Text by Geraldo Bravo, CyberArk sales executive.
A sua rede está totalmente protegida? Você provavelmente já deve ter cuidado com microssegmentações, políticas rígidas de firewall e ter algum tipo de solução de EDR que forneça visibilidade e monitoramento para atividades suspeitas, como malware e ataques cibernéticos. Além de permitir o acesso apenas em conexões seguras que dependem de protocolos criptografados.
Se você é um daqueles que leva a segurança de sua empresa a sério, provavelmente deve realizar uma rotina regular de atualização de seus sistemas de proteção, ou mesmo ter uma equipe SOC qualificada que monitora todos esses sistemas 24 horas por dia, 7 dias por semana e envia um relatório semanal mostrando todas as atividades realizadas no sistema, mas muitas vezes esses resultados podem ter sido examinados e caracterizados como falsos positivos. Mas e se esses processos não garantirem que seus dados estejam completamente seguros?
Um ataque de hacker pode usar três técnicas para invadir seu sistema sem ser notado. Para isso, é importante que você aprenda a ampliar esse conhecimento de forma que permita manter sua rede sempre protegida de possíveis ataques. Para fazer isso, você precisa entender como a mente de um hacker pensa para entender suas estratégias.
Perspectiva do hacker
Uma das características de um invasor habilidoso é a paciência. Manter o sigilo é um ingrediente importante em um ataque APT (Advanced Persistent Threat), pois permite que o invasor use técnicas e invasões contínuas e sofisticadas para obter acesso a um sistema e permanecer nele por um período prolongado e potencialmente destrutivo.
Um invasor que conseguiu passar a primeira linha de defesa e obteve o acesso inicial tentará escapar dos sistemas de defesa existentes. Enquanto isso, eles não farão nenhum movimento até que tenham certeza de que não foram descobertos. E mais do que isso, quando eles fizerem um movimento, eles vão se certificar de que você não está ciente de nada do que está acontecendo.
Tudo depende da quantidade de dados que o atacante possui, um cenário fácil é quando ele tem informações suficientes para tomar decisões sobre seus movimentos e planos futuros. O cenário mais problemático é quando não há dados de inteligência suficientes. Nessa situação, a melhor maneira de um invasor ficar fora do radar é usar os recursos “obrigatórios” de uma rede organizacional, como pastas compartilhadas, mensagens de ping e consultas DNS.
Mas por que um invasor usaria isso? Como esses protocolos são usados com muita freqüência, não requerem um sistema de inteligência antes de sua operação. Mesmo que um de seus sistemas de defesa detecte algo incomum, é provável que sua equipe SOC tenha dificuldade em investigar exatamente o que aconteceu. Procurar um padrão incomum no tráfego de rede desses protocolos é como procurar uma agulha em um palheiro.
Existem três exemplos de protocolos comuns usados por um invasor para obter uma vantagem no acesso aos sistemas. O primeiro é SMB, que pode ser usado sobre o protocolo TCP / IP, permite acesso a arquivos ou outros recursos em um servidor remoto; o segundo é o DNS, que permite a tradução de nomes de domínio em endereços IP; e, finalmente, o ICMP, que autoriza a criação de mensagens relacionadas ao IP, mensagens de erro e pacotes de teste.
O que fazer contra esses tipos de ataques
Existem dois métodos principais que vale a pena apontar e que podem ajudar a enfrentar esses desafios. A primeira delas é a Deep Packet Inspection (DPI), tecnologia utilizada para capturar pacotes de rede conforme eles passam por roteadores e outros dispositivos de rede, além de realizar filtragem de pacotes para examinar dados e detectar uso malicioso de pacotes.
Outro método é o Behavior Based Safety (Behavior Based Safety) que é uma metodologia para aumentar o desempenho preventivo da segurança nas organizações, permitindo uma abordagem proativa automatizada, na qual é possível detectar anomalias comportamentais na rede.
No entanto, a questão mais importante é que você precisa assumir a perspectiva que um invasor pode usar para acessar seu sistema. Procure propriedades na rede que sejam “óbvias”, tipos de tráfego triviais e aquelas que são difíceis de filtrar padrões incomuns.
Veja a postagem original em: https://thehack.com.br/sua-rede-atraves-dos-olhos-de-um-hacker/?rand=48873
