Galera, segue algumas anotações da preparação para o SECOPS da Cisco:
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
SECOPS
-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.
- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.
- Ferramentas do analista de SOC:
- Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;
- Ferramentas do analista de redes
- Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;
- Ferramentas de penteste:
- Metasploit;
- Nessus;
- Nmap;
- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;
- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
- Sequenciamento - reconstrução do traffic flow;
- Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
- Log clustering -
- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
- 1º - recebe a mensagem syslog e armazena ela;
- 2º - Move mensagens para um database;
- 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
- 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
- Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
- Full packet capture (PCAP);
- Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
- Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
- Statical data - dados coletados por um periodo, usado para produzir baselines;
- Metadata - dados sobre os dados (geolocalização, reputação etc);
- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;
- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
- Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM ou DDOS;
Algumas defesas contra algumas fases do ataque:
- Email - Bloqueio de anexos/links maliciosos;
- Segurança DNS - Bloqueio de dominios maliciosos;
- Segurança no client - Inspeção de ransoware e virus/
- Segurança WEB - Bloqueio de comunicação Web a sites infectados;
- Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
- Prevenção de intrusão - Bloqueios de ataques e ameaças;
- Firewall baseado em identidade - segmentação de acesso
- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
- Meta-features do Diamond Model:
- Timestamp
- Phase
- Result
- Direction
- Methodology
- Resources
- Hunting Maturity Model - Nível de maturidade nos processos
- HM0 - A organização confia nos alertas atuando reativamente (ex.
- HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
- HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
- HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
- HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;
CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
- Base Metrics
- Exploitability metrics;
- Vetor de ataque (AV)
- Complexidade do ataque (AC)
- Privilégios requeridos (PR)
- Interação do usuário (UI)
- Scopo (S)
- Impact metrics
- Confidencialidade
- Integridade
- Disponibilidade
- Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
- Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
- Remdeiation Level(RL) - nível de vacina para o exploit;
- Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
- Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
- Modified base metrics - ajustes baseados no ambiente da empresa;
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;
Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original
Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;
Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".
Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.
Vetores de ataques comuns:
Web:
- MySQL injections
- Local file inclusions or directory traversal
- Arbitrary code execution
- Obfuscated web scripting
- XSS
- CSRF
Software vulns.
Common payloads
End users
Code obfuscation - técnica usada para mudar a aparência do código rodando em um sistema para aumentar a dificuldade de exploit.
Metaexploits mais comuns:
- Single payload - funcionam sozinho, não dependem do Meptasploit (ex.Netcat);
- Stagers payload - configura uma conexão de Rede entre o atacante e a vitima;
- Stages payload - Payload simples entregue ao host, todos os componentes estão fora da rede;
Directory transversal - leva vantagem de falta de checagem ou validação nos inputs do usuário.
SQL Injection - explora problemas de validação de input em bases SQL para injetar códigos ou obter informações.
Cross-site-scripting (XSS) - Script malicioso executado em um browser (geralmente Javascript), 2 tipos:
- Stored (persistent) - Embeda o código diretamente no webserver;
- Reflecter (non-persistent) atack - o atacante inclui um código HTML redirecionando para um link de uma página maliciosa;
- Punycode - utilização de caracteres diferentes (formato ASCII) para enganar o DNS e redirecionar para sites maliciosos.
- Pivoting - Uso de um pc para atacar outros computadores.
Identificando atividades maliciosas:
- Threat actor - individuo ou grupo responsaveis por causar um incidente de seguraça na organização, podem ser categorizados pelo seu nível de skill, tipos de atividades e pelas motivações.
- Script kiddies - Sem skill, sem experiência e utiliza ferramentas prontas para os ataques.
- Hacktivismo - Geralmente motivados politicamente.
- Crime organizado - modelo de negocios que oferecem serviços como botnets ou DoS.
- State-sponserd/nation-state actors - Ofensores de uma nação (ex.hackers do governo chinês);
- Insider threat - Empregado ofensor com motivos pessoais ou por simples acidentes.
Modelo determinístico de analise - baseado em fatos com o minimo de especulação;
Modelo probabilístico de analise - é criado uma hipótese e analisado todas as possibilidades até o descarte;
Continua...
