# M1041 — Encrypt Sensitive Information ## Visão Geral --- *Fonte: [MITRE ATT&CK — M1041](https://attack.mitre.org/mitigations/M1041)* ## Descrição Proteger informações sensíveis em repouso, em trânsito e durante o processamento usando algoritmos de criptografia robustos. ```mermaid graph TB A["📂 Dados em Repouso<br/>BitLocker / FileVault<br/>LUKS para Linux"] --> C["🔑 Gerenciamento de Chaves<br/>HashiCorp Vault<br/>AWS Secrets Manager"] B["🌐 Dados em Trânsito<br/>TLS 1.2+ / HTTPS<br/>STARTTLS para e-mail"] --> C C --> D["🗃️ Banco de Dados<br/>TDE — Transparent<br/>Data Encryption"] D --> E["☁️ Backups Cloud<br/>AES-256 antes<br/>do upload — S3/GCS"] E --> F["✅ Auditoria<br/>verificar cobertura<br/>e rotação de chaves"] ``` A criptografia garante a confidencialidade e integridade dos dados, prevenindo acesso não autorizado ou adulteração. Esta mitigação pode ser implementada por meio das seguintes medidas: Criptografar Dados em Repouso: - Caso de uso: Utilizar criptografia de disco completo ou criptografia em nível de arquivo para proteger dados sensíveis armazenados em dispositivos. - Implementação: Implementar BitLocker para sistemas Windows ou FileVault para dispositivos macOS para criptografar discos rígidos. Criptografar Dados em Trânsito: - Caso de uso: Utilizar protocolos de comunicação seguros (ex: TLS, HTTPS) para criptografar dados sensíveis enquanto trafegam pela rede. - Implementação: Habilitar HTTPS para todas as aplicações web e configurar servidores de e-mail para aplicar STARTTLS para criptografia de e-mail. Criptografar Backups: - Caso de uso: Garantir que dados de backup sejam criptografados tanto durante o armazenamento quanto durante a transferência para prevenir acesso não autorizado. - Implementação: Criptografar backups em cloud usando AES-256 antes de enviá-los para Amazon S3 ou Google Cloud. Criptografar Segredos de Aplicação: - Caso de uso: Armazenar credenciais sensíveis, API keys e arquivos de configuração em cofres criptografados. - Implementação: Usar HashiCorp Vault ou AWS Secrets Manager para gerenciar e criptografar segredos. Criptografia de Banco de Dados: - Caso de uso: Habilitar Transparent Data Encryption (TDE) ou criptografia em nível de coluna em sistemas de gerenciamento de banco de dados. - Implementação: Usar os recursos nativos de criptografia do MySQL para criptografar campos sensíveis do banco de dados, como números de CPF. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1659 | [[t1659-content-injection\|T1659 — Content Injection]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1557.002 | [[t1557-002-arp-cache-poisoning\|T1557.002 — ARP Cache Poisoning]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 — Adversary-in-the-Middle]] | | T1070 | [[t1070-indicator-removal\|T1070 — Indicator Removal]] | | T1602.002 | [[t1602-002-network-device-configuration-dump\|T1602.002 — Network Device Configuration Dump]] | | T1003 | [[t1003-os-credential-dumping\|T1003 — OS Credential Dumping]] | | T1565.002 | [[t1565-002-transmitted-data-manipulation\|T1565.002 — Transmitted Data Manipulation]] | | T1565 | [[t1565-data-manipulation\|T1565 — Data Manipulation]] | | T1558 | [[t1558-steal-or-forge-kerberos-tickets\|T1558 — Steal or Forge Kerberos Tickets]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | | T1213.006 | [[t1213-006-databases\|T1213.006 — Databases]] | | T1040 | [[t1040-network-sniffing\|T1040 — Network Sniffing]] | | T1070.001 | [[t1070-001-clear-windows-event-logs\|T1070.001 — Clear Windows Event Logs]] | | T1114.002 | [[t1114-002-remote-email-collection\|T1114.002 — Remote Email Collection]] | | T1602.001 | [[t1602-001-snmp-mib-dump\|T1602.001 — SNMP (MIB Dump)]] | | T1119 | [[t1119-automated-collection\|T1119 — Automated Collection]] | | T1649 | [[t1649-steal-or-forge-authentication-certificates\|T1649 — Steal or Forge Authentication Certificates]] | | T1114.003 | [[t1114-003-email-forwarding-rule\|T1114.003 — Email Forwarding Rule]] | | T1565.001 | [[t1565-001-stored-data-manipulation\|T1565.001 — Stored Data Manipulation]] | | T1558.004 | [[t1558-004-as-rep-roasting\|T1558.004 — AS-REP Roasting]] | | T1669 | [[t1669-wi-fi-networks\|T1669 — Wi-Fi Networks]] | | T1114 | [[t1114-email-collection\|T1114 — Email Collection]] | | T1558.003 | [[t1558-003-kerberoasting\|T1558.003 — Kerberoasting]] | | T1020.001 | [[t1020-001-traffic-duplication\|T1020.001 — Traffic Duplication]] | | T1070.002 | [[t1070-002-clear-linux-or-mac-system-logs\|T1070.002 — Clear Linux or Mac System Logs]] | | T1602 | [[t1602-data-from-configuration-repository\|T1602 — Data from Configuration Repository]] | | T1003.003 | [[t1003-003-ntds\|T1003.003 — NTDS]] | | T1552.004 | [[t1552-004-private-keys\|T1552.004 — Private Keys]] | | T1550.001 | [[t1550-001-application-access-token\|T1550.001 — Application Access Token]] | | T1114.001 | [[t1114-001-local-email-collection\|T1114.001 — Local Email Collection]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1558.002 | [[t1558-002-silver-ticket\|T1558.002 — Silver Ticket]] | ## Contexto LATAM > [!globe] Relevância Regional > A criptografia de dados sensíveis é mandatória no contexto brasileiro da LGPD, especialmente para organizações que processam dados pessoais de cidadãos. Ataques de credential dumping (T1003) e network sniffing (T1040) são vetores recorrentes contra instituições financeiras e governo no Brasil, tornando esta mitigação de alta prioridade para o cenário regional. > - Adoção em SOCs brasileiros: alto em setor financeiro e saúde — BitLocker e TLS são baseline; médio-baixo em PMEs e governo municipal > - Regulamentações relevantes: LGPD art. 46 (medidas de segurança para proteção de dados), BACEN 4893/2021 (criptografia em trânsito e repouso), PCI-DSS (setor de pagamentos), HIPAA adaptado para setor de saúde nacional > - Desafios regionais: gestão de certificados PKI em ambientes de alta rotatividade de pessoal, custo de HSMs para gerenciamento de chaves, dependência de soluções proprietárias sem suporte local