5. Co-Owner Punto Net Soluciones SRL
MVP Cloud and Datacenter Management – 15 years as MVP !!
Cybersecurity Professional of the Year 2018. Auditor ISO/IEC 27001
He performs consulting and management in Cybersecurity in large
companies. Developed software for analysis of mobile applications
(APK).
So far this year, it takes 3000 hours of intrusion testing.
Blue Teams Coordinator
Speakers at events, interviewed in media such as radio and TV in
Argentina.
Mini-Biografia
edutra@puntonetsoluciones.com.ar@egdutra
/in/enriquedutra https://seguridadit.blogspot.com/
6. PATROCINADORES_
Agradecemos a confiança e o investimento realizado pelos Patrocinadores do
MVPConf LATAM 2020.
Sem a participação deles o evento não aconteceria.
Nosso muito obrigado!!!
7. Lar de Idosos Nossa
Senhora da Conceição
Aracaju - SE
Retiro dos Idosos
Universina Carrera
Machado
Santo Ângelo - RS
Associação Comunitária
Fênix
Jacareí - SP
Rede Feminina de
Combate ao Câncer
Três Lagoas - MS
Associação de Pais e
Amigos dos Excepcionais
– APAE de Farroupilha
Farroupilha - RS
Lar da Criança Ninho de
Paz
São Paulo - SP
Abrigo Bom Pastor
Cornélio Procópio - PR
BENEFICIADAS
POR VOCÊ_
Estas foram as entidades beneficiadas com a doação que você realizou no ato da
sua inscrição no MVPConf LATAM 2020.
Sem a sua participação o evento não aconteceria e não poderíamos impactar a vida
de tantas pessoas.
Nosso muito obrigado!!!
9. Teste de Vulnerabilidade
• Devido à pandemia, os ataques cibercriminosos aumentaram
exponencialmente.
• As organizações publicaram mais serviços na Internet para oferecer
serviços, como carrinhos de compras.
• Diante de ameaças, eles solicitam um teste de vulnerabilidade.
• Questão. Uma foto é útil?
10. Teste de Vulnerabilidade
• A organização acha que o site é
uma Ferrari.
• Os “developers” garantem que
possuem todas as funções.
• O especialista em segurança
cibernética insiste que não
possui todas as medidas de
segurança para o momento.
• É realizado um Teste de
Vulnerabilidade e gerado um
documento para melhorá-lo. (A
primeira foto.)
11. Teste de Vulnerabilidade
• Duas coisas acontecem, as
melhorias são aprovadas ou
deixadas como estão.
• "Nada pode acontecer conosco."
• Se for otimizado, o
desenvolvimento é melhorado
ou corrigido com correções de
infraestrutura.
• Eles estão solicitando um novo
teste (2da foto)
12. Teste de Vulnerabilidade
• Se houver um orçamento, ele é
verificado novamente.
• Os desenvolvedores/marketing não
querem mais fazer novas melhoras.
• A área de TI ou Cibersegurança faz
o que pode para proteger a
plataforma. A infraestrutura atenua
os problemas de segurança. (IPS,
WAF, etc).
MAS SEMPRE TEMOS UMA FOTO DA
PLATAFORMA.
13. Teste de Vulnerabilidade
• Um teste de vulnerabilidade pode ajudar a entender o nível de risco
ou cumprir uma auditoria.
• As ameaças mudaram, portanto, devemos estar em um estado
contínuo de validação.
15. BLUE TEAM
Eles se referem à equipe de segurança interna que defende tanto
atacantes reais quanto READ TEAM.
As equipes BLUE TEAM devem ser distinguidas das equipes de
segurança padrão na maioria das organizações, já que a maioria das
equipes de operações de segurança não tem uma mentalidade de
vigilância constante contra ataques, que é a missão e a perspectiva de
uma verdadeira BLUE TEAM.
16. BLUE TEAM
Os processos devem ser automatizados. Para isso, em muitos casos, o
PowerShell é usado para proteger o Windows contra muitos dos
ataques descritos no array MITRE ATT&CK, especialmente credenciais
administrativas roubadas, ransomware, movimento lateral de hackers
dentro da LAN e protocolos inseguros do Windows, como RDP e SMB.
17. BLUE TEAM
Instituto SANS curso SEC505: Protegendo a Automação Windows e
Powershell.
• Course Sans Institute: No SEC505 você aprenderá a usar o PowerShell
para automatizar a segurança do Windows e “hardening” com
PowerShell.
https://www.sans.org/cyber-guardian/blue-team
https://blueteampowershell.com/SEC505-Scripts.zip
19. Mitre
• Organização sem fins lucrativos
criada em 1958 no MIT e
financiada pelo governo dos EUA.
• Site www.mitre.org, primeiro site
registrado como .org
• O objetivo é fornecer diretrizes ao
governo dos Estados Unidos sobre
questões de tecnologia avançada.
CVE
• Em 1999, foi criado o CVE (Common
Vulnerabilities and Exposures), uma
lista de informações registradas
sobre vulnerabilidades de segurança
conhecidas, em que cada referência
tem um número de identificação
CVE-ID
• Hoje, nos boletins da Microsoft, em
segurança, o cve.mitre.org é
geralmente referido.
• OpenVas
20. • Em 2015 surge o Mitre Att&ck
• Adversarial Tactics Techniques & Common Knowledge
• É uma base de conhecimento que contém táticas e técnicas de ataque de
cibersegurança.
• O objetivo é ajudar qualquer pessoa ou organização a desenvolver uma
segurança cibernética eficaz sem nenhum custo.
• https://attack.mitre.org
• ATT&CK é uma estrutura que serve para identificar táticas, técnicas e
procedimentos comuns (TTPs) que ameaças persistentes avançadas usam
contra plataformas de computação, como sistemas Windows de empresas.
21. Com a pesquisa desse projeto, a organização desenvolveu a ATT&CK,
cujo diferencial está nestes quatro aspectos:
1) Comportamentos adversos: concentrando-se nas táticas e técnicas
dos ciberataques, os especialistas do MITRE conseguiram coletar
dados analíticos suficientes para detectar seus comportamentos
mais comuns.
2) Descarte de outros modelos de cibersegurança: MITRE também
aponta que outros modelos de cibersegurança existentes baseados
no ciclo de vida do adversário são muito abstratos e não muito úteis
para estabelecer TTPs e se ajustar a novos tipos de ameaças
cibernéticas.
TTPs táticas, técnicas e
procedimentos comuns
22. 1) Aplicável a ambientes reais: TTPs devem ser baseados em incidentes
observáveis e mensuráveis para mostrar que eles funcionam em
ambientes reais.
2) Taxonomia comum: os TTPs devem poder ser comparados mesmo
que partam de diferentes tipos de adversários, por isso o framework
usa terminologia comum em todas as suas categorias.
TTPs táticas, técnicas e
procedimentos comuns
23. Todas as informações que eles coletam (em tempo real) sobre os diferentes
ataques são despejadas em diferentes matrizes, como aquelas destinadas a
empresas, dispositivos móveis ou técnicas de pré-ataque.
Principais usos:
✓ Modelagem de ameaças e identificação de brechas de controle
✓ Como uma linguagem / referência comum para uma conversa significativa
✓ Como um quadro de referência durante a resposta a incidentes
✓ Como um quadro de referência durante os exercícios do APT-Replay Red
Teaming
✓ Como uma ponte entre as equipes ofensivas e defensivas durante os
treinos da equipe.
APT = advanced persistent threat
24. A MITRE dividiu o ATT&CK em várias matrizes
diferentes: Enterprise, Mobile e PRE-ATT&CK
Contém domínios por tecnologia:
• PRE-ATT&ACK: Trata-se de reconhecimento, assim como a
infraestrutura para atacar.
• ATT&CK Enterprise: comportamento infraestrutura de TI.
• ATT&CK Mobile: comportamento dispositivos móveis.
25. Ao olhar para o ATT&CK como uma matriz, os títulos das colunas são
táticas e, essencialmente, categorias de técnicas. As táticas são o que
os agressores tentam alcançar, enquanto as técnicas individuais são
como eles alcançam esses passos ou objetivos.
MATRIZ
27. Passos a seguir:
✓Entenda a ATT&CK: Familiarize-se com a estrutura e tática geral da
ATT&CK (objetivos técnicos do adversário), técnicas (como esses
objetivos são alcançados) e procedimentos (implementações
específicas de técnicas).
✓Encontre o comportamento: Pense na ação do oponente de forma
mais ampla do que apenas o indicador atômico (como um endereço
IP) que eles usaram.
✓Investigue o comportamento: Se você não está familiarizado com o
comportamento, você pode precisar investigar mais.
28. ✓Transforme o comportamento em uma tática: Considere o objetivo
técnico do oponente para esse comportamento e escolha uma tática
que encaixe. A boa notícia é que há apenas 12 táticas para escolher na
ATT&CK.
✓Descubra qual técnica se aplica ao comportamento observado. Isso
pode ser um pouco complicado, mas com os exemplos no site da
ATT&CK é viável.
✓Compare seus resultados com outros analistas: é claro, você pode ter
uma interpretação diferente do comportamento do que outro
analista.
32. Chutando o tabuleiro
A Microsoft e a MITRE, em colaboração com uma
dúzia de outras organizações, desenvolveram uma
estrutura projetada para ajudar a identificar,
responder e remediar ataques direcionados a sistemas
de aprendizado de máquina e Machine Learning (ML).
33. Microsoft - MITRE
A Microsoft trabalhou com a MITRE para criar a Adversarial ML Threat Matrix, porque
acredita que o primeiro passo para capacitar as equipes de segurança a se defenderem
contra ataques a sistemas ML, é ter uma estrutura que organize sistematicamente as
técnicas empregadas por adversários maliciosos no subverter os sistemas ML.
Espera que a comunidade de segurança possa usar as táticas e técnicas tabuladas para
reforçar suas estratégias de monitoramento em torno dos sistemas críticos de ML de sua
organização.
NOVA MATRIZ
https://github.com/mitre/advmlthreatmatrix/blob/master/images/AdvMLThreatMatrix.jpg
Start-UP
advmlthreatmatrix/adversarial-ml-101.md at master · mitre/advmlthreatmatrix · GitHub
35. Microsoft - SENTINEL
Detecção avançada de ataques em vários estágios no Azure Sentinel
✓Usando a tecnologia Fusion baseada no aprendizado de máquina, o
Azure Sentinel pode detectar automaticamente ataques
multiestáudos identificando combinações de comportamentos
anômalos e atividades suspeitas que são observadas em vários
estágios da cadeia de morte. Com base nessas descobertas, o Azure
Sentinel gera incidentes que de outra forma seriam difíceis de pegar
✓DEMO
✓https://docs.microsoft.com/en-us/azure/sentinel/fusion
37. Resumo
1) Monitore os serviços e aplicativos da Web, correio, Webservices,
ML,etc. Use SENTINEL.
2) Integre Mitre Att&ck assim que puder em suas plataformas.
3) No Azure, habilite recursos de segurança que se integram com
recursos com Red Team, Blue Team e Mitre Att&ck.
4) Defina um esquema on-premise ou cloud de análise constante antes
de ataques cibernéticos. (Blue Team)
5) Seja proativo.