SlideShare uma empresa Scribd logo

Windows 2003 sem suporte: por que você deveria se preocupar

Symantec Brasil
Symantec Brasil

Muitos usuários hoje em dia estão conectados com os seus dispositivos fora do firewall e raramente se conectam na rede corporativa. Como é possível gerenciar estes dispositivos? Como fazer para mantê-los protegidos e em dia com as últimas versões de softwares e updates? Este é um desafio pertinente a todas as empresas, participe deste webinar e saiba como as Soluções da Symantec podem ajudar a solucioná-lo com eficiência e agilidade.

1 de 25
Baixar para ler offline
Windows  2003  sem  suporte:   por  que  você  deveria  se  preocupar?   Anderson  Rios   Senior  Technical  Account   Manager   Wesly  Alves   Systems  Engineer   Bruno  Nazareth,  CISSP   Senior  Systems  Engineer  
Apresentadores   Copyright  ©  2015  Symantec  Corpora=on   2   Anderson   Rios   Bruno   Nazareth   Wesly   Alves  
PorFfolio  Symantec   Copyright  ©  2015  Symantec  Corpora=on   3   Serviços  de  Cyber  Segurança   •  Monitoramento,  Resposta  a  Incidentes,  Simulação,  Inteligência  contra   Ameaças   Proteção  contra  Ameaças   ENDPOINTS   DATA  CENTER   GATEWAY   •  Prevenção  de  Ameaças,  Detecção,  Forense  &   Resposta   •  Disposi=vos,  Email,  Servidores,  Virtual  &  Cloud   •  Disponível  On-­‐premise  e  Cloud   Plataforma  Unificada  para  Análise  de  Segurança   •  Análise  de  segurança  através  de  Big  data;  disponível  self-­‐service   Telemetria   Gerenciamento   de  Incidentes   Engines  de   Proteção   Inteligência   Global   Análise  de   Ameaças   Proteção  da  Informação   DADOS   ACESSO   •  Proteção  de  Iden=dade  e   DLP   •  Gerencia  de  Chaves  .Cloud   •  Cloud  Security  Broker   Usuários   Dados   Apps   Cloud   Disposi=vos   Rede   Data  Center  
Copyright  ©  1984  Michael  Jackson’s  Thriller  
  CENÁRIO  DE  AMEAÇAS  ASCENDENTE   ATACANTES  MAIS  ÁGEIS   EXTORSÃO  DIGITAL  EM  ALTA   MALWARE  MAIS   INTELIGENTE   AMEAÇAS  DIA-­‐ZERO   DIVERSOS  SETORES  SOB  ATAQUE   5  em  6   grandes   empresas   atacadas 317M   novos   malwares   criados 1M  novas   ameaças   por  dia 60%  focados   em  SMB 113%   aumento  de   ransomware 45X  mais   disposiBvos   sequestra-­‐ dos 28%  dos   malwares   detectam  VM Recorde   geral Top  5   vulnera.  sem   patch  por   295  dias 24     Saúde   +  37%   Finanças   +6% Educação +10% Governo   +8% Varejo   +11%   Fonte:  Symantec  Internet  Security  Threat  Report  2015 5  
EsFmaFva  de  Servidores  W2K3  em  Uso   hhp://news.netcral.com/archives/2015/08/12/millions-­‐s=ll-­‐running-­‐the-­‐risk-­‐with-­‐windows-­‐server-­‐2003.html   6   Copyright  ©  1985  Capcom  
Timeline  do  Windows  2003   hhps://en.wikipedia.org/wiki/Windows_Server_2003   7   Copyright  ©  2009  PopCap  Games  
Quiz   De  acordo  com  o  CVE  quantas   vulnerabilidades  do  Windows  2003  foram   publicadas?   Entre  com  sua  resposta  no  Chat  do  Webex.   30  SEGUNDOS  de  TEMPO   Vale  1  Mochila  Bacana  da  Symantec!   Copyright  ©  1991  LucasArts   8  
Resumo  das  Vulnerabilidades   Copyright  ©  2012  Laika  Entertainment   9  
E  agora?   •  Opção  1:   –  Desliga  tudo   •  Opção  2:   –  Instalar  An=virus   •  Opção  3:   –  Baseline  e  Sandbox?     Copyright  ©  2010  AMC   10   Cara  de  TI   (Você)  
Symantec  Datacenter  Security:     Server  Advanced   Copyright  ©  2015  Symantec  Corpora=on   11   Registro Arquivos de Configuração Armazenamento Externo Aplicações Sistema Operacional Memória Garantir Integridade do Registro Garantir Integridade dos Arquivos Implementar Proteção de Memória Aplicar Controles a Rede Forçar o Controle de Dispositivos Controle de Atividade das Aplicações
Matriz  de  CompaFbilidade   Copyright  ©  2015  Symantec  Corpora=on   12  
Como  Funciona?   •  O  Datacenter  Security:  Server  Advanced  encapsula  cada  aplicação,   processo  ou  DLL  numa  “sandbox”.   •  A  sandbox  controla  acesso  aos  recursos  (Filesystem,  Memória,  Rede,   Configurações,  Disposi=vos)  de  acordo  com  a  polí=ca.   •  Implementação  rápida,  Symantec  já  mapeou  as  funcionalidades  e   permissões  que  cada  componente  da  Microsol  precisa  para  operar.     •  As  polí=cas  pré-­‐definidas  permitem  funcionamento  normal  dos   processos,  mas  bloqueiam  o  comportamento  que  não  é  necessário   (malicioso)  tais  como:   –  Estouro  de  memória  para  permi=r  a  inserção  de  código  malicioso  nas  áreas  de   execução.   –  Interação  com  outros  recursos  para,  por  exemplo,  matar  um  processo   legí=mo.   Copyright  ©  2015  Symantec  Corpora=on   13  
Como  Funciona?   •  Essa  abordagem  é  diferente  de  técnicas  de  Lockdown  :   –  Protegemos  o  SO  sem  depender  de  perfis  ou  versões  iden=cas  de   aplicações.   –  Mesmo  se  uma  aplicação  es=ver  liberada  (whitelist),  ela  não  terá  acesso   irrestrito  e  será  tratada  por  uma  sandbox.   •  DCSSA  automá=camente  restringe  processos  ou  aplicações   “desconhecidas”  numa  sandbox  BEM  restrita.   •  “Virtual  Patch”  protege  o  sistema  contra  uma  única   vulnerabilidade  conhecida.  Por  sua  vez,  o  DCSSA  bloqueia  o   VETOR  DE  ATAQUE  que  pode  ser  u=lizado  por  outras   vulnerabilidades  que  poderão  ser  descobertas.   Copyright  ©  2015  Symantec  Corpora=on   14  
Exemplos  de  vetores  de  ataques   Copyright  ©  2015  Symantec  Corpora=on   15   Estratégia  de  Ataque   MiFgação  com  DCSSA   Implantar  programas  maliciosos  e   executáveis  no  disco   •  Bloqueio  por  padrão  de  inserção  ou  modificação  de  componentes   executáveis  (CMD,  EXE,  DLL,  SYS,  etc.)  no  sistema  por  usuários  ou   programas  não  confiáveis.   •  Proíbe  a  inserção  ou  modificação  de  qualquer  arquivo  (ou  qq  =po  de   extensão)  em  áreas  crí=cas  (exemplo  Windows/system32).   Criação  ou  modificação  de  chaves  de   registro  crí=cas  ou  arquivos  de   configuração   •  Usa  mecanismos  para  prevenir  que  exploits  alterem  configurações   que  permitam  execução  após  um  reboot.   Comando  e  Controle  Remoto   (phone  home)   •  Limita  acesso  a  rede  para  os  processos  que  tentarem  se  comunicar   com  sistemas  externos.   •  Oferece  configurações  de  firewall  para  bloquear  a=vidades  e   controlar  acesso  a  rede  por  programa,  usuário,  porta,  protocolo  e   endereço  IP.   Buffer  Overflow  e  Injeção  de  Código   •  Garante  que  solware  autorizados  não  sejam  sequestrados  por   injeção  de  código  através  de  buffer  overflow  ou  “thread  injec=on”.   Abuso  ou  Escalação  de  Privilégios   •  Trata  cada  processo  privilegiado  como  um  outro  qualquer.  Dessa   forma  não  podem  violar  as  polí=cas  de  controle  mesmo  que  o   Windows  permita  acesso  completo  ao  sistema.  
Demonstração   16  
Ambiente  de  Demonstração   •  1  Servidor  de  Gerenciamento  (Datacenter  Security)   –  Windows  2008   •  1  Servidor  Legado   –  Windows  2003  –  SP2,  An=virus  e  Datacenter  Security  Client   •  1  Máquina  “Hacker”   –  Kali  Linux  2.0   •  Vulnerabilidade  Explorada   –  CVE-­‐2008-­‐4250   Copyright  ©  2015  Symantec  Corpora=on   17  
Novas  Vulnerabilidades…   Copyright  ©  2015  Symantec  Corpora=on   18  
Riscos  Associados  a  Implementação  e     Estratégias  de  MiFgação   •  DCS:SA  possui  um  histórico  de  implementações  em  Windows   2003  que  demonstra  um  risco  muito  baixo.  Mesmo  assim,   estratégias  de  mi=gação  devem  ser  levadas  em  consideração:   19   Risco   Probabilidade   Estratégia  de  MiFgação   Sistema  não  inicializa   Muito  Baixa   •  Reiniciar  antes  de  instalar  o  DCSSA.   •  Agendar  lotes  de  distribuição.   •  Backup/Restore   •  Servidores  Redundantes   Tela  Azul   Muito  Baixa   •  Roll-­‐back:  boot  em  modo  seguro  e  desinstalar.   •  Backup/Restore   •  Imagem  (P2V)  e  teste/distribuição  em  ambiente  virtual.   •  Testar  primeiro  em  homologação.   Driver  SISIPS  Driver  não   inicia  após  reboot   Muito  Baixa   •  Reiniciar  antes  de  instalar  o  DCSSA   PolíFcas  Genéricas   bloqueiam  Aplicações   LegíFmas   Muito  Baixa   •  Usar  o  Modo  de  Monitoração  para  testar  a  polí=ca  antes  de  implementar   •  Permi=r  administrador  de  alterar  a  polí=ca  local  para  restaurar  a   funcionalidade  instantâneamente.   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (LoL!)   Sem  comunicação   Cliente-­‐Servidor   Baixa   •  Verifique  se  todas  as  portas  corretas  estão  abertas.   •  Analisar  logs  e  verificar  se  existe  problemas  de  comunicação.   Copyright  ©  2015  Symantec  Corpora=on  
Riscos  Associados  a  Criação  de  PolíFcas  e     Estratégias  de  MiFgação   •  Organizações  podem  u=lizar  polí=cas  personalizadas  para  cada   aplicação.     •  As  seguintes  considerações  devem  ser  avalidas  ao  criar  polí=cas   personalizadas:   20   Risco   Probabilidade   Estratégia  de  MiFgação   PolíFcas  Personalizadas   bloqueiam  Aplicações   LegíFmas   Média   •  Use  o  Modo  de  Monitoramento  (Prevenção  Desabilitada)   •  Crie  polí=cas  efe=cas  atráves  de  uma  metodologia  de  teste   •  Permi=r  administrador  de  alterar  a  polí=ca  local  para  restaurar  a   funcionalidade  instantâneamente.   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (LMAO!)   Criação  de  PolíFcas  demora   muito   Média   •  Crie  inicialmente  polícitas  abrangente  e  aperte  a  segurança  aos  poucos   •  Tenha  foco  na  criação  das  polí=cas   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (ROFL!)   Muito  ruído  é  gerado  para   criar  uma  políFca  efeFva   Média   •  Crie  uma  polí=ca  inicial  que  reduza  o  ruído  inicial  (exemplo:  permita   processos  do  %windir%system32  acessar  e  modificar  o  registro).   Copyright  ©  2015  Symantec  Corpora=on  
Black  Hat  2015   Datacenter  sem  patches,  mas  protegido  pelo  DCS:SA,   conFnua  sem  invasões  pela  terceira  vez  ($5.000  de   recompensa)     •  Ambiente–  “Mini  Data  Center”  com  servidores  Windows  2000  &  2003,  RHEL,   CentOS,  desktops  (Windows  XP  e  7),  além  de  um  appliance  NetBackup:   –  Solware  de  Ponto  de  Venda  nos  desktops  com  comunicações  para  os  servidores  que   processavam  transações;   –  DCS:SA  firewall  deixado  completamente  aberto  intencionalmente;   –  Configurações  default  além  da  falta  de  patches.   •  ObjeFvo–  “capture  the  flag”  (obter  acesso  e  roubar  dados)  e  ganhe  prêmios!   •  Jogadores  –  ~40  simultaneamente,  entre  membros  do  U.S.  DoD  e  congressisstas   da  China  e  Rússia.   •  Ataques  –  uma  variedade  de  ataques  aplicados,  incluídos:   –  Força  Bruta  para  quebra  de  senhas  (mais  de  400  de  login  por  minuto);   –  Ataques  diretos  do  Metasploit;   –  Tenta=vas  de  desligar  os  serviços  DCS:SA  (através  do  help  online…  J).   •  Resultado  –  DCS:SA  segurou  a  onda,  ninguem  levou  os  $5.000…   Copyright  ©  2015  Symantec  Corpora=on   21  
Beneqcios  do  DCS:SA   •  Capacidade  Técnica  —  HIPS/HIDS  completo,  com  inúmeras   polí=cas  na=vas  para  proteção  de  sistemas  e  aplicações.   •  Histórico  Comprovado  —  as  tecnologias  de  HIPS/HIDS  no     Symantec  DCS:SA  defendem  sistemas  operacionais  legados  (até   Windows  NT)  há  11  anos.   •  Protege  sistemas  contra  vulnerabilidades  conhecidas  e   desconhecidas  ao  limitar  o  escopo  de  recursos  que  usuários  e   programas  u=lizam  na  operação  do  dia  a  dia.   •  Implementação  Rápida—  e  possibilidade  de  retorno  a   configuração  anterior  com  boot  em  Modo  Seguro.   Copyright  ©  2015  Symantec  Corpora=on   22  
Dúvidas?  
Copyright  ©  2015  Symantec  Corpora=on   24  
Obrigado!   Copyright  ©  2015  Symantec  CorporaFon.  All  rights  reserved.  Symantec  and  the  Symantec  Logo  are  trademarks  or  registered  trademarks  of  Symantec  Corpora=on  or  its   affiliates  in  the  U.S.  and  other  countries.    Other  names  may  be  trademarks  of  their  respec=ve  owners.   This  document  is  provided  for  informa=onal  purposes  only  and  is  not  intended  as  adver=sing.    All  warran=es  rela=ng  to  the  informa=on  in  this  document,  either  express  or   implied,  are  disclaimed  to  the  maximum  extent  allowed  by  law.    The  informa=on  in  this  document  is  subject  to  change  without  no=ce.   Anderson  Rios   Wesly  Alves   Bruno  Nazareth   Convite:   Semana  que  vem  21/10  as  10:30:     Gerenciando  os  a=vos  de  TI   dentro  e  fora  da  rede  Corpora=va    

Mais conteúdo relacionado

Windows 2003 sem suporte: por que você deveria se preocupar

  • 1. Windows  2003  sem  suporte:   por  que  você  deveria  se  preocupar?   Anderson  Rios   Senior  Technical  Account   Manager   Wesly  Alves   Systems  Engineer   Bruno  Nazareth,  CISSP   Senior  Systems  Engineer  
  • 2. Apresentadores   Copyright  ©  2015  Symantec  Corpora=on   2   Anderson   Rios   Bruno   Nazareth   Wesly   Alves  
  • 3. PorFfolio  Symantec   Copyright  ©  2015  Symantec  Corpora=on   3   Serviços  de  Cyber  Segurança   •  Monitoramento,  Resposta  a  Incidentes,  Simulação,  Inteligência  contra   Ameaças   Proteção  contra  Ameaças   ENDPOINTS   DATA  CENTER   GATEWAY   •  Prevenção  de  Ameaças,  Detecção,  Forense  &   Resposta   •  Disposi=vos,  Email,  Servidores,  Virtual  &  Cloud   •  Disponível  On-­‐premise  e  Cloud   Plataforma  Unificada  para  Análise  de  Segurança   •  Análise  de  segurança  através  de  Big  data;  disponível  self-­‐service   Telemetria   Gerenciamento   de  Incidentes   Engines  de   Proteção   Inteligência   Global   Análise  de   Ameaças   Proteção  da  Informação   DADOS   ACESSO   •  Proteção  de  Iden=dade  e   DLP   •  Gerencia  de  Chaves  .Cloud   •  Cloud  Security  Broker   Usuários   Dados   Apps   Cloud   Disposi=vos   Rede   Data  Center  
  • 4. Copyright  ©  1984  Michael  Jackson’s  Thriller  
  • 5.   CENÁRIO  DE  AMEAÇAS  ASCENDENTE   ATACANTES  MAIS  ÁGEIS   EXTORSÃO  DIGITAL  EM  ALTA   MALWARE  MAIS   INTELIGENTE   AMEAÇAS  DIA-­‐ZERO   DIVERSOS  SETORES  SOB  ATAQUE   5  em  6   grandes   empresas   atacadas 317M   novos   malwares   criados 1M  novas   ameaças   por  dia 60%  focados   em  SMB 113%   aumento  de   ransomware 45X  mais   disposiBvos   sequestra-­‐ dos 28%  dos   malwares   detectam  VM Recorde   geral Top  5   vulnera.  sem   patch  por   295  dias 24     Saúde   +  37%   Finanças   +6% Educação +10% Governo   +8% Varejo   +11%   Fonte:  Symantec  Internet  Security  Threat  Report  2015 5  
  • 6. EsFmaFva  de  Servidores  W2K3  em  Uso   hhp://news.netcral.com/archives/2015/08/12/millions-­‐s=ll-­‐running-­‐the-­‐risk-­‐with-­‐windows-­‐server-­‐2003.html   6   Copyright  ©  1985  Capcom  
  • 7. Timeline  do  Windows  2003   hhps://en.wikipedia.org/wiki/Windows_Server_2003   7   Copyright  ©  2009  PopCap  Games  
  • 8. Quiz   De  acordo  com  o  CVE  quantas   vulnerabilidades  do  Windows  2003  foram   publicadas?   Entre  com  sua  resposta  no  Chat  do  Webex.   30  SEGUNDOS  de  TEMPO   Vale  1  Mochila  Bacana  da  Symantec!   Copyright  ©  1991  LucasArts   8  
  • 9. Resumo  das  Vulnerabilidades   Copyright  ©  2012  Laika  Entertainment   9  
  • 10. E  agora?   •  Opção  1:   –  Desliga  tudo   •  Opção  2:   –  Instalar  An=virus   •  Opção  3:   –  Baseline  e  Sandbox?     Copyright  ©  2010  AMC   10   Cara  de  TI   (Você)  
  • 11. Symantec  Datacenter  Security:     Server  Advanced   Copyright  ©  2015  Symantec  Corpora=on   11   Registro Arquivos de Configuração Armazenamento Externo Aplicações Sistema Operacional Memória Garantir Integridade do Registro Garantir Integridade dos Arquivos Implementar Proteção de Memória Aplicar Controles a Rede Forçar o Controle de Dispositivos Controle de Atividade das Aplicações
  • 12. Matriz  de  CompaFbilidade   Copyright  ©  2015  Symantec  Corpora=on   12  
  • 13. Como  Funciona?   •  O  Datacenter  Security:  Server  Advanced  encapsula  cada  aplicação,   processo  ou  DLL  numa  “sandbox”.   •  A  sandbox  controla  acesso  aos  recursos  (Filesystem,  Memória,  Rede,   Configurações,  Disposi=vos)  de  acordo  com  a  polí=ca.   •  Implementação  rápida,  Symantec  já  mapeou  as  funcionalidades  e   permissões  que  cada  componente  da  Microsol  precisa  para  operar.     •  As  polí=cas  pré-­‐definidas  permitem  funcionamento  normal  dos   processos,  mas  bloqueiam  o  comportamento  que  não  é  necessário   (malicioso)  tais  como:   –  Estouro  de  memória  para  permi=r  a  inserção  de  código  malicioso  nas  áreas  de   execução.   –  Interação  com  outros  recursos  para,  por  exemplo,  matar  um  processo   legí=mo.   Copyright  ©  2015  Symantec  Corpora=on   13  
  • 14. Como  Funciona?   •  Essa  abordagem  é  diferente  de  técnicas  de  Lockdown  :   –  Protegemos  o  SO  sem  depender  de  perfis  ou  versões  iden=cas  de   aplicações.   –  Mesmo  se  uma  aplicação  es=ver  liberada  (whitelist),  ela  não  terá  acesso   irrestrito  e  será  tratada  por  uma  sandbox.   •  DCSSA  automá=camente  restringe  processos  ou  aplicações   “desconhecidas”  numa  sandbox  BEM  restrita.   •  “Virtual  Patch”  protege  o  sistema  contra  uma  única   vulnerabilidade  conhecida.  Por  sua  vez,  o  DCSSA  bloqueia  o   VETOR  DE  ATAQUE  que  pode  ser  u=lizado  por  outras   vulnerabilidades  que  poderão  ser  descobertas.   Copyright  ©  2015  Symantec  Corpora=on   14  
  • 15. Exemplos  de  vetores  de  ataques   Copyright  ©  2015  Symantec  Corpora=on   15   Estratégia  de  Ataque   MiFgação  com  DCSSA   Implantar  programas  maliciosos  e   executáveis  no  disco   •  Bloqueio  por  padrão  de  inserção  ou  modificação  de  componentes   executáveis  (CMD,  EXE,  DLL,  SYS,  etc.)  no  sistema  por  usuários  ou   programas  não  confiáveis.   •  Proíbe  a  inserção  ou  modificação  de  qualquer  arquivo  (ou  qq  =po  de   extensão)  em  áreas  crí=cas  (exemplo  Windows/system32).   Criação  ou  modificação  de  chaves  de   registro  crí=cas  ou  arquivos  de   configuração   •  Usa  mecanismos  para  prevenir  que  exploits  alterem  configurações   que  permitam  execução  após  um  reboot.   Comando  e  Controle  Remoto   (phone  home)   •  Limita  acesso  a  rede  para  os  processos  que  tentarem  se  comunicar   com  sistemas  externos.   •  Oferece  configurações  de  firewall  para  bloquear  a=vidades  e   controlar  acesso  a  rede  por  programa,  usuário,  porta,  protocolo  e   endereço  IP.   Buffer  Overflow  e  Injeção  de  Código   •  Garante  que  solware  autorizados  não  sejam  sequestrados  por   injeção  de  código  através  de  buffer  overflow  ou  “thread  injec=on”.   Abuso  ou  Escalação  de  Privilégios   •  Trata  cada  processo  privilegiado  como  um  outro  qualquer.  Dessa   forma  não  podem  violar  as  polí=cas  de  controle  mesmo  que  o   Windows  permita  acesso  completo  ao  sistema.  
  • 17. Ambiente  de  Demonstração   •  1  Servidor  de  Gerenciamento  (Datacenter  Security)   –  Windows  2008   •  1  Servidor  Legado   –  Windows  2003  –  SP2,  An=virus  e  Datacenter  Security  Client   •  1  Máquina  “Hacker”   –  Kali  Linux  2.0   •  Vulnerabilidade  Explorada   –  CVE-­‐2008-­‐4250   Copyright  ©  2015  Symantec  Corpora=on   17  
  • 18. Novas  Vulnerabilidades…   Copyright  ©  2015  Symantec  Corpora=on   18  
  • 19. Riscos  Associados  a  Implementação  e     Estratégias  de  MiFgação   •  DCS:SA  possui  um  histórico  de  implementações  em  Windows   2003  que  demonstra  um  risco  muito  baixo.  Mesmo  assim,   estratégias  de  mi=gação  devem  ser  levadas  em  consideração:   19   Risco   Probabilidade   Estratégia  de  MiFgação   Sistema  não  inicializa   Muito  Baixa   •  Reiniciar  antes  de  instalar  o  DCSSA.   •  Agendar  lotes  de  distribuição.   •  Backup/Restore   •  Servidores  Redundantes   Tela  Azul   Muito  Baixa   •  Roll-­‐back:  boot  em  modo  seguro  e  desinstalar.   •  Backup/Restore   •  Imagem  (P2V)  e  teste/distribuição  em  ambiente  virtual.   •  Testar  primeiro  em  homologação.   Driver  SISIPS  Driver  não   inicia  após  reboot   Muito  Baixa   •  Reiniciar  antes  de  instalar  o  DCSSA   PolíFcas  Genéricas   bloqueiam  Aplicações   LegíFmas   Muito  Baixa   •  Usar  o  Modo  de  Monitoração  para  testar  a  polí=ca  antes  de  implementar   •  Permi=r  administrador  de  alterar  a  polí=ca  local  para  restaurar  a   funcionalidade  instantâneamente.   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (LoL!)   Sem  comunicação   Cliente-­‐Servidor   Baixa   •  Verifique  se  todas  as  portas  corretas  estão  abertas.   •  Analisar  logs  e  verificar  se  existe  problemas  de  comunicação.   Copyright  ©  2015  Symantec  Corpora=on  
  • 20. Riscos  Associados  a  Criação  de  PolíFcas  e     Estratégias  de  MiFgação   •  Organizações  podem  u=lizar  polí=cas  personalizadas  para  cada   aplicação.     •  As  seguintes  considerações  devem  ser  avalidas  ao  criar  polí=cas   personalizadas:   20   Risco   Probabilidade   Estratégia  de  MiFgação   PolíFcas  Personalizadas   bloqueiam  Aplicações   LegíFmas   Média   •  Use  o  Modo  de  Monitoramento  (Prevenção  Desabilitada)   •  Crie  polí=cas  efe=cas  atráves  de  uma  metodologia  de  teste   •  Permi=r  administrador  de  alterar  a  polí=ca  local  para  restaurar  a   funcionalidade  instantâneamente.   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (LMAO!)   Criação  de  PolíFcas  demora   muito   Média   •  Crie  inicialmente  polícitas  abrangente  e  aperte  a  segurança  aos  poucos   •  Tenha  foco  na  criação  das  polí=cas   •  Ter  uma  representação  idên=ca  em  homologação  dos  servidores  de   Produção.  (ROFL!)   Muito  ruído  é  gerado  para   criar  uma  políFca  efeFva   Média   •  Crie  uma  polí=ca  inicial  que  reduza  o  ruído  inicial  (exemplo:  permita   processos  do  %windir%system32  acessar  e  modificar  o  registro).   Copyright  ©  2015  Symantec  Corpora=on  
  • 21. Black  Hat  2015   Datacenter  sem  patches,  mas  protegido  pelo  DCS:SA,   conFnua  sem  invasões  pela  terceira  vez  ($5.000  de   recompensa)     •  Ambiente–  “Mini  Data  Center”  com  servidores  Windows  2000  &  2003,  RHEL,   CentOS,  desktops  (Windows  XP  e  7),  além  de  um  appliance  NetBackup:   –  Solware  de  Ponto  de  Venda  nos  desktops  com  comunicações  para  os  servidores  que   processavam  transações;   –  DCS:SA  firewall  deixado  completamente  aberto  intencionalmente;   –  Configurações  default  além  da  falta  de  patches.   •  ObjeFvo–  “capture  the  flag”  (obter  acesso  e  roubar  dados)  e  ganhe  prêmios!   •  Jogadores  –  ~40  simultaneamente,  entre  membros  do  U.S.  DoD  e  congressisstas   da  China  e  Rússia.   •  Ataques  –  uma  variedade  de  ataques  aplicados,  incluídos:   –  Força  Bruta  para  quebra  de  senhas  (mais  de  400  de  login  por  minuto);   –  Ataques  diretos  do  Metasploit;   –  Tenta=vas  de  desligar  os  serviços  DCS:SA  (através  do  help  online…  J).   •  Resultado  –  DCS:SA  segurou  a  onda,  ninguem  levou  os  $5.000…   Copyright  ©  2015  Symantec  Corpora=on   21  
  • 22. Beneqcios  do  DCS:SA   •  Capacidade  Técnica  —  HIPS/HIDS  completo,  com  inúmeras   polí=cas  na=vas  para  proteção  de  sistemas  e  aplicações.   •  Histórico  Comprovado  —  as  tecnologias  de  HIPS/HIDS  no     Symantec  DCS:SA  defendem  sistemas  operacionais  legados  (até   Windows  NT)  há  11  anos.   •  Protege  sistemas  contra  vulnerabilidades  conhecidas  e   desconhecidas  ao  limitar  o  escopo  de  recursos  que  usuários  e   programas  u=lizam  na  operação  do  dia  a  dia.   •  Implementação  Rápida—  e  possibilidade  de  retorno  a   configuração  anterior  com  boot  em  Modo  Seguro.   Copyright  ©  2015  Symantec  Corpora=on   22  
  • 24. Copyright  ©  2015  Symantec  Corpora=on   24  
  • 25. Obrigado!   Copyright  ©  2015  Symantec  CorporaFon.  All  rights  reserved.  Symantec  and  the  Symantec  Logo  are  trademarks  or  registered  trademarks  of  Symantec  Corpora=on  or  its   affiliates  in  the  U.S.  and  other  countries.    Other  names  may  be  trademarks  of  their  respec=ve  owners.   This  document  is  provided  for  informa=onal  purposes  only  and  is  not  intended  as  adver=sing.    All  warran=es  rela=ng  to  the  informa=on  in  this  document,  either  express  or   implied,  are  disclaimed  to  the  maximum  extent  allowed  by  law.    The  informa=on  in  this  document  is  subject  to  change  without  no=ce.   Anderson  Rios   Wesly  Alves   Bruno  Nazareth   Convite:   Semana  que  vem  21/10  as  10:30:     Gerenciando  os  a=vos  de  TI   dentro  e  fora  da  rede  Corpora=va