Material de Apoio Aula 02
Material de Apoio Aula 02
Material de Apoio Aula 02
ameaças cibernéticas. Para identificar fraquezas em sistemas e infraestruturas de TI, o Blue Team
utiliza uma variedade de técnicas, abordagens e métodos. Abaixo estão algumas das principais
práticas que o Blue Team emprega para identificar fraquezas:
Esta é uma técnica fundamental em que o Blue Team utiliza ferramentas de avaliação de
vulnerabilidades para escanear sistemas e redes em busca de vulnerabilidades conhecidas. Essas
ferramentas identificam brechas de segurança, como sistemas desatualizados, configurações
incorretas ou software vulnerável.
Aqui estão algumas das ferramentas comuns usadas para realizar Vulnerability Assessment:
OpenVAS: O OpenVAS (Open Vulnerability Assessment System) é uma ferramenta de código aberto
que realiza verificações de vulnerabilidades em sistemas e redes. Ele é uma alternativa gratuita ao
Nessus.
Rapid7 Nexpose: Esta é outra ferramenta comercial de avaliação de vulnerabilidades que ajuda a
identificar e priorizar vulnerabilidades em sistemas e redes.
Pág. 02
Penetration Testing (Teste de Invasão):
Os testes de invasão simulam ataques reais para avaliar a resistência dos sistemas e redes a
ameaças e geralmente quem é responsável por fazer e simular estes testes é a equipe de Red Team.
O Blue Team pode realizar testes de invasão internos ou contratar especialistas externos para
conduzir testes éticos de penetração, mas é importante esta equipe saber dos procedimentos e
etapas utilizados pelos atacantes:
1 Reconhecimento
Este é o primeiro passo em um ataque cibernético, onde o hacker coleta informações sobre o alvo.
O hacker pode usar uma variedade de técnicas de coleta de informações, incluindo a busca por
informações públicas na Internet, como as informações de contato da empresa, os endereços IP da
rede, o histórico de navegação do site, entre outras informações.
2 Varredura
Após coletar informações sobre o alvo, o hacker tenta identificar pontos fracos no sistema e na rede
do alvo. Isso pode envolver o uso de ferramentas automatizadas para varrer portas abertas,
vulnerabilidades conhecidas e outros possíveis pontos de entrada.
3 Ganho de Acesso:
Com base nas informações coletadas durante as etapas anteriores, o hacker tenta ganhar acesso
à rede ou sistema do alvo. Isso pode ser feito usando várias técnicas, como phishing, engenharia
social, exploração de vulnerabilidades, entre outras.
4 Manutenção do Acesso:
Depois de ganhar acesso, o hacker pode instalar backdoors, keyloggers ou outros tipos de malware
para manter o acesso ao sistema ou rede do alvo. Isso permite que o hacker continue a coletar
informações ou controlar o sistema, mesmo que o ponto de entrada original seja corrigido.
5 Escalonamento de Privilégios
O hacker pode tentar obter mais privilégios e acesso dentro do sistema ou rede do alvo. Isso pode
envolver a busca por contas de usuário com privilégios elevados, a exploração de vulnerabilidades
ou a tentativa de enganar usuários com privilégios para conceder acesso adicional.
6 Execução de Ataque
Com acesso e privilégios elevados, o hacker pode realizar o ataque real. Isso pode envolver o roubo
de informações confidenciais, a interrupção ou destruição de serviços, a implantação de
ransomware ou outro tipo de malware, entre outras ações mal-intencionadas
7 Apagar os Rastros
O hacker pode tentar encobrir suas atividades, excluindo registros de atividades e arquivos de log,
apagando evidências de sua presença no sistema ou rede do alvo. Isso torna mais difícil para o alvo
identificar o ataque e rastrear o hacker.
Pág. 03
Análise de Logs e Monitoramento de Segurança
Monitorar e analisar logs de eventos de segurança é crucial para detectar atividades suspeitas. O
Blue Team utiliza ferramentas de SIEM (Security Information and Event Management) para coletar e
correlacionar logs de várias fontes.
SIEM (Security Information and Event Management): As soluções SIEM são projetadas para coletar,
correlacionar e analisar logs de eventos de segurança de várias fontes, como firewalls, servidores,
sistemas de detecção de intrusões e muito mais. Exemplos de soluções SIEM incluem Splunk, IBM
QRadar, McAfee Enterprise Security Manager (ESM) e Elastic Security.
LogRhythm: Esta é uma plataforma SIEM que oferece análise de logs e monitoramento de
segurança em tempo real, além de recursos avançados de detecção de ameaças.
ArcSight: A ArcSight, da Micro Focus, é outra solução SIEM que permite o monitoramento de logs e
análise de eventos para detecção de ameaças.
Graylog: Graylog é uma plataforma de gerenciamento de logs de código aberto que permite a
coleta, pesquisa e análise de logs de diversas fontes.
ELK Stack (Elasticsearch, Logstash, Kibana): Esta pilha de código aberto oferece uma maneira
personalizável de coletar, armazenar e visualizar logs de eventos para análise de segurança.
Syslog-ng: Uma ferramenta de código aberto para coletar e encaminhar logs de eventos em
sistemas Unix e Linux.
Splunk: Embora o Splunk seja frequentemente associado a uma solução SIEM, ele também pode
ser usado para análise de logs e monitoramento de segurança. Ele é altamente personalizável e
pode ser adaptado para várias necessidades de segurança.
AlienVault OSSIM: Uma plataforma de segurança unificada de código aberto que inclui
funcionalidades de análise de logs e correlação de eventos.
Pág. 04
Auditorias de Segurança
Nessus: Além de ser uma ferramenta de avaliação de vulnerabilidades, o Nessus também pode ser
usado para realizar auditorias de configurações de segurança em sistemas e redes.
OpenVAS: Assim como o Nessus, o OpenVAS também pode ser usado para verificar configurações
de segurança e conformidade com políticas.
Qualys Policy Compliance (Qualys PC): A Qualys oferece uma solução específica para auditoria de
conformidade de políticas que ajuda a verificar se os sistemas estão em conformidade com
políticas internas ou regulamentações externas.
GRC (Governance, Risk Management, and Compliance) Tools: Muitas organizações usam
ferramentas de GRC, como o RSA Archer ou o ServiceNow GRC, para automatizar processos de
auditoria, gerenciamento de riscos e conformidade.
Auditorias de Redes e Sistemas Físicos: Para auditorias de segurança física, ferramentas como
câmeras de segurança, sistemas de controle de acesso e sistemas de alarme podem ser usadas.
É importante notar que a seleção das ferramentas e técnicas de auditoria de segurança dependerá
dos objetivos da auditoria, das políticas e regulamentos específicos que a organização precisa
cumprir e do escopo da avaliação de segurança. Em muitos casos, uma combinação de ferramentas
automatizadas, revisões manuais e avaliação de políticas será necessária para uma auditoria
completa e eficaz.
Pág. 05
Análise de Tráfego de Rede
O Blue Team monitora o tráfego de rede para identificar padrões de tráfego incomuns ou
comportamento suspeito que possa indicar uma violação.
A análise de tráfego de rede é uma parte crítica da detecção e resposta a incidentes de segurança.
Abaixo estão algumas das ferramentas comuns usadas para essa finalidade:
Wireshark: O Wireshark é uma ferramenta de código aberto muito popular para análise de tráfego
de rede. Ele permite capturar e analisar pacotes de rede em tempo real e fornece informações
detalhadas sobre o tráfego, incluindo protocolos, origem, destino e conteúdo dos pacotes.
TCPdump: O TCPdump é uma ferramenta de linha de comando que também permite a captura e
análise de pacotes de rede. É frequentemente usado em sistemas Unix e Linux.
Suricata: Suricata é uma IDS/IPS de código aberto que também pode ser configurada para analisar
o tráfego de rede em busca de ameaças e atividades suspeitas.
Bro (também conhecido como Zeek): O Bro é uma plataforma de análise de tráfego de rede de
código aberto que pode ser usada para extrair informações detalhadas de rede e detectar
comportamentos suspeitos.
Snort: Enquanto o Snort é principalmente um IDS/IPS, ele também pode ser configurado para
analisar tráfego de rede e identificar potenciais ameaças.
ELK Stack (Elasticsearch, Logstash, Kibana): Embora seja frequentemente usado para análise de
logs, o ELK Stack também pode ser configurado para analisar e visualizar dados de tráfego de rede.
Moloch: O Moloch é um projeto de código aberto que permite a captura e indexação de pacotes de
rede em grande escala para análise posterior.
Darktrace: Darktrace é uma solução comercial de análise de tráfego de rede que utiliza
aprendizado de máquina para detectar ameaças cibernéticas em tempo real.
Security Information and Event Management (SIEM): Muitas soluções SIEM, como Splunk, IBM
QRadar e McAfee Enterprise Security Manager (ESM), incluem recursos de análise de tráfego de
rede, permitindo a correlação de eventos de rede com eventos de segurança.
Pág. 06
Testes de Phishing Interno
Para avaliar a conscientização dos funcionários em relação a ameaças de phishing, o Blue Team
pode realizar campanhas de phishing internas simuladas para ver quais funcionários podem ser
enganados.
As ferramentas de teste de phishing são usadas para avaliar a conscientização dos funcionários em
relação a ameaças de phishing, bem como a eficácia das medidas de segurança da organização
contra ataques de phishing. Elas permitem simular ataques de phishing de maneira controlada e
educacional, para que as organizações possam identificar áreas de melhoria em sua postura de
segurança. Aqui estão algumas ferramentas comuns usadas para testes de phishing:
GoPhish: O GoPhish é uma ferramenta de código aberto que permite criar, enviar e rastrear
campanhas de phishing simuladas. Ele oferece recursos avançados, como personalização de
e-mails e páginas de phishing, além de relatórios detalhados.
Phishing Frenzy: Phishing Frenzy é outra ferramenta de código aberto que oferece recursos para
criar e lançar campanhas de phishing simuladas. Ele também fornece análises e relatórios sobre o
desempenho da campanha.
Social-Engineer Toolkit (SET): O SET é uma suíte de ferramentas de código aberto que inclui
módulos para executar ataques de phishing, engenharia social e outros ataques relacionados. Ele
pode ser usado para fins educacionais e de teste de conscientização.
Lucy Security: O Lucy Security é uma solução comercial que oferece serviços de teste de phishing
e treinamento de conscientização de segurança. Ele permite criar campanhas de phishing
simuladas e fornecer treinamento interativo.
Wombat Security (agora Proofpoint Security Awareness Training): Esta é uma solução
comercial que oferece testes de phishing simulados, treinamento de conscientização e relatórios
detalhados para melhorar a segurança cibernética da organização.
KnowBe4: O KnowBe4 é outra solução comercial que fornece testes de phishing simulados,
treinamento de conscientização de segurança e relatórios detalhados sobre o desempenho da
equipe.
Infosec IQ: Infosec IQ é uma plataforma comercial que oferece testes de phishing simulados,
treinamento interativo e relatórios de conscientização de segurança.
PhishMe (agora Cofense): PhishMe, agora parte da Cofense, oferece serviços de teste de
phishing simulados e treinamento de conscientização de segurança para organizações.
Gophish: Gophish é uma ferramenta de código aberto para testes de phishing simulados. Ela é
altamente personalizável e fornece recursos para criar e lançar campanhas de phishing.
King Phisher: O King Phisher é uma ferramenta de código aberto para testes de phishing simulados
que permite personalizar e lançar campanhas de phishing.
Pág. 07
Avaliação de Configurações de Segurança:
A equipe de Blue Team pode usar ferramentas de análise de código fonte para avaliar a segurança
de aplicativos e software em busca de vulnerabilidades e possíveis brechas de segurança. Essas
ferramentas ajudam a identificar problemas de segurança no código-fonte antes que eles se
tornem uma ameaça real. Aqui estão algumas ferramentas comuns usadas para análise de código
fonte:
Fortify on Demand: Fortify on Demand, da Micro Focus, é uma ferramenta de análise de segurança
de código em nuvem que verifica o código-fonte em busca de vulnerabilidades, como injeção de
SQL, cross-site scripting (XSS) e outros problemas de segurança.
Veracode: Veracode é uma plataforma de análise de segurança de código em nuvem que identifica
vulnerabilidades em código-fonte, bem como em aplicações binárias. Ele oferece suporte para
várias linguagens de programação.
Checkmarx: Checkmarx é uma ferramenta de análise estática de código que ajuda a identificar e
corrigir vulnerabilidades de segurança em aplicativos.
Coverity: A Coverity, adquirida pela Synopsys, fornece uma solução de análise estática de código
para identificar problemas de segurança e qualidade em código-fonte.
Pág. 08
WhiteSource Bolt: WhiteSource Bolt é uma extensão do Visual Studio que verifica
automaticamente seu código-fonte em busca de vulnerabilidades de código aberto e problemas de
licenciamento.
Clang Static Analyzer: O Clang Static Analyzer é uma ferramenta de análise de código fonte de
código aberto para C e C++ que verifica o código em busca de erros e vulnerabilidades.
Bandit: Bandit é uma ferramenta de análise de segurança de código-fonte de código aberto para
Python. Ele verifica o código Python em busca de vulnerabilidades de segurança, como falhas de
segurança de informações.
Retire.js: O Retire.js é uma ferramenta que verifica suas páginas da web em busca de bibliotecas
JavaScript com vulnerabilidades conhecidas.
Avaliação de Terceiros
Avaliar a segurança de fornecedores e parceiros terceirizados que têm acesso aos sistemas ou
informações da organização.
Treinamento Contínuo:
Manter a equipe atualizada com as últimas ameaças e técnicas de ataque através de treinamentos
regulares e certificações de segurança.
Essas são algumas das principais técnicas e métodos que o time de Blue Team utiliza para
identificar fraquezas em sistemas e infraestruturas de TI. É importante ressaltar que a segurança
cibernética é um campo em constante evolução, e as equipes de Blue Team devem estar sempre
atualizadas para enfrentar as ameaças emergentes.
Pág. 09