ÈÕ±¾ÎÞëÖгö

Reputação de IPs Públicos

Verifique aqui como anda a reputação de seus IPs públicos.

Por que isso é importante?

• - Através da checagem de reputação de IPs você poderá identificar IPs/hosts, sob sua responsabilidade administrativa, que estejam infectados, realizando ações maliciosas contra terceiros ou que estejam sendo explorados através vulnerabilidades, de forma silenciosa, comprometendo a segurança da sua infraestrutura.
• - Por exemplo: Um IP que foi identificado com baixa reputação ou que está presente em listas de bloqueios como possível parte de uma botnet, foi reportado por terceiros que foram atacados.

O que devo fazer se identifiquei um IP comprometido?

• - Este é o ponto de partida para uma investigação em sua infraestrutura. Verifique a data em que a reputação deste IP foi comprometida, identifique o host em sua infraestrutura, verifique processos, conexões e portas suspeitas, analise os logs de serviços e acessos locais, logs de firewall e logs de mecanismos internos de proteção, tente identificar também as tentativas ou acessos deste IP a outros hosts da rede, se ficar comprovado o comprometimento, retire-o da sua rede e isole-o.Ìý
• - Todos os hosts identificados como comprometidos deverão ser totalmente sanitizados antes de voltarem a fazer parte da infraestrutura.

Portas/serviços externos

Verifique as principais portas de serviços expostas.

Por que isso é importante?

• - As portas de serviços que estão públicas na sua infraestrutura são canais de comunicação com o mundo externo, por isso você deve ter o conhecimento exato de quais portas os atores, ameaças e possíveis atacantes externos estão conseguindo ou tentando acessar, qual o serviço responsável por cada uma delas e o mais importante, se estes serviços são do seu conhecimento.
• - Sempre monitore em sua proteção de borda as conexões que entram e as que saem da infraestrutura, gere relatórios de inteligência como: serviços que mais geraram tráfego, mais geraram conexões, portas mais requisitadas, host de destino e origem mais requisitados. Com certeza você terá bons insights através destes dados, melhorará a segurança e o desempenho da sua rede.
• - Este é o principal objetivo deste tópico, trazer a você as informações necessárias para controle das portas públicas de sua infraestrutura, e assim identificar ações suspeitas ou desconhecidas, identificar serviços inseguros publicamente, vulnerabilidades e incentivar o fortalecimento das proteções em todos os tipos de serviços, sejam eles externos ou internos.

ÌýO que devo fazer quando identificar uma porta aberta externamente?

• - Verifique se o serviço é do seu conhecimento ou de conhecimento da equipe, e se sim, se deveria estar público.
• - Caso se depare com um serviço desconhecido, verifique imediatamente o host que hospeda o serviço e as regras de acesso a ele. Se mesmo assim não reconhecerem o serviço, bloqueie-o na proteção local, na proteção de borda e faça uma análise detalhada no host, ele pode estar comprometido, comprometendo também toda a sua infraestrutura.
• - Verifique as versões do serviço e procure saber se não estão vulneráveis. ³§±ð°ù±¹¾±Ã§´Ç²õ expostos e vulneráveis são certeza de incidentes sérios de segurança cibernética. Atualize-os!
• - ³§±ð°ù±¹¾±Ã§´Ç²õ sensíveis como, por exemplo: bancos de dados, gerenciadores de banco de dados, acessos ou gerenciamentos remotos de servidores, jamais devem ser expostos. Em caso de necessidade, estes serviços devem ser mantidos com acesso através de uma VPN.
• - Ao desativar um serviço, jamais se esqueça de remover sua regra de acesso na proteção local ou proteção de borda.

Portas/serviços internos

Verifique as principais portas de serviços internas.

Por que isso é importante?

• - Conhecer as portas que cada host disponibiliza para serviços e suas finalidades em seu ambiente interno é essencial, afinal, mesmo sendo portas internas, podem ocorrer incidentes de segurança cibernética, como por exemplo a propagação de malware entre os hosts de uma mesma rede, que entrou no ambiente através de um dispositivo externo.
• - Além deste cuidados, devemos dar atanção às portas de serviços internos que operam entre outras subredes internasÌý (vlans) da infraestrutura, que aumentam ainda mais os canais comunicação entre seus ambientes locais. Por isso você deve ter o conhecimento exato de quais portas de serviços estão disponíveis internamente entre suas redes (vlans), qual o serviço responsável por cada uma delas, se estes serviços são do seu conhecimento e o mais importante, se realmente a vlan "X" deveria estar acessando a vlan "Y" e o serviço disponibilizado nela.
• - Por isso fortemente recomendada a segmentação da sua rede em vlans, esta camada de isolamento poderá ser decisiva diante de alguns ataques, por exemplo, de Ransomwares e Worms, casos em que o malware tentará se propagar para outros hosts das redes internas através de portas de serviços vulneráveis. A segmentação da sua rede também proporciona uma visão clara de possíveis ações maliciosas realizadas entre as redes, facilitando a detecção e mitigação de um ataque, além de muitos outros benefícios técnicos e operacionais.
• - Sempre monitore em sua proteção de borda as conexões que entram e as que saem da infraestrutura, gere relatórios de inteligência como: serviços que mais geraram tráfego,Ìýmais geraram conexões, portas mais requisitadas, host de destino e origem mais requisitados. Com certeza você terá bons insights através destes dados, melhorará a segurança e o desempenho da sua rede.
• - Este é o principal objetivo deste tópico, trazer as informações necessárias para controle das portas internas e a segmentação das redes de sua infraestrutura, e assim identificar ações suspeitas ou desconhecidas, identificar serviços inseguros , vulnerabilidades e incentivar o fortalecimento das proteções em todos os serviços.

ÌýO que devo fazer quando identificar uma porta aberta internamente?

• - Verifique se o serviço é do seu conhecimento ou de conhecimento da equipe, e se sim, se deveria estar compartilhado entre outros hosts e outras redes.
• - Caso se depare com um serviço desconhecido, identifique imediatamente o hostÌý que hospeda o serviço em sua infraestrutura, verifique processos, conexões e outras portas suspeitas, analise os logs de serviços e acessos locais, logs de firewall, as regras de acesso a ele e logs de mecanismos internos de proteção, tente identificar também as tentativas ou acessos deste IP a outros hosts da rede, se ficar comprovado o comprometimento, retire-o da sua rede e isole-o.Ìý
• - Se mesmo assim não reconhecerem o serviço, bloqueie-o na proteção local, na proteção de borda e faça uma análise detalhada no host, ele pode estar comprometido, comprometendo também toda a sua infraestrutura.
• - Todos os hosts identificados como comprometidos deverão ser totalmente sanitizados antes de voltarem a fazer parte da infraestrutura.
• Durante as análises, caso se depare com um host ou um serviço de uma vlan que não deveria estar sendo acessado, reveja imaediatamente suas configurações de segurança e roteamento, limitando tal acesso.
• - Verifique as versões do serviço e procure saber se não estão vulneráveis. ³§±ð°ù±¹¾±Ã§´Ç²õ internos e vulneráveis propiciam ações de deslocamentos laterais na rede e são certeza de incidentes sérios de segurança cibernética. Atualize-os!
• - ³§±ð°ù±¹¾±Ã§´Ç²õ sensíveis como, por exemplo: bancos de dados, gerenciadores de banco de dados, acessos ou gerenciamentos remotos de servidores, jamais devem estar acessíveis a múltiplas redes, além das redes que os administram.
• - Ao desativar um serviço, jamais se esqueça de remover sua regra de acesso na proteção local ou proteção de borda.

Testes

Verifique as principais vulnerabilidades em alguns de seus serviços externos/públicos.

Por que isso é importante?

• - Conhecer as vulnerabilidades que cada host expõe é essencial, principalmente quando este host está publicado na internet. Através deste reconhecimento, poderemos estar a frente dos atacantes, corrigindo-as o mais rápido possível, prevenindo e evitando ataques que podem causar incidentes cibernéticos.
• - Este é o principal objetivo da ferramenta VTEST, disponibilizada pleo CAIS/RNP, a execução de testes e validações das principais vulnerabilidades em serviços.