Cibersegurança

O que fazem as soluções de Threat Deception?

Diego DiasLeave a comment

As tecnologias de threat deception são ferramentas que visam enganar e atrair cibercriminosos, desviando sua atenção de ativos reais e sensíveis. Através da simulação de sistemas, dados e ambientes falsos, os deceptions protegem a infraestrutura real e coletam informações valiosas sobre os atacantes.

A premissa é: Em caso de falha nas defesas da empresa – um cenário cada vez mais possível com a crescente sofisticação dos ataques cibernéticos – a tecnologia de deception se torna crucial para proteger dados sensíveis.

A tática utilizada tem como objetivo criar iscas (decoys) digitais para atrair os atacantes. Isso pode ser feito através da simulação de:

Redes e dispositivos falsos, simulando uma infraestrutura de TI completa, atraindo os atacantes para um ambiente controlado, onde seus movimentos podem ser monitorados e analisados.

Dados falsos, a criação desses arquivos, como documentos confidenciais ou informações de clientes, tem o objetivo de levar os atacantes a acreditar que obtiveram acesso a informações valiosas, enquanto na verdade o acesso ao dado está sendo monitorado.

Aplicações falsas, simulando aplicações web ou serviços online, os decoys podem capturar informações valiosas sobre os métodos de ataque utilizados pelos cibercriminosos.

Quais os benefícios de usar deception, honeypot e sandbox?

Duas técnicas iniciais têm funções similares ao deception: as honeypots e sandboxes.

Um honeypot é uma armadilha digital que imita um dispositivo real na rede, com a ideia de atrair atacantes para estudar suas ações. As honeypots (máquinas), honeynets (redes), honeytokens e suas variações, são simples de implementar, mas menos eficazes contra os atacantes experientes, pois trabalham utilizando técnicas reativas e estáticas enquanto as soluções corporativas de deception trabalham além de detecção baseada em assinatura como também na análise comportamental, heurística e Inteligência Artificial para ambientes OT/IoT/TI.

Os sandboxes, por outro lado, são ambientes virtuais controlados (on-premisses ou cloud) que restringem as atividades de malware e permitem a análise pós-exploração de códigos maliciosos sem colocar a organização em risco.

Ao usar essas técnicas em conjunto, as equipes de segurança conseguiram criar armadilhas que as alertam quando um comportamento suspeito é detectado, permitindo detectar e analisar com segurança as ameaças de malware antes que causem qualquer dano.

Hoje, o termo deception assumiu um significado muito mais amplo. A tecnologia herdada concentrava-se apenas na criação de infraestrutura semelhante a servidores Linux ou Windows, mas isso não é mais eficaz no cenário de ameaças em constante evolução. Com as infraestruturas em nuvem, as redes definidas por software e o trabalho remoto tem se tornando cada vez mais populares sem o perímetro tradicional para controle dos ativos. Isto significa que métodos inovadores devem ser usados ​​para manter a segurança.

As tecnologias de threat deception modernas oferecem diversos benefícios para a segurança da informação, como baixo falso positivo e integração com outras soluções como SIEM e SOAR. Hoje os ativos “deceptive” são combinados e implantados em toda a rede (distribuída e/ou híbrida), como também nos endpoints corporativos e ou em armazenamentos de credenciais, como o Active Directory.

Considerações importantes:

É importante ressaltar que as tecnologias de deception não são uma solução mágica. Elas devem ser usadas em conjunto com outras medidas de segurança para garantir a proteção completa da organização. Além disso, o uso de iscas pode ser complexo e exige planejamento e expertise. É importante contar com uma equipe qualificada para implementar e gerenciar a solução de forma eficaz.

“Deception efforts need to be balanced with strong incident response workflows as the skill sets required to interpret the output of deception tools and engage in proper response to the identified threats are fairly sophisticated.” Gartner

Referências:

Tecnologia deception: a nova estratégia contra ataques cibernéticos (varonis.com)

O que é tecnologia de deception? Importância e benefícios | Zscaler

Click to access deception_should_be_part_of_your_threat_detection_1599850581905001frn2-1bdc8c47f1ed92444a5d5a61b3455b7d.pdf

GigaOm Radar for Deception Technology – Gigaom

What is Active Defense? | Proactive Cyber Defense | Acalvio

802.1X

Diego DiasLeave a comment

IEEE 802.1X (também chamado de dot1x) é um padrão IEEE RFC 3748 para controle de acesso à rede. Ele prove um mecanismo de autenticação para hosts que desejam conectar-se a um Switch, por exemplo. A funcionalidade é também bastante poderosa para vínculo de VLANs, VLANs Guest e ACL’s dinâmicas. As funcionalidades do 802.1x permitem por exemplo, que caso um computador não autentique na rede, a máquina seja redirecionada para uma rede de visitantes etc.

O padrão 802.1x descreve como as mensagens EAP são encaminhadas entre um suplicante (dispositivo final, como um host da rede) e o autenticador (Switch ou access point), entre o autenticador e o servidor de autenticação. O autenticador encaminha as informações EAP para o servidor de autenticação pelo protocolo RADIUS.

Uma das vantagens da arquitetura EAP é a sua flexibilidade. O protocolo EAP é utilizado para selecionar o mecanismo de autenticação. O protocolo 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Atualmente ele é definido para redes Ethernet, incluindo o padrão 802,11 para LANs sem fios.

Os dispositivos que compõem a topologia para o funcionamento do padrão 802.1x são:

  • Suplicante (Supplicant): um suplicante pode ser um host com suporte a 802.1x com software cliente para autenticação, um telefone IP com software com suporte a 802.1x etc.
  • Autenticador (Authenticator): Dispositivo (geralmente o Switch, AP, etc) no meio do caminho que efetua a interface entre o Autenticador e o Suplicante. O autenticador funciona como um proxy para fazer o relay da informação entre o suplicante e o servidor de autenticação. O Switch recebe a informação de identidade do suplicante via frame EAPoL (EAP over LAN) que é então verificado e encapsulado pelo protocolo RADIUS e encaminhado para o servidor de autenticação. Os frames EAP não são modificados ou examinados durante o encapsulamento. Já quando o Switch recebe a mensagem do RADIUS do Servidor de autenticação, o cabeçalho RADIUS é removido, e o frame EAP é encapsulado no formato 802.1x e encaminhado de volta ao cliente.
  • Servidor de Autenticação (Authentication Server): O Servidor RADIUS é responsável pelas mensagens de permissão ou negação após validação do usuário. Durante o processo de autenticação o Authentication Server continua transparente para o cliente pois o suplicante comunica-se apenas com o authenticator. O protocolo RADIUS com as extensões EAP são somente suportados pelo servidor de autenticação.
  1. O suplicante envia uma mensagem start para o autenticador.
  2. O autenticador envia uma mensagem solicitando um login ao suplicante.
  3. O suplicante responde com o login com as credenciais do usuário ou do equipamento.
  4. O autenticador verifica o quadro EAPoL e encapsula-o no formato RADIUS, encaminhando posteriormente o quadro para o servidor RADIUS.
  5. O servidor verifica as credenciais do cliente e envia uma resposta ao autenticador com a aplicação das políticas.
  6. Baseado ne mensagem da resposta, o autenticador permite ou nega o acesso a rede para a porta do cliente.

EAP Types

Os tipos de EAP podem ser divididos em duas categorias: ‘EAP native’ e ‘EAP tunneled’ (que usa um túnel TLS entre o suplicante e o autenticador).

Native EAP Types:

EAP-MD5: Envia as credenciais escondidas em hash. O hash é enviado para o servidor que então compara com o hash local. Entretanto o EAP-MD5 não possui mecanismo para autenticação mútua, o servidor valida o cliente, mas o cliente não valida o servidor de autenticação. EAP-MD5 é geralmente utilizado em telefones IP e também permite alguns Switches utilizar o MAB (MAC authentication Bypass).

EAP-TLS: utiliza TLS para prover a transação de identidade de forma segura. Utiliza certificados X.509 e prove a habilidade de suportar autenticação mútua onde o cliente e o servidor devem confiar o certificado. É considerado o mais seguro tipo de EAP pois a captura da senha não é uma opção; o dispositivo final ainda deve ter uma chave privada.

EAP-MSCHAPv2: As credenciais do cliente são enviadas criptografadas para o servidor com uma sessão MSCHAPv2. Permite uma simples transmissão do usuário e senha, ou mesmo nome do computador e senha para o servidor RADIUS que autentica com o Active Directory (AD).

EAP-GTC: EAP-Generic Token Card foi criado pela Cisco como alternativa para o MSCHAPv2 que permite autenticação genérica para virtualmente armazenar qualquer identidade, incluindo servidor de Token OTP, LDAP, Novel E-Directory, etc.

Tunneled EAP Types:

O modo native EAP envia suas credenciais imediatamente enquanto o tunneled EAP forma primeiro um túnel criptografado e então transmite as credenciais dentro do túnel.

PEAP: Protected EAP (PEAP): foi originalmente proposto pela Microsoft e rapidamente tornou-se popular e largamente implementado. O PEAP forma um túnel criptografado entre o cliente e servidor utilizando o certificado x.509. Após a formação do túnel, o PEAP utiliza outro tipo EAP como método interno, autenticando o cliente utilizando o EAP dentro do túnel, utilizando EAP-MSCHAPv2, EAP-GTC e EAP-TLS.

EAP-FAST: Flexible Authentication via Secure Tunnel (FAST) é similar ao PEAP. Assim como o PEAP, FAST forma um túnel TLS externo e então transmite as credenciais dentro do túnel. A diferença do FAST para o PEAP é a habilidade PAC (protected access credentials). O PAC atua como um cookie seguro, armazenando localmente no host uma prova do sucesso da autenticação. Pode utilizar como EAP interno EAP-MSCHAPv2, EAP-GTC e EAP-TLS.

O modo tunneled EAP inclui o conceito de identidade inner e outer (interna e externa). A identidade inner é o dispositivo que autentica utilizando protocolo native EAP.  A identidade outer é utilizado entre o suplicante e o servidor de autenticação para estabelecimento do TLS.

Referências

CCNP Security SISAS 300-208 Official Cert Guide, Cisco Press 2015, Aaron Woland and Kevin Redmon
http://blog.ccna.com.br/2009/02/25/pr-o-que-e-8021x/
https://tools.ietf.org/html/rfc3748

Falando do Projeto Flipper Zero

Diego DiasLeave a comment

O Flipper Zero é um dispositivo de baixo custo que combina diversas ferramentas de hardware hacking para sistemas de controle de acesso, RFID, BAD USB, infrared, Wi-Fi etc. Ideal para pentesters e pesquisadores.

Nesse vídeo inserimos falamos um pouco do hardware, o potencial da ferramenta e suas implicações no dia a dia.

Agradecimento especial ao Ricardo Logan pela revisão e apoio no vídeo.

Firewall 101- Introdução

Diego DiasLeave a comment

Um firewall possui a função de proteger a rede impedindo que o tráfego externo não autorizado acesse a rede interna. Os firewalls são projetados para manter as coisas ruins fora da rede local e, ao mesmo tempo, impedir que dados importantes ou confidenciais escapem para o mundo externo.

Um firewall, que pode ser tanto hardware ou software inspeciona cada pacote de entrada ou saída e assim determina se esses pacotes devem serão descartados, modificados ou encaminhados.

Um firewall deve ser resistente a ataques cibernéticos, suportar o roteamento entre as redes, suportar as sessões TCP/UDP e o throughput para os serviços oferecidos do tráfego da rede.

No exemplo abaixo, o firewall está posicionado entre a rede interna e externa para limitar o acesso da rede externa à rede local, enquanto permite aos usuários da rede interna acesso aos recursos da rede externa.

| Rede interna |—– Firewall —–| Rede externa |

Pelo fato de um firewall ser uma das primeiras linhas de defesa de uma rede, as empresas efetuam investimentos constantes em firewalls e licenças, com os seguintes objetivos;

• Redução da exposição de serviços e sistemas para redes e usuários não confiáveis: Um firewall pode permitir a configuração para o mínimo de conectividade para um determinado sistema.
• Redução da área de exploração de protocolos: É possível configurar um firewall para inspecionar protocolos e certificar que eles estão de acordo com o padrão e assim filtrar a quantidade de requisições de conexões que atuam de maneira anormal.
• Limitar o acesso de usuários não autorizados através do firewall.
• Bloquear o trafego com conteúdo malicioso.

Políticas de segurança do firewall

A base de uma implementação de firewall bem-sucedida não é apenas o firewall em si, mas também a política de segurança que orienta e regula a maneira como o firewall se comportará.

As políticas de segurança para firewalls modernos são configuráveis para acomodar as circunstâncias específicas, ou necessidades, que uma organização possa ter.

Uma política de segurança de firewall é um conjunto de regras que um firewall depende para determinar qual tráfego deve ter permissão para passar para além dos limites da rede administrada pela empresa, como por exemplo o acesso entre o tráfego interno de uma corporação e à Internet, por exemplo. Ou então a permissão de acesso externo de acordo com serviços essenciais para os negócios da empresa.

Exemplos de regras de diretiva de segurança de um firewall:

• Bloquear todo o acesso do lado de fora e permitir todo o acesso interno ao exterior.
• Permitir acesso do lado de fora:
 –  apenas para determinadas atividades predefinidas.
 – apenas para determinadas sub-redes, hosts, aplicativos, usuários etc.

Os firewalls podem ter uma política de segurança padrão como:

Default permit: Qualquer coisa que não seja expressamente proibida é permitida.
Default deny: Tudo o que não é expressamente permitido é negado (a mais comum)

Quando olhamos para as regras do firewall, geralmente estamos tomando as decisões de permitir ou negar tráfego, com base em critérios predefinidos:

Por exemplo. IP de origem, IP de destino, número da porta, hora do dia, aplicações, etc.

As regras podem ser muito gerais ou específicas:

 Geral: Navegar na internet pela rede
• Específicas: departamento administrativo, endereço IP de origem específico → IP de destino

Normalmente as regras são lidas em fila, visualmente as regras são exibidas na configuração do firewall no sentido de cima para baixo, uma vez que o firewall compara o cabeçalho com a base de regras e uma vez que uma condição é encontrada o restante das regras não é mais lido e o firewall executará a ação ao trafego, descartando ou permitindo o pacote.

Tipos de Firewall
Uma rede baseada em firewall oferece funcionalidades para segurança do perímetro da rede.

A primeira tarefa de um firewall é permitir ou negar o trafego que tenta entrar ou deixar a rede baseado na configuração de regras e políticas. Os firewalls são geralmente implementados em diversas partes da rede, fornecendo segmentação dentro da infraestrutura corporativa e proteção de acessos externos a rede. Podemos listar os seguintes tipos de firewalls:
• Packet filter
• Proxy Firewall (proxy servers ou application layer gateway)
• Stateful inspection firewalls

Packet filter
Um firewall operando como um packet filter, pode permitir ou bloquear o trafego baseado em informações da Camada 3 e 4 do modelo OSI. Um exemplo de aplicação de packet filter é a utilização de ACLs aplicada nas interfaces de roteadores e switches. Um dos desafios do packet filtering é que o administrador deve saber exatamente quais são as necessidades do trafego da rede. O firewall packet filter é comumente chamado de firewall stateless pois não monitora as sessões do trafego permitido.

O packet filter não analisa os dados do pacote, ele faz suas decisões baseado apenas nas informações do cabeçalho, como endereço IP de origem e destino, portas e flags TCP/UDP.

Há duas preocupações sérias com a filtragem stateless:

• A conexão iniciada por um host interno é provavelmente uma conversa legítima (pro-va-vel-men-te) para um servidor externo. Como a principal função do firewall é permitir ou negar o acesso, o firewall não tem ciência se uma conexão é existente ou se ela é o início de uma comunicação entre dois dispositivos e isso é muito importante para nós quando se trata de um firewall.

• O uso de algumas aplicações que trabalham com portas TCP/UDP de forma dinâmica dificultam a criação de regras de filtragem stateless. As ACLs (listas de controle de acesso) são ótimas para permitir e negar o trafego usando como base números de porta estáticas nas regras de filtragem, mas não tanto com portas dinâmicas. Com a filtragem stateless no firewall, os aplicativos que usam números de porta dinâmicos terão dificuldades operacionais.

Proxy Firewall
Os ‘proxy firewalls’ também chamados de application layer gateway (ALG), atuam como intermediários entre duas redes sendo específicos para determinadas aplicações e protocolos. O proxy intercepta todos os pacotes e os reprocessa para uso interno, criando uma nova sessão para o servidor de destino. Nenhuma conexão direta é efetuada entre o cliente e o servidor de destino.

A implementação de proxy firewall permite controle e analise do tráfego na camada de aplicação, com controles bem específicos e detalhados, assim como os registros das sessões (logging).

Stateful packet filtering
A filtragem de pacotes stateful é uma das tecnologias de firewall mais importantes atualmente em uso. E é chamado stateful porque monitora o estado das sessões que estão passando pelo firewall. O firewall monitora toda a conexão TCP, incluindo os números de sequência e mensagens TCP. Basicamente, os firewalls stateful permitem que hosts internos iniciem conversas com hosts externos, mas não permitem que hosts externos iniciem conversas com hosts internos.

Toda essa mágica é executada com a utilização da tabela de sessão que é populada pelo firewall. Também conhecida como stateful table.

Outros sabores de firewalls
Baseado nos conceitos acima há uma variedade de firewalls que trabalham de forma similar à aos firewalls stateful, stateless e proxy ou em muitos casos incorporante outras funcionalidades como:

Personal Firewall – As políticas de firewall podem ser definidas via software na máquina do usuário ou individualmente para a máquina do usuário.
Transparent Firewall – O firewall no modo transparente pode trabalhar inicialmente com duas interfaces, sem endereço IP configurado, atuando como uma bridge (ou switch). Mesmo atuando como um dispositivo L2 as políticas podem ser aplicadas normalmente como um firewall L3, incluindo a tabela de sessão e ou inspeção de aplicações.

Next-Generation Firewall (NGFW) – Protege a rede de ameaças avançadas, agregando funções como IPS, sandbox, antivírus, controle e inspeção de aplicações, Filtro de URL e conteúdo web, entre outras.

Concluíndo

Os principais fabricantes do mercado têm oferecido os mais diversas funcionalidades para proteção da rede contra os ataques cibernéticos como também facilitando a administração e visualização das regras que compõe o firewall. As interfaces para gerenciamento estão cada vez mais intuitivas de fácil configuração e troubleshooting, gerando relatórios e logs de fácil visualização.

É possível adquirir e implantar firewalls tanto com appliances, VMs ou versões em cloud.

Os firewalls NGFW estão cada vez mais acessíveis as pequenas e medias empresas, enquanto os fabricantes oferecem licenças para atualização automática de sua base de assinaturas de antivírus, IPS, URL, app control, sandbox e mais.

O gerenciamento de diversos firewalls também pode ser executado através de um software do próprio fabricante ou em versões agnósticas que ajudam a manter a base de regras em conformidade, limpa (sem regras repetidas [shadow rules], não utilizadas ou muito permissivas) e com melhor desempenho.

Os firewalls também incluem atribuições de VPNs, que permitem que o tráfego de uma empresa flua de forma segura sobre uma rede insegura (como a Internet por exemplo) – entre dois pontos, fornecendo confidencialidade, integridade e disponibilidade, uma outra atribuição que os firewalls possuem é a tradução (NAT) de endereços da rede local, muitas vezes para o acesso à Internet.