WANNA CRY PREVENIR OU CHORAR? Kleber Melo, CISSP Sidney R. Modenesi, MCBCC, MBCI, LDRM 19/05/2017

Tamanho: px

Começar a partir da página:

Download "WANNA CRY PREVENIR OU CHORAR? Kleber Melo, CISSP Sidney R. Modenesi, MCBCC, MBCI, LDRM 19/05/2017"

Ester Guimarães
5 Há anos
Visualizações:

1 WANNA CRY PREVENIR OU CHORAR? Kleber Melo, CISSP Sidney R. Modenesi, MCBCC, MBCI, LDRM 19/05/2017 1

2 Agenda 16:00 a 16:05 - Welcome 16:10 a 16:45 - Talking Points Infectologia do ransomware Mecanismos de prevenção SOC e NOC Resposta a um ataque Gestão da Crise 16:45 a 17:00 - Perguntas e Respostas 17:00 - Encerramento 2

3 Apresentado por Kleber Melo, CISSP Mestre em Engenharia pelo Mackenzie; 25+ anos em Segurança da Informação; Membro do LAAC - Latin América Advisory Council Board do ISC2; Sócio Diretor & Consultor da MindSec Segurança e Tecnologia da Informação; Grande experiência em gestão de acessos e proteção da informação em ambiente heterogêneos em grandes e médias empresas. Sidney R. Modenesi, MCBCC, MBCI, LDRM Profissional em continuidade de negócios, resiliência organizacional e DRP; Bacharel em Ciências da Computação pela USP; Pós graduado em Empreendedorismo; Certificado MBCI pelo BCI, ISO Technical Expert pelo BSI, LDRM pelo PECB; 20 anos de experiência em Continuidade de Negócios, 30 em DRP e 40 em TIC. 3

Infectologia Origem: Falha no protocolo SMB do Windows (CVE2017-0148) descoberta e utilizada pela NSA Ransomware: software malicioso que bloqueia o acesso a um sistema de computador ou dados,

Em muitos casos, o pedido de resgate vem com um prazo e se a vítima não paga a tempo, os dados são perdidos para sempre.

Server Message Block (SMB) é um protocolo de compartilhamento de arquivos em rede que permite que os aplicativos de um computador leiam e gravem em arquivos e solicitem serviços dos programas do

4 Infectologia Origem: Falha no protocolo SMB do Windows (CVE ) descoberta e utilizada pela NSA Ransomware: software malicioso que bloqueia o acesso a um sistema de computador ou dados, geralmente, criptografando-o, até que a vítima pague uma taxa de resgate para o atacante. Em muitos casos, o pedido de resgate vem com um prazo e se a vítima não paga a tempo, os dados são perdidos para sempre. Em alguns ataques o ransomware instala outros malwares no sistema do computador, deixando a máquina infectada mesmo após o resgate pago e os dados liberados. Server Message Block (SMB) é um protocolo de compartilhamento de arquivos em rede que permite que os aplicativos de um computador leiam e gravem em arquivos e solicitem serviços dos programas do servidor em uma rede de computadores. O protocolo SMB pode ser usado sobre seu protocolo TCP/IP ou outros protocolos de rede. Alvo: o Mundo todo +150 países +220k Equipamentos afetados Resgate: 300 bitcoins aprox. R$2Mi (1BT = R$6.358,26) Técnica de Infecção: e vulnerabilidade de comunicação de rede Classificado por tamanho de empresa Fonte: KnowBe4 Característica diferencial: Além de sequestrar os dados ele se propagada como vírus comum.

5 Profilaxia 1. Mantenha seu sistema com as últimas versões de patches instaladas. a) Reduza ao máximo o tempo de Patching do ambiente. 2. Patch SMB Vulnerability (MS17-010) 3. Desabilite o protocolo SMB (Share Offline) a) Server Message Block version 1 (SMBv1), enable por default on Windows b) Go to Windows' Control Panel and open 'Programs. c) Open 'Features' under Programs and click 'Turn Windows Features on and off. d) Now, scroll down to find 'SMB 1.0/CIFS File Sharing Support' and uncheck it. e) Then click OK, close the control Panel and restart the computer. 4. Habilite no Firewall o bloqueio dos Ports SMB a) TCP:137, 139 e 445 b) UDP 137 e Use um bom programa de Antivírus a) Dê preferência aos antivírus que tenham bloqueio automático de comportamentos anômalos. 6. Seja cuidadoso com s, Websites e Apps 7. Faça Backup regularmente a) Preferencialmente em área não compartilhada na rede 8. Mantenha-se atualizado a) Novas vulnerabilidades e variações de ataques aparecem todos os dias, manter-se atualizado é uma maneira de antecipar-se aos ataques.

6 Terapêutica Não adianta chorar sobre o Leite Derramado! Voltar o backup????

7 Sintetizando Boletim & Correção 7

8 Sintetizando Vulnerab. Explorada Boletim & Correção 8

9 Sintetizando Vulnerab. Explorada Boletim & Correção Correção Homologada 9

10 Sintetizando Vulnerab. Explorada Boletim & Correção Correção Homologada Correção Aplicada 10

11 Sintetizando Procedimento de Resposta a Incidentes de Segurança da Informação RISCO Vulnerab. Explorada Boletim & Correção Correção Homologada Correção Aplicada 11

12 Resposta a Incidentes de S.I. ISO/IEC partes 1 e 2 Principles & Guidelines Ou outra 12

13 Sequência de um Incidente Dia a dia 13

14 Sequência de um Incidente Tempo de reação Dia a dia 14

15 Sequência de um Incidente Avaliação e impacto dos danos potenciais Tempo de reação ASSESSMENT Dia a dia 15

16 Sequência de um Incidente Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação ASSESSMENT Dia a dia 16

17 Sequência de um Incidente Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia? ASSESSMENT Acionar os executivos? Aguardar? Quanto tempo mais? Bloquear firewall? Desligar estações? ESTRATÉGIAS? 17

Sequência de um Incidente Mobilização do nível executivo Avaliação detalhada dos danos Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e

18 Sequência de um Incidente Mobilização do nível executivo Avaliação detalhada dos danos Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia? ASSESSMENT ESCALATION Acionar os executivos? Aguardar? Quanto tempo mais? Bloquear firewall? Desligar estações? ESTRATÉGIAS? 18

19 Sequência de um Incidente DECISÃO? Mobilização do nível executivo Avaliação detalhada dos danos Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia? ASSESSMENT ESCALATION? Acionar os executivos? Aguardar? Quanto tempo mais? Bloquear firewall? Desligar estações? ESTRATÉGIAS? 19

especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia Resposta a Incidentes e Emergências?

20 Sequência de um Incidente DECISÃO? Mobilização do nível executivo Avaliação detalhada dos danos Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia Resposta a Incidentes e Emergências? ASSESSMENT ESCALATION? Reinicio, Recuperação, Restauração Contingência Acionar os executivos? Aguardar? Quanto tempo mais? Bloquear firewall? Desligar estações? ESTRATÉGIAS? Notificação e Comunicação Gerenciamento de Crise Normal 20

21 DECISÃO? Mobilização do nível executivo Avaliação detalhada dos danos Primeiras decisões Mobilização do nível gerencial Mobilização dos especialistas Avaliação e impacto dos danos potenciais Tempo de reação Dia a dia Sequência de um Incidente MTPD Maximum Tolerable Period of Disruption Resposta a Incidentes e Emergências? ASSESSMENT ESCALATION? Reinicio, Recuperação, Restauração Contingência Acionar os executivos? Aguardar? Quanto tempo mais? Bloquear firewall? Desligar estações? ESTRATÉGIAS? Notificação e Comunicação Gerenciamento de Crise Normal 21

22 MTPD MTPD (Maximum Tolerable Period of Disruption): tempo necessário para que os impactos adversos tornem-se inaceitáveis, que pode surgir como resultado de não fornecer um produto/serviço ou realizar uma atividade (ABNT NBR/ISO 22301) 22

23 Voltar Backup - RPO RPO (Recovery Point Objective): ponto em que a informação usada por uma atividade deve ser restaurada para permitir a operação da atividade na retomada (ABNT NBR/ISO 22301) 23

24 Ainda temos MBCO e RTO MBCO (Minimum Business Continuity Objective) níveis mínimos aceitáveis de serviços e/ou produtos para a organização alcançar seus objetivos de negócios durante uma interrupção (ABNT NBR/ISO 22301) RTO (Recovery Time Objective) período de tempo após um incidente em que: o produto ou serviço deve ser retomado,ou a atividade deve ser retomada, ou os recursos devem ser recuperados (ABNT NBR/ISO 22301) 24

25 Apetite a Risco 25

26 Apetite a Risco Produtos & Serviços Críticos Processo 1 Processo 2 Aplicação 1 Aplicação 2 Processo N... Aplicação N MTPD MBCO RTO Servidor 1 Servidor 2... Servidor N Base de Dados 1 Base de Dados... Base de Dados N RPO 26

27 Encerramento Para cada produto, serviço ou processo crítico: Realizar Security Assessment para identificar Gaps nos sistemas de proteção, controles e planos de resposta a incidentes, de continuidade de negócios e contingência; Implementar medidas preventivas, soluções e processos, de forma a conter a ameaça; Revisar processos de Patching, controle de rede e acessos; Quantificar os MTPDs, MBCOs, RTOs e RPOs alinhados ao Apetite a Risco da organização; Mapear dados sensitivos aos produtos, serviços e processos críticos; Desenvolver, implantar e testar as estratégias de prevenção, mitigação e resposta aos incidentes de Segurança da Informação; Desenvolver, implantar e testar os procedimentos de comunicação interna e externa às partes interessadas; Desenvolver, implantar e testar o Centro de Comando de Crise e o Sistema de Gestão de Crise (BS Crisis management. Guidance and good practice) 27

28 28

29 Kleber Melo, CISSP Sidney R. Modenesi, 29

Documentos relacionados

WEBINAR Resolução 4658 BACEN

Patrocínio WEBINAR Resolução 4658 BACEN Realização Junho / 2018 Palestrantes Fernando Correia 19 anos de experiência nas áreas de Tecnologia, Segurança da Informação, Continuidade de Negócios, Controles