Introdução
Analisando o futuro da segurança cibernética e os benefícios de oferecer recursos em um único modelo de serviço entregue na nuvem, a UPX desenvolveu a sua própria plataforma, na qual as empresas que confiam em nosso trabalho podem usufruir de uma proteção completa contra ataques DDoS, impedir que diversos tipos malwares ataquem a rede, aplicar regras de firewall personalizadas, gerenciar prefixos de IP, visualizar seus anúncios BGP, analisar o tráfego da rede, conectar sua infraestrutura com outros serviços em nuvem, realizar o monitoramento de aplicações e adotar políticas de segurança.
Com esse modelo de arquitetura, a sua empresa pode reduzir consideravelmente os custos com manutenções e infra estruturas complexas formadas por diversas soluções gerenciadas de modo distinto, reduzir o risco de violação de dados, bloquear ataques cibernéticos à sua rede e permitir o acesso seguro e com alta performance às aplicações.
Confira a seguir um detalhamento de todos os módulos, recursos e funcionalidades que os clientes podem ter acesso na plataforma.
01. Tela inicial
Ao se tornar um cliente UPX, a empresa passa a ter acesso a plataforma. Um primeiro usuário escolhido como administrador é cadastrado pela equipe de suporte, para que a partir dele, a empresa possa ter autonomia para cadastrar outros usuários.
Para ter acesso a plataforma, o usuário precisa digitar em seu navegador o endereço sase.upx.com. A imagem abaixo mostra a tela inicial em que o usuário realiza o login.
02. OnBoard
Este é o primeiro passo para habilitar novos usuários na plataforma. O administrador é o encarregado de adicionar outros usuários conforme a necessidade da organização. Os recursos para gerenciamento de usuários estão localizados no módulo ORGANIZATION dentro da sessão Access Management.
Nossa plataforma permite a entrada de usuários por e-mail regex ou por meio de convite (via link), não necessitando de compatibilidade com o regex, ou seja, o usuário não precisa se cadastrar usando um e-mail com o domínio da organização.
Em Users, você encontra a lista de todos os usuários que tem acesso a sua organização, mas é importante ressaltar que, caso um usuário não tenha nenhuma permissão habilitada, o mesmo não conseguirá acessar nenhum recurso disponível.
Para identificar um ou mais usuários, é possível fazer um filtro por diferentes critérios incluindo domínio de e-mail, tipo de acesso, produto habilitado, quantidade de funcionalidades habilitadas.
A lista de usuários mostra o nome de cada um deles, o e-mail, quando foi o último acesso, o número de permisões habilitadas e as ações que permitem a ao Administrador promover/remover um usuário a administrador e remover um usuário da organização.
Para atualizar as permissões de usuários é necessário selecionar ao menos 1 usuário e clicar no botão Change Permissions. Após essa ação, a lista de permissões será aberta e o admin poderá habilitar/desabilitar as funcionalidades e clicar em Apply Changes ao final da lista.
PARA SABER MAIS
Regex - Uma expressão regular, também chamada de regex, é um método de correspondência de texto a padrões. Por exemplo, uma expressão regular pode descrever o padrão de endereços de e-mail, URLs, números de telefone, números de identificação de funcionários, números de previdência social ou números de cartão de crédito.
Fonte: Google - Diretrizes para o uso de expressões regulares
03. Menu
Ao fazer login na plataforma, o usuário visualiza o menu na lateral esquerda, a partir dele é possível acessar tudo o que é oferecido (de acordo com as permissões de acesso).
O menu é dividido nos seguintes módulos: Main, DDoS Defense, Cloud Exchange, ASN Monitor, Phishing Sonar, XDR e Organization. Na parte inferior está disponível o Changelog, onde é possível obter informações sobre atualizações, melhorias e correções nos módulos e seus recursos.
Todos os gráficos e informações exibidas com horário na plataforma são visualizados de acordo com a configuração do navegador do usuário, a plataforma consegue identificar automaticamente o horário configurado no navegador, passando a mostrar os intervalos dos gráficos de acordo com essa configuração para uma melhor análise e interpretação.
04. Main
Dashboard
É um resumo dos principais insights quanto a segurança de borda dos clientes. O Dashboard é a tela principal da plataforma em que o usuário tem uma visão geral da organização.
O gráfico de tráfego mostra possíveis oscilações em sua rede e por meio dele o usuário pode selecionar o tipo de exibição (Aggregate, Aggregate with Attack Volume e Detailed) e visualizar por um período passado de até 48 horas.
Além disso, caso o cliente tenha mais de um ambiente de rede, é possível visualizar o total do tráfego em Default ou de modo independente como mostra a imagem abaixo.
Aggregate - agregação de todas as interfaces que o cliente possui com a UPX com a visualização do volume de download e upload.
Aggregate with Attack Volume - agregação de todas as interfaces que o cliente possui com a UPX com a visualização do volume de download, upload e dos ataques ¹DDoS direcionados à rede do cliente.
Detailed - visualização de cada interface/tipo de conexão (²VLAN, GRE, Cross Connect, etc) que o cliente possui com o volume de download e upload.
Abaixo do gráfico de tráfego, o usuário encontra uma lista dos ataques DDoS que estão em andamento e/ou que foram finalizados recentemente. Caso um ataque esteja em andamento, será exibido um quadro de alerta com as principais informações.
Nesse quadro o usuário consegue identificar os prefixos alvos do ataque, os tipos de protocolos utilizados pelo ofensor e a volumetria do tráfego malicioso em BPS (bits por segundo) e PPS (pacotes por segundo).
PARA SABER MAIS
Ataque DDoS - Os ataques distribuídos de negação de serviço têm como objetivo gerar sobrecarga em servidores para deixar seus serviços indisponíveis aos usuários da rede. Para isso, é necessário que um grande volume de dispositivos estejam atuando sobre esta rede enviando requisições simultâneas de acesso até que servidores, aplicações ou páginas da Internet sejam derrubados.
Esse acesso orquestrado é feito por meio de uma botnet, nome que se dá a rede de dispositivos infectados por malwares que recebem os comandos de um usuário mal intencionado para executar os ataques DDoS.
VLAN Bilateral - Também é conhecida como uma rede local virtual, trata-se de uma conexão independente. A comunicação entre as máquinas pertencentes a essa rede passa, obrigatoriamente, por um roteador ou outro equipamento capaz de encaminhar o tráfego entre redes diferentes.
Túnel GRE (VPN) - O cliente utiliza a própria conexão (link de internet contratado) para ativar o serviço de mitigação. A troca de dados entre as redes é criptografada, mas costumam ser mais lentas, pois precisam de mais processamento para encapsular os dados e para ter uma boa performance.
Cross Connect - É a ligação física entre o roteador do cliente e de seu fornecedor via fibra óptica, sem que haja o apoio de equipamento de terceiros.
Fontes: Blog UPX - DDoS: o que é e como proteger sua rede contra este tipo de ciberataque
Blog UPX - VLAN, VPN, Cross Connect: qual a mais indicada para a mitigação?
Na lista de ataques é mostrado o status que cada ataque possui, podendo ser classificado como Ongoing ou Finished, o período de início e fim do ataque, o tempo de duração, a quantidade e quais são os prefixos alvos, o Scrubbing Center (centro de mitigação) que está trabalhando na filtragem desse ataque e as assinaturas (protocolos utilizados) no ataque.
Além disso, o quadro de ataques exibe o falso positivo, que consiste no alerta de todo tráfego considerado anômalo (com forte indícios de atividade maliciosa), porém ao realizar uma análise profunda dos pacotes, é constatado que trata-se de tráfego legítimo e o status do alerta que inicialmente é tratado como ataque é imediatamente alterado para falso positivo.
Live DDoS Report
Os ataques com o status ONGOING passam a contar com a opção Live DDoS Report. Por meio desta funcionalidade, o usuário consegue visualizar e acompanhar o incidente por um relatório que é automaticamente atualizado a cada 5 minutos com as últimas informações coletadas.
Após o encerramento do evento, as informações passam a ser exibidas no relatório consolidado.
PARA SABER MAIS
BPS - Bits per second é uma maneira padrão de medir taxas de transferência de dados, como conexão de rede e Internet.
PPS - Packets per second determina a quantidade de pacotes que podem ser efetivamente transferidos através da rede por segundo.
IPv4 - É a quarta versão do Protocolo de Internet (IP). Ele é um dos principais protocolos de padrões baseados em métodos de interconexão de redes na Internet.
Prefixo de IP - O prefixo de roteamento é escrito como o primeiro endereço de uma rede, seguido por um caractere de barra (/), e finalizando com o comprimento de bit do prefixo. Por exemplo, 192.168.1.0/24 é o prefixo da rede IPv4 começando no endereço fornecido, possuindo 24 bits aplicados para o prefixo de rede
Protocolos de ataques DDoS - Ofensores exploram diversos tipos de protocolos de rede para realizarem os ataques e sobrecarregarem os servidores.
Fontes: Wikipédia - IPv4
Wikipédia - Prefixo de roteamento
Blog UPX - Conheça os 5 ataques DDoS mais comuns
Suspicious Communications
Além disso, o dashboard conta com um card que exibe uma listagem de comunicações suspeitas dos últimos 30 dias entre algum dispositivo dentro da rede da organização do usuário com um destino externo, identificando o horário que essa comunicação foi estabelecida, o IP de origem, o tipo de ameaça, o IP de destino e o ASN de destino.
Por meio do ícone de busca localizado no topo do card, é possível filtrar os resultados por tipo de ameaça (threat),prefixo (prefix), porta (port) ou ASN.
Os dados deste exibidos também podem ser disponibilizados por meio de API. Para acessar, basta clicar no ícone localizado no canto direito superior do card.
Caso o usuário queira saber o que cada uma das ameaças identificadas significa, ao final do card, é possível clicar em Glossary para visualizar o conceito delas.
Na tela principal o usuário pode visualizar também um card de eventos recentes que se separam em dois tipos: globais e específicos.
Globais: refere-se a eventos da Internet que a UPX acredita terem relevância para os clientes. Por exemplo, instabilidade com o Amazon AWS, instabilidade nos serviços do Google ou manutenção em um IX.
Específicos: refere-se a eventos da própria organização (cliente) que estão ocorrendo na plataforma. Por exemplo, inserção de um novo usuário ou uma configuração realizada em um dos módulos do SASE por um determinado usuário.
Ao lado do card Recent Events é possível visualizar o card Firewall Usage que mostra um status simplificado das regras de firewall que o cliente possui.
Active: quantidade de regras que estão ativas no SASE.
To Expire: quantidade de regras criadas que possuem um tempo de expiração.
Pending: quantidade de regras que ainda estão pendentes de serem ativas na infraestrutura da UPX.
Remaining: quantidade de regras remanescentes para serem utilizadas.
PARA SABER MAIS
Firewall - É uma tecnologia de segurança utilizada para impedir acesso não autorizado a redes ou computadores. Um firewall pode ser um software, um hardware ou até mesmo uma combinação dos dois, com objetivo de monitorar as conexões de entrada ou saída e, conforme a política de segurança implementada, bloquear, aceitar ou limitar o acesso.
Na tela principal o usuário pode visualizar também um card com o tempo de 95 percentil e as seguintes informações:
Commitment - volume de tráfego contratado;
Peak Volume - volume de tráfego utilizado acima do limite contratado;
Time Above Commitment - o tempo utilizado acima do limite contratado;
Time Tolerance - o tempo restante para utilização no método de 95 percentil.
Por último, o usuário ainda pode visualizar o card que mostra um status do BGP para o ASN do cliente e informa a quantidade de blocos de IP que estão sendo anunciados na Internet e como eles são classificados pela UPX.
No Mitigation: os blocos não estão sendo anunciados para a UPX ou estão com uma preferência baixa e não enviam tráfego.
Partial Mitigation: blocos que estão sendo anunciados para a UPX e para outro fornecedor, dessa forma só é possível coletar uma parte do tráfego.
Full Mitigation: blocos que estão sendo anunciados exclusivamente para UPX, esse é o cenário ideal para que a mitigação de ataques DDoS seja realizada com a melhor eficiência.
PARA SABER MAIS
Sistema Autônomo¹ - A Internet é um conjunto de redes que se conectam entre si. O nome técnico dado a cada uma dessas redes é Sistema Autônomo, e corresponde a conexões independentes que seguem padrões tecnológicos comuns e capazes de permitir a operação interna e a formação da estrutura de Internet. O AS (Sistema Autônomo) possui uma política de roteamento e pode ser identificado por um número na Internet, o que é denominado de ASN (Autonomous System Number).
BGP² - Border Gateway Protocol é um protocolo com linguagem padrão capaz de conectar várias redes na Internet. Essa conexão ocorre por meio de peerings, ou melhor explicando, os peerings utilizam IPs que são configurados na interface do equipamento de cada sistema autônomo e por meio deles estabelecem a sessão BGP e ela realiza a comunicação de roteamento entre os IPs dos sistemas autônomos.
Peering - é um processo em que duas redes de Internet fazem conexão e troca de tráfego. Ele faz a distribuição do tráfego diretamente entre os clientes, sem a necessidade de pagar para um terceiro realizar o transporte desse tráfego pela Internet.
Bloco de IP³ - Um bloco de IP pode ser entendido como um segmento contínuo de endereços IP que estão associados a uma organização.
95 percentil⁴ - Método de cobrança de determinados serviços em telecomunicações. Recebe esse nome, pois, caso a empresa exceda o limite contratado em até 5% no mês, não se cobra nada a mais por isso.
Fontes: Blog UPX - O que é um Sistema Autônomo?
Blog UPX - Tudo o que você precisa saber sobre rotas BGP
Blog UPX - Esclareça as suas dúvidas sobre Blocos de IP
Blog UPX - 95 percentil: entenda sobre esse método de cobrança
Cockpits
Recurso criado para que o usuário possa personalizar um próprio dashboard, criar gráficos customizáveis, visualizar as métricas que fazem mais sentido para a sua operação e projetá-los.
A tela inicial mostra a sessão Cockpits que irá exibir a lista das visões customizadas pelo usuário, por meio dessas personalizações, é possível realizar a criação múltiplos cockpits para uma melhor organização e segmentação dos gráficos, podendo exibir diferentes cockpits em múltiplas telas.
Já a sessão Automatic cockpits exibe a lista de cokpits que são gerados automaticamente pela plataforma. Com relação a opção DDoS Attack existente nessa sessão, quando houver um ataque em andamento, ao clicar no botão View Live DDoS Report, o usuário é direcionado para a visão do relatório em um formato de widget para que ele tenha uma melhor exibição em um monitor/TV, por exemplo.
Para criar um cockpit, o usuário deverá clicar no botão Create a Cockpit que se encontra no canto superio direito da tela, inserir um nome para ele e uma descrição (opcional). Após essa etapa, é necessário clicar no botão View que se encontra na coluna Action na lista de cockpits, para inserir os gráficos que o usuário deseja monitorar em um determinado cockpit.
Para cada cockpit criado, é possível monitorar os gráficos selecionando tempos de medição específicos. A seleção será aplicada a todos os widgets do cockpit.
Dentro do cockpit selecionado, basta clicar no ícone de + e adicionar o widget de preferência. Existem 3 tipos de gráficos: metric chart, attack volume chart e custom chart. É possível adicionar ao cockpit um gráfico já existente ou criar um novo gráfico.
Metric chart
A partir deste widget, o usuário consegue criar diversos gráficos relacionados as métricas de interface de tráfego, tempo de conexão e taxa de transmissão, selecionando os tipos de interfaces a serem exibidas e visões complementares.
Attack volume
Este widget pode ser inserido em um cockpit para monitorar o volume de ataque na rede.
Custom charts
Permite criar e adicionar ao Cockpit, widgets com gráficos baseados no seu tráfego de rede. É uma representação gráfica da medição do tráfego de rede personalizado através de diferentes filtros e parâmetros.
Após inserir o título do gráfico, o usuário precisa configurar seu formato como Histogram (exibe a distribuição dos dados ao longo do tempo) ou Baseline (ompara os dados atuais contra um baseline histórico).
Na sequência, é necessário definir a direção do fluxo de dados como Inbound (conexões de parceiros ou clientes para a sua organização) ou Outbound (conexões da sua organização para a internet).
Em seguida, o usuário escolhe as métricas para exibição:
- Packets
- Packets per Second
- Bytes
- Bytes per Second
Após isso, é necessário configurar um dos seguintes campos agregadores:
- Source Continent
- Source Country
- Source ASN
- Source IP
- Source Port
- Destination ASN
- Destination IP
- Destination Port
O usuário também precisa selecionar um campo para filtrar os dados dentre as seguintes opções:
- Source Continent
- Source Country
- Source ASN
- Source IP
- Source Port
- Destination ASN
- Destination IP
- Destination Port
Por fim, é necessário selecionar um filtro de dados especificando endereços IP ou redes. Você pode inserir várias entradas para um resultado mais refinado. Após isso, basta definir o limite para o número de resultados exibidos com base no campo agregador selecionado.
O widget de Custom charts também possui algumas funcionalidades extras para auxiliar no monitoramento e análise da rede.
Após a criação do gráfico, é possível ativar/desativar a visualização dele em forma de Baseline para realizar um comparativo com base em um ponto de referência fixo.
Veja a seguir como o Baseline é calculado: o cálculo do baseline compara dois pontos
- Ponto A: Total de uma métrica em um momento específico no eixo X.
- Ponto B: Total da mesma métrica no mesmo horário em um dia N dias antes (N pode ser 7 ou 30, conforme escolha do usuário).
- A mudança percentual é calculada como Ponto C = Ponto A x 100 / Ponto B
O valor do Ponto C, indicando crescimento ou decréscimo, é limitado a 200% para facilitar a visualização.
Os Custom charts também possuem um menu com os seguintes recursos:
Edit Widget - abre um painel lateral com os parâmetros do chart. As edições salvas serão aplicadas ao widget atual.
Duplicate widget - abre um painel lateral com todos os parâmetros do widget selecionado. Os parâmetros podem ser editados. Uma vez salvos, publicará esse novo widget no cockpit atual.
Remove widget from this cockpit - mantém o widget no sistema para ser usado novamente no cockpit atual ou em outro, e remove da visualização do cockpit atual.
Delete Widget - remove o widget. Ele será removido do cockpit atual e não terá uma cópia disponível para ser adicionado em outros cockpits.
Além disso, o usuário pode aplicar/remover zoom em áreas específicas dos gráficos e fazer o download dos gráficos nos formatos SVG, PNG e CSV.
Events
Página completa dos eventos globais e específicos, nela o usuário pode visualizar um histórico de todos os eventos da plataforma que pode conter informações sobre manutenções programadas em um determinado IX, indisponibilidade ou problemas de utilização relevantes referentes à outras empresas. Além disso, em eventos específicos, o usuário visualiza um histórico de todos os eventos referentes à própria organização (cliente). Por exemplo, inserção de um novo usuário ou uma configuração realizada em um dos módulos do SASE por um determinado usuário.
05. DDoS Defense
Attacks
Área destinada a listagem dos ataques DDoS direcionados à rede do cliente. Diferentemente da visão no dashboard que mostra apenas a ocorrência dos últimos ataques, em DDoS Attacks o usuário pode visualizar todo o histórico de ataques e exibir a lista com filtros de data e assinaturas maliciosas.
Em cada ataque contabilizado, o cliente tem a possibilidade de extrair um relatório que pode ser impresso ou salvo em um arquivo no formato pdf.
Por meio dele, o usuário passa a acessar diversas informações e métricas para auxiliar no entendimento do comportamento de um determinado ataque e reconhecer padrões para que a equipe de redes possa atuar e agir proativamente contra os ofensores.
DDoS Attacks Custom Reports
Abaixo da tabela Attacks, encontra-se o recurso DDoS Custom Reports, com ele é possível gerar relatórios consolidados de até 90 dias disponibilizados em arquivos no formato CSV, gerados individualmente por tipo de relatório selecionado. Os tipos disponíveis são os mesmos exibidos no consolidado por ataque: Destination IP, Protocols, Source Countries, Source ASN, Source Port, Source Continents, Source IP, Target Network e Destination Port.
Voltando aos relatórios disponíveis na tabela Attacks, eles apresentam um gráfico inicial, no qual o cliente pode visualizar o tráfego de download, upload, a volumetria do ataque e seu comportamento durante o período de atividade.
Em seguida, é exibido o gráfico de tráfego com base nos IPs alvos. Neste gráfico, o usuário pode visualizar os top 10 IPs de acordo com o volume de banda.
O relatório também mostra o resumo do ataque com o volume (bytes e pacotes), a duração, o número de prefixos afetados e as assinaturas maliciosas detectadas.
Na sequência, é possível visualizar o gráfico da volumetria de pacotes maliciosos e as respectivas portas de destino.
Outro gráfico apresentado é o de protocolos. Por meio dele, o usuário consegue identificar quais os protocolos utilizados pelo ofensor, sua porcentagem e o volume registrado durante o ataque.
A inteligência por trás do DDoS Defense é capaz de identificar os países de origem dos ataques e reúne no relatório, os top 10 países (em volume de bytes) que originaram um determinado ataque.
Vale alertar que tratando-se da origem (países, continentes, ASs e prefixos), as informações identificadas pela nossa solução podem não ser a real origem dos ataques por conta da técnica de IP Spoofing, na qual o ofensor consegue mascarar pacotes IP utilizando endereços de remetentes falsificados.
O relatório também aponta os principais Sistemas Autônomos que originaram os ataques. Aqui segue o mesmo alerta sobre IP Spoofing, os ASNs podem não ser as origens reais do ataque.
Em seguida, o usuário pode visualizar as estatísticas dos ataques envolvendo as portas de origem.
Também é possível visualizar os prefixos que originaram os ataques e volume de tráfego malicioso gerado por eles.
Ainda sobre informações das origens do ataque, o relatório faz um agrupamento dos continentes identificados.
Com relação a rede alvo, o usuário pode visualizar os top 10 prefixos de IP cujo ataque foi direcionado.
Outra informação relevante é sobre o volume de tráfego malicioso direcionado às subnets, agrupadas em /24.
O usuário também pode visualizar a linha do tempo do ataque que mostra a relação das assinaturas utilizadas durante o período do ataque.
Por fim, o relatório exibe uma linha do tempo com a relação dos ataques direcionados aos prefixos alvos durante o período de atividade.
Network
FWaaS
O Firewall as a Service permite a criação de regras personalizadas na rede, entregando ainda mais segurança para a infraestrutura do cliente. Por padrão, a organização possui 15 regras de firewall disponíveis, podendo utilizá-las conforme a preferência. É importante ressaltar que o IP de origem ou de destino que será feito o bloqueio por meio das regras, precisa obrigatoriamente ser um IP que está contemplado no contrato do cliente.
Com o recurso de FWaaS, o cliente pode visualizar as métricas de uso das regras de firewall, pesquisar uma determinada regra, inserindo diferentes informações por meio do filtro e visualizar a lista de regras criadas com suas respectivas informações.
Diferentemente das regras de firewall que podem ser criadas dentro do recurso IP Profiles e aplicá-las para um determinado grupo, neste módulo o cliente poderá criar regras individuais para um determinado IP de origem ou destino.
Para realizar essa ação, o usuário precisa clicar em Create independent rule e adicionar as informações de destino e origem dos blocos de IP.
Whitelist
Recurso do módulo DDoS Defense em que é possível habilitar o tráfego para a sua rede. Com o whitelist, o usuário pode cadastrar duas rotas (destino e origem) em cada regra para que os prefixos possam interagir entre si sem que a mitigação da UPX influencie nessa comunicação, como por exemplo ocasionar o bloqueio de pacotes.
Para criar uma regra, é necessário inserir o IP de destino, ou permitir o tráfego de toda a rede da sua organização, selecionando qualquer IPv4 ou qualquer IPv6.
Em seguida, é solicitado a inclusão do prefixo de origem. Para que isso seja feito de forma correta, é importante ressaltar que existe uma limitação na qual somente é possível inserir até um bloco de IP /30. Essa limitação ocorre para que não seja possível cadastrar uma whitelist com uma máscara muito maior, resultando assim no vazamento de ataques e consequentemente queda nos serviços.
Após a configuração da origem, o usuário pode especificar um tempo de expiração para a regra e adicionar comentários sobre a mesma.
IP Blockage
Recurso que permite a consulta de regras de bloqueio criadas na plataforma para um determinado prefixo IPv4 ou IPv6.
Para iniciar a pesquisa, é necessário selecionar se a pesquisa será por External IP ou Organization's IP e inserir o prefixo (IPv4 ou IPv6) no campo de consulta.
Ao realizar uma pesquisa, a Plataforma verifica se o prefixo inserido está associado a uma regra de Firewall configurada pela Organização. Essa regra pode ser específica para o prefixo ou aplicável a uma rede/sub-rede que inclua o prefixo. Os possíveis status do prefixo encontrados na consulta são Exact Blocked, caso exista uma regra de bloqueio para o prefixo digitado, Blocked, caso exista um regra de bloqueio em que o prefixo faça parte de um sub-rede que possui uma regra de bloqueio ou Unblocked
Caso haja necessidade de visualizar ou editar as regras de Firewall de um determinado prefixo consultado, basta clicar em > para realizar as modificações.
O IP Blockage também realiza a consulta de regras de ACL (Access Control List), verificando a existência de regras de segurança ativas aplicáveis ao prefixo. Os resultados são Listed se houver regra de bloqueio ativa, e Not Listed se não houver. Regras ACL são configuradas pela UPX e implementadas na plataforma.
Para consultar detalhes sobre as regras de ACL ou realizar alterações, é necessário que o usuário entre em contato com a equipe de suporte da UPX para obter as informações.
Outra informação exibida pelo IP Blockage é o perfil do grupo de IP, caso o prefixo consultado esteja associado a um perfil de IP, detalhes adicionais podem ser visualizados no card IP Profiles.
O usuário também pode compartilhar a consulta com outros membros da organização que estejam registrados na plataforma ao copiar o link de compartilhamento.
IP Profiles
Recurso voltado para a documentação dos IPs do cliente. Por meio dele o usuário pode criar diversos grupos para alocar os IPs em cada um deles, visando uma maior organização e facilidade tanto para o cliente, quanto para a UPX.
Ao iniciar o processo de criação de um IP Profile, o usuário pode optar por realizar a criação a partir de um template padrão criado pela UPX, nos quais algumas regras pré-estabelecidas já estão aplicadas ou pode optar pela criação de um IP Profile personalizado.
Após a criação de um grupo, ao clicar em Detail, o usuário pode visualizar todos os blocos de IP que o compõe, criar ou visualizar as regras de firewall para o grupo (a plataforma automaticamente irá replicar essas regras para cada um dos blocos que estão nesse grupo), verificar a utilização das regras de firewall e visualizar os eventos recentes correspondentes ao grupo criado.
Dentro da visão de cada grupo criado, além de visualizar todos os IPs referentes ao grupo, adicionar e/ou visualizar as regras de firewall, o usuário também pode visualizar os eventos recentes específicos do grupo (por exemplo, criação de regra, ataque direcionado a um IP, exclusão de um prefixo) e um gráfico ilustrando o uso das regras de firewall.
BGP
Recurso do módulo DDoS Defense que mostra o status detalhado das conexões da organização.
Cada linha é identificada pela conexão entre o AS (Sistema Autônomo) e o bloco de IP, a coluna Neighbor mostra o ASN acompanhado do IP com o qual o cliente fecha uma sessão BGP com a UPX. A coluna Last Update mostra a data e o horário da última atualização desta conexão.
Em Status o usuário pode visualizar como se encontra essa conexão que pode variar entre Established, Connect, Active e Idle. Quando a conexão é visualizada com esses três últimos status, significa que o recurso BGP está tentando estabelecer a conexão, porém sem sucesso. Isso pode ocorrer pela falta de alguma configuração por parte do cliente.
A coluna Last Up/Down mostra por quanto tempo o status atual está em vigor.
As colunas Received, Accepted e Advertised mostram a quantidade de prefixos e ao expandir as abas, é possível visualizar mais detalhes em cada uma das conexões, como mostram os exemplos a seguir.
BGP - visualização da quantidade de conexões identificadas com um determinado status nas últimas 24 horas.
Received - visualização da quantidade de prefixos recebidos nas últimas 24 horas pelos roteadores da UPX, vindos do cliente.
Accepted - visualização da quantidade de prefixos instalados nas últimas 24 horas nos roteadores da UPX, vindos do cliente.
Advertised - visualização da quantidade de prefixos propagados nas últimas 24 horas pela UPX ao cliente.
Traffic
95th Percentile
Relatório complementar ao módulo de DDoS Defense com informações sobre a utilização do excedente,o volume contratado, o volume de tráfego que a organização possui dentro do 95 percentil, o pico de volume utilizado, o total excedente, por quanto tempo o excedente foi utilizado, quanto tempo ainda resta para a organização utilizar o tráfego acima do limite contratado e visualizar um gráfico da utilização do 95 percentil.
Traffic Analyser
Recurso para captura de pacotes que pode ser realizado na infraestrutura da UPX, com o intuito de realizar um debug ou troubleshooting e analisar os pacotes.
Na parte superior da página o usuário faz a configuração da requisição de análise, inserindo o IP de origem, IP de destino, o tipo de protocolo, a porta e o sensor.
Para a plataforma realizar a coleta de pacotes, o usuário precisa identificar obrigatoriamente o IP de destino pertencente a sua organização. Realizadas as configurações, é necessário clicar em Create Request.
Logo abaixo é exibido uma lista de todas as requisições criadas que já foram executadas ou que estão aguardando a execução. Após criar uma requisição, ela aparecerá na lista com o ícone da coluna Status em cinza, indicando que ainda precisa ser executada.
É importante destacar que o início e término de uma requisição são definidos pelo próprio usuário. Após dar início a execução clicando no botão start, ele deverá clicar em stop para fazer a interrupção.
Ao executar uma requisição, o Traffic Analyzer irá exibir uma tela semelhante a um terminal contendo todos os pacotes que foram coletados.
PARA SABER MAIS
Pacotes - Estrutura unitária de transmissão de dados ou uma sequência de dados transmitida por uma rede ou linha de comunicação que utilize a comutação de pacotes.
Debug ou Depuração - É o processo de encontrar e reduzir defeitos num aplicativo de software ou mesmo em hardware. Erros de software incluem aqueles que previnem o programa de ser executado e aqueles que produzem um resultado inesperado.
Troubleshooting - É uma forma de solução de problemas, frequentemente aplicada para reparar produtos ou processos com falha em uma máquina ou sistema. É uma busca lógica e sistemática da origem de um problema para resolvê-lo e tornar o produto ou processo operacional novamente.
PCAP - Arquivo de dados que contém informações de pacotes de uma rede. Estão associados principalmente ao Wireshark; um programa usado para a análise de redes.
Fontes: Wikipédia - Pacote
Wikipédia - Debug
Wikipédia - Troubleshooting
06. Cloud Exchange
Cloud Providers
Recurso que permite ao cliente estabelecer conexões com provedores cloud tanto no Brasil quanto nos Estados Unidos com a finalidade de troca de dados em endereçamentos de IP privados com suporte a criptografia ponto a ponto.
Por meio do painel o usuário cria uma conexão, informando o nome da mesma, o tipo e uma descrição.
Concluída essa requisição, sua conexão aparecerá na tela do Cloud Exchange e automaticamente uma solicitação será aberta para que a UPX finalize o processo.
Ao consultar o status da conexão o usuário poderá observar as seguintes definições:
New - para conexões requisitadas recentemente
Connection requested - para conexões requisitadas
Pending definition - quando existe alguma pendência de configuração por parte da UPX
Pending additional information - quando falta o usuário incluir alguma informação no formulário
Configuring - para as conexões que estão sendo configuradas
Provisioned - para as conexões que foram estabelecidas com sucesso
Na tabela de conexões o usuário pode clicar em cada uma delas e expandir, podendo verificar todas as informações referente a essa conexão.
Caso houver informações que precisam ser preenchidas pelo usuário para que a UPX dê continuidade na configuração, expandindo os detalhes de uma requisição que conta como Pending additional information, será exibido as informações que precisarão de preenchimento.
PARA SABER MAIS
WAN - Wide Area Network ou rede de longa distância é a tecnologia que conecta os escritórios, datacenters, aplicações e armazenamento em nuvem em conjunto. Ela é chamada de rede de longa distância porque ultrapassa os limites de um único edifício ou de um grande campus para incluir várias localidades espalhadas por uma área geográfica específica ou mesmo pelo mundo.
Nuvem pública - A nuvem pública é definida como uma série de serviços de computação oferecidos por terceiros à Internet pública, os quais são disponibilizados a qualquer pessoa que queira utilizá-los ou comprá-los. Eles podem ser gratuitos ou vendidos sob demanda, permitindo que os clientes paguem apenas pelo seu consumo de ciclos de CPU, armazenamento ou largura de banda.
Fontes: AWS - O que é uma WAN?
Azure - O que é uma nuvem pública?
07. ASN Monitor
Módulo da categoria Monitoring voltado ao monitoramento do ASN. Por meio dele, o cliente tem uma visualização completa dos anúncios BGP ligados ao seu Sistema Autônomo e/ou monitorar outros ASNs que sejam pertinentes à sua operação.
A tela inicial mostra as informações básicas sobre os ASNs que estão sendo monitorados, um gráfico de uso e o botão para inclusão de ASN.
Na coluna Actions, ao clicar em More details, ação localizada na seta em destaque como mostra a imagem abaixo, o usuário tem uma visão mais detalhada do seu Sistema Autônomo.
Para visualizar as rotas BGP de um Sistema Autônomo de uma forma mais completa o usuário pode selecionar a visão global, da Europa ou América Latina. Também é possível acompanhar a quantidade de blocos de IP que estão sendo anunciados na Internet e como eles são classificados pela UPX.
- No Mitigation - os blocos não estão sendo anunciados para a UPX ou estão com uma preferência baixa e não enviam tráfego.
- Partial Mitigation - blocos que estão sendo anunciados para a UPX e para outro fornecedor, dessa forma só é possível coletar uma parte do tráfego.
- Full Mitigation - blocos que estão sendo anunciados exclusivamente para UPX, esse é o cenário ideal para que a mitigação de ataques DDoS seja realizada com a melhor eficiência.
O gráfico Upstream Distribution mostra a porcentagem de distribuição das rotas do Sistema Autônomo com relação aos Upstreams e de acordo com as visões Global, Europa e América Latina das rotas BGP.
No quadro Recent Events a Plataforma UPX exibe as informações de BGP hijack para que o usuário possa acompanhar.
Na tabela BGP Monitor, o usuário tem uma visão de como os prefixos estão sendo anunciados na Internet. A coluna UPX mostra a porcentagem das rotas que estão anunciadas para a empresa, na sequência o usuário pode visualizar colunas em que aparecem outros Sistemas Autônomos que a sua organização troca tráfego.
08. Phishing Sonar
Módulo voltado a identificação e análise de tentativas de phishing.
Na tela principal o usuário pode cadastrar as palavras-chave para monitoramento, tem acesso às métricas de todas as possíveis tentativas de phishing e a lista de possíveis candidatos de phishing, com a informação da última visualização, o hostname/url, o tipo (domínio ou url), os alertas emitidos e a última ação realizada.
Na coluna Actions localizada dentro da janela Phishing Candidates o usuário pode visualizar as ações que é possível executar referente a cada possível phishing identificado.
Ao clicar em WhoIs, o usuário tem acesso às informações do domínio, o órgão registrador, datas, empresa que o registrou e os nameserves.
Clicando em More details, o Phishing Monitor exibe informações mais detalhadas sobre o domínio, o hosting vinculado a ele, a severidade com a última atualização, o status do domínio (online ou offline), o período de criação do domínio e se o mesmo teve alguma atualização recente. Além disso, é possível visualizar um histórico de eventos e ações realizadas para o possível phishing.
Ainda em Cadidate Details, o usuário consegue fazer uma atualização do status do possível phishing após sua análise e classificar o mesmo como Unclassified, Ignore, Under investigation, Require attention e Confirm.
Voltando para as opções restantes em Actions, na tela inicial do Phishing Sonar, também é possível marcar um domínio ou o provedor do domínio como seguro, dessa forma eles passam a não serem mais exibidos na lista de possíveis candidatos de phishing.
PARA SABER MAIS
Phishing - Phishing é um importante vetor de ataques para os mais diversos fins no cibercrime, utilizando principalmente o e-mail como meio de disseminação, mas também mensagens de voz, sms e redes sociais. É fundamentalmente uma técnica de engenharia social que utiliza a tática de enganar, por meio da personificação, para manipular as pessoas e com isto poder obter informações confidenciais e/ou acesso ao seu dispositivo.
Fonte: Blog UPX - Phishing: a arte de enganar
09. Traffic Guard
Alerts
Recurso de segurança que permite a identificação e o bloqueio em tempo real de uma variação de ameaças a exemplo dos diversos tipos de malware, spyware, ransomware, adware, worm, trojan, rootkit, backdoors, vírus e as comunicações com as redes de hosts vulneráveis a serviço do cibercrime (botnets).
Ao ter o Traffic Guard habilitado, a equipe de Engenharia e Segurança da UPX realiza a configuração do recurso para o ASN do cliente que passa a ser monitorado constantemente.
Os eventos maliciosos detectados são exibidos em forma de lista com as informações do horário, o tipo de assinatura e sua explicação (ícone de informação ao lado da assinatura), o tipo de tráfego (download/upload), protocolo utilizado, ASN de origem, IP de origem, ASN e IP de destino.
No usuário também pode fazer um filtro para pesquisar os eventos de acordo com os critérios a serem analisados e obter relatórios.
Reports
Além da possibilidade de gerar um relatório pela determinação do tempo dentro do filtro, existe o recurso Reports que permite o acesso rápido a um relatório do dia, semana ou mês atual.
Entrando no relatório, o usuário pode visualizar na parte inicial um resumo da quantidade de alertas e as assinaturas de malwares identificadas.
Na sequência o relatório mostra as assinaturas maliciosas mais relevantes de acordo com o número de alertas.
O usuário também irá visualizar um gráfico com os protocolos utilizados pelos ofensores e outro gráfico que indica a direção de comunicação do tráfego.
Além disso, é gerada uma lista com os top ofensores eseus respectivos endereços de IP e ASN.
Por último, o usuário também pode visualizar no relatório os principais endereços da organização que foram alvos dos ofensores.
PARA SABER MAIS
Ransomware - Tipo de malware que tem como objetivo indisponibilizar e sequestrar os dados, bloqueando o acesso através de criptografia e solicitar um resgate.
Adware - Programa malicioso que faz com que um grande número de anúncios apareçam em determinado site ou página na Internet sem a permissão do usuário.
Spyware - Programa espião que se infiltra no sistema operacional de uma empresa com ações que variam conforme o objetivo do ataque.
Honeypot - Recurso computacional de segurança dedicado a ser sondado, atacado ou comprometido.
Fontes: Blog UPX - Conheça os principais tipos de malware e como proteger sua empresa
10. Changelog
Sessão da plataforma em que o usuário visualiza informações sobre atualizações na plataforma, melhorias, inclusão de novas features e correções de bugs.
Comentários
1 comentário
300
Por favor, entre para comentar.