Titulo Estágio
Retro Enhancer & Actionable Intel
Áreas de especialidade
Comunicações, Serviços e Infraestruturas
Engenharia de Software
Local do Estágio
Coimbra
Enquadramento
As organizações estão hoje muito mais sensíveis para a necessidade de protegerem a informação que processam, procurando encontrar soluções a diversos níveis para proteger tais dados. Estas soluções, visam a proteção continua da infraestrutura e dados que nela circulam, com base em regras, análises de comportamento, entre outros métodos, consultando os registos em trânsito nos sistemas que monitorizam. Assim, as empresas que compram tais soluções, depositam nas equipas que as desenvolvem a confiança de que estas serão capazes de detetar os ataques de que são alvo.
Com a proliferação de ataques e de criação de grupos organizados de ataque a organizações, não é absoluto, que cada um dos fornecedores de tecnologia de segurança, seja capaz de detetar novas ameaças, assim que estas ocorrem. Como tal, são criados grupos de trabalho constituídos por organizações ligadas à área de cibersegurança, tendo em vista a partilha de indicadores de tais ataques, para que as organizações possam usar tais indicadores para encontrar registos nas suas infraestruturas da presença de tais ataques.
Assim, torna-se fulcral que as organizações sejam capazes de processar as partilhas de tal informação em tempo útil, consultando rapidamente os seus sistemas para a presença daqueles indicadores até então indetermináveis pela infraestrutura de segurança implementada. É também muito importante, que tais consultas possam ser realizadas sobre registos que se encontre a ser criados no momento ou no futuro (prevenção de ataques), mas também de possíveis dados que se tenham registado no passado (resposta a incidentes que possam já ter decorrido sem que tenham sido detetados).
Objetivo
Neste trabalho propõe-se ao aluno desenvolver / integrar, uma plataforma capaz de fazer a ingestão de táticas, técnicas e procedimentos utilizados por um adversário, inclusive registar e processar indicadores de compromisso com endereços IPs, domínios, hashes, entre outros, utilizados nos seus ataques.Com tal informação, a plataforma deverá procurar de forma automática, se nos registos de uma organização, se encontram tais indicadores, revelando assim que esta possa ter sido vítima no passado de tal ataque - sem que o tenha conseguido detetar - visto que as plataformas que salvaguardam tais registos, ainda não tinham regras para estes Indicadores à altura em que foram processados. A consulta deverá ser feita por meio de APIs a sistemas como SIEMs (se disponíveis), Firewalls, EDRs, DNS, entre outros.Finalmente e com base nos resultados das pesquisas anteriores e, mediante aprovação do utilizador, a plataforma deverá conseguir inserir na base de dados dos sistemas consultados os novos indicadores. Quando, pela complexidade do indicador, tal não for possível, a plataforma deverá apresentar ao utilizador sugestões de melhoria / implementação de casos de uso com base na informação disponível.
Plano de Trabalhos - Semestre 1
Plano de Trabalhos - Semestre 1Tarefa 1 - Levantamento do estado da arte de plataformas semelhantes, tecnologias utilizadas e possíveis abordagensTarefa 2 - Especificação de requisitos funcionais e atributos de qualidadeTarefa 3 - Definição da arquitetura e da plataforma e das APIs com as quais a plataforma irá interagir;Tarefa 4 - Elaboração do documento de Dissertação.
Plano de Trabalhos - Semestre 2
Plano de Trabalhos - Semestre 2Tarefa 1 - Implementação ou integração de plataforma de processamentos de TTPs e IOCs para um modelo de dados a ser interpretado pela plataforma;Tarefa 2 - Tratamento da informação recebida e criação de entidade de ataque / grupo de ataque consoante a origem da informação;Tarefa 3 - Trabalho sobre a API das plataformas sobre as quais será consultada a presença de indicadores de compromisso atual e em momentos passados (ex. SIEM, Firewall, EDR, EVTX, entre outros);Tarefa 4 - Inserção semi-automatizada de indicadores de compromisso nas plataformas auditadas pela presença dos mesmos para melhorar a capacidade de detecção / prevenção futura;Tarefa 5 - Apresentação ao utilizador de casos de uso a implementar que possam não ser passíveis de implementação sem-automático (ex. adição de log sources);
Tarefa 6 - Testes sobre a aplicação.Tarefa 7 - Elaboração do Documento de Dissertação.
Condições
Será fornecido ao estagiário todo o material necessário para a realização do seu trabalho.Subsidio Alimentação. Valor: 7,63€/diaPrémio 1º semestre: Máx. 1.000€, mediante concretização dos objectivosPrémio 2º semestre: Máx. 2.000€, mediante concretização dos objectivos
Orientador
Sérgio Filipe Lourenço Ribeiro
sribeiro@artresilia.com 📩