Rede de sensores distribuídos do CAIS Rildo Souza

Transcrição

1 Rede de sensores distribuídos do CAIS Rildo Souza 28º GTS

2 Agenda Apresentação O Projeto Principais números Eventos Detectados Encerramento

3 Apresentação Rede Nacional de Ensino e Pesquisa (RNP), criada pelo MCTI em 1989, para construir uma infraestrutura de internet acadêmica. PROMOVENDO O USO INOVADOR DE REDES AVANÇADAS Desde então, participa do desenvolvimento da internet no Brasil, com a introdução de novas tecnologias e a implantação da primeira rede óptica acadêmica da América Latina, em 2005, batizada de Ipê.

4 Apresentação CSIRT de coordenação da rede acadêmica brasileira, a Rede Ipê, desde Atua na detecção, resolução e prevenção de incidentes de segurança de rede, além de elaborar, promover e disseminar práticas de segurança na RNP e instituições a ela vinculadas.

5 Projeto - Contexto Rede Ipê, backbone da rede acadêmica. Capacidade integrada de 345,45 Gb/s. Interliga campi de Organizações Usuárias (IFs, IFEs, Unidades de Pesquisa). Ambiente altamente diversificado em redes, tecnologias e maturidade das equipes de segurança. Dificuldades para uma detecção eficiente. * dados de 2015

6

7 Projeto - Objetivo Criar uma rede se sensores na rede acadêmica. Escaláv el Plug and play Fácil administração

8 Projeto - O sistema

9 Projeto - O sistema Master Sensor

10 Projeto - O sistema Master Gerenciamento dos sensores e instituições Gerenciamento das atualizações Estatísticas do sistema geral e dos sensores Classificação das atividades maliciosas Sensor Administração geral do sistema

11 Projeto - O sistema Master Interface friendly user Plug and play Exige pouco conhecimento técnico Pouca manutenção e suporte Sensor Envio das detecções por Envio de dados estatísticos e de status Solicitação de atualizações

12 Projeto - O sistema Master Conexão HTTPS Autenticação Sensor

13 Projeto - O sistema Master Sensor Tipo Origem Finalidade Regras gerais Emerging Threats Prover as regras gerais. Regras customizadas CAIS Prover regras específicas, sob demanda. Exceções de regras CAIS Desativar regras, sem a necessidade de gerar nova release. Blacklist URLs Blacklist de IPs Tipos de atualizações CAIS / APWG / Catálogo de Fraudes, etc. CAIS / Shadow Server, etc. Identificar acessos a URLs maliciosas Identificar acessos a IPs maliciosos, como C&C. Redes CAIS Cada cliente possui sua própria rede, portanto a HOME_NET de cada um deve ser única, para maior assertividade. Atualizações de Sistema CAIS Novas versões do sensor, correções e features.

14 ScreenShots do Master Menu principal Dashboard com informações rápidas Tarefas de acesso rápido

15 ScreenShots do Master

16 ScreenShots da Engine(Sensor) Menu principal

17 ScreenShots da Engine(Sensor) Configuração de interface

18 ScreenShots da Engine(Sensor) Inserção de licença

19 Projeto - Implantação 27 Pontos de Presença da RNP 17 Organizações Usuárias 44 Sensores Instalados

20 Processo de notificação Integração com o SGIS Passo Ação 1 CAIS alimenta o Master com informações processadas 2 Master envia update para Engine 3 Engine detecta eventos e no>fica SGIS 4 SGIS no>fica usuário 5 Usuário acessa interface do SGIS Master 2 3 Engine (Suricata) 25

21 Principais números

22 Principais números 250,000 Quan>dade de Incidentes por Dia 200, , ,000 50, /11/16 02/11/16 03/11/16 04/11/16 05/11/16 06/11/16 07/11/16 08/11/16 09/11/16 10/11/16 11/11/16 12/11/16 13/11/16 14/11/16 15/11/16 16/11/16 17/11/16 18/11/16 19/11/16 20/11/16 21/11/16 22/11/16 23/11/16 24/11/16 25/11/16 26/11/16 27/11/16 28/11/16 29/11/16 30/11/16 Média:

23 Principais números Fluxo da atividade maliciosa Portas utilizadas 13% 87% Entrantes Saintes

24 Principais números Principais atividades maliciosas detectadas Tentativa de DDoS (xdmcp) Vulnerabilidades NTP Ataque a PoP Ataque a IMAPS Sentinel License Manager

25 Eventos detectados 28

26 Eventos detectados Mais de 10 botnets diferentes detectadas nicaze.net Zeus XcodeGhost PCRat/Gh0st Beacon Kelihos Feodo DealPly Bladabindi/njrat Palevo

27 Próximos passos O>mizar os relatórios Fazer a integração com outras fontes(blacklist URL,Ips e outros) Integrar com PhotoDNA (sistema an>-pornografia infan>l) Aumentar o número de sensores nas ins>tuições de ensino 27

28 Dúvidas

29 Encerramento Muito obrigado, Rildo Souza