Panorama de segurança da informação na Rede Nacional de Ensino e Pesquisa e o papel dos times de segurança

Transcrição

1 Panorama de segurança da informação na Rede Nacional de Ensino e Pesquisa e o papel dos times de segurança Yuri Alexandro Analista de Segurança da Informação Centro de Atendimento a Incidentes de Segurança CAIS Rede Nacional de Ensino e Pesquisa RNP

2 Quem somos Centro de Atendimento a Incidentes de Segurança 17 anos de atuação na área de segurança da informação; Ponto central de contato de segurança da rede de ensino e pesquisa brasileira. O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar práticas de segurança em redes.

3 Quem atendemos O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF instituições conectadas + 27 mil grupos de pesquisa

4 Quem atendemos O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF. 4 milhões de usuários Grande quantidade de computadores conectados

5 Quem atendemos O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF. Comunidade acadêmica e de pesquisa Escolas de educação superior Universidades Centros de Tecnologia Laboratórios Nacionais Institutos de Pesquisa Museus Hospitais universitários Outros Redes Metropolitanas Rede ReMeSSA Rede GigaCandanga Rede MetroPOA Outras

6 Como trabalhamos São alguns dos principais serviços Reativos Tratamento de incidentes Envio de notificações de incidentes Ações corretivas e de mitigação Proativos Disseminações de informações de segurança Envio de alertas de segurança Monitoramento de atividade maliciosa Qualidade Análise de riscos e conformidade Campanhas de conscientização em segurança Apoio a times de segurança da informação

7 Panorama da segurança da informação na Rede de Ensino e Pesquisa brasileira

8 Alguns números... Estatísticas de incidentes (até Nov, 2014)

9 Alguns números... Estatísticas de incidentes (até Nov, 2014) INCIDENTES POR ESTADOS DA FEDERAÇÃO (NOV, 2014) AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO 1.759

10 Ainda números... PRINCIPAIS TIPOS DE ATAQUES (até Nov, 2014) Conteúdo abusivo Código malicioso Prospecção por informações Tentativa de intrusão Quadrimestre 2 Quadrimestre 3 Quadrimestre Intrusão Indisponibilidade de serviço ou informação Fraude Outros

11 Enquanto isso, na Bahia. 100 Notificações de incidentes de Instituições da Bahia por mês (até Nov, 2014) JAN FEV MAR ABR MAR JUN JUL AGO SET OUT NOV

12 TOP 1 TENTATIVAS DE INTRUSÃO (até Novembro de 2014) Tentativa de exploração de vulnerabilidades ¹ Tentativa de login Outros ¹ Acontece quando um atacante, através de uma falha ou fragilidade no sistema ou computador, tenta executar ações maliciosas. Invadir um sistema; Acessar informações pessoais e confidenciais; Disparar ataques a outros computadores; Tornar um serviço inacessível.

13 TOP 1 TENTATIVAS DE INTRUSÃO (até Novembro de 2014) Tentativa de exploração de vulnerabilidades ¹ Tentativa de login Outros Em março foi anunciada uma falha crítica no OpenSSL chamada Heartbleed. Sistema de da AOL foi comprometido usuários usadas para atividades maliciosas. 50 milhões de contas de Na RNP, foram realizadas diversas ações para reduzir os impactos da vulnerabilidade.

14 Enquanto isso, na Bahia... TENTATIVAS DE INTRUSÃO (até Novembro de 2014) Tentativa de exploração de vulnerabilidades 19 Tentativa de login casos do Heartbleed foram identificados. As correções foram prontamente aplicadas.

15 TOP 2 CÓDIGO MALICIOSO (até Novembro de 2014) Bot ² Worm Virus Trojan Spyware Scripts Outros 1 1 ¹ Ocorrências (Log) ² 98% dos incidentes relativos a malwares na rede acadêmica brasileira são causados por máquinas que fazem parte de botnets (redes de bots). E o que é um bot? Programa que permite um computador ser controlado remotamente.

16 TOP 2 Sobre códigos maliciosos Dados da Symantec: 5,5 milhões de ataques na Internet foram bloqueados por dia. Dados da TrendMicro: mais de 200 mil malwares foram identificados em 2014 com o único objetivo de interceptar transações bancárias. Em 2013, foram identificados mais de 220 mil novos programas maliciosos por dia. (Fonte: imasters) Dados da Karpesky: mais de 5,1 bilhões de ciberataques foram neutralizados em Dados da Cisco: Brasil é o 3º colocado no ranking de países atacados por malwares.

17 TOP 2 Sobre botnets Dados do FBI: Redes de botnets infectam cerca de 18 sistemas por segundo. Dados da Eset: Mais de 70% dos ataques roubaram senhas de usuários e 55% atingiram alvos corporativos. Só no 1º semestre de 2014, foram roubados mais de 500 milhões de registros de usuários. (Fonte: Computer World) Dados da MacSecurity: Botnet iworm já infectou 20 mil Macs no mundo. Dados da McAfee: Computadores com Windows XP são os mais visados para infecção por botnets.

18 Enquanto isso, na Bahia... CÓDIGO MALICIOSO (até Novembro de 2014) Bot Worm Virus Trojan Spyware Scripts Ocorrências (Log) Computadores faziam parte da botnet Sirefef/ZeroAccess Mineração de bitcoin Click fraud Sequestra os resultados dos principais mecanismos de busca e navegadores (Google, Bing, Yahoo!), direcionando para sites maliciosos.

19 Enquanto isso, na Bahia... Como identificar se o seu computador faz parte de uma botnet? Computador constante e excessivamente lento

20 Enquanto isso, na Bahia... Como identificar se o seu computador faz parte de uma botnet? Alta atividade do processador sem motivo aparente (consumo de CPU)

21 Enquanto isso, na Bahia... Como identificar se o seu computador faz parte de uma botnet? Alto tráfego de rede sem motivo aparente (consumo de CPU)

22 Enquanto isso, na Bahia... Como identificar se o seu computador faz parte de uma botnet? Arquivos ou pastas estranhas criadas no pendrive

23 Enquanto isso, na Bahia... Como identificar se o seu computador faz parte de uma botnet? Usuários desconhecidos executando processos

24 TOP 3 FRAUDES (até Novembro de 2014) Violação de direitos autorais³ Fingir ou falsificar identidade ou instituição Uso de recursos de forma não autorizada 211 Outros ³ Violação de Copyright corresponde a 78% dos casos de fraude identificados na rede acadêmica. Em outros casos, ataques de phishing e engenharia social permitem a captura de dados de acesso e uso de recursos de forma não-autorizada.

25 TOP 3 Fonte: Google,

26 TOP 3 Uso do spear phishing phishing amigo, enviado como se fosse uma empresa, organização ou indivíduo conhecidos. Segundo o relatório anual da APWG, em 2014: - Mais de 3 milhões de domínios em registros de phishing no Brasil. - Desde 2011, o Brasil está entre os 10 maiores países que hospedam sites de phishing no mundo. Fonte: cyveillance.com

27 Enquanto isso, na Bahia... FRAUDES (até Novembro de 2014) Violação de direitos autorais 280 Fingir ou falsificar identidade ou instituição 8 Uso de recursos de forma não autorizada Outros % dos incidentes identificados na Bahia relacionados à fraudes são de violações de direitos autorais. Foi identificado um spam phishing com origem na Bahia direcionado para um órgão federal de justiça no Brasil.

28 Enquanto isso, na Bahia... Violação de direito autoral arquivos copiados através de softwares gerenciadores de downloads (HTTP, FTP, p2p, torrents, etc.)

29 Outros incidentes (até Nov, 2014) Desfiguração de sites Rede Ipê: 1052 Bahia: 15

30 Outros incidentes (até Nov, 2014) Negação de Serviço - Mais de 300 servidores DNS e NTP de dentro da Rede Ipê foram utilizados para realizar ataques entre Janeiro e Fevereiro. - Foram feitas campanhas e divulgação de alertas sobre o problema. - Em maio, o número voltou a subir... - No geral em 2014, os registros de negação de serviço cresceram em quantidade e em volume de tráfego.

31 Outros incidentes (até Nov, 2014) DNS Hijacking - Roteadores domésticos alvos de web-based ataques - Atinge dispositivos com configuração de senha padrão. - Atacante altera informações do servidor DNS para redirecionar usuários a sites maliciosos.

32 E agora? SE TEM ALGO DE ESTRANHO ACONTECENDO...

33 TIMES DE RESPOSTA A INCIDENTES Identificam os incidentes - Qualquer atividade suspeita que podem afetar as informações da organização ou afetar os usuários e os seus equipamentos; Trabalham na prevenção e tratamento de incidentes - Minimizam os danos causados por um ataque de segurança consumado; - Realizam atividades de conscientização e disseminação da cultura em segurança; Coordenam ações conjuntas com a equipe de TI - Extremamente necessária a atuação de todas as áreas;

34 TIMES DE RESPOSTA A INCIDENTES PONTO FOCAL DAS NOTIFICAÇÕES DE INCIDENTES Notificações internas Notificações externas

35 TIMES DE RESPOSTA A INCIDENTES Há várias formas de se detectar um incidente - Monitoramento de rede; - Informações dos sistemas de antivírus; - Sensores de atividade maliciosa; - etc... Notificações enviadas pelos usuários!

36 TIMES DE RESPOSTA A INCIDENTES UM CSIRT PODE DISPOR DE VÁRIOS MEIOS DE COMUNICAÇÃO

37 TIMES DE RESPOSTA A INCIDENTES Análise Planejamento Ação Coordenada Relatórios e estatísticas

38 CAIS O CSIRT da Rede de ensino e pesquisa CSIRT Corporativo - Trata e responde os incidentes internos da RNP; - Realiza campanhas internas de conscientização em segurança da informação; - Realiza auditorias de segurança da informação em de serviços e sistemas da RNP; CSIRT de Coordenação - Repasse do incidente aos responsáveis; - Auxílio às instituições da RNP na solução de problemas; - Coordenação de ações - Ex. Correção da vulnerabilidade do SSL (heartbleed)

39 CAIS O CSIRT da Rede de ensino e pesquisa AÇÕES PROATIVAS - Envio de alertas de segurança; - Desde ano 2000, são mais de 960 alerta publicados; - No ano de 2014, foram publicados 19 alertas de segurança ALERTAS DIVULGADOS PELO CAIS

40 CAIS O CSIRT da Rede de ensino e pesquisa PUBLICAÇÕES - Cartilhas de segurança - Voltados para a segurança no dia-a-dia; - Fácil linguagem; - Disponível em:

41 CAIS O CSIRT da Rede de ensino e pesquisa EVENTOS - DISI - Dia Internacional de Segurança em Informática - Mês de Segurança - Mês de divulgação de ações em segurança da informação - EnCSIRT - Encontro dos CSIRTs da rede de ensino e pesquisa

42 CAIS O CSIRT da Rede de ensino e pesquisa EDUCAÇÃO - Palestras - GTS, FIRST, WTR, EnSI - Cursos - SCI/RNP, CLARA-TEC, TICAL, WRNP

43 CAIS O CSIRT da Rede de ensino e pesquisa SGIS SISTEMA DE GESTÃO DE INCIDENTES DE SEGURANÇA - Fácil gerenciamento dos incidentes pelas próprias instituições; - Visualização de relatórios em tempo real; - Acompanhamento do histórico de incidentes de segurança da informação das instituições; - Dissociação entre incidentes de segurança e vulnerabilidades identificadas.

44 Enquanto isso, na Bahia... - CSIRT de coordenação da rede de ensino e pesquisa na Bahia - Atua como ponto focal de segurança na ReMeSSA - Primeiro CSIRT acadêmico da Bahia

45 Enquanto isso, na Bahia... Segundo CSIRT da Rede Ipê na Bahia

46 CSIRTs na Bahia CSIRTs são os principais aliado no combate à atividade maliciosa na rede de ensino e pesquisa. Projeto de desenvolvimento de CSIRTs nas organizações usuárias da Rede Ipê. Seja analista, técnico ou usuário, atuem como disseminadores dessa iniciativa em sua instituição.

47 Obrigado 1