Titulo Estágio
Breach and Attack Simulator
Local do Estágio
Coimbra
Enquadramento
As empresas, pelos negócios que processam, dinheiro que movimentam e informação que possuem, são cada vez mais um alvo prefencial do crime informático. Este aumento, tem levado a que cada vez mais as empresas invistam em tecnologia e infraestruturas de segurança, que muitas vezes transmitem uma falsa sensação de impermeabilidade. Para além disso, muitas das soluções adotadas acabam por apenas ser eficientes a detetar/mitigar intrusões iniciais, acabando por serem bastante limitadas a detetar atividade pós-intrusão, como movimentações laterais e escaladas de privilégios ilegítimas.
É, portanto, vital assegurar que as soluções e tecnologias empregues realmente fornecem proteção contra ataques reais, e testar a capacidade de mitigação/deteção das ferramentas, tendo em conta todas as etapas da Cyber Kill Chain. O processo de testagem manual, apesar de importante, consome tempo e recursos, que muitas organizações não estão dispostas a dispender.
Para colmatar esta problemática, é necessária uma abordagem mais automatizada e independente, de modo a tornar o processo de testagem mais expedito e menos dispendioso.
Objetivo
O principal objetivo deste estágio passa pela implementação de um plataforma web que permita a emulação de cenários de ataque, explorando técnicas levadas a cabo por atores reais, de forma a testar a capacidade de deteção das soluções a avaliar.
Através da plataforma deverá ser possível:
- Criar cenários de ataque compostos por tarefas de simulação que sejam semelhantes às praticadas por grupos
- Orquestrar diversos agentes, presentes nas máquinas-alvo, de modo a que os mesmos executem as tarefas de simulação, com base num workflow dinâmico (point-and-click) ou num workflow estático pré-definido.
- Recolher logs de tecnologias defensivas (firewalls, antí-virus, etc.) e avaliar se as soluções de segurança foram ou não capazes de detetar ou parar a ameaça.
- Gerar relatórios a documentar os testes realizados e taxa de deteção das soluções avaliadas.
- Fornecer uma baseline de casos de uso/regras de deteção que visem dar cobertura às técnicas de simulação não detetadas.
- Permitir que sejam feitos testes consecutivos à mesma infraestrutura, de modo a calcular a taxa de melhoria em relação a testes anteriores.
A plataforma deverá adotar a taxonomia da matriz de Tactics, Techniques and Procedures (TTPs) - MITRE ATT&CK, de modo a usar uma linguagem universal e portátil, mesmo entre tecnologias de segurança de diferentes fabricantes.
Plano de Trabalhos - Semestre 1
Tarefa 1 - Levantamento do estado dos trabalhos, tecnologias e abordagens;
Tarefa 2 - Especificação de requisitos;
Tarefa 3 - Implementação da arquitetura e da comunicação entre servidor e agentes.
Tarefa 4 - (Contínua) Elaboração do documento de Dissertação.
Plano de Trabalhos - Semestre 2
Tarefa 1 - Implementação da lógica aplicacional - Definição de workflows e técnicas de simulação.
Tarefa 2 - Implementação da recolha e tratamento de logs provenientes das soluções a avaliar.
Tarefa 3 - Implementação do front-end da aplicação.
Tarefa 4 - Desenvolvimento e Implementação da baseline de casos de uso e/ou técnicas de deteção a sugerir.
Tarefa 5 - Implementação da funcionalidade de geração de relatórios.
Tarefa 6 - Testes sobre a aplicação.
Tarefa 7 - (Contínuo) Elaboração do Documento de Dissertação.
Condições
Será fornecido ao estagiário todo o material necessário para a realização do seu trabalho, incluindo uma workstation.
Orientador
Rui Gonçalo Joaquim Dias Amaro
hr@dognaedis.com 📩