Try Hack Me - Intro to Defensive Security

     Continuamos nossa jornada com o Try Hack Me, para criar sua conta, não esqueça de utilizar o nosso link que vai te dar $5 de desconto na assinatura premium.

    O segundo tópico da jornada Jr Penetration Test refere-se a segurança ofensiva, para introduzir o assunto. Então vamos lá:

Acesso do laboratório: https://tryhackme.com/r/room/defensivesecurity

    Enquanto a segurança ofensiva, que basicamente consiste em invadir sistemas através da exploração de bugs e vulnerabilidades, atua pensando como um hacker, a segurança defensiva atua principalmente em duas frentes: Prevenir que invasões ocorram e Detectar invasões quando ocorrem e responder adequadamente. Os profissionais que trabalham com segurança defensiva são também conhecidos como Blue Teams. 

Entre todas as tarefas relacionadas ao Blue Team, as principais são:

• Conscientização dos usuários sobre cibersegurança: Treinar os usuários sobre cibersegurança ajuda a protegê-los contra vários ataques que visam seus sistemas.
• Documentação e gerenciamento de ativos: Precisamos saber os tipos de sistemas e dispositivos que temos para gerenciá-los e protegê-los adequadamente.
• Atualização e correção de sistemas: Garantir que computadores, servidores e dispositivos de rede estejam corretamente atualizados e corrigidos contra qualquer vulnerabilidade conhecida.
• Configuração de dispositivos de segurança preventiva: Firewalls e sistemas de prevenção de intrusões (IPS) são componentes críticos da segurança preventiva. Firewalls controlam o tráfego de rede que pode entrar e sair do sistema ou rede. IPS bloqueia qualquer tráfego de rede que corresponda a regras e assinaturas de ataque presentes.
• Configuração de dispositivos de registro e monitoramento: Sem o registro e monitoramento adequados da rede, não será possível detectar atividades maliciosas e intrusões. Se um novo dispositivo não autorizado aparecer em nossa rede, devemos ser capazes de saber.

    No tópico que estudaremos a seguir, vamos cobrir os seguintes assuntos: 

• Centro de Operações de Segurança (SOC) 
• Inteligência de Ameaças 
• Análise Forense Digital e Resposta a Incidentes (DFIR) 
• Análise de Malware

    Responda a questão: Which team focuses on defensive security?

    Resposta: Blue Team

    CENTRO DE OPERAÇÕES DE SEGURANÇA (SOC)

    O SOC é o centro de operações que faz o monitoramento da rede e dos sistemas de uma empresa com o intuito de detectar eventos maliciosos, ou seja, ataques contra aquela infraestrutura. Algumas das principais áreas de interesse de um SOC são:

• Vulnerabilidades: Sempre que uma vulnerabilidade é identificada, em qualquer software da infraestrutura, é necessário aplicar a atualização para que ela seja corrigida. Caso ainda não haja uma correção por parte do fabricante, é necessário que as ações necessárias sejam tomadas para evitar que ela seja explorada.

• Violação de políticas: As políticas de segurança são como um conjunto de regras necessárias para proteção da rede, dos sistemas e dos dados da empresa. Pode ser uma violação de política, por exemplo, se um usuário começar a fazer upload de dados da empresa para um serviço de armazenamento online.

• Atividade não autorizada: Considere o seguinte cenário: os dados de login de um usuário são roubados e o atacante usa esses dados para fazer login na rede. O SOC precisa detectar isso e bloqueá-lo o mais rápido possível, antes que mais danos sejam causados.

• Intrusões na rede: Não existe sistema 100% seguro. Uma intrusão pode ocorrer quando um usuário da rede clica em um link malicioso da rede, ou quando um atacante explora uma falha em um servidor público da empresa. O SOC é responsável por identificar o mais rápido possível, e tomar as medidas para mitigar os problemas decorrentes dessa invasão.

    INTELIGÊNCIA DE AMEAÇAS

    Nesse contexto inteligência refere-se às informações que o time de segurança coleta sobre inimigos reais e potenciais. Define-se como ameaça qualquer ação que possa interromper o pleno funcionamento de qualquer sistema de uma empresa. A inteligência de ameaças visa coletar o máximo de informações possível sobre essas ameaças e ajudar a empresa a se proteger da melhor forma possível. Diferentes empresas têm diferentes tipos de inimigos, por exemplo, alguns atacantes podem querer roubar dados de uma empresa de telefonia celular, no entanto, outros podem querer interromper a produção de uma refinaria de petróleo, ou mesmo, impedir que um adversário político tenha acesso a uma arma de destruição em massa, conforme explicamos em nosso artigo anterior.

    A inteligência precisa de dados. Os dados precisam ser coletados, processados e analisados. A coleta é feita a partir de fontes locais, como logs de rede e fontes públicas, como fóruns. O processamento de dados visa organizá-los em um formato adequado para análise. A análise busca encontrar mais informações sobre os atacantes e seus motivos, além disso, visa criar uma lista de recomendações para futuros incidentes.

    Aprender sobre seus adversários, permite conhecer suas táticas, técnicas e procedimentos. Como resultado da inteligência de ameaças, identificamos o adversário, prevemos as atividades e seremos capazes de prepara uma estratégia para responder qualquer incidente de segurança.

ANÁLISE FORENSE DIGITAL E RESPOSTA A INCIDENTES (DFIR)

        ANÁLISE FORENSE DIGITAL

    A forense é a aplicação da ciência para investigar crimes e estabelecer fatos. Com o uso e a disseminação de sistemas digitais, como computadores e smartphones, nasceu uma nova ramificação da forense para investigar crimes relacionados: a forense digital

    Na segurança defensiva, o foco da forense se desloca para a análise de evidências de um ataque e seu atacantes. Outras áreas também estão inclusas como: ciberespionagem, roubo de propriedade intelectual e posse de conteúdo não autorizado. A forense digital se concentrará em áreas como: 

• Sistema de arquivos: Analisar uma imagem do armazenamento de um sistema revela muitas informações, como programas instalados, arquivos criados, arquivos parcialmente sobrescritos e arquivos excluídos.

• Memória do sistema: Se o atacante estiver executando seu programa malicioso, diretamente na memória do "alvo" sem salvá-lo no disco,  uma cópia de baixo nível da memória pode ser a melhor maneira de analisar o seu conteúdo e obter mais informações sobre o ataque.

• Logs do sistema: Cada computador, seja cliente ou servidor, armazena diferentes arquivos de log sobre o que está acontecendo. Esses arquivos fornecem muitas informações sobre o que aconteceu em um sistema. Alguns rastros, mesmo que o atacante tente apagá-los, vão permanecer.

       RESPOSTA A INCIDENTES

    Com incidente, nos referimos a uma violação de dados ou um ataque cibernético bem sucedido. Porém, em alguns casos, pode ser algo menos critico como, uma configuração incorreta, uma tentativa de intrusão ou uma violação de política. Exemplos de ataque cibernético são: um atacante tornar nossa rede ou algum sistema indisponível, alteração de sites públicos e/ou violação (roubo) de dados da empresa. A resposta a incidentes especifica a metodologia que deve ser seguida para lidar com tais casos. O objetivo é reduzir os danos e recuperar a operação normal da empresa no menor tempo possível. 

    As principais fases, do processo de resposta a incidentes são:

• Preparação: Requer uma equipe treinada e pronta para lidar com incidentes. Várias medidas são implantadas para prevenir os incidentes.

• Detecção e análise: A equipe deve ter todos os recursos necessários para detectar qualquer incidente; além disso, é necessário analisar qualquer incidente identificado para aprender sobre sua gravidade.

• Confinamento, erradicação e  recuperação: Quando um incidente é identificado, é crucial evitar que ele afete outros sistemas, eliminá-lo e recuperar os sistemas afetados. Por exemplo quando um sistema é infetado por um vírus de computador, gostaríamos de evitar a propagação do vírus para outros sistemas, limpá-lo e garantir a recuperação do sistema em questão.

• Atividade pós incidente: Após a recuperação do sistema, é produzido um relatório e as lições aprendidas são compartilhadas para prevenir futuros incidentes semelhantes.

    ANÁLISE DE MALWARE

    Malware é uma abreviação para Malicious Software. Existem vários tipos de Malware, os principais são:

    Vírus: é um pedaço de código que se anexa a um programa. Ele é projetado para se espalhar pelos computadores de uma rede. Além disso, funciona alterando, sobrescrevendo e excluindo arquivos. O resultado pode variar desde o computador ficar lento, até se tornar inutilizado. 

    Cavalo de Tróia: É um programa que mostra uma função desejável porém esconde uma função maliciosa por trás. Por exemplo, uma vítima baixa um editor de vídeo de um site suspeito que dá ao atacante controle total sobre sua máquina.

    Ramsomware: É um programa malicioso que criptografa os arquivos do usuário. A criptografia torna os arquivos inelegíveis sem o conhecimento da senha de criptografia. O atacante oferece a vítima a senha da criptografia, mediante ao pagamento de um "resgate".

    A análise de malware visa aprender sobre esses programas maliciosos usando vários meios:

• Análise estática: funciona inspecionando o programa malicioso sem executá-lo. Normalmente, isso requer um conhecimento sólido da linguagem de construção do programa.

• Análise dinâmica: funciona executando o malware em um ambiente controlado e monitorando suas atividades. Permite observar como o malware se comporta quando em execução.

    Responda as questões abaixo:

    What would you call a team of cyber security professionals that monitors a network and its systems for malicious events?

   Resposta: Security Operations Center

    

    What does DFIR stand for?

    

    Resposta: Digital Forensics and Incident Response

    Which kind of malware requires the user to pay money to regain access to their files?

    Resposta: Ransomware

    Aqui o laboratório nos propõe um exercício prático de segurança defensiva. Clicando no botão "view site" para encontrar a "flag". U    xma flag pode ser vista como uma sequência de texto que você recebe uma vez que cumpre uma tarefa. Um exemplo de flag é FLAG{WORDS_AND_MORE}.

    O contexto do exercício é o seguinte:

    Você faz parte de um Centro de Operações de Segurança (SOC) responsável por proteger um banco. O SOC desse banco usa um sistema de Gerenciamento de Informações e Eventos de Segurança (SIEM). Um SIEM reúne informações e eventos relacionados à segurança de várias fontes e os apresenta por meio de um único sistema. Por exemplo, você seria notificado se houver uma tentativa de login falhada ou uma tentativa de login de uma localização geográfica inesperada. Além disso, com o advento da inteligência artificial, um SIEM pode detectar comportamentos incomuns, como um usuário fazendo login às 3 da manhã quando ele normalmente faz login apenas durante o horário de trabalho.

    Neste exercício, vamos interagir com um SIEM para monitorar diferentes eventos em nossa rede e sistemas em tempo real. Alguns dos eventos são típicos e inofensivos; outros podem exigir uma intervenção adicional de nossa parte. Encontre o evento marcado em vermelho, tome nota dele e clique nele para uma inspeção mais detalhada.

    Em seguida, queremos aprender mais sobre a atividade ou evento suspeito. O evento suspeito pode ter sido desencadeado por um evento, como um usuário local, um computador local ou um endereço IP remoto. Para enviar e receber correspondência postal, você precisa de um endereço físico; da mesma forma, você precisa de um endereço IP para enviar e receber dados pela Internet. Um endereço IP é um endereço lógico que permite a comunicação pela Internet. Inspecionamos a causa do gatilho para confirmar se o evento é realmente malicioso. Se for malicioso, precisamos tomar as devidas ações, como relatar a outra pessoa no SOC e bloquear o endereço IP.

Digite o IP obtido anteriormente na caixa de pesquisa e use o botão "Submit"

    Responda as questões abaixo: 

    What is the flag that you obtained by following along?

    Resposta: THM{THREAT-BLOCKED} 

    Com isso, o próximo passo na jornada do "pentester" foi dado! Agora, continuaremos seguindo a trilha, trazendo mais informações aqui e no nosso canal no YouTube.

    Let's Hacking