Já comentei em posts passados sobre o MDTI (Microsoft Defender for Threat Intelligence) quando integrado com o Sentinel para detectar com KQL indicadores de ataque ou comprometimento (https://www.marcelosincic.com.br/post/Utilizando-os-IoCs-do-Microsoft-Defender-Threat-Intelligence.aspx).

Desta vez vamos introduzir uma nova ferramenta que é o EASM (Defender External Attack Surface Management) onde ao indicar um “seed” que podem ser nomes de domínios, IPs de hosts ou DNS ele faz a procura por indicadores de possível ataque.

Ele é abrangente por não apenas olhar os Threat Indicators na base do MDTI, mas incluir na analise os certificados vencidos, CVEs que estão expostos, técnicas OWASP, postura de segurança nas configurações e aderência ao GDPR.

O melhor de tudo: O EASM É GRATUITO NOS PRIMEIROS 30 DIAS!

Habilitando e Configuração Inicial

O processo é muito simples, segue um passo a passo:

1. Crie o recurso no Azure, onde informará subscrição, grupo de recursos e tags basicamente
2. Entre nas configurações em “Discovery” e crie a raiz de procura (ou seed) com o “Discovery Group”
3. Nas configurações da procura indique a periodicidade e o que quer procurar
   Aqui tem um ponto interessante, onde empresas e organizações conhecidas podem ser pré-carregadas na opção de “Import…” que são empresas já conhecidas por bases de internet comum
4. Lembre-se de colocar exclusões caso possua servidores honeypot para não gerar alertas desnecessários

Agora é só aguardar de 48 a 72 horas para que a descoberta gere os dados.

Analisando os dados gerados

No Overview já é possível detectar os diferentes itens que precisam ser observados na forma de listas em tabs. Nesta lista eu já detecto IPs suspeitos por ser utilizado em distribuição de malware na base do MDTI.

Olhando ali descobrimos um IP antigo que utilizei em um servidor que hoje é um indicador de ataque:

Aqui já pode ser visto um resumo e o indicativo de que um dos IPs é suspeito:

O próprio EASM já carrega as informações indicando qual tipo de ataque este IP está sujeito e está registrado no MDTI:

Abrindo as tabs de obervação do host podemos ver o que este host hospeda, certificados, reputação e todos os detalhes:

Também já tenho uma visão de todos os certificados usados no host para os diferentes domínios, o que me permite detectar certificados internos e externos que estejam vencidos ou próximos de vencer:

Neste exemplo descobri mais tarde investigando que um dos dominios hospedados no mesmo servidor estava com vulnerabilidades e sendo usado para distribuição de um site de videos.

Alterei o host e removi o registro DNS que apontava para este host, que na verdade era apenas um registro de verify antigo e não estava mais ativo.

Conclusão

Com o uso do EASM podemos monitorar nossos recursos que estão expostos na internet e assim proteger a nós mesmos e aos nossos clientes!

Sempre abordamos com clientes a importancia de monitoração em ambientes fabris. Para isso faço sempre demonstrações do Microsoft Defender for IoT e mostramos a quantidade de dispositivos desconhecidos em um ambiente e como se comunicam muitas vezes diretamente com internet.

Mas não é apenas o chão de fábrica e sistemas de automação que podem ser um problema de vazamento em nossos ambientes. Então nos perguntamos:

Será que estou realmente seguro mesmo não sendo manufatura e automação industrial?

A resposta é NÃO!!!

Por exemplo, recentemente uma vulnerabilidade no Mikrotik e no passado com Cisco e outros produtos mostram que podemos ter equipamentos inteligentes ligados a rede invadidos e usados para vazamento de dados ou ataques cibernéticos.

Alexa e Google Home são comuns até em ambiente doméstico, mas nas empresas temos centrais telefonicas, equipamentos sofisticados de video conferencia, abertura de portas, luzes inteligentes, ar condicionado com wifi e sensores de energia. Isso citando apenas os que muitos tem em suas casas!

Alem disso, muitos destes equipamentos são de empresas que não temos certeza da segurança, por exemplo Sonoff utiliza o eWelink, Geonav o HI, LG o ThinQ e cada fabricante tem uma plataforma diferente que se integram com o Home e Alexa sem qualquer tipo de segurança sofisticada. Bastaria que eu invadisse um destes para fazer um reconhecimento e inventário remoto.

Como me Proteger?

Adote soluções que fazem o rastreio destes equipamentos. Estas soluções fazem a leitura de protocolos comuns a equipamentos inteligentes já que estes usam broadcast para serem configurados como é o caso da Alexa e do Google Home e dispositivos wifi.

No caso do Microsoft Defender for Endpoint ele detecta alterações em BIOS, tendo um catalogo da maioria dos fabricantes de automação industrial (ABB, Siemmens e outros) permitindo estar atualizado sempre que surgirem alterações importantes.

O print abaixo é um dashboard de um scan em minha casa, onde tenho ar condicionado, Google Home, lampadas inteligentes e sensores de energia:

O Microsoft Defender for IoT permite que você simule situações entre diferentes dispositivos para analisar se entre eles ocorrem comunicações diretas ou indiretas, que são demonstrados no print anterior como pontos vermelhos. Abaixo um exemplo desta analise:

Outra analise que tambem é realizada por estas soluções é a descoberta e alerta para novos dispositivos colocados na rede. Por exemplo se um funcionário aparecer com um wifi e conectar na rede ele irá detectar instantaneamente!

Alem disso, tambem é importante saber os protocolos e portas que os dispositivos utilizam e o consumo de banda de internet deles:

Por fim, podemos gerar reports executivos para analise com detalhamento e um score de segurança para o que foi inventariado:

Integração com Sentinel

O Microsoft Sentinel já possui um conector para o Defender for IoT, mas você tambem pode integrar sistemas autonomos como SCADA diretamente, alem de permitir que exporte os logs para um SIEM externo.

Stream Microsoft Defender for IoT alerts to a 3rd party SIEM

CONCLUSÃO

Mesmo ambientes domésticos já possuem muitas automações e em geral são softwares e fornecedores que não temos total confiança.

O comportamento destes equipamentos podem ser prejudiciais e passarem desapercebido de toda a equipe de segurança, então não deixe de lado por não ter um ambiente fabril!