A proteção de segurança de rede computacional de
determinado tribunal é composta por firewall de aplicação Web
(WAF), sistema de detecção e prevenção de intrusão (IDS/IPS),
firewall e listas de acessos (ACL) utilizadas em switchs e
roteadores. Um atacante conseguiu, a partir da Internet,
ultrapassar a proteção dessa rede e acessar indevidamente
informações restritas. A aplicação web afetada, E-processos, é
utilizada para gestão de processos judiciais, sendo acessada tanto
pela Internet quanto pela rede interna por diversos perfis de
usuários, como servidores, advogados, juízes. A aplicação conta
com alguns recursos de segurança, como bloqueio por tentativa
de força bruta e protocolo de transferência de hipertexto seguro
(HTTPS). Durante a análise do incidente, identificou-se a
utilização da técnica de SQL Injection na exploração de uma
vulnerabilidade na E-processos, o que permitiu o acesso não
autorizado a dados armazenados no servidor de banco de dados.
Nessa situação hipotética, as falhas que podem ser identificadas
incluem
✂️ a) IDS/IPS configurado no modo de detecção e fluxo de
comunicação da Internet para o servidor na porta TCP 443
liberado no firewall ✂️ b) IDS/IPS configurado em modo de detecção e fluxo de
comunicação da Internet para o servidor na porta TCP 443
liberado na ACL do roteador de borda. ✂️ c) WAF com regra de SQL Injection desativada no fluxo de
comunicação da Internet para o servidor na porta TCP 443 e
IDS/IPS configurado em modo de prevenção. ✂️ d) IDS/IPS configurado em modo de prevenção com regra de
SQL Injection desativada no fluxo de comunicação da
Internet para o servidor na porta TCP 443 e WAF com
inspeção desativada para SSL/TLS em HTTP. ✂️ e) IDS/IPS e WAF com inspeção desativada para SSL/TLS em
HTTP e fluxo de comunicação da Internet para o servidor nas
portas TCP 80 e 443 liberadas na ACL do roteador de borda e
no firewall.