, o que significa que
algumas organizações especificam incidentes de segurança para
manter as coisas em ordem.
O Processo de Resposta a Incidentes
O primeiro passo para uma capacidade madura de resposta a incidentes
para a maioria das organizações é compreender o processo de
resposta a incidentes e o que acontece em cada fase. Embora as
organizações possam utilizar rótulos ou etapas ligeiramente diferentes e
o número de etapas possa variar, os conceitos básicos permanecem os
mesmos. As organizações devem preparar-se para incidentes,
identificar os incidentes quando estes ocorrem, e depois conter e
remover os artefactos do incidente. Uma vez o incidente contido, a
organização pode trabalhar para recuperar e voltar ao normal, e
depois certificar-se de que as lições aprendidas com o incidente são
cozidas na preparação para a próxima vez que algo ocorrer.
A Figura 14.1 mostra os seis passos que o esquema do exame
Segurança+ descreve para o processo de resposta ao incidente.
FIGURA 14.1 O ciclo de resposta ao incidente
Os seis passos que terá de conhecer para o exame Segurança+ são os
seguintes:
1.
Preparação. Nesta fase, constrói-se as ferramentas, processos,
e procedimentos para responder a um incidente. Isto inclui a
construção e treino de uma equipa de resposta a um incidente,
a realização de exercícios, a documentação do que irá fazer e
como irá responder, e a aquisição, configuração e operação de
ferramentas de segurança e capacidades de resposta a
incidentes.
Identificação. Esta fase envolve a revisão de eventos para
identificar incidentes. Deve prestar atenção aos indicadores de
compromisso, utilizar capacidades de análise de registo e
monitorização de segurança, e ter um programa abrangente de
consciencialização e comunicação de incidentes para o seu
pessoal.
3. Contenção. Uma vez identificado um incidente, a equipa de
resposta ao incidente precisa de o conter para evitar mais
problemas ou danos. A contenção pode ser um desafio e pode não
ser completa se os elementos do incidente não forem
identificados nos esforços iniciais de identificação.
4. Erradicação. A fase de erradicação envolve a remoção dos
artefactos associados ao incidente. Em muitos casos, isso
implica reconstruir ou restaurar sistemas e aplicações a partir
de backups, em vez de simplesmente remover ferramentas de um
sistema, uma vez que provar que um sistema foi totalmente
limpo pode ser muito difícil. A completa erradicação e
verificação é crucial para assegurar que um incidente termina.
2.
5. Recuperação. A restauração ao normal é o coração da fase de
recuperação. Isto pode significar trazer os sistemas ou serviços de
volta à linha ou outras acções que fazem parte de um regresso
às operações. A recuperação requer a erradicação para ser bem
sucedida, mas envolve também a implementação de correcções
para assegurar que qualquer fraqueza, falha ou acção que tenha
permitido a ocorrência do incidente tenha sido remediada para
evitar que o evento se repita imediatamente.
6. Lições aprendidas. Estas são importantes para assegurar que
as organizações melhorem e não voltem a cometer os mesmos
erros. Podem ser tão simples como sistemas de remendos ou tão
complexos como a necessidade de redesenhar estruturas de
permissão e procedimentos operacionais. As lições aprendidas
são então utilizadas para informar o processo de preparação, e
o ciclo continua.
Embora esta lista possa fazer parecer que os incidentes ocorrem
sempre de forma linear de item para item, muitos incidentes irão
avançar e recuar entre etapas à medida que forem sendo feitas
descobertas adicionais ou à medida que forem tomadas acções
adicionais por actores maliciosos. Assim, é necessário manter-se
ágil e compreender que pode não estar na fase que pensa estar, ou
que precisa de operar em múltiplas fases ao mesmo tempo.
enquanto se lida com componentes de um incidente - ou múltiplos
incidentes ao mesmo tempo!
Preparação para Resposta a Incidentes
O passo seguinte após compreender e definir o processo de RI de
uma organização é determinar quem fará parte da equipa de RI da
organização, quem será responsável pelo processo de RI, e quem
liderará a equipa de RI. A seguir, são construídos planos, e depois
os planos são testados através de exercícios.
Equipa de Resposta a Incidentes
A construção de uma equipa de RI implica encontrar os membros
certos para a equipa. As equipas típicas incluem frequentemente o
seguinte:
■
■
■
■
Um membro da direcção ou liderança organizacional. Este
indivíduo será responsável pela tomada de decisões para a equipa
e actuará como um canal principal para a gestão sénior da
organização. Idealmente, as equipas deveriam ter um líder com
antiguidade suficiente para tomar decisões para a organização
numa emergência.
É provável que os membros do pessoal de segurança da
informação constituam o núcleo da equipa e tragam as RI
especializadas e as competências de análise necessárias para o
processo. Uma vez que a contenção requer frequentemente
uma acção imediata utilizando ferramentas de segurança como
firewalls, sistemas de prevenção de intrusão, e outras
ferramentas de segurança, a equipa de segurança da
informação também pode ajudar a acelerar o processo de RI.
A equipa precisará de peritos técnicos tais como
administradores de sistemas, programadores, ou outros de
disciplinas em toda a organização. A composição da equipa de
RI pode variar dependendo da natureza do incidente, e nem
todos os peritos técnicos podem ser convocados para cada
incidente. Conhecer os sistemas, software e arquitectura pode
fazer uma enorme diferença no processo de RI, e a
familiaridade pode também ajudar os inquiridos a encontrar
artefactos inesperados que possam não ser detectados por
alguém que não trabalhe com um sistema específico todos os
dias.
O pessoal de comunicação e relações públicas é importante
para ajudar a garantir que as comunicações internas e externas
sejam
■
lidou bem. Más comunicações - ou pior, nenhuma
comunicação - podem piorar ou prejudicar gravemente a
reputação de uma organização.
O pessoal jurídico e de relações humanas (RH) pode estar
envolvido em alguns, mas não em todos, os incidentes. O
aconselhamento jurídico pode aconselhar sobre questões
jurídicas, contratos e assuntos semelhantes. O RH pode ser
necessário se o pessoal estiver envolvido, particularmente se o
incidente envolver um informador ou se for uma investigação
relacionada com o RH.
• A aplicação da lei é por vezes acrescentada a uma equipa,
mas na maioria dos casos apenas quando questões ou
ataques específicos exigem o seu envolvimento.
Independentemente da composição específica da equipa da sua
organização, terá também de assegurar-se de que os membros da
equipa têm formação adequada. Isto pode significar formação de RI
para profissionais de segurança e pessoal técnico, ou pode incluir
exercícios e prática para toda a equipa como um grupo para
assegurar que estão prontos a trabalhar em conjunto.
Exercícios
Há três tipos principais de exercícios que as equipas de resposta a
incidentes utilizam para se prepararem:
■
■
Os exercícios de mesa são utilizados para falar através de
processos. Os membros da equipa recebem um cenário e são
questionados sobre como responderiam, que questões poderiam
surgir, e o que teriam de fazer para realizar as tarefas que lhes
são atribuídas no plano de RI. Os exercícios de mesa podem
assemelhar-se a uma sessão de brainstorming à medida que os
membros da equipa pensam através de um cenário e
documentam melhorias nas suas respostas e no plano geral de
RI.
As caminhadas levam uma equipa passo a passo através de
um incidente. Este exercício pode ajudar a assegurar que os
membros da equipa conhecem os seus papéis, bem como o
processo de RI, e que as ferramentas, acesso e outros itens
necessários para responder estão disponíveis e acessíveis aos
mesmos. Uma passagem é uma excelente forma de assegurar
que as equipas respondem como deveriam sem as despesas
gerais de uma simulação completa.
■
As simulações podem incluir uma variedade de tipos de eventos.
Os exercícios podem simular funções individuais ou elementos do
plano, ou apenas visar partes específicas de uma organização.
Podem também ser feitos em escala real, envolvendo toda a
organização no exercício. É importante planear e executar
simulações de forma a assegurar que todos os participantes
saibam que estão envolvidos num exercício, para que não sejam
tomadas quaisquer acções fora do ambiente do exercício.
Quando se realiza um exercício, iniciar cada chamada, texto, ou email com "Isto é um exercício" ou uma deixa semelhante para que a
pessoa que está a responder saiba que não deve tomar medidas
reais. Naturalmente, fazê-lo pode levar a enviesamentos e
estimativas incorrectas sobre que esforço ou tempo seria
necessário para realizar uma acção ou resposta. Na maioria dos
casos, manter os exercícios devidamente sob controlo é mais
importante do que testes detalhados. Nos casos em que é
necessário um desempenho específico, poderá querer garantir que a
pessoa tem um guião ou pode executar uma tarefa que é
delimitada e limitada às necessidades da simulação sem causar
problemas ou problemas com as operações normais.
Planos de Resposta a Incidentes de Construção
Os planos de resposta a incidentes podem incluir vários subplanos
para lidar com várias fases do processo de resposta. A sua
organização pode optar por combiná-los todos num único
documento de maior dimensão ou pode quebrá-los para permitir à
equipa de resposta seleccionar os componentes de que necessita. Os
planos individuais podem também ser geridos ou geridos por
diferentes equipas.
Independentemente da estrutura dos seus planos de resposta, eles
precisam de ser revistos e testados regularmente. Um plano que esteja
desactualizado, ou que a equipa não esteja familiarizada, pode ser um
problema tão grande como não ter um plano.
■
Os planos de comunicação são críticos para os processos de
resposta a incidentes. Uma falta de comunicação, uma
comunicação incorrecta, ou apenas uma comunicação deficiente
pode causar problemas significativos para uma organização e a
sua capacidade de conduzir negócios. Ao mesmo tempo, as
comunicações problemáticas podem também piorar os incidentes,
uma vez que os indivíduos podem não saber o que se passa ou
podem tomar acções indesejáveis, pensando que estão a fazer o
que está certo devido àfalta de informação ou com informação má
ou parcial à sua disposição. Devido à importância de se conseguir
uma comunicação correcta, os planos de comunicação podem
também precisar de enumerar papéis, tais como quem deve
comunicar com a imprensa ou os meios de comunicação, quem
lidará com intervenientes específicos, e quem faz a chamada final
sobre o tom ou o conteúdo das comunicações.
■
Os planos de gestão das partes interessadas estão
relacionados com planos de comunicação e concentram-se em
grupos e indivíduos que têm um interesse ou papel nos sistemas,
organizações ou serviços que são afectados por um incidente.
As partes interessadas podem ser internas ou externas a uma
organização e podem ter diferentes papéis e expectativas que
precisam de ser chamadas e abordadas no plano de gestão das
partes interessadas. Muitos planos de gestão de partes
interessadas ajudarão na priorização de quais as partes
interessadas que receberão comunicações, que apoio poderão
necessitar, e como serão fornecidos, com opções para oferecer
contributos ou interagir de outra forma com o processo de RI,
comunicações e pessoal de apoio, ou outros envolvidos no
processo de resposta.
■
Os planos de continuidade de negócios (BC) concentram-se em
manter uma organização funcional quando ocorrem infortúnios ou
incidentes. No contexto dos processos de RI, os planos de RI
podem ser utilizados para assegurar que os sistemas ou serviços
que são afectados por um incidente possam continuar a funcionar,
apesar de quaisquer alterações exigidas pelo processo de RI. Isto
pode envolver formas de restaurar ou descarregar os serviços
ou a utilização de sistemas alternativos. Os planos de
continuidade de negócios têm um papel significativo a
desempenhar para incidentes maiores, enquanto que incidentes
menores podem não ter impacto na capacidade de uma
organização de conduzir negócios de uma forma significativa.
■
Os planos de recuperação de desastres (DR) definem os
processos e procedimentos que uma organização irá adoptar
quando ocorrer uma catástrofe.
Ao contrário de um plano de continuidade de negócios, um plano
DR centra-se em desastres naturais e provocados pelo homem
que podem destruir instalações, infra-estruturas, ou de outra
forma impedir uma organização de funcionar normalmente.
Um plano de DR concentra-se na restauração ou continuação
de serviços apesar de uma catástrofe.
Para além destes tipos de planos, o planeamento da continuidade da
operação (COOP) é um programa federalmente patrocinado nos
Estados Unidos que faz parte do programa de continuidade
nacional. A COOP define os requisitos que as agências
governamentais têm de cumprir para assegurar a continuidade das
operações. Esses requisitos incluem como irão assegurar as suas
funções essenciais, a ordem de sucessão da organização para que o
pessoal saiba quem será o responsável e quem irá desempenhar as
funções necessárias, como a autoridade será delegada, como a
recuperação de desastres pode funcionar utilizando instalações de
continuidade, e uma variedade de outros requisitos. A COOP define
como as agências federais constroem um plano completo de
recuperação de desastres e continuidade de negócios.
A Figura 14.2 mostra as quatro fases da Continuidade das
Operações, tal como definidas pela Agência Federal de Gestão de
Emergências (FEMA) como parte da COOP.
Pode encontrar a brochura COOP da FEMA que descreve a
continuidade das operações em
www. fema. gov/pdf/about/org/ncp/coop_brochure.pdf.
Políticas
As organizações definem políticas como declarações formais sobre
intenções organizacionais. Em suma, explicam porque é que uma
organização deseja operar de uma determinada forma, e definem
coisas como a finalidade ou objectivo de uma actividade ou programa.
As políticas de resposta a incidentes são geralmente definidas como
parte da construção de uma capacidade de RI.
FIGURA 14.2 Etapas de Planeamento da Continuidade Federal de
Operações
Políticas de resposta a incidentes bem redigidas incluirão
componentes importantes do processo de RI. Identificarão a equipa
e a autoridade sob a qual a equipa opera. Também exigirão a
criação e manutenção de procedimentos e práticas de tratamento e
resposta a incidentes, e poderão definir o processo global de RI
utilizado pela organização. Em alguns casos, poderão também ter
requisitos específicos de comunicação ou de conformidade que estão
incluídos na política global com base nas necessidades
organizacionais.
Ajuda a ter em mente que uma política é uma declaração de
intenção de gestão de alto nível que é utilizada para transmitir as
expectativas e a direcção da organização para um tópico. As
normas apontam então para uma política para a sua autoridade, ao
mesmo tempo que fornecem orientações específicas sobre o que
deve ser feito. Os procedimentos são então utilizados para
implementar normas ou para orientar a forma como uma tarefa é
feita. As políticas tendem a ser lentas a mudar, enquanto as normas
mudam mais frequentemente, e os procedimentos e orientações
podem ser actualizados frequentemente para lidar com
necessidades organizacionais ou mudanças tecnológicas, ou por
outras
razões
com política
o negócio.
Uma
política
derelacionadas
RI não é a única
em que a sua organização
pode confiar para ter uma capacidade de resposta completa a
incidentes. De facto, as organizações têm muitas vezes muitas
políticas de TI que podem ter impacto na resposta. No entanto, o
exame Segurança+ centra-se numa política adicional específica:
políticas de retenção. Uma política de retenção determina por quanto
tempo se guardam os dados e como estes serão eliminados. Uma
política de retenção é importante para as pessoas que respondem a
incidentes, uma vez que pode determinar por quanto tempo a
organização mantém os dados sobre incidentes, quanto tempo os
registos estarão disponíveis, e quais os dados que provavelmente terão
sido retidos e, portanto, poderão ter sido expostos se um sistema ou
armazém de dados for comprometido ou exposto.
Estruturas de Ataque e Identificação de Ataques
Os respondentes a incidentes necessitam frequentemente de formas
de descrever ataques e incidentes utilizando linguagem e
terminologia comum. Os quadros de ataque são utilizados para
compreender os adversários, técnicas de documentação, e para
categorizar tácticas. O esquema de exame Segurança+ cobre três
grandes quadros, o MITRE's ATT&CK, o Modelo Diamante de
Análise de Intrusão, e o Lockheed Martin's Cyber Kill Chain.
Ao rever quadros como estes, considere como os aplicaria como
parte de um processo de resposta a incidentes. Por exemplo, se
encontrar uma ferramenta de ataque como parte de um esforço
de resposta a incidentes, a que é que consideraria que essa
ferramenta através do modelo Diamond o levaria? Que
informações poderia procurar a seguir, e porquê?
MITRE ATT&CK
MITRE fornece a AIT&CK, ou Tácticas Adversariais, Técnicas, e
Conhecimento Comum, base de conhecimento de tácticas e técnicas
adversárias. As matrizes ATT&CK incluem descrições detalhadas,
definições, e exemplos do ciclo de vida completo da ameaça desde
o acesso inicial até à execução, persistência, escalada de privilégios,
e exfiltração. Em cada nível, enumera técnicas e componentes,
permitindo a modelação da avaliação de ameaças para alavancar
descrições e conhecimentos comuns.
As matrizes ATT&CK incluem pré-ataques, matrizes empresariais
centradas em Windows, macOS, Linux, e cloud computing, bem como
plataformas móveis iOS e Android. Também inclui detalhes de
atenuações, grupos de actores de ameaças, software, e uma série de
outros detalhes úteis. Tudo isto faz da ATT&CK a mais completa
base de dados de técnicas adversárias, tácticas, e informação
relacionada que os autores deste livro conhecem.
A Figura 14.3 mostra um exemplo de definição de uma técnica
ATT&CK para ataques contra instâncias de nuvens através dos seus
metadados APis. Fornece um número de identificação, bem como
detalhes de classificação como a táctica, plataformas a que se aplica,
quais as permissões de utilizador necessárias, as fontes de dados a
que se aplica, a quem contribuiu, e o nível de revisão da técnica
específica.
O quadro ATT&CK é o mais popular dos três modelos aqui
discutidos e tem amplo apoio numa variedade de instrumentos de
segurança, o que significa que os analistas têm mais probabilidades
de encontrar relacionados com ATT&CK
conceitos, rótulos, e ferramentas nas suas organizações. Pode
encontrar o site completo daATI&CKweb em attack.mitre.org.
O Modelo Diamantado de Análise de Intrusão
O Modelo Diamantado de Análise de Intrusão descreve uma
sequência em que um adversário implanta uma capacidade
direccionada para uma infra-estrutura contra uma vítima. Neste
modelo, as actividades são chamadas eventos, e os analistas rotulam
os vértices à medida que os eventos são detectados ou descobertos. O
modelo destina-se a ajudar os analistas a descobrir mais informações,
destacando a relação entre os elementos ao seguir os limites entre os
eventos.
API de Metadados de Instância de
Nuvem
Os consultores podem tentar aceder à API de Metadados de Instância em Nuvem
para recolher credenciais e outros dados sensíveis.
10:11522
Táctica: Plataforma de Acesso
Credencial: AWS, GCP,
A maioria dos fornecedores de serviços em nuvem suportam uma API de
Permissões Azuis
Metadados de Instância em Nuvem que é um serviço fornecido para executar
Necessárias: Utilizador:
instâncias virtuais que permite às aplicações aceder à informação sobre a instância
Fontes de dados: Registos de
virtual em execução. A informação disponível geralmente inclui nome, grupo de
actividade Azure, registos
segurança e metadados adicionais, incluindo dados sensíveis, tais como
AWS CloudTrail, registos de
credenciais e scripts UserData, que podem conter segredos adicionais. A API de
autenticação
Metadados
de Instância
é fornecida
comona
uma
conveniência
paracurso,
ajudarpodem
na gestão
Se os adversários
tiverem
uma presença
instância
virtual em
Contribuintes: Pretoriana
1 1
e é acessível
por qualquer
pessoa
que possade
aceder
à instância.1
Consultar
directamente
a API
de Metadados
Instância
para identificar
as
Versão: 1.0
credenciais que concedem acesso a recursos adicionais. Além disso, os atacantes
podem explorar uma vulnerabilidade de Falsificação de Pedido do Lado do Servidor
(SSRF) num proxy web de face pública que permite ao atacante obter acesso à
informação sensível através de um pedido à Instância de Metadados APl.121
O padrão de facto entre os prestadores de serviços de nuvem é hospedar o
MetadataAPI de instância em http[:J//169.2Sq,169.254.
Mitigações
Descrição da Mitigação
FilterLimite o
acesso ao API de Metadados de Instância utilizando um frrewall baseado em anfitrião como o iptables. Uma
Web NetworkApplication
Firewall (WAF) devidamente configurada pode ajudar a evitar que os adversários externos
explorem a Falsificação de Pedidos do lado do servidor (SSRF) Trafficattacks
que permitem o acesso à API de Metadados de
Instância em Nuvem. 12 1
Detecção
• Monitorizar o acesso ao API de Metadados de Instância e procurar consultas anómalas.
• Pode ser possível detectar o uso adversário das credenciais que obtiveram. Ver Contas Válidas para mais informações.
Referências
1. AWS. (n.d. ). Metadados de Instância e Dados
de Utilizador. Recuperado a 18 de Julho de 2019.
2. Higashi, Michael. (2018, 15 de Maio). Metadados de
Instância API. Um cavalo de Tróia dos tempos
modernos. Recuperado a 16 de Julho,
2019.
FIGURA ia.:3 MITRE's ATI&CK exemplo estrutural de ataques
contra instâncias de nuvens
O Modelo Diamante (Figura lJ.:...4) utiliza uma série de termos
específicos:
■
■
■
Características principais para um evento, que são o adversário,
capacidade, infra-estrutura e vítima (os vértices do diamante)
As Meta-Features, que são carimbos temporais de início e fim,
fase, resultado, direcção, metodologia e recursos, que são
utilizados para encomendar eventos numa sequência conhecida
como um fio de actividade, bem como para agrupar eventos com
base nas suas características
Um Valor de Confiança, que é indefinido pelo modelo mas que
se espera que os analistas determinem com base no seu próprio
trabalho
FIGURA 14.4 O Modelo Diamantado de Análise de Intrusão
O Modelo Diamante concentra-se fortemente na compreensão do
agressor e das suas motivações, e depois utiliza as relações entre
estes elementos para permitir aos defensores compreender a
ameaça e pensar sobre que outros dados ou informações podem
precisar de obter ou podem já ter disponíveis.
Pode ler o texto completo do papel do Modelo de Diamante em
apps.dtic.mil/dtic/tr/fulltext/u2/a586960.pdf.
A Cadeia Cyber Kill
Lockheed Martin's Cyber Kill Chain é um processo de sete passos,
como mostrado na Figura 14.5.
Reconhecimento
• Selecção de alvos, investigação, identificação de vulnerabilidades
Armatização
• Criação de ferramentas para explorar as vulnerabilidades
Entrega
• A arma é entregue ao alvo (correio electrónico, pen
drive, website, ou outro método)
Exploração
• O programa malware é accionado e explora vulnerabilidades
lnsta Ilation
• Ferramentas/backdoors de acesso remoto instalados
Comando e Controlo (C2)
• Intruso tem acesso persistente
Acções sobre Obiective
• Intruso toma medidas para atingir os seus objectivos:
aquisição e extracção de dados, danos nos dados, danos no
sistema
FIGURA ia.:5 A Cadeia Cyber Kill
Aqui estão as sete etapas da Cadeia de Cyber Kill:
ReconhecimentoEsta
fase identifica alvos. Os adversários
estão a planear os seus ataques e irão recolher informações
sobre o alvo, incluindo tanto a inteligência de código aberto
como a aquisição directa de dados sobre o alvo através de
scan. Os defensores devem recolher dados sobre as
actividades de reconhecimento e dar prioridade às defesas
com base nessa informação.
Armatização Esta fase envolve a construção ou aquisição de
um armamento, que combina malware e uma exploração numa
carga útil que pode ser entregue ao alvo. Isto pode exigir a
criação de documentos de engodo, a escolha da ferramenta
correcta de comando e controlo (C2), e outros detalhes. O
modelo enfatiza o facto de que os defensores precisam de
efectuar uma análise completa do malware nesta fase para
compreender não só qual a carga útil que é largada, mas também
como foi feita a exploração do armamento.
Os defensores devem também construir detecções para
armamento, olhar para a linha temporal de quando o malware foi
criado versus a sua utilização, e recolher tanto ficheiros como
metadados para os ajudar a ver se as ferramentas são
amplamente partilhadas ou mantidas de perto e, portanto,
potencialmente muito restritas.
Entrega Esta fase ocorre quando o adversário aplica a sua
ferramenta directamente contra alvos ou através de uma
liberação que depende do pessoal no alvo interagindo com ele, tal
como numa carga útil de correio electrónico, num stick de USE,
ou através de websites que visitam. Os defensores nesta fase
devem observar como o ataque foi entregue e o que foi visado,
e depois inferir o que o adversário pretendia realizar. A retenção
de registos é crítica porque pode ajudar a determinar o que
aconteceu e ajudar na análise do ataque.
Exploração Esta
fase utiliza um software, hardware, ou
vulnerabilidade humana para obter acesso. Pode envolver
explorações de dia zero e pode utilizar tanto explorações
acionadas pelo adversário como explorações acionadas pela
vítima. A defesa contra esta fase centra-se na sensibilização dos
utilizadores, codificação segura, scan de vulnerabilidade, testes
de penetração, endurecimento do endpoint, e actividades
similares para assegurar que as organizações tenham uma forte
postura de segurança e uma superfície de ataque muito limitada.
Instalação Esta
fase concentra-se no acesso persistente às
portas traseiras para os atacantes. Os defensores devem
monitorizar os artefactos típicos de um
concha remota persistente ou outras metodologias de acesso
remoto.
O acesso Comando e Controlo (C2) C2 permite a
comunicação bidireccional e o controlo contínuo do sistema
remoto. Os defensores procurarão detectar a infra-estrutura C2
através do endurecimento da rede, da implantação de
capacidades de detecção, e da realização de investigação
contínua para assegurar o conhecimento de novos modelos e
tecnologia C2.
Acções sobre ObjectivosA
fase final ocorre quando o
objectivo da missão é alcançado. Os adversários recolherão
credenciais, aumentarão os privilégios, girarão e mover-se-ão
lateralmente através do ambiente, e recolherão e exfiltrarão
informação. Podem também causar danos em sistemas ou dados.
Os defensores devem estabelecer o seu livro de jogo de resposta
a incidentes, detectar as acções dos atacantes e capturar dados
sobre eles, responder a alertas, e avaliar os danos que os
atacantes causaram.
Toda a cadeia Lockheed Martin Kill Chain pode ser encontrada com
mais detalhes em www.lockheedmartin. com/content/dam/lockheed
martin/rms /documents/
cyber/Gaining_the_Advantage_Cadeia_Cyber_Kill. pd£.
Dados e Ferramentas de Resposta a Incidentes
Os respondentes a incidentes dependem de uma vasta gama de dados
para os seus esforços. Como profissional de segurança, é necessário
estar ciente dos tipos de dados de que poderá necessitar para
conduzir uma investigação e para determinar tanto o que ocorreu
como a forma de evitar que volte a acontecer.
Informação de Segurança e Sistemas de Gestão de Eventos
Em muitas organizações, a ferramenta central de monitorização de
segurança é uma ferramenta de gestão de informações e eventos de
segurança (SIEM). Os dispositivos e software SIEM têm amplas
capacidades de segurança, que são
tipicamente baseado na capacidade de recolher e agregar dados de
registo de uma variedade de fontes e depois de realizar actividades de
correlação e análise com esses dados. Isto significa que as
organizações enviarão dados introduzidos - incluindo registos e
outras informações úteis de sistemas, dispositivos de segurança de
rede, infra-estrutura de rede, e muitas outras fontes - para um SIEM
para que este possa ingerir, comparar com os outros dados que
possui, e depois aplicar regras, técnicas analíticas, e aprendizagem de
máquinas ou inteligência artificial aos dados. Os sistemas SIEM podem
incluir a capacidade de rever e alertar sobre o comportamento do
utilizador ou de realizar análises de sentimentos, um processo pelo
qual analisam o texto utilizando processamento de linguagem natural e
outras ferramentas de análise de texto para determinar as emoções a
partir de dados textuais.
Outra entrada de dados para dispositivos SIEM é a captura de pacotes.
A capacidade de capturar e analisar dados brutos de pacotes do
tráfego da rede, ou de receber capturas de pacotes de outras fontes de
dados, pode ser útil para a análise de incidentes, particularmente
quando é necessária informação específica sobre um evento da rede. A
correlação de dados brutos de pacotes com eventos IDS ou IPS,
registos de firewall e WAF, e outros eventos de segurança, fornece
uma ferramenta poderosa para os profissionais de segurança.
Também pode encontrar termos como SIM (gestão de informação
de segurança) ou SEM (gestão de eventos de segurança). medida
que o mercado amadureceu e convergiu, o SIEM tornou-se o termo
mais comum, mas algumas ferramentas podem ainda ser descritas
como SIM ou SEM devido a um foco mais restrito ou a
capacidades especializadas.
Os dispositivos SIEM também fornecem alertas, relatórios e
capacidades de resposta, permitindo às organizações ver quando uma
questão precisa de ser abordada e acompanhar a resposta a essa
questão ao longo do seu ciclo de vida. Isto pode incluir capacidades
forenses, ou pode estar mais centrado num processo de emissão de
bilhetes e fluxo de trabalho para tratar de questões e eventos.
Painéis SIEM
A primeira parte de um SIEM que muitos profissionais de segurança
vêem é um painel de bordo como o painel de bordo do SIEM
AlienVault mostrado na Figura 1a.6. Os painéis podem ser
configurados para mostrar as informações consideradas mais úteis e
críticas para uma organização ou para o analista individual, e múltiplos
painéis podem ser configurados para mostrar vistas e informações
específicas. A chave para os painéis de instrumentos é compreender
que fornecem uma representação visual de alto nível da informação que
contêm. Isto ajuda os analistas de segurança a identificar rapidamente
problemas prováveis, padrões anormais, e novas tendências que
possam ser de interesse ou preocupação.
Os painéis de bordo SIEM têm uma série de componentes
importantes que fornecem elementos da sua exibição. Estes incluem
sensores que recolhem e enviam informações para o SIEM,
capacidades de criação de tendências e de alerta, motores e regras de
correlação, e métodos para definir sensibilidade e níveis.
SIEM
Aleirms
Alarmes por
lmem
T
.j- 5-r,tem COmprcrr, e
1.97k.u41< 18 2k
-- •• 5.20k
Alarmes de topo por
método
T
-(r Dl"'I
Evento Di11111 Sour
es 25.1"\ Am.!l?On AWS Cl011dlri11n
T
Evj;>nts
Tendência
& Arulck
·······•·········
·••····•·······•·
·••··············
Actividade dos sensores
T
TS
SENSOR
•
7 o-r;.c:e 365 Alu,e AD
•
15-6'!,0t!\er
4
ESTATU
TO
ALARME
S
EVENTO
S
.\Vv'SSensor
AWS
demonstra
ção
s, G Su. te Aud1
2 6'!li Wmdow! Nxlog
AW SSllaS
1.30t.Office305fuhanQe
DESCOBERTA DE
BENS
Top Sistemas Op@r!!tlng
50()",.l.Joufflu
Informação
patrimonial
Bens de topo com
Aforms.
INVENTÁRIO SOFTWAAE
ASSET
0
PlutoW1!1dows ...
ACTIVO DtSCO VERIDO
8
Plutounux..,
SENSOQ
AWSSens.or
AWS
ll.
WSSer!.Ou
AWS
8888,.,
se11s.or-t1Wli.-ilw-<1emo ..,
AWS.Sens.or
AWS
".WSSem,ou
AWS
FIGURA 1.6 O painel de instrumentos por defeito do SIEM do
AlienVault
ALARME
S
EVENlS
G
EJ
Fl B
0
§]
Sensores
Embora os dispositivos possam enviar dados directamente para um
SIEM, os sensores são frequentemente utilizados para recolher dados
adicionais. Os sensores são tipicamente agentes de software, embora
possam ser uma máquina virtual ou mesmo um dispositivo
dedicado. Os sensores são frequentemente colocados em ambientes
como uma infra-estrutura de nuvem, um centro de dados remoto, ou
outros locais onde volumes de dados únicos estão a ser gerados, ou
onde um dispositivo especializado é necessário porque as
necessidades de aquisição de dados não estão a ser satisfeitas pelas
capacidades existentes. Os sensores recolhem dados úteis para o SIEM
e podem encaminhá-los na sua forma original ou fazer algum préprocessamento para optimizar os dados antes que o SIEM os ingira.
A escolha do local de implantação dos sensores faz parte da
arquitectura de rede e segurança e dos esforços de concepção, e os
sensores devem ser protegidos e protegidos contra ataques e
compromissos, tal como outros componentes de segurança de rede.
Sensibilidade e Limiares
As organizações podem criar uma grande quantidade de dados, e os
dados de segurança não são excepção a essa regra. Os analistas
precisam de compreender como controlar e limitar os alertas que
um SIEM pode gerar. Para tal, estabelecem limiares, regras de
filtragem e utilizam outros métodos de gestão da sensibilidade do
SIEM. Os alertas podem ser definidos para activar apenas quando um
evento tenha ocorrido um certo número de vezes, ou quando tenha
impacto em sistemas específicos de alto valor. Ou, um alerta pode ser
definido para ser activado uma vez em vez de centenas ou milhares de
vezes. Independentemente da forma como o seu SIEM lida com a
sensibilidade e limiares, configurá-los e geri-los de modo a que os
alertas sejam enviados apenas sobre itens que necessitam de ser
alertados ajuda a evitar a fadiga do alerta e falsos positivos.
Uma das maiores ameaças aos destacamentos SIEM é a fadiga de
alerta. A fadiga de alerta ocorre quando os alertas são enviados
com tanta frequência, para tantos eventos, que os analistas deixam
de responder a eles. Na maioria dos casos, estes alertas não são
críticos, de alta urgência, ou de alto impacto e, na sua essência,
estão apenas a criar ruído. Ou, pode haver uma proporção muito
elevada de falsos positivos, fazendo com que o analista passe horas
a perseguir fantasmas. Em qualquer dos casos, o cansaço de alerta
significa que quando um evento real ocorre pode ser perdido ou
simplesmente ignorado, resultando num incidente de segurança
muito pior do que se os analistas tivessem estado prontos e
dispostos a lidar com ele mais cedo.
Tendências
A capacidade de ver informação de tendências é uma parte valiosa das
capacidades de uma plataforma SIEM. Uma tendência pode apontar
para um novo problema que está a começar a surgir, uma exploração
que está a ocorrer e a assumir, ou simplesmente qual o malware mais
prevalecente na sua organização. Na Figura 14.7, pode ver um exemplo
de categorização da actividade malware, identificando quais as
assinaturas que foram detectadas com mais frequência, qual a família
malware mais prevalecente, e para onde envia tráfego. Isto pode
ajudar as organizações a identificar novas ameaças à medida que se
elevam ao topo.
FIGURA 14.7 Análise de tendências através de um painel de bordo
SIEM
Alertas e Alarmes
Os alertas e alarmes são uma parte importante dos sistemas
SIEM. A figura 1a.8 mostra um exemplo do sistema de
demonstração do AlienVault. Note-se que os alarmes são
categorizados pelo seu tempo e severidade, e depois fornecem
informações detalhadas que podem ser perfuradas.
Eventos como balizamento e infecção por malware são
automaticamente categorizados, priorizados, marcados por fonte e
destino, e combinados com uma investigação por um analista,
conforme apropriado. Mostram também coisas como qual o sensor
que está a reportar o problema.
FIGURA 14.8 Alertas e alarmes no SIEM do Cofre de Alienígenas
Correlação e Análise
Os pontos de dados individuais podem ser úteis quando se investiga
um incidente, mas a correspondência de pontos de dados com
outros pontos de dados é uma parte fundamental da maioria das
investigações. A correlação requer a existência de dados como a
hora em que um evento ocorreu, em que sistema ou sistemas
ocorreu, que contas de utilizadores estiveram envolvidas, e outros
detalhes que podem ajudar no processo de análise. Um SIEM pode
permitir a pesquisa e filtragem de dados com base em múltiplos
pontos de dados como estes para restringir a informação
relacionada com um incidente. A correlação e análise automatizada
é concebida para corresponder a eventos conhecidos e indicadores
de compromisso para construir um conjunto de dados completo
para um incidente ou evento que possa depois ser revisto e analisado.
Como se pode ver nas capturas de ecrã
do SIEM AlienVault, pode adicionar etiquetas e investigações aos
dados. Embora cada ferramenta SIEM possa referir-se a estes por
termos ligeiramente diferentes, os conceitos básicos e as capacidades
permanecem os mesmos.
Regras
O coração dos alarmes, alertas, e motores de correlação para um
SIEM é o conjunto de regras que impulsionam esses componentes.
A Figura 14.9 mostra um exemplo de como uma regra de alarme
pode ser construída utilizando a informação que o SIEM reúne. As
condições das regras podem utilizar a lógica para determinar se e
quando uma regra será activada, e depois as acções podem ser
desencadeadas com base na regra. Os resultados podem ser tão
simples como um alerta ou tão complexos como uma acção
programática que altera a infra-estrutura, activa ou desactiva regras
de firewall, ou desencadeia outras defesas.
Criar Regra de
Alarme
0
Nome da Regra
Exemplo de alarme
Intenção
Método
ExploItallon & lnstallatlon
Método
I Ent er
Prioridade8
Estratégia
Backdoor
0
V
Mud
o
Segund
os
30
V
Campos de
Destaque
CAMPOS
SELECCIONADOS
CAMPOS
DISPONÍVEIS
0.
Pesqui
sa
accounLname
access_controLolllcome
access_key_td
accountUd
account1_vendor
adhoc_query_ld
affected_famlly
affected_platfonn
alfected platforms
affected_p roducts
alarme des1Ina1I011c_assseLlds
Condição de
Regra
ope
I es ,ek>w para criar uma condição de jogo o Aprender mais .sobre a criação de
regras.
Um DNDT+Add
Condltlon
+
Adicionar Grupo de
Condições
Fósforo:
registos
Nome do
evento
Nome do
evento
Igual a
V
Igual a
"
ULE CORRENTE
( ! packeLtype = 'log- AND ! evenLname ="AND! evenLname =
1
Mais ...
Cancel
ar
FIGURA 14.9 Configuração de regras em AlienVault
As regras são importantes, mas também podem causar problemas.
Uma lógica de regras mal construída pode falhar eventos ou causar
falsos positivos ou detecções demasiado amplas. Se a regra tiver
uma componente de resposta activa, uma regra mal construída
pode causar uma falha de energia ou outro problema de infraestrutura. Assim, as regras precisam de ser cuidadosamente
construídas, testadas e revistas com regularidade. Embora os
fornecedores de SIEM forneçam frequentemente regras padrão e
capacidades de detecção, as regras personalizadas que as
organizações concebem para os seus ambientes e sistemas são a
chave para uma implementação bem sucedida do SIEM.
O exame Segurança+ não chama especificamente as regras SIEM,
mas sob a correlação, alerta, e capacidade de tendências, as
regras são muitas vezes o que está a conduzir as detecções e
alertas.
Finalmente, os dispositivos SIEM também seguem todo o ciclo de
vida para obter dados. Isto significa que a maioria tem a capacidade
de definir a retenção e o tempo de vida útil dos dados para cada
. dados e tem apoio para os requisitos de conformidade. De
tipo de
facto, a maioria dos dispositivos SIEM tem regras pré-construídas ou
módulos concebidos para cumprir requisitos específicos de
conformidade com base nas normas que requerem.
Os dispositivos SIEM têm frequentemente integrações incorporadas
para serviços de nuvem como Google, ServiceNow, Office 365,
Okta, Sophos, e outros. Isso significa que pode importar dados
directamente desses serviços para obter uma melhor visão do seu
ambiente de segurança.
Ficheiros de registo
Os ficheiros de registo fornecem aos responsáveis por incidentes
informações sobre o que ocorreu. Claro que isso faz dos ficheiros de
registo um alvo também para os atacantes, pelo que os responsáveis
por incidentes precisam de se certificar de que os registos que estão a
utilizar não foram adulterados e que têm carimbo da hora e outros
dados correctos. Uma vez que tenha a certeza de que os dados com
que está a trabalhar são bons, os registos podem fornecer um tesouro
de informação relacionada com incidentes.
A Figura 14.10 mostra o Visualizador de Eventos Windows, uma das
formas mais comuns de visualizar registos para um único sistema
Windows. Em muitos ambientes empresariais, os registos específicos
ou entradas críticas de registos serão enviados para uma infraestrutura de registo segura para assegurar a existência de uma réplica
fiável dos registos recolhidos nos sistemas endpoint. Os profissionais
de segurança continuarão a rever os registos locais, particularmente
porque o volume de dados dos registos nos pontos terminais ao longo
de uma organização significa que as cópias completas de todos os
registos para cada sistema não são tipicamente mantidas.
FIGURA 14.10 O Visualizador de Eventos Windows mostrando um
registo de segurança com um evento de auditoria
Os registos comuns utilizados pelas pessoas que respondem a
incidentes e que são abrangidos pelo esquema do exame Segurança+
incluem o seguinte:
■
Os registos do sistema incluem tudo, desde alterações de
serviço a questões de permissão. O registo do sistema Windows
rastreia a informação gerada pelo sistema enquanto este está a
funcionar.
Ir com o fluxo
O seguimento da utilização da sua largura de banda
utilizando um monitor de largura de banda pode fornecer
informação sobre tendências que podem ajudar a detectar
tanto problemas actuais como novos comportamentos. Os
fluxos de rede, quer utilizando o protocolo proprietário
NetFlow da Cisco, que é uma capacidade impulsionada por
software, quer SFlow, que é amplamente implementado em
dispositivos de muitos fornecedores, são uma ferramenta
importante no kit de ferramentas de um respondedor de
incidentes. Para além do NetFlow e SFlow, pode encontrar o
IPFIX, um padrão aberto baseado no NetFlow 9 que muitos
vendedores suportam.
O hardware implantado no seu ambiente é susceptível de
conduzir a decisão sobre qual utilizar, tendo cada opção
vantagens e desvantagens.
Os fluxos de rede são incrivelmente úteis quando se tenta
determinar que tráfego foi enviado na sua rede, para onde foi,
ou de onde veio. Os fluxos contêm informações tais como a
fonte e o destino do tráfego, quanto tráfego foi enviado, e
quando o tráfego ocorreu. Pode pensar em informações de
fluxo como registos telefónicos - sabe que número foi
chamado e quanto tempo demorou a conversa, mas não o que
foi dito. Assim, embora fluxos como os mostrados no gráfico
seguinte sejam pistas úteis, podem não conter todas as
informações sobre um evento.
Os fluxos podem não mostrar todo o tráfego por outra razão
também: manter um registo dos fluxos de alto volume de
tráfego pode consumir uma grande quantidade de poder de
processamento e armazenamento do dispositivo de rede, e
assim muitos fluxos são amostrados a taxas como 10:1 ou
mesmo 1000:1. Isto significa que os fluxos podem não capturar
todo o tráfego, e pode perder alguma resolução e detalhe na sua
análise de fluxo.
Embora os fluxos possam mostrar apenas parte da imagem,
são uma ferramenta de diagnóstico e de resposta a incidentes
muito útil. Se for encarregado de fornecer segurança de rede
a uma organização, poderá querer considerar a criação de
fluxos como parte dos seus esforços de instrumentação.
■
Os registos Web, como os do Apache e dos Serviços de
Informação da Internet (IIS), rastreiam os pedidos até ao servidor
Web e eventos relacionados. Estes registos podem ajudar a
localizar o que foi acedido, quando foi acedido, e qual o endereço
IP que enviou o pedido. Uma vez que os pedidos são registados,
estes registos também podem ajudar a identificar ataques,
incluindo a injecção de SQL e outros ataques específicos do
servidor web e da aplicação web.
■
Os registos DNS fornecem detalhes sobre as consultas DNS. Isto
pode parecer menos útil, mas os registos DNS podem mostrar aos
atacantes que recolhem informações, fornecer informações que
mostram que sistemas podem estar comprometidos com base
nos seus pedidos DNS, e mostrar se os utilizadores internos
estão a utilizar indevidamente os recursos organizacionais.
■
Os registos de autenticação são úteis para determinar quando
uma conta foi registada e podem também mostrar o uso de
privilégios, sistema ou localização de registo, tentativas
incorrectas de palavra-passe, e outros detalhes de registo e
utilização que podem ser correlacionados com intrusões e uso
indevido.
Os ficheiros de despejo, como o despejo de memória criado
quando o Windows experimenta um ecrã azul de morte, podem
não parecer úteis para a resposta a incidentes, mas podem conter
informação que mostra o estado da memória e do sistema no
momento de um acidente. Se a falha ocorreu devido a um
atacante ou exploração, ou se havia malware ou ferramentas de
ataque no sistema, o ficheiro de despejo pode conter esses
artefactos.
VoIP (Voice over IP), registos do gestor de chamadas, e registos
do Session Initiation Protocol (SIP) podem fornecer informações
sobre chamadas que foram colocadas, bem como outros eventos
num sistema VoIP.
■
■
Os profissionais de segurança utilizarão ferramentas SIEM, bem como
ferramentas de pesquisa manual como o grep e a cauda para rever
os registos para entradas específicas de registos que possam ser
relevantes para um evento ou incidente. Listas de IDs de eventos
importantes do Windows estão normalmente disponíveis, e muitas
entradas de registo do Linux podem ser facilmente identificadas pelo
texto que contêm.
Protocolos e Ferramentas de Registo
Para além de saber como encontrar e procurar através dos registos,
é necessário saber como os registos são enviados para sistemas
remotos, que ferramentas são utilizadas para recolher e gerir os
registos, e como são adquiridos.
Os logs tradicionais do Linux são enviados via sys log, com os clientes
a enviarem mensagens para servidores que recolhem e armazenam os
logs. Ao longo do tempo, foram criadas outras substituições do syslog
para melhorar a funcionalidade básica e as capacidades do syslog.
Quando a velocidade é necessária, o sistema de processamento de
logs, ou rsyslog, é uma opção. Suporta taxas de mensagens
extremamente elevadas, registo seguro via TLS, e mensagens baseadas
em TCP, bem como múltiplas opções de base de dados backend. Outra
alternativa é o syslog-ng, que fornece filtragem melhorada, registo
directo a bases de dados, e suporte ao envio de registos via TCP
protegido por TLS. As características melhoradas das substituições do
syslog como rsyslog e syslog-ng significam que muitas
organizações substituem a sua infra-estrutura de syslog por uma
destas opções. Uma opção final para a recolha de logs é o NXLog,
uma ferramenta de centralização e agregação de logs de código
aberto e suportada comercialmente que pode analisar e gerar ficheiros
de logs em muitos formatos comuns, ao mesmo tempo que envia logs
para ferramentas de análise e soluções SIEM.
Cavando para o Systemd's Journal no Linux
O esquema do exame Security+ inclui um grande número de tipos
de sistemas e software de registo, registos, ferramentas de análise, e
outras fontes de dados. Deve concentrar-se em pensar porque
poderá precisar de cada um deles, e onde uma ferramenta
específica é nomeada, deve certificar-se de conhecer a sua
utilização e funções básicas.
A maioria das distribuições Linux dependem do sistemad para gerir
serviços e processos e, em geral, para gerir o próprio sistema.
Acedendo ao diário systemd que regista o que o systemd está a
fazer utilizando o
j ournald daemon pode ser realizado usando o journalctl. Esta
ferramenta
permite rever kernel, serviços, e ini trdmessages,
bem como
muitas outras que o sistemad gera. A simples emissão do
O comando j ournalctl exibirá todas as entradas do diário, mas
modos adicionais podem ser úteis. Se precisar de ver o que
aconteceu desde a última bota, a bandeira -b mostrará apenas essas
entradas.
A filtragem por tempo pode ser realizada com a bandeira -since
e uma entrada de hora/data no formato "ano-mês-diahora:minuto:segundos".
Independentemente do sistema de exploração madeireira que utilizar,
terá de tomar decisões sobre a retenção tanto nos sistemas locais
como na infra-estrutura central de exploração madeireira e de
monitorização. Ter em conta as necessidades operacionais; cenários
prováveis em que poderá necessitar dos registos que recolhe; e
requisitos legais, de conformidade, ou outros requisitos que precisa
de cumprir. Em muitos casos, as organizações optam por manter os
registos durante 30, 45, 90, ou 180 dias, dependendo das suas
necessidades, mas alguns casos podem mesmo resultar em alguns
registos serem mantidos durante um ano ou mais. A retenção vem com
custos de hardware e potenciais desafios legais se retiver registos que
poderá não querer revelar em tribunal.
O esquema do exame Security+ inclui um grande número de tipos
de sistemas e software de registo, registos, ferramentas de análise,
e outras fontes de dados. Deve concentrar-se em pensar porque
poderá precisar de cada um deles, e onde uma ferramenta
específica é nomeada, deve certificar-se de saber o que essa
ferramenta faz e porque poderá ser útil. Embora não tenha de
dominar cada uma destas ferramentas, se uma delas lhe for
completamente desconhecida, poderá querer saber mais sobre ela.
Indo para além dos registos: Usando Metadados
As entradas de registo não são os únicos dados úteis que os
sistemas contêm. Os metadados gerados como parte normal das
operações do sistema, comunicações, e outras actividades também
podem ser utilizados para a resposta a incidentes. Metadados são
dados sobre outros dados no caso de sistemas e serviços, metadados
são criados como parte de ficheiros, incorporados em documentos,
utilizados para definir dados estruturados, e incluídos em
transacções e comunicações em rede, entre muitos outros locais
que se podem encontrar.
O esquema do exame Security+ centra-se em quatro tipos de
metadados, mas as técnicas por detrás da análise de metadados
também podem ser utilizadas para outros tipos de dados em muitos
casos. Os quatro tipos de metadados que terá de considerar para o
exame são os seguintes
■
■
Os metadados de e-mail incluem cabeçalhos e outras
informações encontradas num e-mail. Os cabeçalhos de
correio electrónico fornecem detalhes sobre o remetente, o
destinatário, a data e hora em que a mensagem foi enviada, se
o correio electrónico tinha um anexo, quais os sistemas pelos
quais o correio electrónico viajou, e outras marcações de
cabeçalho que os sistemas possam ter acrescentado, incluindo
antispam e outras informações.
Os metadados móveis são recolhidos por telefones e outros
dispositivos móveis à medida que são utilizados. Pode incluir
registos de chamadas, SMS e outros dados de mensagens,
utilização de dados, localização GPS, torre celular
informação, e outros detalhes encontrados nos registos de dados
das chamadas. Os metadados móveis são incrivelmente
poderosos devido à quantidade de informação geoespacial que é
registada sobre onde o telefone se encontra em qualquer ponto
durante cada dia.
■
Os metadados da Web são incorporados nos websites como
parte do código do website mas são muitas vezes invisíveis
para os utilizadores quotidianos. Pode incluir metatags,
cabeçalhos, cookies, e outras informações que ajudam na
optimização dos motores de busca, funcionalidade do website,
publicidade e rastreio, ou que podem suportar funcionalidades
específicas.
■
Os metadados dos ficheiros podem ser uma ferramenta poderosa
ao rever quando um ficheiro foi criado, como foi criado, se e
quando foi modificado, quem o modificou, a localização GPS do
dispositivo que o criou, e muitos outros detalhes. O código
seguinte mostra metadados seleccionados recuperados a partir de
uma única fotografia usando Exiff ool. org. A saída mostra que
a foto foi tirada com uma câmara digital, que inseriu metadados
tais como a data em que a foto foi tirada, a câmara específica
que a tirou, as definições da câmara, e até a versão do firmware.
Os dispositivos móveis podem também incluir a localização GPS
da foto se não estiverem configurados para remover essa
informação das fotos, resultando em ainda mais fugas de
informação.
Tamanho do ficheiro
Modificação do ficheiro
Data/Hora Marca
Orientação do
nome do modelo da
câmara
X Resolução
Y Resolução
Unidade de
Resolução
Modificar a
Data Hora de
Exposição
F Número
Data/Hora Original
Criar Data
Flash
Versão do Firmware da Canon
2.0 MB
2009:11:28 14:36:02-05:00
Canon
Canon PowerShot A610
Horizontal (normal)
180
180
polegadas
2009:08:22 14:52:16
1/400
4.0
2009:08:22 14:52:16
2009:08:22 14:52:16
Desligado, Não
disparou Firmware
Versão 1.00
Os metadados são normalmente utilizados para investigações forenses
e outras, e a maioria das ferramentas forenses têm capacidades de
visualização de metadados incorporadas.
Mitigação e Recuperação
Um incidente activo pode causar rupturas em toda uma organização.
A organização deve agir para mitigar o incidente e depois trabalhar
para recuperar do mesmo sem criar novos riscos ou vulnerabilidades.
Ao mesmo tempo, a organização pode querer preservar os dados e
artefactos do incidente para permitir a análise forense por parte dos
responsáveis internos ou da aplicação da lei.
O exame Segurança+ centra-se nos esforços de mitigação e não se
debruça sobre a recuperação. Ao ler esta secção do capítulo,
lembre-se do fluxo de resposta ao incidente desde o início do
capítulo e pense em como apoiaria os objectivos de recuperação
e resposta ao incidente à medida que mitigava o incidente, mas
lembre-se que o foco do exame será em como parar o incidente e
proteger os sistemas, e não em como trazê-los de volta à
normalidade.
Livros infantis
Os livros de jogo são guias passo-a-passo destinados a ajudar as
equipas de resposta a incidentes a tomar as acções certas num
determinado cenário. As organizações constroem livros de jogo para
cada tipo de incidente ou evento que acreditam ser provável que
venham a lidar, com exemplos que vão desde ameaças avançadas e
persistentes a ataques de phishing. Um livro de jogo terá
frequentemente fases com passos em cada fase do ciclo de resposta ao
incidente, bem como um conjunto de directrizes sobre quando activar o
livro de jogo e quem deve estar envolvido para correr através do livro
de jogo.
Um livro de jogo para a fase de identificação de uma infecção malware
pode incluir a identificação de indicadores de compromisso
utilizando software antimalware e antivírus, capturas de pacotes, e
análise de tráfego de rede, e depois um caminho para uma fase de
contenção com passos para essa fase também.
Os livros didácticos têm em conta factores como as melhores
práticas da indústria, políticas organizacionais, leis,
regulamentação e requisitos de conformidade, bem como a
estrutura organizacional e o pessoal. Também definem quando
estão completos, permitindo que as organizações retomem as
operações normais.
Se quiser um avanço rápido na construção de livros didácticos,
ou quiser rever alguns exemplos pré-escritos, consulte a galeria
de livros didácticos do Incident Response Consortium em
www.incidentresponse. com/p laybooks.
Um conjunto bem escrito e testado de cadernos de instruções para os
tipos de incidentes que a sua organização tem maior probabilidade de
encontrar é uma das melhores formas de assegurar que as respostas
aconteçam de forma apropriada numa situação stressante. A
capacidade de se referir a passos e processos que foram criados com
previdência e cuidado pode fazer uma imensa diferença na
qualidade de um processo de resposta a um incidente.
Livros de corrida
Os runbooks são os guias de procedimentos operacionais que as
organizações utilizam para realizar acções. Uma vez que são guias de
procedimentos, os guias de procedimentos simplificam o processo de
decisão para operações comuns que podem apoiar a resposta a
incidentes, e podem ajudar a orientar e construir automatização para
tarefas como comunicações, remoção de malware, ou digitalização.
Os guias de procedimentos são tipicamente orientados para a acção e,
portanto, podem ser emparelhados com um guia de procedimentos
como elementos do processo do guia de procedimentos.
Orquestração, Automatização e Resposta Segura (SOAR)
Gerir múltiplas tecnologias de segurança pode ser um desafio, e
utilizar a informação dessas plataformas e sistemas para
determinar a postura e estado de segurança da sua organização
requer a integração de diferentes fontes de dados. Ao mesmo
tempo, a gestão das operações de segurança e as questões de
remediação que identifica é também uma
parte importante do trabalho de segurança. As plataformas SOAR
procuram responder a estas necessidades.
Como ferramenta de mitigação e recuperação, as plataformas SOAR
permitem avaliar rapidamente a superfície de ataque de uma
organização, o estado dos sistemas, e onde podem existir problemas.
Permitem também a automatização dos fluxos de trabalho de
remediação e restauração.
Técnicas de Contenção, Mitigação e Recuperação
Em muitos casos, uma das primeiras técnicas de atenuação será
bloquear rapidamente a causa do incidente nos sistemas ou
dispositivos impactados. Isso significa que poderá ser necessário
reconfigurar as soluções de segurança dos pontos terminais:
■
A aplicação permite a listagem (por vezes referida como
whitelisting), que lista as aplicações e ficheiros que são
permitidos num sistema e impede que qualquer coisa que não
conste da lista seja instalada ou executada.
■
Listas de negação de aplicações ou listas de bloqueio (por vezes
referidas como listas negras), que listam aplicações ou ficheiros
que não são permitidos num sistema e que impedirão que sejam
instalados ou copiados para o sistema.
■
Soluções de quarentena, que podem colocar ficheiros numa
zona segura específica. Antimalware e antivírus fornecem
frequentemente uma opção de quarentena a ficheiros
suspeitos ou infectados, em vez de os eliminar, o que pode
ajudar nas investigações.
Quarentena ou Eliminar?
Um dos autores deste livro tratou de uma questão importante
causada por uma actualização antivírus que identificou
incorrectamente todos os ficheiros Microsoft Office como malware.
Essa alteração resultou em milhares de máquinas a tomar a sua
acção padrão nesses ficheiros. Felizmente, a maioria da
organização utilizou uma quarentena, e depois apagou definições
para o produto antivírus. Uma divisão, contudo, tinha definido
os seus sistemas para eliminar como acção principal. Todos os
ficheiros do Office nesses sistemas foram apagados poucos minutos
após a actualização que lhes tinha sido feita, causando o caos à
medida que o pessoal tentava aceder aos seus ficheiros. Embora a
maioria dos ficheiros acabasse por ser restaurada, alguns foram
perdidos à medida que os sistemas substituíam os ficheiros
apagados com outras informações.
Este não é um cenário típico, mas compreender as
configurações que está a utilizar e as situações em que se podem
aplicar é fundamental.
A quarentena pode ser uma óptima forma de garantir que ainda
tem acesso aos ficheiros, mas corre o perigo de permitir que os
ficheiros maliciosos ainda estejam no sistema, mesmo que devam
estar num local seguro.
As alterações de configuração são também uma remediação e
contenção comum. Podem ser necessárias para resolver uma
vulnerabilidade de segurança que permitiu a ocorrência do
incidente, ou podem ser necessárias para isolar um sistema ou rede.
Na realidade, as alterações de configuração são uma das ferramentas
mais frequentemente utilizadas nos esforços de contenção e
remediação. Têm de ser cuidadosamente rastreadas e registadas, uma
vez que os respondentes ainda podem cometer erros, e as alterações
podem ter de ser revertidas após o processo de resposta ao incidente
para permitir um regresso à função normal. As alterações de
configuração específicas que deve considerar para o exame de
Segurança+ são as seguintes:
■
■
As regras de firewall são alteradas, quer para adicionar novas
regras de firewall, modificar regras de firewall existentes, ou em
alguns casos, para remover regras de firewall.
Mudanças na gestão de dispositivos móveis (MDM), incluindo a
aplicação de novas políticas ou a mudança de políticas;
respondendo remotamente
■
■
■
dispositivos de limpeza; dispositivos de localização; ou utilizando
outras capacidades do MDM para ajudar no processo de IV.
Alterações de ferramentas de prevenção da perda de dados
(DLP), que podem centrar-se na prevenção da saída de dados da
organização ou na detecção de novos tipos ou classificações de
dados a serem enviados ou partilhados. É provável que as
alterações de DLP sejam reactivas na maioria dos processos de
RI, mas o DLP pode ser utilizado para ajudar a garantir que um
incidente em curso tenha uma menor probabilidade de criar
mais exposição de dados.
Capacidades de filtragem de conteúdo e de filtragem de URL,
que podem ser utilizadas para garantir que sites específicos não
possam ser navegados ou acedidos. O filtro de conteúdo e a
filtragem de URL podem ajudar a impedir que o malware
telefone para casa ou se ligue a sites C2, e também podem
impedir os utilizadores de responder a ataques de phishing e
ameaças semelhantes.
Actualização ou revogação de certificados, que podem ser
exigidos se os certificados forem comprometidos,
particularmente se os atacantes tiverem acesso às chaves
privadas para os certificados. Ao mesmo tempo, a remoção de
certificados das listas de confiança também pode ser uma
ferramenta útil, particularmente se um fornecedor de serviços
a montante não responder prontamente e se houver
preocupações de segurança com os seus serviços ou sistemas.
É claro que há muitas outras alterações de configuração que poderá
ter de fazer. Quando for confrontado com um cenário de resposta a
incidentes, deve considerar o que foi visado; como foi visado; qual
foi o impacto; e que controlos, alterações de configuração e
ferramentas pode aplicar para primeiro conter e depois remediar a
questão. É importante ter em mente o impacto operacional e os
riscos adicionais que as mudanças que está a considerar podem
resultar, e assegurar que as partes interessadas são sensibilizadas
para as mudanças ou estão envolvidas na decisão, dependendo da
urgência da situação.
Embora não sejam directamente mencionadas no esboço do
exame Segurança+, há uma série de outras alterações de
configuração comuns utilizadas para a resposta a incidentes.
Entre elas estão o remendo, a desactivação de serviços, a
alteração de permissões, e outras práticas comuns de
endurecimento do sistema. Ao preparar-se para o exame,
harden. ingque
sãomuitas
também
utilizados
lembre-se
dasfrequentemente
técnicas utilizadas
para ona
sistema
cenários.
resposta a incidentes
Por vezes, pode também ser necessária uma acção mais ampla. Pode
ser necessário remover sistemas, dispositivos, ou mesmo segmentos
ou zonas inteiras da rede para impedir a propagação de um
incidente ou quando a origem do incidente não puder ser
rapidamente identificada. As seguintes técnicas apoiam este tipo de
actividade:
■
■
O isolamento move um sistema para um espaço ou rede protegida
onde pode ser mantido afastado de outros sistemas. O isolamento
pode ser tão simples como remover um sistema da rede ou tão
complexo tecnicamente como deslocá-lo para uma VLAN de
isolamento, ou no caso de máquinas virtuais ou infra-estruturas de
nuvem, pode exigir a deslocação do sistema para um ambiente
com regras de segurança que o manterão isolado, permitindo ao
mesmo tempo a inspecção e investigação.
A contenção deixa o sistema em funcionamento, mas funciona
para prevenir novas acções ou ataques maliciosos. A contenção ao
nível da rede é frequentemente realizada utilizando regras de
firewall ou capacidades semelhantes para limitar o tráfego que o
sistema pode enviar ou receber. A contenção ao nível do sistema
e da aplicação pode ser mais difícil sem desligar o sistema ou
interferir com a funcionalidade e estado do sistema, o que pode ter
um impacto nos dados forenses. Por conseguinte, as decisões que
tomar sobre acções de contenção podem ter um impacto no seu
trabalho de investigação futuro. Os responsáveis por incidentes
podem ter objectivos diferentes dos dos analistas forenses, e as
organizações podem ter de fazer
escolhas rápidas sobre se uma resposta rápida ou dados forenses
é mais importante em algumas situações.
■
A segmentação é frequentemente utilizada antes da ocorrência de
um incidente para colocar sistemas com diferentes funções ou
níveis de segurança de dados em diferentes zonas ou segmentos de
uma rede. A segmentação também pode ser feita em ambientes
virtuais e em nuvem. Na essência, a segmentação é o processo
de utilizar fronteiras de segurança, rede, ou máquina física para
construir separação entre ambientes, sistemas, redes, ou outros
componentes. Os respondentes a incidentes podem optar por
utilizar técnicas de segmentação como parte de um processo de
resposta para mover grupos de sistemas ou serviços, de modo a
poderem concentrar-se noutras áreas. Pode optar por segmentar
sistemas infectados para longe do resto da sua rede ou mover
sistemas cruciais para um segmento mais protegido para os ajudar
a protegê-los durante um incidente activo.
Resumo
Cada organização acabará por experimentar um incidente de segurança,
e ter um plano sólido de resposta a incidentes em vigor com uma
equipa que sabe o que precisa de fazer é fundamental para tratar
adequadamente os incidentes. A resposta a incidentes segue
normalmente um ciclo de resposta com fases de preparação,
identificação, contenção, erradicação, recuperação, e lições
aprendidas. Embora a resposta ao incidente possa envolver todas estas
fases, nem sempre são conduzidas como elementos distintos, e as
organizações e equipas de RI podem estar em múltiplas fases ao
mesmo tempo, dependendo do estado do incidente em questão.
A preparação para a resposta a incidentes inclui a criação de uma
equipa, a implementação de políticas e procedimentos, a realização de
exercícios, e a construção da infra-estrutura técnica e de recolha de
informação que irá apoiar as necessidades de resposta a incidentes.
Os planos de resposta a incidentes não existem no vácuo. Em vez
disso, são acompanhados por comunicações e planos de gestão das
partes interessadas, continuidade de negócios e planos de
recuperação de desastres, e outros processos de resposta detalhados
únicos para cada organização.
Os respondentes precisam de uma forma de falar sobre incidentes,
agressores, ferramentas e técnicas. É aí que os quadros de ataque
entram em jogo.
A estrutura ATT&CK do MITRE é uma base de conhecimentos muito
completa de tácticas e técnicas adversas, e tem um amplo apoio em
ferramentas e sistemas em todo o campo da segurança da informação.
O Modelo Diamantado de Análise de Intrusão é uma ferramenta mais
simples que mapeia os vértices de um diamante, permitindo aos
analistas moverem-se de ponto a ponto, considerando os elementos
que conhecem e precisam de compreender. Uma opção final é a
Cyber Kill Chain, uma ferramenta e modelo baseado em técnicas
úteis para analisar a forma como os ataques ocorrem e são
aproveitados.
Uma componente chave no plano de resposta a incidentes de muitas
organizações é uma ferramenta de informação de segurança e gestão de
eventos (SIEM). As ferramentas SIEM centralizam a recolha e análise
de informação e fornecem painéis de bordo e relatórios que
permitem ver e identificar rapidamente a informação sobre
incidentes através de visualização, relatórios e análise manual, bem
como capacidades de análise automatizada. Trabalham com infraestruturas de registo utilizando ferramentas como syslog, syslog-ng, ou
outras que recolhem e centralizam registos, construindo infraestruturas de registo que capturam informações críticas utilizadas para
a análise de incidentes. Ao mesmo tempo, informação adicional como
fluxos de rede e informação de tráfego, metadados de ficheiros e
sistemas, e outros artefactos são utilizados pelos respondentes que
precisam de analisar o que ocorreu num sistema ou rede.
Uma vez identificado um incidente, os respondentes devem mitigálo e controlá-lo. Fazê-lo envolve a mudança de configurações de
sistema, dispositivo e software para prevenir novos problemas e
para parar o incidente.
As alterações de firewall, a utilização de ferramentas de segurança
como ferramentas MDM e DLP, a aplicação permite listas e listas de
bloqueio ou listas de negação, e outras técnicas podem ser utilizadas
para parar um incidente nos seus rastos. Estas alterações podem ser
incluídas em runbooks e playbooks que documentam o que a
organização faz e que escolhas e processos irá seguir antes, durante e
depois de tomar medidas.
Examinar o essencial
O ciclo de resposta a incidentes e o processo de resposta a
incidentes delineia como responder a um incidente. O ciclo
de resposta a incidentes do exame Segurança+ inclui preparação,
identificação, contenção, erradicação, recuperação, e lições
aprendidas. Uma resposta
O processo pode não estar numa única fase de cada vez, e as fases
podem avançar ou retroceder dependendo das descobertas e de outros
acontecimentos.
As equipas de resposta a incidentes são compostas por pessoal,
incluindo pessoal de gestão, pessoal de segurança, peritos técnicos
e pessoal de comunicação e relações públicas, e podem também
incluir membros jurídicos, de relações humanas, e de aplicação da
lei em algumas circunstâncias.
As organizações realizam exercícios como exercícios de mesa,
passagens, e simulações para permitir que as suas equipas
pratiquem a resposta a incidentes.
O planeamento é fundamental para uma resposta bem sucedida
a incidentes. As organizações constroem planos de resposta ao
incidente para se certificarem de que sabem o que farão durante um
incidente, em vez de o descobrirem durante o incidente. Os planos
podem incluir planos de continuidade do negócio que garantam que
o negócio possa continuar a funcionar, bem como planos de
recuperação de desastres que abordem a forma como a organização se
recuperaria de um grande desastre. Os planos de comunicações
definem quem precisa de receber comunicações, quem fará as
comunicações, e quando as comunicações ocorrerão, assegurando que
as comunicações críticas não sejam negligenciadas. Finalmente, o
planeamento da continuidade das operações é conduzido pelo governo
dos EUA para assegurar que as agências tenham planos detalhados para
continuar as operações em caso de perturbações ou incidentes.
Os quadros de ataque ajudam os analistas a identificar e
categorizar os ataques. As
estruturas de ataque são ferramentas
que podem ser utilizadas para categorizar ataques, técnicas de ataque,
processos e ferramentas. A estrutura ATT&CK do MITRE divide os
ataques em matrizes que mapeiam o ciclo de vida completo do
ataque com técnicas e componentes. O Modelo Diamantado de
Análise de Intrusão utiliza características centrais, meta-funções e
valores de confiança para ajudar os analistas a compreender as
intrusões, deslocando-se entre vértices de um diamante. A Cadeia
Cyber Kill é um processo de sete etapas que se move do
reconhecimento ao armamento, entrega, exploração, instalação,
comando e controlo, e acções sobre o objectivo, concentrando-se
em ataques e explorações.
As fontes de dados e a gestão de dados para resposta a
incidentes fornecem uma visão do que ocorreu, bem como
ferramentas de
investigação e detecção. As ferramentas
de gestão de eventos de segurança e informação (SIEM) são
utilizadas em muitas organizações para recolher e analisar dados
utilizando painéis de controlo, análise automatizada e ferramentas
manuais
capacidades de investigação. Informações tais como a saída do scan de
vulnerabilidade, dados de configuração do sistema, registos de
sistemas e dispositivos, e outros dados organizacionais são
ingeridos e analisados para fornecer uma ampla visão dos eventos e
incidentes. Ferramentas de registo como o rsyslog, syslog ng, syslog, e
NXLog são todas normalmente encontradas em infra-estruturas de
registo que centralizam e gerem os registos. A informação de tráfego
de rede é recolhida utilizando NetFlow, SFlow, e analisadores de
pacotes, entre outras ferramentas. Fornecem informação útil sobre a
utilização da largura de banda, bem como detalhes sobre que sistemas
comunicaram, as portas e protocolos em uso, hora e data, e outra
informação de alto nível útil para a análise de incidentes. Para além da
informação de registo e eventos, metadados de ficheiros e outros locais
são normalmente utilizados para a investigação de incidentes e resposta
a incidentes.
As técnicas de mitigação asseguram que o impacto dos
incidentes seja limitado. Os respondentes a incidentes utilizam
uma variedade de técnicas para mitigar e conter os incidentes. Uma
das tarefas mais comuns é alterar a configuração das soluções de
segurança dos pontos terminais, bem como dos dispositivos. Isso
pode incluir a utilização de listas de permissão ou listas de
bloqueio/negação, colocação em quarentena de ficheiros ou
dispositivos, alterações de firewall, utilização de ferramentas MDM
ou DLP, adição de conteúdo ou regras de filtragem de URL, ou
revogação ou actualização de certificados. Ao nível da rede e da
infra-estrutura, isolamento, contenção e segmentação são todos
utilizados para separar os sistemas envolvidos em incidentes de
outros sistemas ou redes.
Ferramentas de orquestração, automação e resposta (SOAR) de
segurança podem ser utilizadas para gerir e monitorizar estes
processos e para automatizar elementos do processo de resposta.
Perguntas de revisão
1.
A figura seguinte mostra o ciclo de resposta a incidentes de
Segurança+. Que item está em falta?
A. Planeamento
B. Relatório
C. Monitorização
D. Preparação
Related documents
MBA ITIL
MBA ITIL
Digital Forensic Readiness
Digital Forensic Readiness
Gestão de Casos de Uso de Detecção de Ameaças utilizando MISP (1)
Gestão de Casos de Uso de Detecção de Ameaças utilizando MISP (1)
Repositórios aprsentação
Repositórios aprsentação
Download
advertisement