Acesso Condicional com Uso de GPS
Uma mudança importante implantada em Preview no final de Novembro no Azure Active Directory é a localização por GPS.
Anteriormente só tinhamos a opção de usar o endereço IP, porem se a empresa utilizasse proxies externos ou o funcionário estivesse em uma rede com VPN como é o caso agora de muitos antivirus modernos com Web Protection, temos um problema!
Agora é possivel incluir nas politicas de acesso condicional que o usuário habilite o GPS do celular e com isso ter a localização geográfica real ao invés do IP.
Para isso entre nas politicas de Localizações e utilize a opção Determinar localização por coordenadas GPS:
Compliance com Termo de Uso no Azure AD Acesso Condicional
Uma necessidade das empresas com a LGPD (Lei Geral de Proteção de Dados) é que os funcionários, terceiros e contratados com logins no ambiente é ter um termo de aceite.
Algumas empresas já o fazem na admissão de colaborados ou contratação quando terceiros. Esses termos de uso frequentemente se tornam obsoletos e enviar por email nem sempre se tem a “prova” de que o colaborador leu os novos termos.
Por outro lado, mesmo que não tenha renovação dos termos, um registro de que o colaborador leu periodicamente para relembrá-lo das normas de segurança é desejável para muitas empresas ou corporações.
Criando os Termos de Uso
O termo de uso precisa ser alinhado com o departamento legal junto com RH, uma vez que existem padrões e termos obrigatórios.
Uma vez definidos, gere um PDF que fará upload no portal do Azure em Acesso Condicional em Gerenciamento – Termos de Uso:
Veja que nessa opção já será onde poderemos auditar quem leu os termos e também fazer upload em diversos idiomas!
Importante: Veja a opção Periodicidade onde deixei como Mensal para que todos os meses (a cada 30 dias) os usuários tenham que aceitar novamente os termos. Outro item importante é a opção Exigir que os Termos sejam Expandidos.
Criando a Regra de Acesso Condicional para Termos de Uso
Para criar a Politica de Acesso, use o menu Politicas:
Nas politicas defina como regra de Permissão o Termo de Uso criado anteriormente. Veja que se houverem diversos termos de uso por conta de colaboradores e terceiros terem diferentes regras, poderá escolher qual se aplica.
No exemplo acima, seguimos a recomendação de termos uma politica de acesso especifica para os Termos de Uso e obrigando a leitura.
Claro que existem outras opções como a quem se aplica, regras combinadas, etc.
Resultado
E aqui o resultado, a cada 30 dias eu preciso expandir o Termo de Uso para acessar os recursos do Office 365:
No caso, eu já havia expandido os termos para que o botão Acessar estivesse habilitado 
Auditando acesso a dados sensiveis no Azure SQL Database
A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.
Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.
Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.
Azure SQL Data Discovery & Classification
Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.
As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.
E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!
Configurando o SQL Data Discovery & Classification
A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.
Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.
A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.
A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.
Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.
Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).
Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).
Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.
Log Analytics Solutions
Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.
Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.
Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.
Utilizando o Azure Application Insigths na Analise de Vulnerabilidades
Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.
O que é possivel com o App Insights?
O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.
Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.
Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:
Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.
O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.
Como o App Insights é útil para Segurança?
Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.
Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.
Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.
Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.
O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.
Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.
Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.
Validando ataques reais
Agora com mas tempo exposto (como gostamos de correr risco 
) o meu blog pôde ter mais dados para serem demonstrados.
Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.
Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!
Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…
Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.
Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.
Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.
Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:
Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:
O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)
O que fazer ao detectar um ataque ao site site ou aplicação?
Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.
Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.
Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres dentro de parâmetros e comandos internos.
Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.
Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!
Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!
Conclusão
Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!
Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.
MITRE–Comparação entre EDRs
Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)
Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.
Como Avaliar um EDR?
Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.
Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.
Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.
Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?
Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:
- APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
- APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
- Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV
Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.
Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.
Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:
Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:
O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.
Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item
Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:
Como Reproduzir o Mesmo Ambiente Validado nos Testes?
Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.
Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.
Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:
