# M1029 — Remote Data Storage ## Visão Geral --- *Fonte: [MITRE ATT&CK — M1029](https://attack.mitre.org/mitigations/M1029)* ## Descrição Remote Data Storage focuses on moving critical data, such as security logs and sensitive files, to secure, off-host locations to minimize unauthorized access, tampering, or destruction by adversaries. ```mermaid graph TB A["🖥️ Endpoint / Servidor<br/>gera logs e dados<br/>em tempo real"] --> B["📤 Log Forwarding<br/>Syslog / auditd<br/>TLS 1.2+ em trânsito"] B --> C["🗄️ SIEM Centralizado<br/>Splunk / Security Onion<br/>fora do host comprometível"] C --> D["☁️ Storage Imutável<br/>S3 Object Lock<br/>WORM — sem exclusão"] D --> E["🔐 Criptografia AES-256<br/>dados em repouso<br/>acesso via IAM roles"] ``` By leveraging remote storage solutions, organizations enhance the protection of forensic evidence, sensitive information, and monitoring data. This mitigation can be implemented through the following measures: ### Gerenciamento Centralizado de Logs - Configurar endpoints para encaminhar logs de segurança para um coletor centralizado ou SIEM. - Usar ferramentas como Splunk, Graylog ou Security Onion para agregar e armazenar logs. - Exemplo (Linux): `sudo auditd | tee /var/log/audit/audit.log | nc <remote-log-server> 514` ### Soluções de Armazenamento Remoto de Arquivos - Utilizar soluções de storage em nuvem como AWS S3, Google Cloud Storage ou Azure Blob Storage para dados sensíveis. - Garantir criptografia adequada em repouso e políticas de controle de acesso (IAM roles, ACLs). ### Encaminhamento de Logs de IDS/IPS - Encaminhar logs de sistemas IDS/IPS (Zeek/Suricata) para um sistema de segurança remoto. - Exemplo de encaminhamento de logs Suricata via TLS para syslog remoto. ### Configurações de Backup Imutável - Habilitar configurações de armazenamento imutável para backups, impedindo que adversários modifiquem ou excluam dados. - Exemplo: AWS S3 Object Lock com modo COMPLIANCE. ### Criptografia de Dados - Garantir criptografia de dados sensíveis usando AES-256 em repouso e TLS 1.2+ em trânsito. - Ferramentas: OpenSSL, BitLocker, LUKS (Linux). ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1070.002 | [[t1070-002-clear-linux-or-mac-system-logs\|T1070.002 — Clear Linux or Mac System Logs]] | | T1070.007 | [[t1070-007-clear-network-connection-history-and-configurations\|T1070.007 — Clear Network Connection History and Configurations]] | | T1119 | [[t1119-automated-collection\|T1119 — Automated Collection]] | | T1070.001 | [[t1070-001-clear-windows-event-logs\|T1070.001 — Clear Windows Event Logs]] | | T1070 | [[t1070-indicator-removal\|T1070 — Indicator Removal]] | | T1565 | [[t1565-data-manipulation\|T1565 — Data Manipulation]] | | T1565.001 | [[t1565-001-stored-data-manipulation\|T1565.001 — Stored Data Manipulation]] | | T1070.003 | [[t1070-003-clear-command-history\|T1070.003 — Clear Command History]] | | T1070.009 | [[t1070-009-clear-persistence\|T1070.009 — Clear Persistence]] | | T1070.008 | [[t1070-008-clear-mailbox-data\|T1070.008 — Clear Mailbox Data]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | ## Contexto LATAM > [!globe] Relevância Regional > O armazenamento remoto de dados é uma defesa fundamental contra a tática de destruição de logs frequentemente empregada por grupos ativos na região, como operadores de ransomware que apagam logs locais antes da execução do payload para dificultar a resposta a incidentes. Organizações financeiras brasileiras reguladas pelo BACEN já adotam SIEM centralizado, mas o governo estadual e setor de saúde ainda dependem amplamente de logs locais. > - Adoção em SOCs brasileiros: médio-alto — SIEMs como Splunk e IBM QRadar presentes em grandes organizações; Security Onion em SOCs governamentais e academias > - Regulamentações relevantes: BACEN 4893/2021 (retenção de logs por no mínimo 5 anos), LGPD (rastreabilidade de acesso a dados pessoais), IN GSI 01/2020 (segurança da informação na APF) > - Desafios regionais: custo de storage em cloud aumentado por câmbio USD/BRL, latência para regiões AWS/Azure no interior do Brasil, capacidade técnica para operar SIEM 24x7