det0889-detection-of-network-security-appliances

# DET0889 — Detection of Network Security Appliances ## Descrição A estratégia DET0889 aborda a detecção de reconhecimento e comprometimento de appliances de segurança de rede — incluindo firewalls, sistemas de detecção e prevenção de intrusão (IDS/IPS), gateways de e-mail, proxies seguros e concentradores VPN. Esses dispositivos são alvos de alto valor para adversários porque controlam o fluxo de tráfego, contêm credenciais e chaves de criptografia, e uma vez comprometidos fornecem visibilidade completa sobre a rede protegida. A exploração de vulnerabilidades em appliances de segurança de rede é uma tendência crescente documentada pelo CISA e pelos principais vendors de threat intelligence. CVEs críticos em produtos como FortiGate (CVE-2023-27997), Citrix ADC (CVE-2023-3519), Cisco ASA e Palo Alto GlobalProtect têm sido ativamente explorados por grupos APT e operadores de ransomware para obter acesso inicial ou escalar privilégios. A natureza "caixa-preta" desses appliances frequentemente dificulta análise forense e detecção de comprometimento. A detecção requer monitoramento rigoroso de logs de appliances de segurança, alertas sobre autenticações incomuns em interfaces de gerenciamento, análise de comportamento de tráfego passante (appliance gerando tráfego não esperado), e correlação com CVEs conhecidos para os produtos em uso no ambiente. ## Indicadores de Detecção - Login em interface de gerenciamento de firewall ou VPN concentrator fora do horário e IP habitual - Appliance de segurança gerando tráfego de saída incomum para endereço externo não documentado - Tentativa de exploração de CVE conhecido contra versão de firmware vulnerável de appliance de rede - Certificado TLS de gerência de appliance diferente do padrão corporativo (indicador de MITM) - Configuração de regra de firewall modificada por acesso não autorizado ou inesperado - Appliance VPN aceitando conexões de IPs não em whitelist com credenciais válidas - Alta taxa de erros de autenticação em interface HTTPS de gerência de appliance seguida de login bem-sucedido ## Técnicas Relacionadas - [[T1592.004-client-configurations|T1592.004 — Gather Victim Host Information: Client Configurations]] - [[t1190-exploit-public-facing-application|T1190 — Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1602-data-from-configuration-repository|T1602 — Data from Configuration Repository]] - [[T1584.008-network-devices|T1584.008 — Compromise Infrastructure: Network Devices]] ## Analytics Relacionadas - [[an2021-analytic-2021|AN2021 — Analytic 2021]] --- *Fonte: [MITRE ATT&CK — DET0889](https://attack.mitre.org/detectionstrategies/DET0889)*