sábado, 16 de dezembro de 2017

CCNA CyberOps 210-255 Pass!!


Fala galera beleza?

Ontem na parte da tarde realizei novamente a prova 210-255 do CCNA Cybersecurity (primeira tentativa http://cafecomsecurity.blogspot.com.br/2017/09/prova-210-255-secops-fail.html), porém dessa vez consegui um resultado positivo e estou bem contente pois havia conseguido um segundo voucher para tentar a prova (100% grátis também).

Dessa vez levei mais a sério os estudos para essa prova, porém como já sabia mais ou menos o que iria cair, acabei focando mais no que lembrava da prova, além disso o colega Anderson Arruda (está estudando pras provas também) me ajudou bastante no entendimento do conteúdo (2 cabeças pensam melhor do que uma kkkk).

Sobre o que caiu na prova estude:

  - Interpretação de PCAP, Syslogs, Tipos de logs de firewall, IDS e IPS;
  - Fases do "incident handling";
  - Fases do NIST;
  - Expressões regulares;
  - PCI compliance (pegadinhas);
  - Muito CVSSv3 (muito mesmo);
  - Muito Diamond Model of Intrusion (muito mesmo);
  - Processos forenses (colection, report, etc);
  - Incident response plan;
  - CSIRTs;
  - Cenários deterministicos, probabilisticos (diferenças e quando utilizar cada um);
  - Wireshark (expressões, como exportar, análise etc);
  - HTTP (GET, POST, User-agent etc);
  - Veris;
  - True/False positive e True/False Negative;

O grupo no telegram continua ativo com todos os materiais que utilizei para realizar as 2 provas e tem uma galera que está começando agora:

https://t.me/joinchat/AAAAAENuMvrINhu5OxDWJQ

O histórico mais detalhado de como foi o treinamento/materiais/o que cai nas provas está aqui no histórico do blog.

Agora o foco é 100% no CCIE, abraços pessoal.

sexta-feira, 8 de dezembro de 2017

Anotações CCNA CyberOps (parte 2)


SOC Playbook - Análise feita coletando, analisando e correlacionando grandes quantidades de dados, é um documento vivo que deve ser atualizado, revisto e gerenciado sempre:
Security analytics 1 Collect and analyze data - dados vindos de HIPS,NIPS, NGFW, Mail server, apliances, DNS etc;
Security analytics 2 Information Sharing - Infra necessária para o SOC classificar/armazenar e esportar os COIs;
Security analytics 3 Network Service - Oferecer serviços de rede críticos;
Security analytics 4 Detection tools - Ferramentas de detecção, de inteligencia e analise;
Security analytics 5 Playbook - O armazenamento de "plays" que se repetem (metodos e reports) para detecção e resposta à incidentes de segurança;
Security analytics 6 Mitigate - Mitigação do incidente (ex. Vacina de um antivírus, regras de firewall etc).
Security analytics 7 Remediate - Ações de médio a longo prazo para reparos (ex. atualização nos controles de acesso);

Eventos de um Playbook:
  - Report ID
  - Objective
  - Data query
  - Action
  - Analysis
  - Reference

SIEM - correlacionador de eventos que prove dados em tempo real de analises/alertas e alarmes voltados pra área de segurança;

Time to detection - tempo médio em que um evento malicioso é detectado;

Metricas de um SOC:
  - Speed: detecção rápida;
  - Focus: redução de falso positivos e garantia de ações eficientes na remediação;
  - Accuracy - monitoramento continuo e eliminação de pontos cegos de segurança;
Incident Timeline - Evento - Analise do evento (triagem) - Report - Cotain (contenção) - Remediate (tempo para remediação);
Metricas devem ser especificas, mensuráveis, acionáveis e relevantes;

SOC WMS - Workflow management system - sistema de respostas a incidentes que automatiza as remediações e ações tomadas em um incidente de segurança.
 - 3 tipos de workflows:
   - Sequencial - baseado em flow, progressivo de estágio em estágio;
   - State Machine - retorna ao estado estável do equipamento/sistema;
   - Rules-driven - também sequencial, porém as regras ditam o progresso;
 - Podem ser automatizado algumas tarefas do WMS - audit, gerenciamento de tickerts, lookup de devices etc;
 - Analista de nível 1 - monitoramento e triagem;
 - Analista de nível 2 - analise mais profunda, correlacionamento, remediação etc.
 - Incident response handler - gerencia o incidente (comunicação, processos etc;)
 - Especialista forense - foca em conseguir, manter e analisar dados para proposito de investigação;
 - Especialista em engenharia reversa de malware - Focado em analise/técnicas e procedimentos na identificação/prevenção de malwares;
 - SOC manager - Gerente responsável pela estratégia/budges/etc da área;
 - Executive - Prove a direção e objetivos do SOC;

 Incident Response Plan - Procedimentos para gerenciamento de incidentes de segurança que podem comprometer a confidencialidade, integridade e disponibilidade de informações ou ativos levando em conta  4 questões básicas:
   - O que estamos protegendo?
   - Quais são as ameaças?
   - Como detectamos as ameaças?
   - Como respondemos as ameaças?
 - Fases;
   - Preparação - Estar pronto para o incidente (educação de usuários, documentação, planejamento, captura e retenção de dados etc);
   - Identificação - Monitoramento continuo;
   - Análise - Analises como escopo do incidente, tipos de devices, velocidade de propagação etc;
   - Containment - Contenção do incidente;
   - Erradiction and recovery - Investigação da origem do incidente e erradicação (ex. código removido, conta reestabelecida etc);
   - Leassons learned - Recomendações para que não ocorra novamente (utilizam o FMEA - Failure mode and effects analys);
   - Reporting - Reporte para as equipes necessárias (deve ser imediato e baseado na severidade do incidente);
 
 US-CERT categorias de incidentes:
- CAT0 Exercise/Network defense testing
- CAT1 Unauthorized access
- CAT2 Denial of service (DoS)
- CAT3 Malicious code
- CAT4 Improper usage
- CAT5 Scans/probes/attempted access
- CAT6 Investigation

 PCI DSS - protege informações de cartões de crédito e transações monetárias;
 SOX 2002 - Legislação que protege de fraudes empresarias;
 HIPPA - protege informações médicas e do paciente em geral (voltada para o setor da saúde);
 PHI - Protege os dados dos usuários baseados nas informações de saúde (ex. condição física/mental do usuário, exames, etc);

 Automação = realizar execuções repetitivas sem intervenção humana.
 Orchestration = automatização em grande escala.

CSIRT - Organizações responsáveis por receber/analisar e responder a incidentes de segurança, tem o objetivo de ajudar as companhias a prevenir e a investigar incidentes (investigação, mitigação e prevenção);
Internal CSIRT - dentro de uma organização);
National CSIRT - responde a uma nação;
Cordination centers - trocam informações entre eles;
Vendors Teams - Ex. CSIRT Microsoft;
Incident response providers - "pagos"
Analysis centers

Serviço de tratamento de incidentes CSIRT:
- Triage - Handling - Feedback - Annoucement (opcional)
    
Network Baselining - analise do tráfego normal (comportamento) que é usado como referencia nos casos de atividades suspeitas, é estabelecido uma carga (break point) para a rede e caso essa carga seja ultrapassada é iniciada a investigação (inclusive se a carga aumentar rápido demais);

REGEX - Expressão regular (estude por fora desse material);

Veris - Vocabulário de eventos e compartilhamento de incidentes criados para manter uma linguagem única e estruturada na tratativa dos mesmos.
 - 4 principais componentes:
     - Actions (malware, variedade, vetor, vulnerabilidade, social, físico, erro, etc)
     - Actors (externo, interno ou parceiro)
- Assests (hardware, server, devices etc)
- Atributes (integridade, disponibilidade, confidencialidade);
 - 5 principais sessões:
     - Incident tracking (informações gerais sobre o incidente);
- Victim demographics (descreve sem identificar a organização afetada);
- Incident descriptions (quem ou o que foi feito e qual o resultado);
- Discovery and responses ( como foi descoberto e lições aprendidas);
- Impact assessment ( mensura o impacto calculando a magnitude, as perdas e a quantidade de ativos afetados);

quarta-feira, 6 de dezembro de 2017

Anotações CCNA CyberOps (parte 1)

Galera, segue algumas anotações da preparação para o SECOPS da Cisco:

SECOPS

-SOC - Centro de comando centralizado para tratamento de eventos de segurança, sendo responsabilidade do SOC a detecção, analise e reporte de atividades maliciosas na rede.

- 3 tipos de SOC:
- Threat centric - trabalha em modo pró-ativo para detecção de possíveis ofensores do ambiente da empresa, ajudam também no pós ataque dimensionando o escopo/impacto do ataque e minimizando o risco de re-infecção.
- Compliance-based SOC - Foca em manter os templates de configuração, configurações de monitoramento e detectar mudanças não autorizadas no ambiente.
- Operational-based SOC - Foca em monitorar a situação de segurança da rede interna, trabalha principalmente com a administração de politicas de acesso, regras de firewall e regras de IDS/IPS.

- Ferramentas do analista de SOC:
    - Mapeamento de rede;
- Monitoramento de rede;
- Detecção de vulnerabilidade;
- Coleta de dados;
- Detecção de ameaças a anomalias;
- Agragação e correlação de dados;

- Ferramentas do analista de redes
    - Wireshark;
- Netwitness;
- OSSEC;
- NETFLOW;
- Cisco Steathwatch;

- Ferramentas de penteste:
    - Metasploit;
- Nessus;
- Nmap;

- Data analytics: Ciência que examina e decifra conjunto de dados para chegar a uma conclusão;
- Data set: coleção de itens descritos de um dado relatado dentro de uma estrutura que pode ser acessado individualmente, em combinação ou gerenciado por toda entidade;
- Dynamic analise: Testar e validar os dados executando em tempo real para encontrar erros;

- Log: Uma evidência de uma atividade em um sistema;
- Log mining:
   - Sequenciamento - reconstrução do traffic flow;
   - Path Analysis - interpretação da cadeia de eventos consecutivos em um período de tempo;
   - Log clustering -

- NSM - Ferramenta que coleta, mantem, processa e apresenta dados NSM (ex.SolarWinds);
- Gerenciamento centralizado:
   - 1º - recebe a mensagem syslog e armazena ela;
   - 2º - Move mensagens para um database;
   - 3º - Processa o dado (low-level) com a sua base relacional para produzir mais informações;
   - 4º - Apresenta o dado ao usuário em reports automatizados, dashboards e querys em realtime;
- Tipos de dados NSM:
   - Session data (resumo dos dados associados a uma comunicação de rede, similar a conta telefonica);
   - Full packet capture (PCAP);
   - Transaction data - detalhes das requisições e das respostas (ex. logs de conexão de um servidor SMTP);
   - Alert data - geralmente produzido por um IDS ou IPS, é criado quando o tráfego chega a certas condições (ex. 90% de utilização);
   - Statical data - dados coletados por um periodo, usado para produzir baselines;
   - Metadata - dados sobre os dados (geolocalização, reputação etc);

- IPS mode - Sistema inline que tem a habilidade de classificar o tráfego (baseado em assinaturas) e dropar os pacotes;
- IDS mode - Sistema inline que tem a habilidade de classificar o tráfego e gerar alertas;

- Kill Chain - Processo pelo qual o threat actor (ofensor) deve construir um plano ou estratégia para atingir um objetivo ou um alvo, o kill chain pode ser usado para se previnir em cada fase do ataque.
- 7 fases do kill chain:
  1 - Recon - Os atacantes determina se vale a pena o esforço para realizar o ataque analisando as informações da organização (dispositivos de rede, alvos em potencial etc.)
    - Ferramentas de Recon - Dossie de dominio (address lookup, whois etc);
  2 - Weponization - desenvolvimento de uma arma cibernetica baseada nas informações coletadas na fase 1 (ex. Virus, Code injection, Phishing e exploits);
  3 - Delivery - Transmissão do payload ao alvo (email, phishing, USB e redirecionamento web);
  4 - Exploitation - O que ocorre quando o codigo malicioso entregue é executado, geralmente exploram aplicações, SOs ou usuários;
  5 - Installation - também conhecido como fase de persistencia, descreve as ações tomadas para manter o acesso ao alvo (ex. instalação de um backdoor);
  6 - Comand and control - o host afetado envia uma conexão ao CNC estabelecendo um canal de comunicação;
  7 - Action on Objectives - Roubo de propriedade intelectual, roubo de dados corporativos, roubo de banda para SPAM  ou DDOS;

Algumas defesas contra algumas fases do ataque:
 - Email - Bloqueio de anexos/links maliciosos;
 - Segurança DNS - Bloqueio de dominios maliciosos;
 - Segurança no client - Inspeção de ransoware e virus/
 - Segurança WEB - Bloqueio de comunicação Web a sites infectados;
 - Monitoração de rede - baseado em identidade, alertas, flows e anomalias;
 - Prevenção de intrusão - Bloqueios de ataques e ameaças;
 - Firewall baseado em identidade - segmentação de acesso

- Diamond Model - Metodo de analise de eventos de ameaças contemplando Adversary (ofensor), Capability (ferramenta ou técnica), Victm (target), Infraestructure (física ou logica);
   - Meta-features do Diamond Model:
       - Timestamp
   - Phase
   - Result
   - Direction
   - Methodology
   - Resources

- Hunting Maturity Model - Nível de maturidade nos processos
  - HM0 - A organização confia nos alertas atuando reativamente (ex.
  - HM1 - A organização confia nos alertas porém teambém coleta informações dos seus sistemas como novas ameaças (feeds);
  - HM2 - A organização está apta a incorporar técnicas externas nas suas operações, além de atuar também ativamente;
  - HM3 - Organizações inovadoras que identificam novas atividades maliciosas, não confiam em recursos externos e publicam os suas próprias descobertas na área;
  - HM4 - Além das habilidades do HM3, automatiza a criação de novos métodos de captura de ameaças;
- Cyber threat hunting - Hypothesis -> Investigate -> Uncover -> Inform and Enrich;

CVSS - Common Vulnerability Scoring System, é um padrão aberto que analisa a severidade de uma vulnerabilidade determinando a sua urgencia e prioridade na resposta.
  - Base Metrics
    - Exploitability metrics;
   - Vetor de ataque (AV)
   - Complexidade do ataque (AC)
   - Privilégios requeridos (PR)
   - Interação do usuário (UI)
   - Scopo (S)
    - Impact metrics
   - Confidencialidade
   - Integridade
   - Disponibilidade
   - Temporal Metric - Mensura o estado atual do exploit e a existencia de patchs ou workarouds para o mesmo;
   - Exploit Code Maturity - Mensura como a vulnerabilidade está sendo atacada (se é público ou não) e se está em expansão;
   - Remdeiation Level(RL) - nível de vacina para o exploit;
   - Report confidence (RC) mensura o grau de confiança na existencia da vulnerabilidade;
CVSS3.0 Enviromental Metrics - Customiza a analise de acordo com a importância do ativo na organização;
   - Security requirements (CR, IR, AR) - CR - Confidencialidade, IR - Integridade, AR - disponibilidade;
   - Modified base metrics - ajustes baseados no ambiente da empresa;
 
Event normalization e event correlation - workflow da cadeia de eventos do que aconteceu na rede;
Origem dos eventos - DHCP, DNS, AAA, Firewall, Netflow, IPs, Proxy;
DHCP - Transaction data;
DNS - Transaction data;
AAA - Alert data;
Netflow - Session data;
IPS - Alert data;
Firewall - Session data;
Proxy server - Transaction;
Aplication logs - Transactional e statistical data;

Tipos de evidência:
- Evidência direta - Não requer nenhum raciocínio para chegar a uma conclusão.
- Evidência Circunstancial - Requer uma ligação com uma evidencia para chegar a uma conclusão, também chamado de evidencia indireta.
- Evidência corroborativa - Evidencias que suportam uma afirmação com provas previamente obtidas.
- Melhor evidência - pode ser apresentada sem alteração na sua forma original

Digital Forensics - Considerado a aplicação da ciência da identificação, coleta, examinação e análise do dado preservando a sua integridade e mantendo a custodia restrita do dado, 4 fases:
Collection phase - fase de gravação, identificação e para adquirir possíveis dados relevantes no processo (seguindo padrões para manter a integridade dos dados);
Exanination phase - envolve processos forenses nos dados coletados;
Analysis phases - resultado da fase anterior usando métodos e técnicas para derivar informações úteis para o processo;
Reporting phase - fase final que descreve as ações/ferramentas utilizadas no processo forense;

Security data normalization - processo de manipulação para colocar os dados em um padrão "common schema".

Event correlation - reconhecimento de 2 ou mais eventos que possuem relação.
Agregação - colocar todos os dados em uma unica variável comum.
Sumarização - compacta a descrição dos dados oferecendo uma forma gráfica ou em tabelas para apresentar os dados.
Deduplicação - Remove a reundância de dados evitando o overlapping de dados.

Vetores de ataques comuns:
Web:
- MySQL injections
- Local file inclusions or directory traversal
- Arbitrary code execution
- Obfuscated web scripting
- XSS
- CSRF
Software vulns.
Common payloads
End users

Code obfuscation - técnica usada para mudar a aparência do código rodando em um sistema para aumentar a dificuldade de exploit.

Metaexploits mais comuns:
- Single payload - funcionam sozinho, não dependem do Meptasploit (ex.Netcat);
- Stagers payload - configura uma conexão de rede entre o atacante e a vitima;
- Stages payload - Payload simples entregue ao host, todos os componentes estão fora da rede;

Directory transversal - leva vantagem de falta de checagem ou validação nos inputs do usuário.

SQL Injection - explora problemas de validação de input em bases SQL para injetar códigos ou obter informações.

Cross-site-scripting (XSS) - Script malicioso executado em um browser (geralmente Javascript), 2 tipos:
- Stored (persistent) - Embeda o código diretamente no webserver;
- Reflecter (non-persistent) atack - o atacante inclui um código HTML redirecionando para um link de uma página maliciosa;
- Punycode - utilização de caracteres diferentes (formato ASCII) para enganar o DNS e redirecionar para sites maliciosos.
- Pivoting - Uso de um pc para atacar outros computadores.

Identificando atividades maliciosas:
- Threat actor - individuo ou grupo responsaveis por causar um incidente de seguraça na organização, podem ser categorizados pelo seu nível de skill, tipos de atividades e pelas motivações.
- Script kiddies - Sem skill, sem experiência e utiliza ferramentas prontas para os ataques.
- Hacktivismo - Geralmente motivados politicamente.
- Crime organizado - modelo de negocios que oferecem serviços como botnets ou DoS.
- State-sponserd/nation-state actors - Ofensores de uma nação (ex.hackers do governo chinês);
- Insider threat - Empregado ofensor com motivos pessoais ou por simples acidentes.

Modelo determinístico de analise - baseado em fatos com o minimo de especulação;
Modelo probabilístico de analise - é criado uma hipótese e analisado todas as possibilidades até o descarte;

Continua...

quarta-feira, 29 de novembro de 2017

Programa de certificação Trend Micro

Fala galera beleza?

A Trend Micro está abrindo vagas para o programa de capacitação em Segurança de TI, o programa foca no aprendizado da arquitetura/implantação/instalação/configuração e gerenciamento das soluções Trend Micro além de incluir exames escritos para cada solução.

A inscrição está aberta até o dia 03/12 e tem como pré requisito estar matriculado em uma faculdade/universidade de tecnologia/engenharia da computação, ciências da computação e afins, além de um bom conhecimento da linga inglesa e conhecimento básico em networking/security.

Segue:




Link:
https://resources.trendmicro.com/rs/945-CXD-062/images/TrendPTBRfinal%20%281%29.pdf

Abraços pessoal

segunda-feira, 27 de novembro de 2017

Kali Linux 2017.3


Fala galera beleza? na última semana foi lançado um novo release do Kali Linux (2017.3) e conta com fixes, patches e updates além de algumas novas ferramentas interessantes:

InSpy - Ferramenta que realiza enumeração no Linkedin e pode encontrar pessoas pelos seus cargos:



Cherrytree - Ferramenta utilizada para criar atalhos no teclado:



Sublist3r - enumera subdominios de diversas origens, pode ser integrado como o SubBrute permitindo bruteforce utilizando wordlists:



OSRFramework - uma coleção de scripts que permitem enumerar usuários, dominios e mais de 200 serviços:



Massive Maltego Metamorphosis - a fusão das ferramentas Maltego:

Link:
https://www.kali.org/releases/kali-linux-2017-3-release/

Abraços

sexta-feira, 3 de novembro de 2017

Melhores Firewalls segundo os consumidores


Fala galera beleza?

A IT Central Station realizou uma pesquisa com 236.143 profissionais de T.I. e consumidores das soluções de firewalls do mercado mundial comparando e criando uma lista dos equipamentos preferidos do mercado, essa pesquisa leva em conta o gerenciamento/configuração do equipamento, o suporte do fabricante, o nível de ameaças além da quantidade de incidentes ocorridos com a ferramenta (fuga de dados, disponibilidade, ameaças etc.), segue o resultado do report:





Link para o download do report completo:
https://www.itcentralstation.com/categories/firewalls

Concorda? Discorda? Comenta ai.

Abraços

terça-feira, 31 de outubro de 2017

Free Short Course: Cyber Warfare and Terrorism


Fala galera beleza?

A Charles Sturt University está trazendo mais um dos seus free-short curses, este fala sobre cyberwar e terrorismo digital, o curso será ministrado pelo professor Richard Stiennon (autor de 2 livros sobre Cyber Warfare) uma das pessoas mais renomadas na área:



Conteúdo do curso:



Link:
https://www.itmasters.edu.au/free-short-course-cyber-warfare-and-terrorism/?utm_source=IT+%26+M+Master+list&utm_campaign=0247258e4e-EMAIL_CAMPAIGN_2017_10_31&utm_medium=email&utm_term=0_8cd8f9af26-0247258e4e-108851129

Abraços