Skip to main content

Processo de Detecção de Ataques em Sistema de Rede

Versão Data Autor Alterações realizadas Aprovado por Data aprovação
1.0 30/06/2025 Vanderson Andrade Criação Direção Geral 30/06/2025

1. Objetivo

Este documento descreve os padrões, processos e ferramentas utilizados para detectar, analisar e responder a possíveis ataques de segurança na nossa infraestrutura de rede em nuvem. O objetivo é garantir a identificação precoce de ameaças, minimizar o impacto de incidentes e manter a integridade, confidencialidade e disponibilidade dos nossos sistemas.

2. Escopo

Este processo se aplica a toda a infraestrutura de servidores e aplicações hospedadas em nosso provedor de Cloud VPS, protegida pelo Firewall do provedor e pelo Web Application Firewall (WAF) da Cloudflare.

3. Arquitetura de Defesa em Camadas

Nossa estratégia de detecção se baseia em um modelo de defesa em camadas, onde cada ferramenta tem um papel específico:

Camada 1: Borda da Rede Global (Cloudflare)

  • Ferramenta: Cloudflare WAF (Web Application Firewall)

  • Função: Atua como a primeira linha de defesa para todo o tráfego web (HTTP/HTTPS). Ela é especializada em detectar e bloquear ataques na camada de aplicação (Camada 7 do modelo OSI).

  • Ataques Detectados:

    • Ataques de Negação de Serviço Distribuído (DDoS) em camadas 3, 4 e 7.

    • Injeção de SQL (SQL Injection).

    • Cross-Site Scripting (XSS).

    • Acesso de bots maliciosos e scrapers.

    • Tentativas de exploração de vulnerabilidades conhecidas em aplicações web.

Camada 2: Perímetro da Rede Virtual (Provedor de Cloud VPS)

  • Ferramenta: Firewall do Provedor de Cloud (Ex: Azure Network Security Groups, AWS Security Groups, DigitalOcean Cloud Firewall).

  • Função: Controla o tráfego de entrada e saída nos níveis de rede e transporte (Camadas 3 e 4), com base em regras de IP, portas e protocolos.

  • Ataques Detectados:

    • Tentativas de acesso a portas não autorizadas (ex: SSH, RDP, Telnet).

    • Varreduras de portas (Port Scanning).

    • Bloqueio de tráfego vindo de endereços de IP conhecidamente maliciosos.

    • Tentativas de força bruta em serviços expostos (ao detectar múltiplas conexões de um mesmo IP).

4. Processo de Detecção e Resposta

O processo é dividido em fases, desde o monitoramento proativo até a resposta a um alerta.

Fase 1: Monitoramento Contínuo (Proativo)

  • Responsável: Responsável de TI.

  • Frequência: Diária e Semanal.

  • Ações:

    1. Revisão Diária do Dashboard da Cloudflare: Acessar o painel da Cloudflare e analisar a seção "Security Overview". Procurar por picos anômalos em "Threats Blocked", principais países de origem de ameaças e regras do WAF que foram mais acionadas.

    2. Revisão Semanal dos Logs do Firewall da Cloud: Acessar os logs de eventos bloqueados no firewall do provedor de Cloud. Verificar se há padrões de IPs sendo bloqueados repetidamente ou tentativas de acesso a portas sensíveis.

Fase 2: Detecção e Alerta (Reativo)

  • Fonte: Alertas automáticos por e-mail configurados nas ferramentas.

  • Ações:

    1. Alerta da Cloudflare: A Cloudflare envia notificações automáticas para eventos críticos, como um ataque DDoS detectado ou um pico significativo de ameaças bloqueadas.

    2. Alerta do Firewall (se configurado): Alguns provedores permitem configurar alertas para determinadas regras de firewall (ex: "notificar se houver 10 tentativas de conexão SSH bloqueadas do mesmo IP em 1 minuto").

    3. O Responsável de TI é notificado por e-mail assim que um evento crítico é detectado.

Fase 3: Análise e Triagem do Alerta

  • Responsável: Responsável de TI.

  • Ação Imediata: Ao receber um alerta, o responsável deve acessar o painel da ferramenta correspondente para investigar.

    • Qual é a ameaça? (Ex: SQL Injection, DDoS, Port Scan).

    • Qual é a origem? (IP, País, ASN).

    • Qual é o alvo? (URL específica, servidor, porta).

    • O ataque foi bloqueado com sucesso? Verificar o status "Action Taken" (Ação Tomada) no log (ex: "Block", "Challenge", "Drop").

    • É um falso positivo? A regra bloqueou um usuário ou serviço legítimo?

Fase 4: Resposta Imediata

Com base na análise, as seguintes ações podem ser tomadas:

Cenário Ferramenta Usada Ação de Resposta Imediata
Ataque de Força Bruta em uma API Cloudflare WAF Criar uma regra de "Rate Limiting" para limitar o número de requisições por IP.
Ataque persistente de um IP ou país Cloudflare WAF Bloquear permanentemente o endereço de IP ou o país na seção "IP Access Rules".
Tentativa de acesso a uma porta de serviço (ex: 3306 - MySQL) Firewall do Provedor Confirmar que a regra de bloqueio está ativa e que apenas IPs autorizados têm acesso a essa porta.
Ataque não bloqueado pelo WAF (falso negativo) Cloudflare WAF Criar uma regra de firewall customizada para bloquear o padrão do ataque identificado.
Bloqueio de um usuário legítimo (falso positivo) Cloudflare WAF Adicionar uma exceção à regra do WAF ou colocar o IP do usuário em uma lista de permissão ("allowlist").

5. Padrões de Detecção na Prática

A tabela abaixo exemplifica como ataques comuns são detectados por nossa arquitetura:

Tipo de Ataque Padrão Detectável Ferramenta de Detecção Primária O que é verificado?
SQL Injection Requisição HTTP contendo UNION' OR 1=1--, etc. Cloudflare WAF Logs de Segurança do WAF, mostrando a regra "SQLi" acionada e a ação "Block".
Ataque DDoS L7 Pico massivo de requisições HTTP para a mesma URL. Cloudflare (Sistema Anti-DDoS) Dashboard da Cloudflare, mostrando o gráfico de tráfego com um pico e a notificação de mitigação de DDoS.
Port Scanning Múltiplas tentativas de conexão a várias portas a partir de um único IP em um curto período. Firewall do Provedor Logs de tráfego bloqueado ("denied traffic") mostrando um IP de origem tentando acessar diversas portas.
Força Bruta em SSH Várias tentativas de autenticação falhas na porta 22 a partir do mesmo IP. Firewall do Provedor e Logs do Servidor Logs do firewall mostrando conexões bloqueadas e/ou logs de autenticação do servidor (ex: /var/log/auth.log).
Back to top