Manter a monitoração sobre sua rede ainda tem seu valor

Um problema encontrado recentemente no protocolo SMB, que permite o seu redirecionamento, levando a roubo de identidade trouxe à tona uma nova questão: "Ainda vale a pena manter sistemas de monitoramento de rede ?".

A resposta para muitos casos é depende, mas na grande maioria a resposta é um sonoro SIM, vale muito a pena.

Mesmo sendo encarado como um problema de segurança severo, o problema não esta diretamente ligado a qualquer tipo de malware, o que estamos vendo é um problema real de construção do protocolo SMB, e pode ser explorado com certa facilidade.

Um artigo muito interessante escrito por HD Moore, Joe Bialek e Ashwath Murthy trás soluções bem pontuais sobre o que podemos fazer para o roubo de informações em sistemas Windows.

Toda vez que vemos notícias sobre novos tipos de ataques, é normal o profissional de segurança tentar entender como este ataque funciona e tentar imaginar como suas ferramentas e estruturas podem reagir a este novo ataques, buscando ou impedir ou mesmo identificar.

Assim, fica claro que a manutenção de um sistema de monitoramento da rede é fator excencial para o controle e proteção da rede e de seus ativos. Com relação a este problema de roubo de identidade baseado em SMB, alguns conselhos parecem ser os mais comuns:

1.verificar a quantidade de tráfego usando as tradicionais portas de comunicação 139 e 445;

2.Verificar as transações de conexões smb buscando entender as requisições e os retornos destas requisições e;

3.Verificar o conteúdo total da comunicação/conexão smb para ver o que esta acontecendo diretamente neste tráfego.

Ainda, não esqueça que muitos ataques apesar de terem aparecido na mídia a pouco tempo, podem estar sendo usado a bastante tempo, e podem estar sendo usado na sua estrutura, por isso é bem interessante a avaliação da implementação de ferramentas mais apropriadas de monitoramento como as SIEM, que vão ajudar e muito na análise de vários logs em um único foco.