# M1021 — Restrict Web-Based Content ## Visão Geral *Fonte: [MITRE ATT&CK — M1021](https://attack.mitre.org/mitigations/M1021)* ## Descrição A restrição de conteúdo web envolve a aplicação de políticas e tecnologias que limitam o acesso a sites potencialmente maliciosos, downloads inseguros e comportamentos de navegador não autorizados. Isso pode incluir filtragem de URLs, restrições de download, bloqueio de scripts e controle de extensões para proteção contra exploração, phishing e entrega de malware. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["🌐 Tráfego Web<br/>Usuários e endpoints"] --> B["🔒 Web Proxy<br/>Filtro de URL e categorias"] B --> C["🛡️ DNS Filtering<br/>Bloqueio de domínios maliciosos"] C --> D["📜 CSP Headers<br/>Restrição de scripts e iframes"] D --> E["🖥️ Browser Policy<br/>GPO — features desabilitadas"] E --> F["📊 SIEM Monitoring<br/>Alertas de acesso bloqueado"] ``` Implantar Filtragem via Web Proxy: - Use soluções para filtrar o tráfego web com base em categorias, reputação e tipos de conteúdo. - Aplique políticas que bloqueiem sites inseguros ou tipos de arquivos no nível do gateway. Habilitar Filtragem Baseada em DNS: - Implemente ferramentas para restringir o acesso a domínios associados a campanhas de malware ou phishing. - Use serviços públicos de filtragem DNS para aprimorar a proteção. Aplicar Content Security Policies (CSP): - Configure cabeçalhos CSP em aplicações web internas e externas para restringir a execução de scripts, incorporação de iframes e requisições cross-origin. Controlar Recursos do Navegador: - Desabilite recursos de navegador não aprovados, como downloads automáticos, ferramentas de desenvolvedor ou scripts inseguros. - Aplique políticas por meio de ferramentas como Group Policy Management para controlar as configurações do navegador. Monitorar e Alertar sobre Ameaças Web: - Use ferramentas de SIEM para coletar e analisar logs de proxy web em busca de sinais de atividade anômala ou maliciosa. - Configure alertas para tentativas de acesso a domínios bloqueados ou falhas repetidas de download de arquivos. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1659 | [[t1659-content-injection\|T1659 — Content Injection]] | | T1102.002 | [[t1102-002-bidirectional-communication\|T1102.002 — Bidirectional Commúnication]] | | T1566.002 | [[t1566-002-spearphishing-link\|T1566.002 — Spearphishing Link]] | | T1528 | [[t1528-steal-application-access-token\|T1528 — Steal Application Access Token]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1218.001 | [[t1218-001-compiled-html-file\|T1218.001 — Compiled HTML File]] | | T1568 | [[t1568-dynamic-resolution\|T1568 — Dynamic Resolution]] | | T1102.001 | [[t1102-001-dead-drop-resolver\|T1102.001 — Dead Drop Resolver]] | | T1204 | [[t1204-user-execution\|T1204 — User Execution]] | | T1133 | [[t1133-external-remote-services\|T1133 — External Remote Services]] | | T1189 | [[t1189-drive-by-compromise\|T1189 — Drive-by Compromise]] | | T1566.003 | [[t1566-003-spearphishing-via-service\|T1566.003 — Spearphishing via Service]] | | T1567 | [[t1567-exfiltration-over-web-service\|T1567 — Exfiltration Over Web Service]] | | T1568.002 | [[t1568-002-domain-generation-algorithms\|T1568.002 — Domain Generation Algorithms]] | | T1550.001 | [[t1550-001-application-access-token\|T1550.001 — Application Access Token]] | | T1102 | [[t1102-web-service\|T1102 — Web Service]] | | T1566 | [[t1566-phishing\|T1566 — Phishing]] | | T1204.004 | [[t1204-004-malicious-copy-and-paste\|T1204.004 — Malicious Copy and Paste]] | | T1059.005 | [[t1059-005-visual-basic\|T1059.005 — Visual Basic]] | | T1102.003 | [[t1102-003-one-way-communication\|T1102.003 — One-Way Commúnication]] | | T1127 | [[t1127-trusted-developer-utilities-proxy-execution\|T1127 — Trusted Developer Utilities Proxy Execution]] | | T1059.007 | [[t1059-007-javascript\|T1059.007 — JavaScript]] | | T1555.003 | [[t1555-003-credentials-from-web-browsers\|T1555.003 — Credentials from Web Browsers]] | | T1567.002 | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002 — Exfiltration to Cloud Storage]] | | T1059 | [[t1059-command-and-scripting-interpreter\|T1059 — Command and Scripting Interpreter]] | | T1218 | [[t1218-system-binary-proxy-execution\|T1218 — System Binary Proxy Execution]] | | T1567.001 | [[t1567-001-exfiltration-to-code-repository\|T1567.001 — Exfiltration to Code Repository]] | | T1127.002 | [[t1127-002-clickonce\|T1127.002 — ClickOnce]] | | T1567.003 | [[t1567-003-exfiltration-to-text-storage-sites\|T1567.003 — Exfiltration to Text Storage Sites]] | | T1204.001 | [[t1204-001-malicious-link\|T1204.001 — Malicious Link]] | | T1566.001 | [[t1566-001-spearphishing-attachment\|T1566.001 — Spearphishing Attachment]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A restrição de conteúdo web é uma das mitigações mais amplamente adotadas em empresas brasileiras de médio e grande porte, especialmente no setor financeiro onde proxies web são obrigatórios pelas regulamentações do BACEN. Phishing e drive-by compromise são vetores dominantes em campanhas que visam organizações brasileiras, tornando o filtro DNS e o bloqueio de categorias críticos. Soluções como Umbrella (Cisco) e Zscaler têm forte presença no mercado corporativo brasileiro. > - Adoção em SOCs brasileiros: alto (empresas de grande porte) / médio (PMEs) > - Regulamentações relevantes: BACEN 4893 (proteção de canais digitais), LGPD (proteção contra exfiltração de dados pessoais), Marco Civil da Internet > - Desafios regionais: uso massivo de WhatsApp Web e redes sociais em ambientes corporativos dificulta bloqueio sem impacto operacional