m1020-ssltls-inspection

# M1020 — SSL/TLS Inspection ## Visão Geral *Fonte: [MITRE ATT&CK — M1020](https://attack.mitre.org/mitigations/M1020)* ## Descrição A inspeção SSL/TLS envolve a decriptação de tráfego de rede criptografado para examinar seu conteúdo em busca de sinais de atividade maliciosa. Essa capacidade é crucial para detectar ameaças que utilizam criptografia para evadir detecção, como phishing, malware ou exfiltração de dados. Após a inspeção, o tráfego é re-criptografado e encaminhado ao seu destino. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🌐 Tráfego TLS cliente → internet"] --> B["🔓 Decriptação no appliance SSL/TLS"] B --> C["🔍 Inspeção de conteúdo IDS / DLP / Anti-Malware"] C --> D{"IoC ou payload malicioso?"} D -->|Sim| E["🚫 Bloquear + log alerta SIEM / SOC"] D -->|Não| F["🔐 Re-encriptação e envio ao destino"] ``` Implantar Appliances de Inspeção SSL/TLS: - Implementar soluções de inspeção SSL/TLS para decriptar e inspecionar tráfego criptografado. - Garantir que os appliances estejam posicionados em pontos críticos de estrangulamento da rede para cobertura máxima. Configurar Políticas de Decriptação: - Definir regras para decriptar tráfego de aplicações, portas ou domínios específicos. - Evitar a decriptação de tráfego sensível ou relacionado à privacidade, como sites financeiros ou de saúde, para cumprir regulamentações. Integrar Inteligência de Ameaças: - Utilizar feeds de inteligência de ameaças para correlacionar o tráfego inspecionado com indicadores de comprometimento (IOCs) conhecidos. Integrar com Ferramentas de Segurança: - Combinar inspeção SSL/TLS com ferramentas de SIEM e NDR para analisar tráfego decriptado e gerar alertas de atividade suspeita. - Ferramentas exemplo: Splunk, Darktrace Implementar Gerenciamento de Certificados: - Utilizar certificados internos confiáveis ou de terceiros para re-criptografia do tráfego após a inspeção. - Atualizar regularmente as autoridades certificadoras (CAs) para garantir re-criptografia segura. Monitorar e Ajustar: - Monitorar continuamente os logs de inspeção SSL/TLS em busca de anomalias e ajustar as políticas para reduzir falsos positivos. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1090.004 | [[t1090-004-domain-fronting\|T1090.004 — Domain Fronting]] | | T1573.002 | [[t1573-002-asymmetric-cryptography\|T1573.002 — Asymmetric Cryptography]] | | T1573 | [[t1573-encrypted-channel\|T1573 — Encrypted Channel]] | | T1090 | [[t1090-proxy\|T1090 — Proxy]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A inspeção SSL/TLS é amplamente utilizada por grandes bancos e telecomúnicações no Brasil, mas sua adoção em empresas de médio porte é limitada devido ao custo de appliances dedicados e à complexidade de gerenciamento de certificados. A LGPD cria tensão regulatória relevante: a inspeção de tráfego pessoal de colaboradores exige políticas claras de uso aceitável e pode configurar violação de privacidade se não comúnicada formalmente. Grupos como [[g0121-sidewinder]] e campanhas de C2 sobre HTTPS são vetores crescentes na região. > - Adoção em SOCs brasileiros: médio (alto em bancos e telcos) > - Regulamentações relevantes: LGPD (Art. 7 e 11 — tratamento de dados pessoais interceptados), BACEN 4893/2021, Marco Civil da Internet (Art. 7 — privacidade nas comúnicações) > - Desafios regionais: alto custo de appliances SSL de alto throughput, gestão de CAs internas, e requisito legal de comunicação prévia a colaboradores sobre monitoramento de tráfego