# Aprendizados e recomendações

<p class="callout success">**Para a prevenção e contenção, MICROSEGMENTAÇÃO! É A REGRA PARA VLANS- PRIVILÉGIO MÍNIMO;**</p>

- Os acessos entre vlans devem ter privilégios mínimos, ao informar apenas a VLAN e definir o acesso como ANY na origem, destino e serviço, você estará liberando o acesso a todo e qualquer serviços e host de uma determinada VLAN para outra;
- Defina exatamente a **Origem (Ip ou grupo pequeno - evite definir uma VLAN) + Serviço + Porta + Protocolo + Destino (Ip ou grupo pequeno - evite definir uma VLAN) exatos;**
    - <span style="color: rgb(224, 62, 45);">**EXEMPLO INSEGURO!**</span><table border="1" style="border-collapse: collapse; width: 100.054%; height: 20.4px;"><colgroup><col style="width: 23.6286%;"></col><col style="width: 19.0506%;"></col><col style="width: 35.9479%;"></col><col style="width: 21.3396%;"></col></colgroup><tbody><tr style="height: 20.4px;"><td class="align-center" style="height: 20.4px;"><span style="color: rgb(224, 62, 45);">**Origem**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(224, 62, 45);">**Destino**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(224, 62, 45);">**Serviço (Porta/Protocolo)**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(224, 62, 45);">**Ação**</span></td></tr><tr><td class="align-center">VLAN1 ou 4.3.2.0/24 ou /16, etc</td><td class="align-center">VLAN2</td><td class="align-center">TODOS (ANY)</td><td class="align-center">LIBERAR (ALLOW)</td></tr></tbody></table>
    - <span style="color: rgb(45, 194, 107);">**EXEMPLO SEGURO!**</span>  
        <table border="1" style="border-collapse: collapse; width: 100.054%;"><colgroup><col style="width: 27.6948%;"></col><col style="width: 26.0518%;"></col><col style="width: 25.2651%;"></col><col style="width: 20.9069%;"></col></colgroup><tbody><tr><td class="align-center" style="height: 20.4px;"><span style="color: rgb(45, 194, 107);">**Origem**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(45, 194, 107);">**Destino**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(45, 194, 107);">**Serviço (Porta/Protocolo)**</span></td><td class="align-center" style="height: 20.4px;"><span style="color: rgb(45, 194, 107);">**Ação**</span></td></tr><tr><td>**4.3.3.0/30 (recepção)**
        
        **Ou IPs individualmente, ou grupos pequenos de IPs**
        
        </td><td>**4.3.2.6 (impressora 1)**
        
        **4.3.2.7 (impressora 2)**
        
        </td><td>**JetDirect e PRNREQUEST**</td><td>**LIBERAR (ALLOW)**</td></tr></tbody></table>
- Ataques diversos exploram permissões excessivas na rede para um atacante poder se deslocar lateralmente. Para reduzir esse risco, recomendamos:
    
    
    - Verificação da segmentação das VLANs.
    - Utilize um host Linux conectado a cada VLAN, uma de cada vez, e execute:
        
        ```
        sudo nmap -v -Pn -p- --open ip/16+da+rede+interna
        ```
    - Esse procedimento permite identificar os serviços acessíveis entre VLANs.
        
        Avalie se os acessos identificados são realmente necessários e ajuste as regras de firewall de rede conforme apropriado.
    - <p class="callout success">**A cada regra, sempre faça as seguintes perguntas (elas te salvam):**</p>
        
        
        - Preciso de toda essa vlan como origem de tráfego ou apenas algun(s) host(s) dela?
        - Este host ou esta vlan de origem, precisa acessar todos os hosts ou todas aquelas vlans de destino?
        - Quais serviços essenciais que a origem precisam acessar no destino?!

- <p class="callout warning">**ATENÇÃO TAMBÉM AO CONCEITO DE REGRAS IDA E VOLTA EM FIREWALLS STATEFUL! (armazena o estado de uma sessão/conexão). Se ele permitiu originar uma conexão, ele já sabe que terá volta.**</p>

- - Se o seu firewall opera no modo **stateful**, você não precisa criar regras de volta para o tráfego. Ele armazena o estado das conexões que foram originadas por determinado host e permite que elas sejam retornadas.

<p class="callout success">**ALGUMAS VANTAGENS DO USO DE NGFW em redes (FIREWALL DE PRÓXIMA GERAÇÃO) que fazem diferença neste cenário de incidente:**</p>

- <p class="callout info">**Inspeção profunda de pacotes (DPI):**</p>
    
    
    - Com isso a facilidade na detecção de comportamentos anômalos e padrões maliciosos, mesmo que tentem se ocultar;

- <p class="callout info">**Reconhecimento de aplicativos facilitando bloqueios:**</p>
    
    
    - Você não precisará buscar atualizar listas com IPs, portas e protocolos, que podem mudar rapidamente, essas informações são atualizadas automaticamente pelo atualizados automaticamente pelo fornecedor e suas equipes de segurança da solução diariamente, bastando que você aplique as atualizações.
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

- <p class="callout info">**Sistema de Prevenção de Intrusão (IPS) e Sistema de Detecção de Intrusão (IDS);**</p>
    
    
    - Padrões e regras de detecção atualizados automaticamente pelo fornecedor e suas equipes de segurança, que podem ser aplicados a cada atualização;
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

- <p class="callout info">**Integração com inteligência contra ameaças:**</p>
    
    
    - Você não precisará buscar e atualizar listas com categorias, IPs, portas e protocolos, assinaturas e padrões de tráfego que podem mudar rapidamente, estas informações são atualizados automaticamente pelo fornecedor e suas equipes de segurança, bastando aplicar atualizações.
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

- <p class="callout info">**Detecção e prevenção de malware:**</p>
    
    
    - Informações são atualizados automaticamente pelo fornecedor e suas equipes de segurança, bastando aplicar atualizações.
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

- <p class="callout info">**Detecção e prevenção comportamental de tráfego:**</p>
    
    
    - Informações são atualizados automaticamente pelo fornecedor e suas equipes de segurança, bastando aplicar atualizações.
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

- <p class="callout info">**Proteção contra ameaças avançadas:**</p>
    
    
    - Informações são atualizados automaticamente pelo fornecedor e suas equipes de segurança, bastando aplicar atualizações.
    - **Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.**

<p class="callout success">**Medidas que fazem a diferença na prevenção, tratamento e resposta a esse cenário de incidente:**</p>

- <p class="callout info">**Manter atualizados serviços, sistemas, plataformas e appliances internos.**</p>

- <p class="callout info">**NÃO utilização de dispositivos não-homologados pela ANATEL:**</p>
    
    
    - **Se houver necessidade de experimentos, estes obrigatoriamente devem ser realizados em redes isoladas, sem conexão com outras redes internas e sem conexão com a internet.**

- <p class="callout info">**Sempre monitore a saúde da sua rede!** </p>
    
    
    - **Consumo de recursos, número de conexões, consumo de banda, logs do firewall de borda.**
    - **Monitoramento simples e diário da saúde da sua rede, trará excelentes resultados. (top ips de saída, top ip de entrada, consumo de recursos do firewall, número de conexões, revisão periódica das regras, teste entre vlans).**

- <p class="callout info">**Sempre faça o inventário e a gestão dos seus ativos!** </p>
    
    
    - **Você terá a rapidez na resposta a incidentes e informações precisas sob pressão para tomada de decisão e suporte.**

- <p class="callout info">**OBRIGATORIAMENTE use o MFA em contas técnicas e incentive os usuários a fazerem o mesmo.**</p>
    
    
    - **MFA é padrão obrigatório na proteção contra acesssos não autorizados.**

- <p class="callout warning">**Quando for notificado por algum órgão ou entidade ou parceiro, seja por tráfego suspeito, dados expostos, malware, vulnerabilidades ou qualquer outra temática, investigue a causa RAIZ e verifique qual o ativo que é a origem do alerta!**</p>

- <p class="callout info">**Ao efetuar bloqueios de endereços maliciosos:**</p>
    
    
    - **Faça na horizontal (entrada e saída) e na vertical (entre vlans internas).** 
        - **DICA: Tenha uma regra de "pânico" pronta para estes momentos (regra vinculada a uma lista de IPs, bastando apenas incluí-los), fácil e rápida.**
    - <p class="callout danger">**É importante esclarecer que esta ação é emergencial e não substitui a identiicação da causa raiz do incidente, é eficaz somente nas primeiras horas de tratamento de incidentes, visto que os indicadores de comprometimento (IoCs) — como IPs, URLs e ASNs — são dinâmicos. Isso significa que o dispositivo comprometido, ao detectar um padrão de bloqueio, pode restabelecer comunicação com o servidor malicioso por novos endereços, tornando bloqueios pontuais ineficazes.**</p>
        
        
        - <p class="callout danger">**Assim, sem tratar a causa raiz do comprometimento, a infraestrutura continuará sendo comprometida.**</p>
- <p class="callout info">**Utilização de solução Network Access Control (NAC) e soluções de postura e autenticação para controle de acesso à rede.**</p>

- <p class="callout info">**Segurança cibernética deve ser pensada em camadas!**</p>

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/GvJimage.png)