m1054-software-configuration

# M1054 — Software Configuration ## Visão Geral *Fonte: [MITRE ATT&CK — M1054](https://attack.mitre.org/mitigations/M1054)* ## Descrição A configuração de software refere-se à realização de ajustes com foco em segurança nas definições de aplicações, middleware, bancos de dados ou outros softwares para mitigar ameaças potenciais. Essas mudanças ajudam a reduzir a superfície de ataque, aplicar boas práticas e proteger dados sensíveis. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📋 Revisão de Configuração Documentação + benchmarks CIS"] --> B["🔐 Controles de Acesso Least privilege + RBAC"] B --> C["📊 Logging Detalhado Autenticação + mudanças config"] C --> D["🚫 Desabilitar Features Debug APIs + serviços legados"] D --> E["🧪 Testar em Staging Validar antes de produção"] E --> F["🤖 IaC Enforcement Ansible / Puppet / Chef"] ``` Realizar Revisão de Segurança das Configurações da Aplicação: - Revise a documentação do software para identificar as configurações de segurança recomendadas. - Compare as definições padrão com as políticas organizacionais e os requisitos de conformidade. Implementar Controles de Acesso e Permissões: - Restrinja o acesso a funcionalidades sensíveis ou dados dentro do software. - Aplique os princípios de menor privilégio para todos os perfis e contas que interagem com o software. Habilitar Logging e Monitoramento: - Configure logging detalhado para eventos-chave da aplicação, como falhas de autenticação, mudanças de configuração ou atividades incomuns. - Integre os logs a uma solução de monitoramento centralizada, como um SIEM. Atualizar e Aplicar Patches no Software Regularmente: - Garanta que o software seja mantido atualizado com os patches de segurança mais recentes para tratar vulnerabilidades conhecidas. - Use ferramentas automatizadas de gerenciamento de patches para simplificar o processo de atualização. Desabilitar Funcionalidades ou Serviços Desnecessários: - Desative funcionalidades ou componentes não utilizados que possam introduzir vulnerabilidades, como interfaces de debugging ou APIs depreciadas. Testar Mudanças de Configuração: - Realize mudanças de configuração em um ambiente de staging antes de aplicá-las em produção. - Conduza auditorias regulares para garantir que as definições permaneçam alinhadas com as políticas de segurança. *Ferramentas para Implementação* Ferramentas de Gerenciamento de Configuração: - Ansible: Automatiza mudanças de configuração em múltiplas aplicações e ambientes. - Chef: Garante configurações consistentes de aplicações por meio de gerenciamento de configuração baseado em código. - Puppet: Automatiza configurações de software e audita mudanças para conformidade. Ferramentas de Benchmark de Segurança: - CIS-CAT: Fornece benchmarks e auditorias para configurações seguras de software. - Aqua Security Trivy: Escaneia aplicações containerizadas em busca de problemas de configuração. Soluções de Gerenciamento de Vulnerabilidades: - Nessus: Identifica configurações incorretas e sugere ações corretivas. Ferramentas de Logging e Monitoramento: - Splunk: Agrega e analisa logs de aplicações para detectar atividades suspeitas. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1566.002 | [[t1566-002-spearphishing-link\|T1566.002 — Spearphishing Link]] | | T1672 | [[t1672-email-spoofing\|T1672 — Email Spoofing]] | | T1550.004 | [[t1550-004-web-session-cookie\|T1550.004 — Web Session Cookie]] | | T1602.001 | [[t1602-001-snmp-mib-dump\|T1602.001 — SNMP (MIB Dump)]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1553.004 | [[t1553-004-install-root-certificate\|T1553.004 — Install Root Certificaté]] | | T1137.002 | [[t1137-002-office-test\|T1137.002 — Office Test]] | | T1559 | [[t1559-inter-process-communication\|T1559 — Inter-Process Commúnication]] | | T1666 | [[t1666-modify-cloud-resource-hierarchy\|T1666 — Modify Cloud Resource Hierarchy]] | | T1562.010 | [[t1562-010-downgrade-attack\|T1562.010 — Downgrade Attack]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1535 | [[t1535-unusedunsupported-cloud-regions\|T1535 — Unused/Unsupported Cloud Regions]] | | T1598 | [[t1598-phishing-for-information\|T1598 — Phishing for Information]] | | T1562.006 | [[t1562-006-indicator-blocking\|T1562.006 — Indicator Blocking]] | | T1566 | [[t1566-phishing\|T1566 — Phishing]] | | T1537 | [[t1537-transfer-data-to-cloud-account\|T1537 — Transfer Data to Cloud Account]] | | T1677 | [[t1677-poisoned-pipeline-execution\|T1677 — Poisoned Pipeline Execution]] | | T1602 | [[t1602-data-from-configuration-repository\|T1602 — Data from Configuration Repository]] | | T1213.004 | [[t1213-004-customer-relationship-management-software\|T1213.004 — Customer Relationship Management Software]] | | T1543.005 | [[t1543-005-container-service\|T1543.005 — Container Service]] | | T1602.002 | [[t1602-002-network-device-configuration-dump\|T1602.002 — Network Device Configuration Dump]] | | T1566.001 | [[t1566-001-spearphishing-attachment\|T1566.001 — Spearphishing Attachment]] | | T1559.002 | [[t1559-002-dynamic-data-exchange\|T1559.002 — Dynamic Data Exchange]] | | T1543 | [[t1543-create-or-modify-system-process\|T1543 — Create or Modify System Process]] | | T1590.002 | [[t1590-002-dns\|T1590.002 — DNS]] | | T1213.006 | [[t1213-006-databases\|T1213.006 — Databases]] | | T1546.013 | [[t1546-013-powershell-profile\|T1546.013 — PowerShell Profile]] | | T1555.005 | [[t1555-005-password-managers\|T1555.005 — Password Managers]] | | T1606 | [[t1606-forge-web-credentials\|T1606 — Forge Web Credentials]] | | T1553 | [[t1553-subvert-trust-controls\|T1553 — Subvert Trust Controls]] | | T1606.001 | [[t1606-001-web-cookies\|T1606.001 — Web Cookies]] | | T1667 | [[t1667-email-bombing\|T1667 — Email Bombing]] | | T1137 | [[t1137-office-application-startup\|T1137 — Office Application Startup]] | | T1562.009 | [[t1562-009-safe-mode-boot\|T1562.009 — Safe Mode Boot]] | | T1598.002 | [[t1598-002-spearphishing-attachment\|T1598.002 — Spearphishing Attachment]] | | T1598.003 | [[t1598-003-spearphishing-link\|T1598.003 — Spearphishing Link]] | --- ## Contexto LATAM > [!globe] Relevância Regional > A configuração segura de software é frequentemente tratada de forma ad hoc no Brasil, sem um processo formal de hardening baseado em benchmarks. Configurações default inseguras em servidores web, bancos de dados expostos à internet e instâncias cloud mal configuradas são vetores comuns em breaches brasileiros. A adoção de Infrastructure as Code (IaC) com Ansible e Terraform cresce em equipes de DevSecOps brasileiras, mas ainda é minoria. Ferramentas de CSPM (Cloud Security Posture Management) têm demanda crescente com a migração para cloud. > - Adoção em SOCs brasileiros: médio (empresas tech e financeiras) / baixo (setor público e indústria) > - Regulamentações relevantes: LGPD (configuração adequada de sistemas que processam dados pessoais), BACEN 4893 (gestão de configuração para IFs), normas ISO/IEC 27001 e ABNT NBR 27001 > - Desafios regionais: ausência de inventário de software atualizado em muitas organizações, configurações customizadas por fornecedores que não seguem benchmarks de segurança