m1035-limit-access-to-resource-over-network

# M1035 — Limit Access to Resource Over Network ## Visão Geral *Fonte: [MITRE ATT&CK — M1035](https://attack.mitre.org/mitigations/M1035)* ## Descrição Restrinja o acesso a recursos de rede, como compartilhamentos de arquivos, sistemas remotos e serviços, apenas aos usuários, contas ou sistemas com uma necessidade legítima de negócio. Isso pode incluir o uso de tecnologias como concentradores de rede, gateways RDP e modelos de acesso de confiança zero (ZTNA), além do hardening de serviços e protocolos. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📋 Auditar serviços expostos na rede"] --> B["🗑️ Desabilitar serviços desnecessários (Telnet, FTP)"] B --> C["🔐 Implementar ZTNA ou RDP Gateway + MFA"] C --> D["📜 Aplicar least privilege via AD / IAM por papel"] D --> E["🔥 Firewall ACLs deny-by-default por porta"] E --> F["📊 SIEM — monitorar acessos e falhas"] ``` Auditar e Restringir Acessos: - Audite regularmente as permissões de compartilhamentos de arquivos, serviços de rede e ferramentas de acesso remoto. - Remova acessos desnecessários e aplique os princípios de menor privilégio para usuários e serviços. - Use Active Directory e ferramentas de IAM para restringir o acesso com base em funções e atributos. Implantar Soluções de Acesso Remoto Seguro: - Use gateways RDP, concentradores VPN e soluções ZTNA para centralizar e proteger conexões de acesso remoto. - Configure controles de acesso para restringir conexões com base em horário, dispositivo e identidade do usuário. - Aplique MFA para todos os mecanismos de acesso remoto. Desabilitar Serviços Desnecessários: - Identifique serviços em execução usando ferramentas como netstat (Windows/Linux) ou Nmap. - Desabilite serviços não utilizados, como Telnet, FTP e SMB legado, para reduzir a superfície de ataque. - Use regras de firewall para bloquear tráfego em portas e protocolos não utilizados. Segmentação e Isolamento de Rede: - Use VLANs, firewalls ou microssegmentação para isolar recursos críticos de rede do acesso geral. - Restrinja a comunicação entre sub-redes para prevenir o movimento lateral. Monitorar e Registrar Acessos: - Monitore tentativas de acesso a compartilhamentos de arquivos, RDP e recursos de rede remotos usando ferramentas de SIEM. - Habilite auditoria e registro para tentativas bem-sucedidas e com falha de acesso a recursos restritos. *Ferramentas para Implementação* Gerenciamento de Compartilhamentos de Arquivos: - Microsoft Active Directory Group Policies - Samba (gerenciamento de compartilhamentos Linux/Unix) - AccessEnum (ferramenta de auditoria de acesso Windows) Acesso Remoto Seguro: - Microsoft Remote Desktop Gateway - Apache Guacamole (gateway RDP/VNC open-source) - Soluções Zero Trust: Tailscale, Cloudflare Zero Trust Hardening de Serviços e Protocolos: - Nmap ou Nessus para descoberta de serviços de rede - Windows Group Policy Editor para desabilitar SMBv1, Telnet e protocolos legados - iptables ou firewalld (Linux) para bloquear tráfego desnecessário Segmentação de Rede: - pfSense para isolamento de rede open-source ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1542 | [[t1542-pre-os-boot\|T1542 — Pre-OS Boot]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 — Adversary-in-the-Middle]] | | T1563.002 | [[t1563-002-rdp-hijacking\|T1563.002 — RDP Hijacking]] | | T1552.005 | [[t1552-005-cloud-instance-metadata-api\|T1552.005 — Cloud Instance Metadata API]] | | T1612 | [[t1612-build-image-on-host\|T1612 — Build Image on Host]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1200 | [[t1200-hardware-additions\|T1200 — Hardware Additions]] | | T1542.005 | [[t1542-005-tftp-boot\|T1542.005 — TFTP Boot]] | | T1552.007 | [[t1552-007-container-api\|T1552.007 — Container API]] | | T1610 | [[t1610-deploy-container\|T1610 — Deploy Container]] | | T1133 | [[t1133-external-remote-services\|T1133 — External Remote Services]] | | T1552 | [[t1552-unsecured-credentials\|T1552 — Unsecured Credentials]] | | T1021.002 | [[t1021-002-smbwindows-admin-shares\|T1021.002 — SMB/Windows Admin Shares]] | | T1613 | [[t1613-container-and-resource-discovery\|T1613 — Container and Resource Discovery]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 — Exploit Public-Facing Application]] | | T1557.002 | [[t1557-002-arp-cache-poisoning\|T1557.002 — ARP Cache Poisoning]] | | T1546.008 | [[t1546-008-accessibility-features\|T1546.008 — Accessibility Features]] | | T1609 | [[t1609-container-administration-command\|T1609 — Container Administration Command]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A limitação de acesso a recursos de rede ganhou urgência no Brasil após incidentes massivos de ransomware explorando RDP exposto (porta 3389) e compartilhamentos SMB — vetor primário de entrada em ataques de [[lockbit]] e [[blackbasta]] contra empresas brasileiras em 2024. A adoção de ZTNA ainda é incipiente fora do setor financeiro, com muitas organizações dependendo de VPNs tradicionais sem MFA. O BACEN 4893/2021 exige controle granular de acesso a sistemas críticos, impulsionando maior maturidade no setor bancário. > - Adoção em SOCs brasileiros: médio (crescendo com adoção de ZTNA pós-pandemia) > - Regulamentações relevantes: BACEN 4893/2021, LGPD (Art. 46 - acesso controlado a dados pessoais), PCI-DSS v4.0 (Req. 1 e 7) > - Desafios regionais: exposição persistente de RDP em PMEs, falta de MFA em acessos remotos legados, resistência cultural a ZTNA por impacto na produtividade percebida