No Guia de Tratamento de Incidentes de Cibersegurança do NIST, o ciclo de vida da Resposta a Incidentes apresenta 4 estágios, sendo o primeiro a Preparação para um incidente, e o segundo sua Detecção e Análise. Em seguida, surge aquele que é provavelmente o que mais rápido vem à mente quando falamos em “Resposta a Incidentes”. Trata-se do momento de Contenção, Erradicação e Recuperação.
É nesta fase em que se busca impedir a propagação do incidente, de modo a diminuir os danos, utilizando-se dos processos estabelecidos e das informações adquiridas nas etapas anteriores. Mas é também este o momento mais propício para que ocorra uma tarefa às vezes negligenciada, porém crítica para as atividades pós-incidente: a coleta de evidências.
O Harmony Endpoint, solução de proteção de endpoints da Check Point, pode promover a contenção de um incidente e, ao mesmo tempo, possibilitar a coleta de evidências de forma segura. Quando o atacante detém Comando & Controle sobre uma máquina, ou esta se encontra infectada por malware capaz de replicar-se pela rede, uma medida de contenção eficaz é o isolamento de suas conexões. Neste contexto, é proveitosa a seguinte combinação de funcionalidades: a execução de comandos, remotamente, em uma máquina gerenciada que foi isolada da rede.
Pré-requisito: computador com o agente do Harmony Endpoint instalado e com a blade de firewall habilitada.
Através do Portal Infinity, na gerência do Harmony Endpoint, podemos isolar a máquina da rede, bastando buscá-la por meio do Asset Management:
Em Push Operations podemos verificar o status da operação de isolamento:
Uma vez ocorrido o isolamento, os únicos tráfegos permitidos pela solução serão DHCP, DNS e tráfego relativo ao próprio servidor da gerência.
Neste momento, ainda que isolada da rede, a máquina pode receber comandos remotos do servidor de gerência para, por exemplo, coleta de logs, término de processos, busca e coleta de arquivos, adição e remoção de chaves de registro etc.
Uma das formas de iniciar um comando remoto é no próprio menu de Push Operations, utilizando a funcionalidade de Add Push Operation:
Neste exemplo, foi utilizada a operação geral de “Remote Command”, para executar em nome do usuário logado na máquina um script não assinado, para obtenção de informação sobre os drives da máquina:
O código do script é:
Write-host "Script: GetDrivesInfo.ps1"
Get-PSDrive | where{$_.DisplayRoot -match "\\"}
Get-CimInstance -ClassName Win32_MappedLogicalDisk | Select SystemName, DeviceID, ProviderName
[System.IO.DriveInfo]::getdrives()
Após a execução bem-sucedida de uma operação, podemos verificar seu output na própria console:
Ou, para uma melhor visualização, copiá-lo para o bloco de notas:
Desta forma, podem ser obtidas as mais diversas informações para análise forênsica e pós-incidente de modo remoto e seguro.
Referências:
NIST, Computer Security Incident Handling Guide: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf
Check Point, Harmony Endpoint Admin Guide, Performing Push Operations: https://sc1.checkpoint.com/documents/Infinity_Portal/WebAdminGuides/EN/Harmony-Endpoint-Admin-Guide/...
Thu 25 Jul 2024 @ 11:00 AM (EDT)
CP Tips and Tricks 2024 #12: Dynamic Access Policies using Data Center ObjectsThu 01 Aug 2024 @ 10:00 AM (CEST)
CheckMates Live BeLux: What's new on Check Point CloudGuard!Tue 06 Aug 2024 @ 05:00 PM (CEST)
Americas CheckMates Live - Infinity XDR/XPR Q2 Product UpdatesThu 25 Jul 2024 @ 11:00 AM (EDT)
CP Tips and Tricks 2024 #12: Dynamic Access Policies using Data Center ObjectsThu 01 Aug 2024 @ 10:00 AM (CEST)
CheckMates Live BeLux: What's new on Check Point CloudGuard!Tue 06 Aug 2024 @ 05:00 PM (CEST)
Americas CheckMates Live - Infinity XDR/XPR Q2 Product Updates
