Em agosto de 2023, a Cisco anunciou seus planos de encerrar o SecureX, com o fim do suporte e da vida útil programados para 31 de julho de 2024. Em substituição, foi lançado o Cisco XDR. Enquanto o SecureX foi um aliado valioso, integrando todos os produtos de segurança da Cisco e aplicativos de terceiros, sua ausência de capacidade analítica deixou lacunas na detecção de ameaças. Aqui é onde o Cisco XDR entra em cena, oferecendo uma gama de recursos sofisticados para análise, priorização e resposta direcionada. O XDR é uma solução abrangente que vai além da simples integração de produtos, oferecendo recursos avançados, como um repositório de dados de longo prazo para análises detalhadas e caça a ameaças retroativas. Além disso, sua capacidade analítica de segurança, alimentada pelo Secure Cloud Analytics e Secure Endpoint, utiliza aprendizado de máquina para detectar incidentes de forma proativa. Isso é complementado pela capacidade de ingestão de telemetria de fluxo de rede, permitindo uma correlação mais eficaz de eventos de segurança. Navegando pelo Cisco XDR Centro de Controle O Centro de Controle XDR serve como o ponto focal para monitorar e gerenciar o ambiente de segurança de uma organização. Com métricas de alto nível e total personalização, oferece uma visão sob medida das informações mais relevantes. Incidentes A aba de Incidentes é onde a ação acontece. Aqui, os profissionais de segurança podem gerenciar e investigar incidentes, provenientes de diversas fontes, incluindo Secure Endpoint e Secure Cloud Analytics. A priorização automática de incidentes com base no risco de detecção e no valor do ativo permite que as equipes se concentrem nas ameaças mais urgentes. Funcionalidades: Minimiza o tempo gasto na detecção e resposta a eventos de segurança correlacionados. Fornece informações críticas necessárias para detectar, triar, investigar e responder em um só lugar. Visualização de recomendações para diagnóstico, contenção e remediação imediata. Incidentes promovidos do Cisco Secure Cloud Analytics para o Cisco XDR. Correlação de alertas em cadeias de ataque reduz o tempo de investigação. Extrai metadados de alerta para determinar indicadores comuns. Segue o framework MITRE ATT&CK para identificar táticas, técnicas e procedimentos de ameaça Visualização de lista de incidentes priorizados por risco. Resumo de alto nível do incidente em um só lugar. Detalhamento do incidente para compreensão da ameaça e ação rápida. Abertura da página de Incidentes para visualizar incidentes automaticamente enriquecidos. Classificação dos incidentes com base no escore de prioridade, calculado a partir do risco de detecção e valor do ativo em risco. Investigar A investigação é a chave para entender e mitigar ameaças. Com a aba Investigar, os usuários têm acesso a uma vasta gama de dados e podem realizar consultas detalhadas para identificar indicadores de comprometimento em seu ambiente. O XDR oferece uma interface intuitiva e poderosa para visualizar e analisar os resultados das consultas. Funcionalidades: Pesquisa de IOCs suspeitos como e-mails, mensagens de log, domínios, URLs e IPs. Extração de observáveis para enriquecimento. O Cisco XDR consulta todas as fontes configuradas para encontrar a disposição de cada observável. Detalhes da investigação são exibidos nos resultados da investigação. Para fazer uma investigação basta acessar a aba Investigate e inserir os IOCs no painel “Nova Investigação” e clicar em Invetigate. O resultado é exibido no gráfico de relações, com observáveis mostrados na Linha do Tempo de Observações. Detalhes adicionais disponíveis nos painéis de Eventos, Ativos e Observáveis, e Indicadores. As investigações podem ser salvas, e são registros de momentos específicos e podem ser compartilhadas, baixadas ou excluídas. Inteligência O XDR é impulsionado pela inteligência, tanto pública quanto privada. Alimentado por fontes confiáveis, como o Cisco Talos, e permitindo a criação e compartilhamento de inteligência privada, o XDR capacita as organizações a permanecerem à frente das ameaças. Segundo o Center for Internet Security, “Inteligência” é o que a informação de ameaças cibernéticas se torna após ser coletada, avaliada em relação à sua fonte e confiabilidade, e analisada por especialistas com acesso a informações de várias fontes. Funcionalidades: Permite a busca de inteligência de ameaças armazenadas, tanto públicas quanto privadas, com base no Modelo de Inteligência de Ameaças da Cisco. Inclui julgamentos, indicadores, eventos e feeds com base nos dados extraídos e considerados mais relevantes para resposta a incidentes. Visualização de julgamentos públicos e privados para insights sobre associações de disposições a observáveis. Identificação de padrões de comportamento malicioso através de indicadores. Registro de eventos relacionados a observáveis cibernéticos para contexto de inteligência de ameaças. Criação e atualização de listas de observáveis maliciosos, suspeitos ou limpos para configuração de políticas de segurança. Recursos de Inteligência Disponíveis: Julgamentos: Associação de uma disposição a um observável cibernético, válido por um período explícito. Indicadores: Descrevem padrões de comportamento ou condições indicativas de comportamento malicioso. Eventos: Registro da aparição de um observável cibernético em uma data e hora específicas. Feeds: Permite criar inteligência de ameaças personalizada e capturar descobertas sobre investigações de ameaças. Automação A automação é fundamental para lidar com o volume e a complexidade das ameaças modernas. O XDR oferece um mecanismo de automação nativo em nuvem, com uma ampla biblioteca de fluxos de trabalho pré-construídos e a capacidade de criar fluxos de trabalho personalizados sem a necessidade de programação. Dispositivos A visibilidade é essencial para uma defesa eficaz. Através da aba Dispositivos, os usuários podem obter uma visão abrangente de todos os ativos em sua organização, enriquecidos com dados de várias ferramentas de segurança da Cisco. A capacidade de ajustar o valor do dispositivo permite uma priorização mais inteligente dos incidentes relacionados. Gestão de Clientes O recurso de Gestão de Clientes com Secure Client é o Cliente de Mobilidade Segura de próxima geração que combina as funcionalidades existentes do AnyConnect e Secure Endpoint com uma solução de Gerenciamento em Nuvem em uma única interface de usuário unificada. Funcionalidades: A página de Clientes fornece uma visão geral dos dispositivos Secure Client na organização. A página de Implantações oferece uma lista de todas as implantações de Secure Client na organização do Cisco XDR e permite aos usuários definir uma lista de todos os pacotes e perfis
Resumo CompTIA Security+ Study Guide: Capítulo 4
Domain 1.0 – Attacks, Threats, and Vulnerabilities 1.1 Compare and contrast different types of social engineering techniques 1.2 Given a scenario, analyze potential indicators to determine the type of attack Domain 4.0 – Operations and Incident Response 4.1 Given a scenario, use the appropriate tool to assess organizational security Social Engineering, Physical, and Password Attacks Engenharia social foca no “lado humano” da segurança da informação. É possível usar a engenharia social para conseguir informações, ganhar acesso a locais, sistemas e redes. Ataques de engenharia social e phishing normalmente precedem outros tipos de ataques Social Engineering Consiste em manipular pessoas usando várias estratégias para atingir o objetivo. Normalmente vários princípios são utilizados em um ataque, e costumam funcionar porque deixam o alvo nervoso por ter que responder a uma situação. Princípios chaves utilizados: Authority: Muitas pessoas obedecem alguém quando este parece estar “no controle”. Pode-se fingir ser um gerente, oficial do governo ou utilizar algum outro cargo que faça sentido na operação em execução. Intimidation: Consiste em assustar ou fazer bullying com o indivíduo, para que este faça o que o atacante deseja. Consensus-based: As pessoas normalmente fazem o que outras pessoas estão fazendo. Dizer que todos do departamento clicaram em um link pode incentivar uma pessoa a clicar neste referido link. Scarcity: Fazer a pessoa acreditar que aquele item/ação é o último disponível. Familiary-based: Mostrar que gosta do indivíduo ou da organização que ele trabalha, para ganhar a simpatia. Trust: Semelhante ao anterior, baseado na conexão com o indivíduo alvo. Mas neste caso é mais específico (muita gente pode gostar de uma empresa, mas aqui seria uma relação mais próxima). Urgency: Baseado em criar a impressão que a ação precisa ser tomada rapidamente, por qualquer razão que faça sentido na operação. Social Engineering Techniques Além dos princípios, temos ataques técnicos e não técnicos. Phishing Termo usado para aquisição de informação de forma fraudulenta, normalmente focada em credenciais, e informações pessoais. E-mail é o método mais comum, mas pode ser também via SMS (smishing) e telefone (vishing). Também pode ser classificado de acordo com o alvo. Spear Phishing: Quando é focado em um indivíduo/grupo em uma organização. Whaling: Focado em indivíduos com com cargos mais altos (CEOs e CFOs, por exemplo – “big fish” na empresa). A defesa mais comum contra phishing (assim como para a maioria dos ataques de engenharia social) é a conscientização dos usuários, fornecendo treinamento e exercícios contra phishing. Credential Harvesting Processo de conseguir credenciais (usuário e senha, por exemplo). Pode ser feito usando phishing ou através de acesso ao sistema, onde pode conseguir o banco de dados com as informações. De posse das credenciais outros ataques podem ser feitos. Website Attacks Ataques a sites também são usados para engenharia social. Uma das técnicas é o Pharming, que utiliza manipulação de DNS (no computador, localmente, ou no servidor DNS), direcionando o tráfego para um site falso. Typosquatting (urls falsas, mas similares as originais) também é uma opção de ataque. Criam as URLs com poucas diferenças e eventualmente usuários digitando errado acabam caindo no site falso. Já o Watering hole é um ataque onde o atacante ataca um site que sabe que a vítima vai acessar. Com o comprometimento do site fica mais fácil atacar a vítima desejada quando esta acessar o site. Spam E-mails “não solicitados”, podem não parecer uma técnica de engenharia social, mas geralmente buscam que o usuário abra o e-mail e clique em algum link. E pela quantidade de e-mails recebidos, alguns usuários podem acabar clicando. Uma variação é o SPIM (Spam over Instant Messaging). In-Person Techniques Dumpster diving: Apesar de não ser engenharia social, uma forma de conseguir informação é o dumpster diving, onde o atacante busca informações no lixo (ou local onde documentos podem ser descartados). Uma forma de evitar o dumpster diving é usar um serviço de descarte seguro para documentos, buscando validar se o que está indo para o lixo é realmente lixo (sem informação relevante). Shoulder surfing: É o processo de olhar “sobre os ombros” de outra pessoa para ver as informações (senhas e outros dados). Obviamente não precisa ser literal. Olhar por um espelho ou ouvir uma conversa pode ser enquadrado nesta categoria. A proteção contra shoulder surfing é através da conscientização de alvo potenciais, bem como protetores de telas para notebooks e celulares. Tailgating: Ataque físico que consiste em entrar em local não autorizado seguindo alguém, aproveitando a porta aberta. Contra medida é a conscientização para que usuários não permitam isso. Eliciting information: Conseguir informações sem que o alvo perceba isso. Usar falsa ignorância (falar algo errado para o alvo corrigir com a informação correta), ou agir como um consultor, conduzindo uma conversa “inofensiva”. Em geral o alvo não deve perceber que falou mais do que deveria. Prepeding: Pode significar 3 opções: Adicionar uma expressão/frase (ex. SAFE) ao cabeçalho de e-mails para que o usuário acredite que o e-mail foi verificado e está seguro. Adicionar informação como parte de outro ataque, manipulando o resultado. Sugerir tópicos via engenharia social para levar o alvo para o assunto desejado. Identity Fraud and Impersonation Fingir ser outra pessoa é um item chave na engenharia social. Pretexting: Criar uma situação que justifique a conversa, facilitando a obtenção de informações. Identity fraud: Usar a identidade de outra pessoa. Normalmente envolve ganho financeiro, mas também pode ser utilizado para engenharia social. Hoaxes: Com interações não tão específicas (indivíduo-indivíduo) hoaxes é o uso de “boatos” sobre assuntos que “estão na moda” para a engenharia social. Invoice Scams: Envolve o envio de “boletos” falsos para organizações e indivíduos, na esperança que paguem. Pode ser físico ou eletrônico. Influence Campaigns Guerras cibernéticas e guerras tradicionais têm expandido suas formas, e campanhas de influência têm sido utilizadas via redes sociais, e-mails e outros meios onlines (guerra híbrida). Mas campanhas de influências podem ser utilizadas para outros fins (normalmente buscando desinformação), como eleições. Para o exame, Influence Campaigns são utilizadas por atacantes do tipo Nation-State Password Attacks Além de engenharia social, existem outras formas de conseguir credenciais.
ECHR: Violar a criptografia é ameaça aos Direitos Humanos
Nos últimos anos, governos de diversos países, inclusive do Brasil, tem tentado medidas autoritárias, que visam monitorar e controlar as comunicações. Por vezes, e inacreditavelmente, essas medidas tem apoio de parte da população. Por isso é um alento a decisão do ECHR – The European Court of Human Rights (Tributa Europeu de Direitos Humanos), que diz que enfraquecer a criptografia de ponta a ponta representa uma ameaça aos direitos humanos. Em uma decisão marcante, o Tribunal Europeu de Direitos Humanos reafirmou a importância da criptografia na proteção dos direitos fundamentais dos cidadãos. A recente sentença do tribunal internacional destaca os riscos desproporcionais de enfraquecer essa forma de segurança digital, especialmente em relação à privacidade e liberdade de comunicação. A controvérsia surgiu a partir da tentativa da Comissão Europeia de implementar planos que exigiriam provedores de e-mail e serviços de mensagens a criar backdoors, facilitando assim o acesso das autoridades a mensagens criptografadas. No entanto, o ECHR deixou claro que tais medidas representam uma ameaça aos direitos humanos, particularmente quando vistas à luz das recentes disputas legais envolvendo o Telegram e as exigências do Serviço Federal de Segurança (FSS) da Rússia. O caso do Telegram na Rússia serviu como um teste crucial para a proteção da privacidade digital. Quando confrontado com a demanda do FSS para compartilhar mensagens criptografadas de usuários, o Telegram se recusou, argumentando que tal ação comprometeria a privacidade de todos os seus usuários. A batalha legal que se seguiu, incluindo multas e até mesmo ordens de bloqueio do aplicativo, culminou na intervenção do ECHR. A decisão do ECHR foi clara: a confidencialidade das comunicações é um pilar essencial do direito ao respeito pela vida privada e pela correspondência. Exigir a descriptografia de mensagens pelas autoridades não pode ser considerado necessário em uma sociedade democrática. Esta sentença não apenas protege os direitos individuais dos usuários, mas também envia uma mensagem importante aos governos que buscam contornar a criptografia em nome da segurança nacional. Ao destacar os riscos de violações de privacidade e liberdades civis, o ECHR reforçou o valor da criptografia como uma salvaguarda essencial na era digital. A decisão também foi elogiada por defensores da privacidade e organizações internacionais, que destacaram a importância de garantir que os direitos fundamentais não sejam comprometidos em nome da segurança. A decisão do ECHR representa uma vitória para a proteção da privacidade online e um revés para os esforços autoritários de minar os direitos digitais dos cidadãos. É um lembrete poderoso de que, em uma sociedade democrática, a segurança não pode ser alcançada à custa da liberdade e privacidade individuais. Detalhes do julgamento: CASE OF PODCHASOV v. RUSSIA. Até a próxima.
8ª Maratona CiberEducação Cisco Brasil
A Cisco está disponibilizando gratuitamente o curso “Segurança de Endpoint”. A iniciativa faz parte da Maratona CiberEducação – Edição 30 anos Cisco Brasil, e tem 3 fases. Na primeira fase, todos que se inscreverem terão 3 semanas para completar o curso Segurança de Endpoint (27h), totalmente online. O treinamento começa dia 04/03/24 e irá até o dia 24/03/24, e cada aluno pode fazer o treinamento no horário que preferir. Requisitos para participar: Ser estudante do ensino técnico, médio ou universitário, ou profissional de TI buscando especialização, ou procurando migrar de área de conhecimento, independentemente do nível de experiência. Ter acesso à computador e conexão à internet. Computador: Processador i3, Windows 10, 4Gb de RAM e 27GB de disco rígido. Internet: 5Mb. Para a segunda fase, é necessário o aluno ter o certificado de conclusão do curso da Maratona – “Segurança de Endpoint” na plataforma Skills for All e ficar entre os melhores na prova de seleção voltada à conhecimentos gerais de TI, Redes e Cibersegurança, bem como habilidades interpessoais. Segunda e terceira fase Os 1500 melhores alunos serão selecionados para a segunda fase, onde terão a formação profissionalizante (CCNA1 + Network Security, e outros conhecimentos complementares). O curso será fornecido pelo Programa CiberEducação Cisco Brasil, em centros parceiros (lista abaixo). Na terceira fase, os alunos podem ser direcionados para estágios ou cargos efetivos em clientes e parceiros Cisco. Mais informações neste link. E para se inscrever, basta fazer o cadastro em uma das academias disponíveis abaixo (faça a inscrição apenas em uma delas, o conteúdo é o mesmo): Escola Superior de Propaganda e Marketing – ESPM – Curso Segurança de Endpoint Faculdade Impacta – Curso Segurança de Endpoint Descomplica Redes – Curso Segurança de Endpoint FAETEC – RJ – Curso Segurança de Endpoint ABRedes – Curso Segurança de Endpoint SENAC Largo Treze – Curso Segurança de Endpoint WoMakersCode – Curso Segurança de Endpoint SENAI – PR/Curitiba – Curso Segurança de Endpoint Nave do Conhecimento – Irajá/RJ – Curso Segurança de Endpoint IFCE – Instituto Federal do Ceará – Curso Segurança de Endpoint Faculdade de Tecnologia SENAC – SENAC GOIÁS – Curso Segurança de Endpoint SENAC SC – Curso Segurança de Endpoint IFPE Caruaru – Curso Segurança de Endpoint FATEC Cruzeiro – CPS – Curso Segurança de Endpoint SENAC-SP – Curso Segurança de Endpoint PUC Minas – Coração Eucarístico – Curso Segurança de Endpoint SENAC – PA/Belém – Curso Segurança de Endpoint SENAC – PA/Castanhal – Curso Segurança de Endpoint IFRN – Instituto Federal do Rio Grande do Norte – Curso Segurança de Endpoint AD Academy – Curso Segurança de Endpoint Calriz – Curso Segurança de Endpoint FATEC Rio Preto – CPS – Curso Segurança de Endpoint NTT Academy – Curso Segurança de Endpoint Toplearn Treinamentos – Curso Segurança de Endpoint Faculdade Descomplica – Curso Segurança de Endpoint IFPE – Instituto Federal de Pernambuco – Campus Vitória – Curso Segurança de Endpoint SENAC DF – Curso Segurança de Endpoint Até a próxima.
Cisco Insider Champion 2024
Você é apaixonado por tecnologia e gostaria de fazer parte de uma comunidade? Se sim, o programa Cisco Insider Champion é seu uma oportunidade exclusiva para ter insights que vão impulsionar sua compreensão dos produtos e soluções Cisco. Por que ser um Cisco Insider Champion? Como membro do programa Cisco Insider Champion, você: Terá acesso antecipado aos novos produtos e soluções da Cisco. Terá contato direto às estrelas da engenharia da Cisco. Vai estar em uma comunidade de entusiastas de tecnologia. Vai melhorar suas habilidades de blog e podcast por meio da participação ativa no Creators Club e no Cisco Champion Radio. Vai fornecer feedback valioso sobre os produtos e soluções da Cisco por meio de testes beta, grupos de foco e espaços no Webex Teams. Experiências Exclusivas na Cisco Live. Como Participar: Complete o formulário abaixo até o dia 12 de janeiro de 2024. As inscrições aceitas serão comunicadas no final de março de 2024. Acompanhe o perfil @CiscoChampion no Twitter/X para receber atualizações sobre o programa. Até a próxima.
Como desligar Cisco DNA Center, ISE, FMC, FTD e WLC
Os appliances Cisco, virtuais ou físicos, são bem sensíveis a desligamentos incorretos. Essas soluções tem o sistema operacional baseado em Linux, e se forem desligadas abruptamente podem ser corrompidas. Por isso é importante desligar corretamente para não ter nenhum problema. DNA CENTER O DNA Center, agora renomeado para Catalyst Center, pode ser desligado via linha de comando ou através da interface de gerência out of band (CIMC). CLI: Basta acessar por SSH (TCP/2222), e usar o comando sudo shutdown -h now. GUI: Acesse a interface out of band, selecione Host Power > Shut Down. WLC A WLC pode variar de acordo com o modelo, mas considerando a 5520, podemos desligar usando a CICM, igual ao DNA Center. GUI: Acesse a interface out of band (CIMC), selecione Host Power > Shut Down. Já na Catalyst 9800, via linha de comando, podemos usar o comando reload pause, e então desligar (power off via console se for máquina virtual, ou “no botão” se for servidor físico). FMC O Cisco Firewall Management Center pode ser desligado pela CLI ou interface gráfica. CLI: Acesse usando SSH (TCP/22), e então digite o comando system shutdown. GUI: Acesse Sytem > Configuration > Process Shutdown. FTD O FTD pode ser desligado diretamente via CLI, ou através do FMC, usando a interface gráfica. CLI: Use o comando shutdown. GUI: Acesse o FMC e vá em Devices > Devices Management > no device clique em Edit > Device > Shutdown. ISE O desligamento do ISE é feito por linha de comando. Se for uma appliance físico também tem a opção de desligar pela CICM (igual DNAC e WLC). CLI: Acesse usando SSH (TCP/22), pare a aplicação application stop ise, e após os serviços pararem, desligue com o comando halt. Até a próxima.
