Um webcast do Instituto SANS sobre a escalada de ataques cibern\u00e9ticos russos na Ucr\u00e2nia apresentou algumas conclus\u00f5es. A primeira: n\u00e3o entre em p\u00e2nico. Muitas vezes, com problemas de seguran\u00e7a, pensamos no pior; podemos exagerar e piorar a situa\u00e7\u00e3o. Em vez disso, concentre-se no b\u00e1sico. A segunda \u00e9 que precisamos prestar mais aten\u00e7\u00e3o ao tr\u00e1fego de rede.<\/p>\n\n\n\n
Cuide primeiro dos princ\u00edpios b\u00e1sicos de seguran\u00e7a<\/strong><\/p>\n\n\n\n Ao revisar sua rede em busca de poss\u00edveis amea\u00e7as cibern\u00e9ticas, n\u00e3o piore as coisas fazendo configura\u00e7\u00f5es incorretas que criar\u00e3o mais problemas. Passe algum tempo no b\u00e1sico e em outros projetos nos quais voc\u00ea provavelmente deveria ter trabalhado antes.<\/p>\n\n\n\n Documenta\u00e7\u00e3o e planejamento \u00e9 o que voc\u00ea precisa fazer agora, n\u00e3o fazer altera\u00e7\u00f5es e ajustes de configura\u00e7\u00e3o. Desacelere e revise os planos em vez de fazer mudan\u00e7as dram\u00e1ticas. As altera\u00e7\u00f5es de configura\u00e7\u00e3o geralmente apresentam efeitos colaterais que fazem voc\u00ea pensar que um ataque de fontes externas est\u00e1 em andamento. Um site est\u00e1 off-line. Imediatamente pensamos em um ataque cibern\u00e9tico, mas a causa raiz geralmente s\u00e3o configura\u00e7\u00f5es incorretas do Servi\u00e7o de Nome de Dom\u00ednio (DNS) ou problemas de infraestrutura principal.<\/p>\n\n\n\n Aproveite o tempo para revisar e considerar os pontos de entrada direcionados. Aprenda as li\u00e7\u00f5es dos ataques de ransomware Maersk que come\u00e7aram na Ucr\u00e2nia. Revise quais pontos de entrada business-to-business v\u00eam de links fracos. Revise todas as conex\u00f5es de rede privada virtual (VPN) \u00e0 sua rede e de onde elas v\u00eam. Lembre-se, a seguran\u00e7a deles afeta a sua seguran\u00e7a. Adicione autentica\u00e7\u00e3o de dois fatores a essas conex\u00f5es quando apropriado e considere se voc\u00ea precisa fazer ajustes tempor\u00e1rios em quem se conecta \u00e0 sua rede durante esse per\u00edodo.<\/p>\n\n\n\n Eu geralmente recomendo adiar a aplica\u00e7\u00e3o de patches at\u00e9 que saibamos quaisquer efeitos colaterais, mas dependendo do seu n\u00edvel de risco, voc\u00ea pode testar as atualiza\u00e7\u00f5es de forma acelerada e implantar mais cedo que o normal. Tamb\u00e9m recomendo revisar as vulnerabilidades comumente atacadas e garantir que voc\u00ea corrigiu sua rede para elas.<\/p>\n\n\n\n Por \u00faltimo, mas n\u00e3o menos importante, n\u00e3o se torne uma fonte de financiamento para os invasores. Certifique-se de que voc\u00ea pode se recuperar de um ataque de ransomware e n\u00e3o pague resgate aos invasores. Ter um backup off-line deve ser uma prioridade para garantir que voc\u00ea possa se recuperar em qualquer situa\u00e7\u00e3o.<\/p>\n\n\n\n Monitore o tr\u00e1fego de rede em busca de anomalias<\/strong><\/p>\n\n\n\n A SANS recomendou que voc\u00ea revise quais recursos voc\u00ea possui para monitorar o tr\u00e1fego de rede para ver quem pode estar dentro de sua rede. Especificamente, analise o NetFlow, um protocolo de rede comumente usado criado pela Cisco que coleta o tr\u00e1fego de rede IP ativo conforme ele entra ou sai de uma interface. Ele rastreia o ponto de origem, destino, volume e caminhos na rede.<\/p>\n\n\n\n Primeiro, observe seus dispositivos de borda, seus firewalls e outros dispositivos que controlam o fluxo de tr\u00e1fego de rede que entra e sai de sua rede. Mesmo o firewall de uma pequena empresa provavelmente pode suportar esse n\u00edvel de investiga\u00e7\u00e3o. Comece retirando o manual do seu firewall e revise se voc\u00ea pode habilitar o registro do tr\u00e1fego NetFlow. N\u00e3o \u00e9 suficiente habilit\u00e1-lo; voc\u00ea precisa registr\u00e1-lo para poder voltar e investigar o tr\u00e1fego malicioso ap\u00f3s o fato.<\/p>\n\n\n\n O NetFlow n\u00e3o \u00e9 apenas tr\u00e1fego malicioso. \u00c9 tamb\u00e9m um meio de reduzir gargalos e otimizar a utiliza\u00e7\u00e3o da largura de banda. O tr\u00e1fego NetFlow n\u00e3o pode ser usado apenas para uma \u00fanica sess\u00e3o; ele fornece mais informa\u00e7\u00f5es quando \u00e9 acumulado. Ativar a an\u00e1lise do NetFlow e armazen\u00e1-la para que voc\u00ea possa revisar os padr\u00f5es posteriormente \u00e9 fundamental. Use recursos como o Splunk para armazenar e analisar melhor as informa\u00e7\u00f5es que voc\u00ea recebe de sua rede. Voc\u00ea tamb\u00e9m pode usar o armazenamento em nuvem, como o Azure Sentinel, para armazenar e revisar as informa\u00e7\u00f5es do NetFlow.<\/p>\n\n\n\n Outras op\u00e7\u00f5es para monitorar o tr\u00e1fego de rede<\/strong><\/p>\n\n\n\n Outras plataformas executam fun\u00e7\u00f5es semelhantes e podem fornecer tanta ou mais informa\u00e7\u00f5es do que o NetFlow. Para aqueles com uma licen\u00e7a do Microsoft 365 E5 ou um Microsoft Defender for Business (atualmente em visualiza\u00e7\u00e3o p\u00fablica), o console da Advanced Threat Protection fornece informa\u00e7\u00f5es semelhantes sobre a intera\u00e7\u00e3o de eventos em suas esta\u00e7\u00f5es de trabalho e servidores.<\/p>\n\n\n\n A aplica\u00e7\u00e3o de camadas no Defender for Cloud Applications tamb\u00e9m pode rastrear os fluxos por meio de SaaS e outras plataformas de nuvem. O Defender for Endpoint pode permitir que voc\u00ea revise o IP de origem, o IP de destino e a porta de origem e a porta de destino. Ele tamb\u00e9m exp\u00f5e as informa\u00e7\u00f5es do processo, bem como a URL da web envolvida na intera\u00e7\u00e3o. Coloque recursos para entender qual \u00e9 o seu tr\u00e1fego de rede normal e os endere\u00e7os IP externos nos quais voc\u00ea precisa confiar para fazer neg\u00f3cios.<\/p>\n","protected":false},"excerpt":{"rendered":" Um webcast do Instituto SANS sobre a escalada de ataques cibern\u00e9ticos russos na Ucr\u00e2nia apresentou algumas conclus\u00f5es. A primeira: n\u00e3o entre em p\u00e2nico. Muitas vezes, com problemas de seguran\u00e7a, pensamos no pior; podemos exagerar e piorar a situa\u00e7\u00e3o. Em vez disso, concentre-se no b\u00e1sico. A segunda \u00e9 que precisamos prestar mais aten\u00e7\u00e3o ao tr\u00e1fego de […]<\/p>\n","protected":false},"author":3,"featured_media":235,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"inline_featured_image":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-234","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-testando"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/posts\/234","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/comments?post=234"}],"version-history":[{"count":2,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/posts\/234\/revisions"}],"predecessor-version":[{"id":362,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/posts\/234\/revisions\/362"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/media\/235"}],"wp:attachment":[{"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/media?parent=234"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/categories?post=234"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/battecnologia.com\/site\/wp-json\/wp\/v2\/tags?post=234"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}