Estruturando um. A Experiência do. Ricardo Kléber Martins Galvão ricardokleber@ricardokleber.com

Tamanho: px

Começar a partir da página:

Download "Estruturando um. A Experiência do. Ricardo Kléber Martins Galvão www.ricardokleber.com ricardokleber@ricardokleber.com Twitter: @ricardokleber"

Jonathan Raminhos Leveck
8 Há anos
Visualizações:

1 Estruturando um A Experiência do RicardoKléberMartinsGalvão ricardokleber@ricardokleber.com Twitter:@ricardokleber EstruturandoumCSIRT SEGINFO' deAgostode2012

2 IncidentesdeSegurança Qualquerfatooueventoquepossaafetarasegurançapessoaldeum indivíduoouasegurançadeumaorganização,podeserconsiderado umincidentedesegurança. IncidentexAmeaça Ameaçatemumobjetivo...Incidentessimplesmenteocorrem! Muitosincidentesdesegurançacontraredesdecomputadoresnãosão identificados(faltadepessoal,qualificação,ferramentas...ou simplesmenteporqueutiliza sedenovastécnicas) EstruturandoumCSIRT

IncidentexAmeaça Ameaçatemumobjetivo...Incidentessimplesmenteocorrem!

3 QualoTamanhodoIncidente? EstruturandoumCSIRT

4 MotivaçõesparaaCriaçãodeumaEstruturadeApoio Complexidadecrescentedossistemas(hardwareesoftware) Grandenúmerodevulnerabilidades FalsoPositivoseFalsoNegativos(variaçãodeataques) Facilidadeemocultarospassosdeumainvasão Comunicaçãorápidaeeficienteentreinvasores ( ,web,conferências,chats,etc) Legislação(oufaltade...) Mesmoproblemaresolvidodeváriasformasdiferentes EstruturandoumCSIRT

Facilidadeemocultarospassosdeumainvasão Comunicaçãorápidaeeficienteentreinvasores

5 MotivaçõesparaaCriaçãodeumaEstruturadeApoio Banalizaçãodo ConsultordeSegurança ex invasoresvendendo proteção saber invadir=saberproteger? invasorescompouconíveldeconhecimento ferramentasautomáticas(e.g.rootkits) Faltadeexperiência/capacitaçãodeequipesdeTI Desatualizaçãodesistemasoperacionaiseserviços Phishing...botnets...CrimeOrganizadonaInternet... EstruturandoumCSIRT

invasorescompouconíveldeconhecimento ferramentasautomáticas(e.g.

6 VoltandoumPouquinhonoTempo Ultra 1(SunMicrosystems) SistemaOperacionalSolaris SoftwareFirewall 1 FireWall-1 EstruturandoumCSIRT

7 QualoTamanhodo Problema? 1998 EstruturandoumCSIRT

8 Euquipe!!?? 1998 EstruturandoumCSIRT

9 DesafiosImediatos ManterAmbienteeGerenciarIncidentesdeSegurança Identificar,formalizaregerenciar: processos necessários para controlar/administrar as tarefas associadascomotratamentodeincidentesdesegurança serviços proativos e reativos, que auxiliam o processo de tratamentodeincidentesdesegurança Preparação,Proteção,Detecção,TriagemeResposta EstruturandoumCSIRT

tarefas associadascomotratamentodeincidentesdesegurança serviços proativos e reativos, que

10 DesafiosImediatos NaPrática... Otimizare dominar regrasdofirewall InstalaremanterumIDSdeRede(NIDS) Manteratualizadosossistemasoperacionaiseserviços(servidores) Responderatodososincidentesreportadosàinstituição Reportarincidentesapartirdaanálise(etriagem)delogs Issofoi/éobásico!!! EstruturandoumCSIRT

Manteratualizadosossistemasoperacionaiseserviços(servidores)

11 FormalizandooCSIRTdaUFRN Oficializado(fundação)em01/11/2002 Objetivo:Atuarnaprevenção,investigaçãoerespostaaincidentes desegurançanoâmbitodaredeufrn EquipeEspecializada: Diminuiçãonotempodedetecção Investigaçãocriteriosa Diminuiçãonotempoderesposta EstruturandoumCSIRT

desegurançanoâmbitodaredeufrn EquipeEspecializada:

12 PrevençãocontraIncidentes Acompanhamentodelistasespecializadas (novostiposdeataque) Atualizaçãodesistemasoperacionaiseserviços (sub áreaespecífica) CooperaçãocomAdministradoresLocais (atingindoousuáriofinal) Testesdepenetração (buscado elomaisfraco ) EstruturandoumCSIRT

$(atingindoousuáriofinal) Testesdepenetração (buscado elomaisfraco )$

13 InvestigaçãodeIncidentes Padronizaçãodeprocedimentos Ataqueinterno?AtaqueExterno?Spam?Worm?Virus? Invasão?DoS/DDoS?Pixação?Fraude? Preservaçãode cenadecrime Cópiafiel/AssinaturaHash Necessidadedeajudaexterna(PF/CAIS)? Relatório Sigilo!!! EstruturandoumCSIRT

14 RespostaaIncidentes IncidentesInternos Identificaçãoeprocessoadministrativo IncidentesExternos Identificaçãodarederemota(origemoudestino) Notificação:Rederemota,CAIS,CSIRTSEspecíficos Medidasrestritivasdeacesso Cadacasoanalisadoindividualmente Acionamentodapolícia(quandoforocaso) EstruturandoumCSIRT

Identificaçãodarederemota(origemoudestino)

15 ÁreasdeAtuação NetworkIDSperiféricos Firewalls AtualizaçãodeSistemasOperacionaiseServiços ServidordeLogsCentralizado(Loghost) PolíticadeSegurançaLocalemServidores(HostIDS) BackupsCentralizadosdeServidores DocumentaçãodasAtividadesdoNúcleo ServiçosàComunidade EstruturandoumCSIRT

16 ÁreasdeAtuação NetworkIDSperiféricos ManutençãodoIDSdaDMZ Análisedelogs Procedimentosreativosdenotificaçãoeregrasnofirewall ImplantaçãodosdemaisIDSperiféricos Firewalls ManutençãodasregrasdefiltragensdoFWPrincipal Documentaçãodescriptsearquivosdeconfiguração Planodecontingência(eventualfalhadoFw) Análisedelogsdofirewallerespostasaosincidentes MigraçãoFW 1/Aker/Iptables EstruturandoumCSIRT

ManutençãodasregrasdefiltragensdoFWPrincipal Documentaçãodescriptsearquivosdeconfiguração

17 ÁreasdeAtuação AtualizaçãodeSistemasOperacionaiseServiços Acompanhamentocontínuodenovasvulnerabilidades (listasdediscussão,fórunse underground ) PlanejamentodeatualizaçãodeS.O.eserviços Sondagens(testesdepenetração)nosservidoresinternos Identificaçãoedesativaçãodeserviçosdesnecessários ServidordeLogsCentralizado(Loghost) Instalação,configuraçãoemanutençãodoLoghost Redirecionamentodoslogsdetodososservidoresinternos sobco administraçãodaequipe(shellsmodificadas). Usodeferramentasdeanálisedelogsparaageração periódicadedadosestatísticosdeacesso Armazenamentodelogsdosservidores(CDsidentificados) EstruturandoumCSIRT

eserviços Sondagens(testesdepenetração)nosservidoresinternos Identificaçãoedesativaçãodeserviçosdesnecessários ServidordeLogsCentralizado(Loghost)

18 ÁreasdeAtuação PolíticadeSegurançaLocalemServidores(HostIDS) Instalação,configuraçãoemanutençãodeHostIDSem servidoresinternossobco administraçãodaequipe. (buscadeanomaliaseataquesinternos) EnviodoslogsdasferramentasaoLoghost (centralizaçãodosprocedimentosdeanálise) Manutençãodabasededadoscentralizadadeassinaturas hashdebináriosdosprincipaisservidores BackupsCentralizadosdeServidores Realizaçãoperiódicaebackupsincrementaisdosprincipaisservidores Instalação,configuraçãoemanutençãodeservidorcentralizado debackups Planodecontingênciaparaosservidoresbackupeados EstruturandoumCSIRT

(buscadeanomaliaseataquesinternos) EnviodoslogsdasferramentasaoLoghost (centralizaçãodosprocedimentosdeanálise)

19 ÁreasdeAtuação DocumentaçãodasAtividadesdoNúcleo ImplementaçãodepáginawebdoNARIScomconteúdopúblico erestrito(atividades,procedimentos,notícias,etc) Atualizaçãoperiódicadosdados: DocumentosPúblicos: CartilhasdeOrientaçãoaosUsuáriosdaRede TutoriaiseArtigos Resultados(públicos)dasAtividadesdonúcleo GráficosEstatísticos ServiçosàComunidade Alertasdesegurançanaslistasinternasdainstituição Cursos,PalestraseGruposdeEstudodenovastecnologias Apresentaçãodosresultadosdonúcleoàcomunidade EstruturandoumCSIRT

CartilhasdeOrientaçãoaosUsuáriosdaRede TutoriaiseArtigos Resultados(públicos)dasAtividadesdonúcleo GráficosEstatísticos

20 ReconhecimentonoBrasil EstruturandoumCSIRT

21 ReconhecimentonoMundo EstruturandoumCSIRT

22 PrincipaisDificuldades MuitotrabalhoxPoucaGente BolsistasxContinuidade OutrasAtividadesdaEquipe(todomundofaztudo!!??) PolíticadeSegurançaMaisAbrangentexInstituiçãoPública ConscientizaçãodosUsuários(SegurançaxUsabilidade) FaltadecooperaçãodealgunsCSIRTs AusênciadeLegislaçãoEspecífica(Impunidade!!??) EstruturandoumCSIRT

23 DicasImportantesparaoDia a Dia NotificaçãodeIncidentes Porque? Origempodenãosaberqueestásendoutilizada Primeira(equasesempresuficiente)tentativadepararalgunstiposdeataque Outrosproblemas(demaiorgravidade)podemvir Cooperação Paraquem? E mailsdecontatodoprovedor/rededeondepartiramasocorrências Gruposderespostarelacionados CópiaparasosCERTsdoprópriobackboneedobackbonedeorigem EstruturandoumCSIRT

24 DicasImportantesparaoDia a Dia Notificações::InformaçõesRelevantes Definiçãodoincidente Registros(logs)comprobatóriosdoincidente Análisedoslogs(nemsempreo outrolado sabeoutemtempoparaanalisar logsenviadosparaumarespostaimediata) Dataehorado(s)incidente(s) Informaçõessobrehoráriolocal(timezone)econsistênciatemporal EndereçosIPenvolvidoseportasacessadas Correlação(incidentesanteriores!!??) Políticadesegurançainstitucional Sanções/restrições Recomendações Oqueseráfeitonareincidênciae/ounaausênciaderesposta EstruturandoumCSIRT

25 OQueAprendemos(RecomendaçõesFinais) ContinuidadedoNúcleo(CSIRT) Buscarmanterindependênciadepessoas Tarefassemprerealizadaspor(pelomenos)doismembros Prepararsubstituição/sucessãodemembros FormalizaçãodoNúcleoedesuaEstrutura RespaldodeInstânciadecisória(diretoria) ProgramadeEstágio(preparaçãodenovosanalistas) Cuidadocomantecedentes( fichalimpa ) EstruturandoumCSIRT

26 LeituraComplementar IncidentResponse KennethR.vanWyk, RichardForno,ISBN , EstruturandoumCSIRT

27 LeituraComplementar EstruturandoumCSIRT

28 EstruturandoumCSIRT

29 EstruturandoumCSIRT

30 Estruturando um A Experiência do RicardoKléberMartinsGalvão ricardokleber@ricardokleber.com Twitter:@ricardokleber EstruturandoumCSIRT SEGINFO' deAgostode2012

Documentos relacionados

www.ricardokleber.com ricardokleber@ricardokleber.com @ricardokleber

Estruturando um A Experiência do Ricardo Kléber www.ricardokleber.com ricardokleber@ricardokleber.com @ricardokleber umsetembro CSIRT de 2013 2o Fórum BrasileiroEstruturando de CSIRTS 17 de Antes de mais