m1037-filter-network-traffic

# M1037 — Filtro de Tráfego de Rede ## Visão Geral *Fonte: [MITRE ATT&CK — M1037](https://attack.mitre.org/mitigations/M1037)* ## Descrição O **Filtro de Tráfego de Rede** utiliza appliances de rede e software de endpoint para filtrar tráfego de entrada (ingress), saída (egress) e lateral. Isso inclui filtragem baseada em protocolo, aplicação de regras de firewall e bloqueio ou restrição de tráfego com base em condições predefinidas para limitar o movimento adversarial e a exfiltração de dados. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🗺️ Mapear fluxos legítimos ingress / egress / lateral"] --> B["🔥 Configurar firewall deny-by-default + ACLs"] B --> C["🚫 Filtrar protocolos abusados: SMBv1, Telnet"] C --> D["🌐 WAF / Proxy filtro camada 7 HTTP/S"] D --> E["📡 Bloquear IPs maliciosos via threat intel feeds"] E --> F["📊 Auditar regras trimestralmente"] ``` ### Filtragem de Tráfego de Entrada (Ingress) - **Caso de Uso:** Configurar firewalls de rede para permitir tráfego apenas de endereços IP autorizados para servidores públicos. - **Implementação:** Restringir tráfego SSH (porta 22) e RDP (porta 3389) a faixas específicas de IP. ### Filtragem de Tráfego de Saída (Egress) - **Caso de Uso:** Usar firewalls ou software de segurança de endpoint para bloquear tráfego de saída não autorizado e evitar exfiltração de dados e comúnicações C2. - **Implementação:** Bloquear tráfego de saída para IPs maliciosos conhecidos ou regiões onde a comunicação é inesperada. ### Filtragem Baseada em Protocolo - **Caso de Uso:** Restringir o uso de protocolos específicos frequentemente abusados por adversários — como SMB, RPC ou Telnet — com base nas necessidades do negócio. - **Implementação:** Desabilitar SMBv1 em endpoints para prevenir exploits como EternalBlue. ### Segmentação de Rede - **Caso de Uso:** Criar segmentos de rede para sistemas críticos e restringir comunicação entre segmentos a menos que explicitamente autorizada. - **Implementação:** Implementar VLANs para isolar dispositivos IoT ou redes de convidados dos sistemas corporativos centrais. ### Filtragem de Camada de Aplicação - **Caso de Uso:** Usar servidores proxy ou Web Application Firewalls (WAFs) para inspecionar e bloquear tráfego HTTP/S malicioso. - **Implementação:** Configurar WAF para bloquear tentativas de SQL injection ou outras técnicas de exploração de aplicações web. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1205.001 | [[t1205-001-port-knocking\|T1205.001 - Port Knocking]] | | T1557 | [[t1557-adversary-in-the-middle\|T1557 - Adversary-in-the-Middle]] | | T1572 | [[t1572-protocol-tunneling\|T1572 - Protocol Tunneling]] | | T1499.003 | [[t1499-003-application-exhaustion-flood\|T1499.003 - Application Exhaustion Flood]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 - Exploit Public-Facing Application]] | | T1557.003 | [[t1557-003-dhcp-spoofing\|T1557.003 - DHCP Spoofing]] | | T1498.002 | [[t1498-002-reflection-amplification\|T1498.002 - Reflection Amplification]] | | T1218 | [[t1218-system-binary-proxy-execution\|T1218 - System Binary Proxy Execution]] | | T1071.004 | [[t1071-004-dns\|T1071.004 - DNS]] | | T1090.003 | [[t1090-003-multi-hop-proxy\|T1090.003 - Multi-hop Proxy]] | | T1197 | [[t1197-bits-jobs\|T1197 - BITS Jobs]] | | T1498 | [[t1498-network-denial-of-service\|T1498 - Network Denial of Service]] | | T1570 | [[t1570-lateral-tool-transfer\|T1570 - Lateral Tool Transfer]] | | T1552 | [[t1552-unsecured-credentials\|T1552 - Unsecured Credentials]] | | T1048 | [[t1048-exfiltration-over-alternative-protocol\|T1048 - Exfiltration Over Alternative Protocol]] | | T1219 | [[t1219-remote-access-tools\|T1219 - Remote Access Tools]] | | T1187 | [[t1187-forced-authentication\|T1187 - Forced Authentication]] | | T1498.001 | [[t1498-001-direct-network-flood\|T1498.001 - Direct Network Flood]] | | T1105 | [[t1105-ingress-tool-transfer\|T1105 - Ingress Tool Transfer]] | | T1095 | [[t1095-non-application-layer-protocol\|T1095 - Non-Application Layer Protocol]] | | T1090 | [[t1090-proxy\|T1090 - Proxy]] | | T1537 | [[t1537-transfer-data-to-cloud-account\|T1537 - Transfer Data to Cloud Account]] | | T1599 | [[t1599-network-boundary-bridging\|T1599 - Network Boundary Bridging]] | | T1021.002 | [[t1021-002-smbwindows-admin-shares\|T1021.002 - SMB/Windows Admin Shares]] | | T1557.002 | [[t1557-002-arp-cache-poisoning\|T1557.002 - ARP Cache Poisoning]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 - Data from Cloud Storage]] | | T1071 | [[t1071-application-layer-protocol\|T1071 - Application Layer Protocol]] | | T1557.001 | [[t1557-001-llmnrnbt-ns-poisoning-and-smb-relay\|T1557.001 - LLMNR/NBT-NS Poisoning and SMB Relay]] | | T1552.005 | [[t1552-005-cloud-instance-metadata-api\|T1552.005 - Cloud Instance Metadata API]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A filtragem de tráfego de rede é prática padrão em grandes organizações brasileiras, mas a qualidade da implementação varia enormemente: firewalls existem, mas regras permissivas e falta de auditoria periódica são comuns em empresas de médio porte. Ataques DDoS ([[t1498-network-denial-of-service|T1498]]) e exfiltração via protocolos alternativos são vetores frequentes no Brasil — grupos hacktivistas e atores de ransomware utilizam flooding e tunneling DNS para contornar firewalls mal configurados. A adoção de WAF cresce no setor de e-commerce e fintechs com a expansão do open banking regulamentado pelo BACEN. > - Adoção em SOCs brasileiros: alto (firewall básico) / médio (filtragem avançada com WAF e threat feeds) > - Regulamentações relevantes: BACEN 4893/2021, LGPD, PCI-DSS v4.0 (Req. 1), Marco Civil da Internet > - Desafios regionais: regras de firewall acumuladas sem revisão (firewall bloat), ausência de filtragem egress em muitas organizações, e custo de WAF gerenciado para PMEs