Ando meio atrasado com as publicações técnicas, é verdade.
A correria está absurda, mas acho sempre melhor assim.
Depois de 22 anos atuando em empresas de diversos portes e segmentos, me pareceu natural empreender e para isso estou à frente da IT-Techs Consultoria e Treinamentos (www.it-techs.com.br).
Confesso à vocês que hoje trabalho muito mais, por enquanto ganho muitíssimo menos, mas me é gratificante fazer algo em que acredito agregar valor para meus clientes, parceiros e alunos. Não sei se isso está relacionado ao tal do propósito, mas é legal.
Firmamos parceria com a Quest, SonicWall e TrendMicro ... tem sido bom demais!!!
Ainda assim, continuo e continuarei com os treinamentos que ministro como MCT. É uma outra forma de impactar diretamente a vida das pessoas. No final do dia, isso tem sido muito importante pra mim.
No pouco tempo que tenho, estudo. Estudo muito, leio muito, enfim ... e algo tem me decepcionado um pouco.
Principalmente aqui no Linkedin, vejo algumas publicações técnicas que falam, falam e não dizem NADA!!!
Sou extremamente rigoroso comigo mesmo, e os feedbacks que recebo me levam a crer que estou no caminho certo, mas sei que posso melhorar muito ainda.
No artigo de hoje, com forte viés à segurança da informação, tratarei sobre logs do Windows que são sistematicamente ignorados pela maioria dos administradores, mas que são fundamentais monitorar.
Monitorá-los pode fazer toda a diferença entre ter ou não uma dor de cabeça imensa.
Mas antes inicio com uma questão: Porque monitorar estações de trabalho?
Mas antes inicio com uma questão: Porque monitorar estações de trabalho?
A maioria dos ataques iniciam nas estações de trabalho dos usuários.
Por quê?
Fundamentalmente porque em sua grande maioria, as estações de trabalho, ao contrário dos servidores, são utilizadas por usuários não técnicos, que acabam se tornando presas fáceis para os atacantes.
O Relatório de Investigações de Violação da Verizon publicado em 2017, afirma que 1 a cada 14 usuários foram induzidos a clicar em links maliciosos ou abrir um anexo infectado, e parte deles foram enganados mais de uma vez. Pode parecer pouco, mas não é.
Usuários de estações de trabalho frequentemente são vítimas de downloads efetuados a partir de sites que lhes parecem confiáveis, inserem inconscientemente dispositivos USB contendo ransomware ou outros malwares e cometem outros erros críticos que permitem aos atacantes acessar a rede corporativa.
É fácil simplesmente colocar toda a culpa nos usuários, mas o fato é que os ataques estão ficando cada vez mais sofisticados e se ocorrem, em certo grau é responsabilidade do ainda pouco investimento das corporações e do baixo conhecimento técnico de alguns profissionais.
Pensem que para aprimorar seus métodos de ataques, hackers vasculham as redes sociais para obter informações sobre seus alvos preferenciais e criar e-mails de phishing cada vez mais convincentes, ou escondem malwares em arquivos para download que parecem serem realmente legítimos.
Até mesmo experientes profissionais de TI às vezes são enganados.
Por outro lado, as estações de trabalho dos usuários são particularmente vulneráveis, por diversas razões.
Primeiro, pela inexistência de um programa de conscientização eficaz e constante no que se refere à segurança da informação.
Posso ainda citar a ausência de uma política de gerenciamento e aplicação de atualizações realmente eficaz.
Até mesmo experientes profissionais de TI às vezes são enganados.
Por outro lado, as estações de trabalho dos usuários são particularmente vulneráveis, por diversas razões.
Primeiro, pela inexistência de um programa de conscientização eficaz e constante no que se refere à segurança da informação.
Posso ainda citar a ausência de uma política de gerenciamento e aplicação de atualizações realmente eficaz.
Existe também o fato de que muitos ataques dependem de ações interativas de usuários locais, que são o cenário mais comum em estações de trabalho.
Sem contar que a maioria dos ataques exploram arquivos maliciosos e conteúdos da internet, e as estações de trabalho entram em contato com muito mais arquivos da Internet do que os servidores.
Por fim, muitas vulnerabilidades envolvem aplicativos baseados em GUI de terceiros usados em estações de trabalho, como por exemplo extensões de navegadores da Internet. Manter esses aplicativos adequadamente corrigidos continua a ser um ponto fraco em muitas organizações.
E essas são apenas algumas razões ...
A combinação de usuários não técnicos e estações de trabalho vulneráveis é irresistível para hackers. Assim, nós administradores temos que fazer da segurança do endpoint uma prioridade.
A chave para pegar ataques o mais cedo possível e interrompê-los antes que um dano real seja causado é monitorar adequadamente as estações de trabalho. Mas qual é a melhor maneira de fazer isso?
Com o elevado número de estações de trabalho e a grande quantidade de logs gerados em cada uma delas, existem alguns desafios reais envolvidos na coleta, arquivamento, monitoramento, pesquisa e analise deles.
Existem soluções simplesmente maravilhosas como o Quest InTrust que pode nos ajudar a fortalecer a segurança de endpoints, mas aqui tratarei sobre logs isolados do Windows.
O que monitorar?
Quando nos focamos em segurança, o monitoramento efetivo do log se segurança do Windows torna-se mandatório. Esse é o principal registro de atividades relacionadas à segurança e muitos eventos de segurança importantes são registrados apenas lá.
Nesse log encontramos e devemos dar atenção aos seguintes eventos:
Enumeração de usuário e grupo local (eventos 4798 e 4799) - Códigos mal intencionados geralmente enumeram as contas de usuários e grupos locais nas estações de trabalho para localizar credenciais úteis.
Monitorar os eventos 4798 e 4799 pode ajudá-lo a identificar códigos maliciosos antes de ocorrer a movimentação lateral para outros sistemas utilizando as credenciais que foi colhida.
Maiores informações sobre o ventos 4798 pode ser obtida em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4798.
Maiores informações sobre o ventos 4799 pode ser obtida em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4799.
Criação de conta local e alterações de grupos (eventos 4720, 4722 - 4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 e 5377) - Os invasores também costumam criar ou modificar contas locais e grupos locais (especialmente o grupo de administradores locais), então você deve se manter atento a esses eventos.
O log cujo event ID é o 4720, indica a criação de uma conta de usuário. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4720.
O log cujo event ID é o 4722, indica que uma conta de usuário foi habilitada. Se o log anterior já deve nos acender um alerta, esse também não deve ser desprezado. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4722.
O log cujo event ID é o 4723, indica uma tentativa de alteração de senha. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4723.
O log cujo event ID é o 4724, indica que um usuário tentou alterar a senha de outro. Critico, não??? Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4724.
O log cujo event ID é o 4725, indica que uma conta de usuário foi desabilitada. Inicialmente, isso pode passar batido para muitos, mas quando trata-se de segurança, pode ser indicativo de um problema maior. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4725.
O log cujo event ID é o 4726, indica que uma conta de usuário foi excluída. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4726.
Alterações em contas de usuáros são gravadas no log cujo ID é o 4738. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4738.
Eventos do tipo 4740 indicam que um conta de usuário foi bloqueada. Um bloqueio de conta pode ser gerado por inúmeras tentativas de logon com senha incorreta, portanto é fundamental monitorar. Maiores informações estão disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4740.
Eventos do tipo 4767 indicam que um conta de usuário foi desbloqueada. Maiores informações estão disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4767.
Eventos do tipo 4780 indicam a definição de ACL em contas que são membros de grupos de administradores. É necessário monitorar esse evento e investigar porque a ACL do objeto foi alterada. Maiores informações estão disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4780.
Eventos do tipo 4781 são gerados toda vez que um nome de conta de usuário ou computador (atributo sAMAccountName ) é alterado. Vale a pena investigar a razão da alteração. Maiores informações disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4781.
Quando criamos um domínio do Active Directory, é mandatório definir uma senha para o Directory Services Restore Mode (DSRM). Quando ocorre uma tentativa de definir a senha do DSRM, um evento do tipo 4794 é gerado. Maiores informações estão disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4794.
Usuários normalmente efetuam logon em suas estações de trabalho usando uma conta de domínio. Tentativas bem ou mal sucedidas de fazer login usando uma conta local podem ser um excelente indicador de ataques. O evento 4624 registra todos os tipos de tentativas de logon incluindo os logons do domínio, mas é fácil filtrá-los porque nesses casos, o nome de domínio é o nome do computador. Maiores informações podem ser obtidas em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4624.
Já o evento 4648 indica que um processo tentou efetuar logon especificando explicitamente credenciais de outra conta.
Isso ocorre legitimamente com tarefas agendadas ou ao usar o comando “RUNAS”, por exemplo.
Como a maioria das tarefas agendadas não são executadas em estações de trabalho, esse evento pode indicar um processo malicioso tentando iniciar outro processo com credenciais específicas ou um invasor mapeando uma unidade de outro computador usando credenciais previamente coletadas. Maiores informações estão disponíveis em https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/event-4648
Dificilmente um usuário permanece dias conectado a uma estação sem efetuar um bloqueio ou desbloqueio da estação. Além de monitorar os eventos de logon e logoff, é necessário monitorar eventos do tipo 4800, 4801, 4802 e 4803 que indicam quando a console da estação de trabalho foi bloqueada e desbloqueada. Qualquer atividade em uma estação de trabalho enquanto ela estiver bloqueada exige uma investigação aprofundada.
Já mencionei sobre a não recomendação de se desativar o firewall do Windows. Aí você administrador define todas as configurações padrões para seu ambiente, ativa o firewall pra galera, mas e aí? Você está monitorando as alterações que podem ocorrer no firewall do Windows?
Alterações nas configurações do firewall geram eventos cujos IDs vão de 4944 a 4958. Dependendo de como o sistema operacional foi configurado, os aplicativos podem adicionar automaticamente exceções ao firewall do Windows durante a instalação, principalmente quando o usuário tem autoridade administrativa local. Essas exceções não precisam ser deliberadamente maliciosas para criar falhas graves de segurança. Se você confia e utiliza o firewall do Windows como um controle de segurança, precisa saber sobre quaisquer alterações em sua configuração, concordam?
Conexões de dispositivo plug-and-play (evento 6416, somente Windows 10 e Windows 2016) - O malware pode entrar em uma estação de trabalho por meio de drives USB ou outros dispositivos plug-and-play. É importante auditar as conexões de todos esses dispositivos e o evento 6416 indica o reconhecimento de novos dispositivos pelo sistema operacional.
Muitos outros eventos importantes podem ser obtidos no log de segurança do Windows, mas recomendo obtê-los através do Sysmon vez porque a qualidade dos dados me parece melhor.
Muitos outros eventos importantes podem ser obtidos no log de segurança do Windows, mas recomendo obtê-los através do Sysmon vez porque a qualidade dos dados me parece melhor.
Esses eventos incluem:
• Criação de processo
• Conexões de rede
• Alterações no registro
• Criação de arquivos
Informações sobre o Sysmon podem ser obtidas em https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon.
Acima mencionei sobre a ferramenta da Quest denominada InTrust que certamente nos ajuda a monitorar tais eventos de forma bastante adequada.
Entretanto, é possível configurar qualquer ferramenta de monitoração para monitorar os eventos específicos aqui mencionados.
Bom ... é isso. O negócio é tentar entregar uma informação de qualidade e de alguma forma tentar contribuir para o enriquecimento da comunidade técnica.
Abraço e até a próxima!!!