Integração entre o PROSEG e o PSGIS Uma abordagem no. tratamento de incidentes de segurança da informação. Parte 2. Elaboradores:

Transcrição

1

2 Integração entre o PROSEG e o PSGIS Uma abordagem no tratamento de incidentes de segurança da informação Parte 2 Elaboradores: - Cristiane Gomes e Thiago Moraes/SUPGS - João Emílio e Maria do Carmo/COGSI - Leandro Resende e Tarcizio Neto/COGSI - Daniel Melo, Rodrigo Carvalho, Cristina Faggian, Marcius Muniz/SUPOP - João Lara/SUPCD

3 Agenda Dia Assuntos Abertura PROSEG - Processo de Segurança Processo de Gerenciamento Integrado de Serviços PSGIS Processo de Gerenciamento de Incidente do PSGIS Gestão Corporativa de Incidentes GCI Centros de Comando 3/9 (14h às 18h) Boas práticas do processo de Gerenciamento de Incidente e demonstrações no SPEKX (Parte 1) Integração entre PROSEG e PSGIS Gerenciamento de Incidente (Parte 2) Incidente de Segurança da Informação Detalhamento das subcategorias dos incidentes de segurança da informação 4/9 (09h às 18h) Exemplos práticos de registro de incidentes de segurança da informação Esclarecimento de dúvidas 5/9 (09h às 12h)

4 Integração entre PROSEG e PSGIS Gerenciamento de Incidente 1ª fase integração conceitual entre os processos (concluída) 2ª fase implementação da integração entre os processos (em andamento) Duração da 1ª e 2ª fases: 12 meses

5 Integração entre PROSEG e PSGIS 1ª Fase - atividades realizadas Análise do processo PROSEG Tratar incidente de segurança e PSGIS Processo de Gerenciamento de Incidente para identificação dos pontos de integração. Elaboração e validação da proposta de integração entre os processos COGSI, SUPCD, SUPOP, SUPDE e GCI. Atualização do processo de gerenciamento de incidentes e seus artefatos. Publicação das alterações realizadas no processo no sítio do PSGIS (ambiente de homologação). Especificação dos requisitos para adequação da ferramenta de workflow de processos e encaminhamento para a equipe responsável. Fluxo BPMN atualizado.

6 Integração entre PROSEG e PSGIS 2ª fase atividades realizadas Definição da categoria e subcategorias para incidentes de segurança. Definição dos tempos previstos e grupo gestor para tratamento de incidentes de segurança. Análise e atualização dos scripts de atendimento de acordo com as categorias e subcategorias definidas para incidentes de segurança, bem como a identificação de situações que podem ser relatadas pelo usuário à CSS onde seja possível a abertura de incidente de segurança. Absorção do subprocesso Tratar Incidentes de Segurança do PROSEG pelo PSGIS Processo de Gerenciamento de Incidentes. Definição da interação dos Centros de Comando com as equipes técnicas na ocorrência de incidentes de segurança.

7 Integração entre PROSEG e PSGIS 2ª fase atividades realizadas Definição dos procedimentos de comunicação de incidentes de segurança. Realização de adequação na ferramenta de workflow. Planejamento e execução da capacitação dos envolvidos. Especificação de requisitos para a nova ferramenta de workflow, relativos ao tratamento de incidente de segurança.

8 Dúvidas

9 Agenda Dia Assuntos Abertura PROSEG - Processo de Segurança Processo de Gerenciamento Integrado de Serviços PSGIS Processo de Gerenciamento de Incidente do PSGIS Gestão Corporativa de Incidentes GCI Centros de Comando 3/9 (14h às 18h) Boas práticas do processo de Gerenciamento de Incidente e demonstrações no SPEKX (Parte 1) Integração entre PROSEG e PSGIS Gerenciamento de Incidente (Parte 2) Incidente de Segurança da Informação Detalhamento das subcategorias dos incidentes de segurança da informação 4/9 (09h às 18h) Exemplos práticos de registro de incidentes de segurança da informação Esclarecimento de dúvidas 5/9 (09h às 12h)

10 Incidente de Segurança da Informação Definições Definição para o Serpro Categoria e subcategorias Script CSS Indicadores

11 Incidente de Segurança da Informação - Definições Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. (ISO 27002) Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores. Ou pode ser definido como o ato de violar uma política de segurança explicitamente ou implicitamente. (CERT/CC, 2007)

12 Incidente de Segurança da Informação Definição para o Serpro Um evento ou uma série de eventos que comprometam as operações do negócio e a segurança da informação. Fonte: PSGIS (

13 Incidente de Segurança da Informação Categoria e subcategorias Os incidentes de segurança devem ser categorizados utilizando-se a categoria Segurança da Informação que se subdivide em: 8 assuntos 22 subcategorias

14 Incidente de Segurança da Informação Categoria e subcategorias

15 Incidente de Segurança da Informação Script CSS Foram disponibilizados três itens de script na CSS: Vírus e código malicioso; Spam; e Defacement.

16 Incidente de Segurança da Informação - Indicadores Nome Descrição Periodicidade de Conhecer o volume percentual de incidentes de segurança total e por categoria no período Mensal Percentual mensal de incidentes de segurança da informação, por categoria Analisar o percentual mensal de incidentes de segurança com o propósito de avaliar os controles implementados com respeito a sua efetividade do ponto de vista da gestão de segurança no contexto do SERPRO Mensal Indicador de Incidentes/Mês Totalização Fonte: PROSEG (

17 Agenda Dia Assuntos Abertura PROSEG - Processo de Segurança Processo de Gerenciamento Integrado de Serviços PSGIS Processo de Gerenciamento de Incidente do PSGIS Gestão Corporativa de Incidentes GCI Centros de Comando 3/9 (14h às 18h) Boas práticas do processo de Gerenciamento de Incidente e demonstrações no SPEKX (Parte 1) Integração entre PROSEG e PSGIS Gerenciamento de Incidente (Parte 2) Incidentes de Segurança da Informação Detalhamento das subcategorias dos incidentes de segurança da informação 4/9 (09h às 18h) Exemplos práticos de registro de incidentes de segurança da informação Esclarecimento de dúvidas 5/9 (09h às 12h)

18 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Rede Sistema Operacional Aplicação Acesso não Autorizado Impressão Digital do Alvo Servidor Rede Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall Negação de Serviço IPS/IDS Código Malicioso Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS Spam, Phishing/ Scam

19 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Invasão Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall Negação de Serviço IPS/IDS Código Malicioso Filtro de conteúdo Firewall de aplicação Solução Anti DDOS Malware Serviço Malicioso

20 Exercício/Teste de Defesa - Rede Como o incidente acontece? Durante ou após um teste de carga, análise de vulnerabilidades ou teste de invasão, agendado previamente, ocorre algum dano ao ambiente de rede. Como perceber o incidente? Sobrecarga, travamento ou inoperância do ambiente de rede. Esta informação pode ser obtida através das consoles de monitoração dos ativos de rede.

21 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa - Rede Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Identificar ativo: Rede; Serviço afetado. Acionar equipe de plantão (via celular) se fora do horário de expediente.

22 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa - Rede Papel da SUPOP Finalizar atividade que está comprometendo o serviço. Notificar administrador do serviço para a restauração. Normas e políticas relacionadas Em estudo. Orientação para classificação da severidade ALTA Severidade. Caso afete um serviço missão crítica (SMC): Altíssima Severidade.

24 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Sistema Operacional Como o incidente acontece? Durante ou após um teste de carga, análise de vulnerabilidades ou teste de invasão, agendado previamente, ocorre algum dano ao serviço hospedado na máquina servidora. Como perceber o incidente? Sobrecarga, travamento ou inoperância da máquina servidora. Esta informação pode ser obtida através das consoles de monitoração dos servidores.

25 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Sistema Operacional Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Identificar ativo: Serviço(s) afetado(s). Acionar equipe de plantão (via celular) se fora do horário de expediente.

26 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Sistema Operacional Papel da SUPCD e SUPOP Finalizar atividade que está comprometendo o servidor. Notificar administrador do servidor para a restauração do sistema. É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Normas e políticas relacionadas Em estudo. Orientação para classificação da severidade ALTA Caso afete um SMC: Altíssima Severidade.

28 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Dados Como o incidente acontece? Durante ou após um teste de carga, análise de vulnerabilidades ou teste de invasão, agendado previamente, ocorre algum dano ao SGBD. Como o incidente é percebido? Sobrecarga, travamento ou inoperância do SGBD. Esta informação pode ser obtida através das consoles de monitoração dos servidores.

29 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Dados Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Identificar ativo: SGBD afetado. Acionar equipe de plantão (via celular) se fora do horário de expediente.

30 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Dados Papel da SUPCD Finalizar atividade que está comprometendo o servidor. Notificar administrador do servidor para a restauração do sistema. É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Normas e políticas relacionadas Em estudo. Orientação para classificação da severidade ALTA Caso afete um SMC: Altíssima Severidade.

32 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa - Aplicação Como o incidente acontece? Durante ou após um teste de carga, análise de vulnerabilidades ou teste de invasão, agendado previamente, ocorre algum dano ou impacto negativo à aplicação. Como incidente é percebido? Degradação da performance do serviço, indisponibilidade, dados anômalos armazenados no banco de dados (scripts, arquivos etc).

33 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa Aplicação Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Registrar: Tempo de resposta ou indisponibilidade; Evidências de dados anômalos; Nome do Sistema, URL, Nome da URC responsável, descrição do Problema apresentado Acionar equipe de plantão (via celular) se fora do horário de expediente.

34 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa - Aplicação Papeis da SUPDE/SUPST Buscar informações sobre os testes de defesa realizados no sistema; Analisar se o teste de defesa foi formalizado e em quais períodos foram executados; Papel da SUPOP Pausar a execução do teste Normas e políticas relacionadas Em estudo

35 Subcategorias dos incidentes de segurança da informação Exercício/Teste de Defesa - Aplicação Orientação para classificação da severidade ALTA, quando for evidenciado alteração na aparência do site (defacement), indisponibilidade, alteração ou perda dos registros de dados; BAIXA, quando for relatado perda de desempenho.

37 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Transmissão (Rede, ZDM) Como o incidente acontece? Identificação de interceptação e possível alteração de pacotes durante transmissão na rede. Como o incidente é percebido? Suspeita de acesso indevido a ativo de rede ou durante investigação de um evento de segurança. Procedimento para a preservação da evidência Os logs de acesso dos ativos de rede não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009. Armazenar em mídia a comprovação da fraude com sua origem identificada e documentar.

38 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Transmissão (Rede, ZDM) Papel da SUPOP Identificar acesso indevido Gerar relatório preliminar de incidente Preservar as evidências Identificar os ativos envolvidos Notificar a COGSI através de SISCOR Normas e políticas relacionadas SG/005 (Classificação dos Ativos de Informação do SERPRO) SG/018 (Gestão de Identidade e Controle de Acesso Lógico) SG/009 (Forense Computacional)

39 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Transmissão (Rede, ZDM) Orientação para classificação da severidade ALTA Caso envolva um SMC deve ser escalado para Altíssima Severidade. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Informação afetada e ativos e serviços relacionados. Acionar equipe de plantão (via celular) se fora do horário de expediente.

40 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall Negação de Serviço IPS/IDS Código Malicioso Filtro de conteúdo Firewall de aplicação Solução Anti DDOS Malware Serviço Malicioso

41 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Informação Como o incidente acontece? Acesso indevido à(s) máquina(s) servidor(as) por tentativas sucessivas de identificar senha ou por uso indevido de conta por terceiros. Como o incidente é percebido? Registros de log Sessão ativa Existência de usuários suspeitos Atividade suspeita de outros usuários

42 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Informação Procedimento para a preservação da evidência Os logs de acesso dos ativos de rede não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009. Armazenar em mídia a comprovação da fraude com sua origem identificada e documentar. Monitoramento e registro de estado da máquina servidora.

43 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Informação Papel da SUPCD e SUPOP Identificar acesso indevido à informação Gerar relatório preliminar de incidente Preservar as evidências Identificar os ativos envolvidos Notificar a COGSI através de SISCOR Normas e políticas relacionadas SG/005 (Classificação dos Ativos de Informação do SERPRO) SG/018 (Gestão de Identidade e Controle de Acesso Lógico) SG/009 (Forense Computacional)

44 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Informação Orientação para classificação da severidade Alta severidade. Caso envolva um SMC deve ser escalado para Altíssima Severidade. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Informação afetada e serviços relacionados. Acionar equipe de plantão (via celular) se fora do horário de expediente.

45 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Spam, Phishing/ Scam Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Firewall de aplicação Solução Anti DDOS Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Malware Serviço Malicioso Modificação de dados não autorizado (Desfiguração de aplicação)

46 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Sistemas de Comunicação Como o incidente acontece? Ocorre quando alguém sem autorização acessa os ativos de rede, por meio de uma aparente conexão válida (a pessoa descobre uma senha fraca e/ou o login de um usuário com perfil de acesso ao equipamento); Na falha de acesso é gerado um log, mas hoje não existe procedimento automatizado que abre um incidente. Como o incidente é percebido? Através da log de acesso malsucedido ou bem sucedido. Procedimento para a preservação da evidência Os logs de acesso dos ativos de rede não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009. Os logs de acesso dos roteadores ficam centralizados nos servidores TACACS.

47 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Sistemas de Comunicação Papel da SUPOP Ao ser verificado e comunicado o desvio pela equipe que administra a origem do acesso, deve ser realizada uma auditoria junto ao usuário da máquina, a partir da qual foi feita a tentativa inválida. As equipes de segurança atuarão em conjunto com as equipes de rede que gerenciam os ativos e, dependendo da regional, quem atuará são os agentes de segurança. Normas e políticas relacionadas SG 025/2003 (SEGURANÇA DE REDES) Orientação para classificação da severidade No âmbito da criticidade será alta ou altíssima caso afete um SMC.

48 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Sistemas de Comunicação Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Registrar o ativo afetado (Endereço IP e Regional). Acionar equipe de plantão (via celular) se fora do horário de expediente.

49 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Negação de Serviço Filtro de conteúdo Código Malicioso Firewall de aplicação Solução Anti DDOS Malware Serviço Malicioso

50 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Comprometimento Conta de Acesso Como o incidente acontece? Acesso indevido à(s) máquina(s) servidora(s) ou servidor(es), utilizando de conta legítima com perfil de acesso ao equipamento, a partir de senha fraca ou captura de credenciais, para executar ação não prevista nas atividades rotineiras dos administradores. Como o incidente é percebido? Através de registros de log ou sessão ativa. Procedimento para a preservação da evidência Os logs de acesso não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009.

51 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Comprometimento Conta de Acesso Papel da SUPCD e SUPOP Identificar acesso indevido Gerar relatório preliminar de incidente Preservar as evidências Identificar os ativos envolvidos Notificar a COGSI através de SISCOR Normas e políticas relacionadas SG/005 (Classificação dos Ativos de Informação do SERPRO) SG/018 (Gestão de Identidade e Controle de Acesso Lógico) SG/009 (Forense Computacional)

52 Subcategorias dos incidentes de segurança da informação Acesso não autorizado Comprometimento Conta de Acesso Orientação para classificação da severidade Alta severidade. Caso envolva um SMC deve ser escalado para Altíssima Severidade. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Informação afetada, ativos e serviços relacionados. Registrar a conta de usuário suspeita. Acionar equipe de plantão (via celular) se fora do horário de expediente.

53 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Transmissão (Rede, ZDM) Invasão Malware Serviço Malicioso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Firewall de aplicação Solução Anti DDOS

54 Subcategorias dos incidentes de segurança da informação Negação de Serviço Como o incidente acontece? Ataque que impede ou dificulta o uso autorizado de redes, sistemas ou aplicações pelo esgotamento de recursos. Como o incidente é percebido? Sobrecarga de circuito de dados, de equipamentos de rede (roteadores, switches), de equipamentos de segurança (firewall, IPS) ou servidores, e através do monitoramento utilizando ferramentas de detecção de anomalia de tráfego. Procedimento para a preservação da evidência Os logs e alarmes de IPS/IDS/Firewall não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009.

55 Subcategorias dos incidentes de segurança da informação Negação de Serviço Papel da SUPOP Registrar incidente de segurança e mitigar impacto do ataque. Normas e políticas relacionadas Em estudo. Orientação para classificação da severidade Alta Severidade. Caso esteja afetando um SMC, a severidade deverá ser altíssima.

56 Subcategorias dos incidentes de segurança da informação Negação de Serviço Como registrar o incidente? É possível que um tíquete incidente já esteja aberto pela equipe de monitoramento. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um novo incidente. Serviço afetado. Canal identificado (SPO/BSA/RJO). Acionar equipe de plantão (via celular) se fora do horário de expediente.

58 Subcategorias dos incidentes de segurança da informação Código Malicioso - Malware Como o incidente é percebido? Alarmes do IPS/IDS; Varreduras e tentativas de explorar vulnerabilidades; Console do SEP (Antimalware) Alarme indica que malware foi detectado e não foi removido; Análise de desempenho da rede indica comportamento anormal: Volume de tráfego; Quantidade de conexões em direção a Internet; Tentativas de conexão em portas bloqueadas; ICMP Destination Host Unreachable Port Unreachable Análise de estação/servidor indica: Consumo elevado de processamento, Atividade anormal de I/O, Quantidade de conexões abertas, Usuário solicita avaliação de estação de trabalho

59 Subcategorias dos incidentes de segurança da informação Código Malicioso - Malware Como proceder para abrir incidente? Atenção! Não se deve realizar intervenção ou tentativa de remoção antes do atendimento. Abrir requisição de serviço (RS) para examinar máquina, identificando: Endereço IP; Localização física; Patrimônio do equipamento sob suspeita. Caso seja detectado um malware: Fechar a RS; Abrir incidente (RI), informando os mesmos dados da RS. Deve ser enviado o artefato para o grupo de solução.

60 Subcategorias dos incidentes de segurança da informação Código Malicioso - Malware Papel da SUPOP Agente de segurança segue procedimentos: Para analisar se máquina está infectada: Detecção de Malware Procedimento-padrao-deteccao-de-malware. Se detectar arquivo suspeito: Envio de Malware Procedimento-padrão-envio-de-malware. OPRCE/OPSIN/OPSOI Suporte aos agentes; Administração da ferramenta corporativa; Criação de procedimentos e estratégias de resposta.

61 Subcategorias dos incidentes de segurança da informação Código Malicioso - Malware Orientação para classificação de severidade ALTA Afeta a rede ou serviços corporativos; Apresenta comportamento de propagação; BAIXA Afeta apenas equipamento infectado. Desafio: Determinar com exatidão se realmente é a infecção que está afetando a rede ou o serviço; Normas e políticas relacionadas SG 013 Uso de Programa de Computador nas Estações de Trabalho; SG 017 Monitoração Eletrônica de Ambiente de TIC SG 015 Uso da Estação de Trabalho do SERPRO

63 Subcategorias dos incidentes de segurança da informação Serviço Malicioso Como o incidente acontece? Acesso a sítio na Internet que propaga malwares; Como o incidente é percebido? Após resolução de incidente relacionado à infecção por malware; Divulgação através de listas ou notícias; Notificação por outros CSIRTs; Como proceder para abrir incidente? Abrir RI informando: URL maliciosa; Fonte da informação.

64 Subcategorias dos incidentes de segurança da informação Serviço Malicioso (CSIRT) Papel da SUPOP Analisar URL e fonte; Bloquear no filtro de conteúdo; Identificar acessos realizados antes do bloqueio. Normas e políticas relacionadas SG/008 Acesso Web Orientação para classificação da severidade BAIXA

65 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Rede Sistema Operacional Impressão Digital do Alvo Dados Aplicação Servidor Rede Invasão Modificação de dados não autorizado (Desfiguração de aplicação) Transmissão (Rede, ZDM) Informação Roubo de informação Sistema de Comunicação (Roteador, Switch) Execução de Código Arbitrário Spam, Phishing/ Scam Acesso não Autorizado Comprometimento Conta de Acesso Indisponibilidade de Ativos de Segurança Firewall Negação de Serviço IPS/IDS Código Malicioso Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS

66 Subcategorias dos incidentes de segurança da informação Spam, Phising/scam Como o incidente acontece? Mensagens de correio eletrônico com fins publicitários, com caráter apelativo, com conteúdo não solicitado, impróprio ou ofensivo. Mecanismo para distribuir malwares e links maliciosos; Golpes Correntes para repassar s Exposição de endereços válidos; Novos alvos. Fonte:

67 Subcategorias dos incidentes de segurança da informação Spam, Phising/scam Como Incidente é percebido? Usuário recebe indesejado com seguintes características: Hoax Boato; Correntes; Propagandas; Ofensivos. Geralmente com links ou formulários Como proceder para abrir incidente? Atenção! A mensagem original não deve ser encaminhada! Exportar fonte da mensagem; Anexar o fonte da mensagem ao incidente; Remover mensagem da caixa do usuário.

68 Subcategorias dos incidentes de segurança da informação Spam, Phising/scam Papel da SUPOP Orientar usuário a exportar fonte da mensagem; Exportar fonte da mensagem caso o usuário não esteja apto; Criar regra no AntiSPAM; Implementar configuração no Servidor de Correio Eletrônico. Orientação para Classificação da Severidade ALTA BAIXA Distribuição em massa dos s maliciosos; reconhecido por propagar Malwares; Um único usuário recebeu o malicioso; Normas e políticas relacionadas SG 016 Uso Seguro de Serviços de Correio Eletrônico e Mensageria. SG 015 Uso da Estação de Trabalho do SERPRO.

69 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Rede Sistema Operacional Spam, Phishing/ Scam Impressão Digital do Alvo Servidor Rede Dados Aplicação Acesso não Autorizado Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS

70 Subcategorias dos incidentes de segurança da informação Impressão Digital do Alvo - Servidor Como o incidente acontece? Tráfego suspeito direcionado a um servidor visando identificar informações relevantes para efetuar um ataque. Como o incidente é percebido? Alarmes do IDS/IPS Logs do servidor Procedimento para a preservação da evidência Os logs do servidor e alarmes do IDS/IPS não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009.

71 Subcategorias dos incidentes de segurança da informação Impressão Digital do Alvo - Servidor Papel da SUPOP Registrar incidente de segurança. É possível que um tíquete incidente já esteja aberto. Normas e políticas relacionadas SG/009 (Forense Computacional) Orientação para classificação da severidade Baixa/Alta Caso o serviço seja de SMC: altíssima. Como registrar o incidente? Serviço afetado e grupo de suporte de servidores (SUPCD).

72 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Rede Sistema Operacional Spam, Phishing/ Scam Impressão Digital do Alvo Dados Aplicação Acesso não Autorizado Servidor Rede Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS

73 Subcategorias dos incidentes de segurança da informação Impressão Digital do Alvo - Rede Como o incidente acontece? Tráfego suspeito direcionado a diversos hosts da rede visando identificar serviços vulneráveis. Como o incidente é percebido? Alarmes do IDS/IPS. Logs do firewall. Procedimento para a preservação da evidência Os logs do firewall e alarmes do IDS/IPS não podem ser rotacionados e devem seguir procedimento de coleta de acordo com a SG/009.

74 Subcategorias dos incidentes de segurança da informação Impressão Digital do Alvo - Rede Papel da SUPOP Bloquear endereço IP fonte no IPS. Normas e políticas relacionadas SG/009 (Forense Computacional). Orientação para classificação da severidade Baixa. Como registrar o incidente? Registrar no incidente: serviço afetado, endereço IP fonte, canal de detecção (SPO/BSA/RJO). Acionar equipe de plantão (via celular) se fora do horário de expediente.

75 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Invasão Acesso não Autorizado Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Malware Serviço Malicioso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Firewall de aplicação Solução Anti DDOS

76 Subcategorias dos incidentes de segurança da informação Invasão Modificação de dados não autorizado Como o incidente acontece? Atacante captura dados e os modifica. Web Defacement. Como o incidente é percebido? O usuário percebe a violação da integridade do arquivo ou a desconfiguração da aplicação. Atuação dos agentes de segurança na monitoração diária. Procedimento para a preservação da evidência Os logs do firewall e de acesso, alarmes do IDS/IPS e conteúdo alterado não podem ser rotacionados ou apagados e devem seguir procedimento de coleta de acordo com a SG/009. Urna holandesa que sofreu invasão em 2009 Falha permite invasão por protocolo MSN

77 Subcategorias dos incidentes de segurança da informação Invasão Modificação de dados não autorizado Papel da SUPOP Atuação dos Agentes de Segurança juntamente com atendimento técnico e suporte no rastreamento, intervenção e busca da solução. Realização de forense computacional. Normas e políticas relacionadas SG/009 (Forense Computacional). SG/025 (Segurança de Redes).

78 Subcategorias dos incidentes de segurança da informação Invasão Modificação de dados não autorizado Orientação para classificação da severidade Alta. Caso afete SMC: altíssima. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um incidente. Serviço afetado. Endereço IP do servidor afetado. Acionar equipe de plantão (via celular) se fora do horário de expediente.

79 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Transmissão (Rede, ZDM) Informação Spam, Phishing/ Scam Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Invasão Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS

80 Subcategorias dos incidentes de segurança da informação Invasão Roubo de Informação Como o incidente acontece? O atacante se posiciona entre dois dispositivos, fazendo com que a comunicação passe por ele obtendo cópias de informações transmitidas man in the middle. As informações criptografadas apenas serão úteis ao atacante se forem decodificadas. Atacante invade servidor do Serpro e divulga e/ou vende a informação. Como o incidente é percebido? Monitoração dos logs. Identificação de cópia não autorizada de arquivos de dados; Detecção de arquivos apagados; Alarmes do IDS/IPS identificando atividade maliciosa.

81 Subcategorias dos incidentes de segurança da informação Invasão Roubo de Informação Procedimento para a preservação da evidência Atenção! Não executar procedimento de recuperar arquivo apagado. O arquivo deverá ser recuperado via backup. Alarmes do IDS/IPS, logs de acesso, sistema de arquivos não devem ser removidos ou alterados e devem seguir procedimento de coleta de acordo com a SG/009.

82 Subcategorias dos incidentes de segurança da informação Invasão Roubo de Informação Papel da SUPCD e da SUPOP Recuperar o dado apagado, se for o caso. Monitorar o ativo comprometido. Identificar logs relacionadas (de acesso, de banco de dados etc). Elaborar relatório sobre o incidente. Notificar a COGSI, via SISCOR. Preservar as evidências até o início da forense, se for o caso. Normas e políticas relacionadas SG/009 (Forense Computacional). SG/025 (Segurança de Redes).

83 Subcategorias dos incidentes de segurança da informação Invasão Roubo de Informação Orientação para classificação da severidade Alta. Caso afete SMC: altíssima. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um incidente. Serviço afetado. Endereço IP do servidor afetado. Informação roubada. Acionar equipe de plantão (via celular) se fora do horário de expediente.

84 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Invasão Modificação de dados não autorizado (Desfiguração de aplicação) Transmissão (Rede, ZDM) Informação Roubo de informação Sistema de Comunicação (Roteador, Switch) Execução de Código Arbitrário Spam, Phishing/ Scam Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Filtro de conteúdo Malware Firewall de aplicação Serviço Malicioso Solução Anti DDOS

85 Subcategorias dos incidentes de segurança da informação Invasão Execução de Código Arbitrário Como o incidente acontece? Execução de comandos, scripts ou programas de forma não autorizada explorando vulnerabilidades no serviço disponibilizado pelo provedor de informações, geralmente executada remotamente. Como o incidente é percebido? Existência de caracteres desconhecidos nas logs. Alarmes do IDS/IPS. Identificação de arquivos estranhos.

86 Subcategorias dos incidentes de segurança da informação Invasão Execução de Código Arbitrário Procedimento para a preservação da evidência Alarmes do IDS/IPS, logs de acesso, sistema de arquivos não devem ser removidos ou alterados e devem seguir procedimento de coleta de acordo com a SG/009.

87 Subcategorias dos incidentes de segurança da informação Invasão Execução de Código Arbitrário Papel da SUPCD e da SUPOP - Monitorar o ativo comprometido. - Identificar logs relacionadas (de acesso, de banco de dados etc). - Elaborar relatório sobre o incidente. - Notificar a COGSI, via SISCOR. - Preservar as evidências até o início da forense, se for o caso. Normas e políticas relacionadas SG/009 (Forense Computacional). SG/025 (Segurança de Redes).

88 Subcategorias dos incidentes de segurança da informação Invasão Execução de Código Arbitrário Orientação para classificação da severidade Alta. Caso afete SMC: altíssima. Como registrar o incidente É possível que um tíquete incidente já esteja aberto. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um incidente. Serviço afetado. Endereço IP do servidor afetado. Acionar equipe de plantão (via celular) se fora do horário de expediente.

89 Subcategorias de Incidentes de Segurança da Informação Exercício / Teste de Defesa Spam, Phishing/ Scam Impressão Digital do Alvo Rede Sistema Operacional Servidor Dados Rede Aplicação Acesso não Autorizado Invasão Transmissão (Rede, ZDM) Informação Sistema de Comunicação (Roteador, Switch) Comprometimento Conta de Acesso Negação de Serviço Código Malicioso Modificação de dados não autorizado (Desfiguração de aplicação) Roubo de informação Execução de Código Arbitrário Indisponibilidade de Ativos de Segurança Firewall IPS/IDS Malware Filtro de conteúdo Serviço Malicioso Firewall de aplicação Solução Anti DDOS

90 Subcategorias dos incidentes de segurança da informação Indisponibilidade de Ativos de Segurança Firewall, IPS/IDS, Firewall de Aplicação, Filtro de Conteúdo e Solução AntiDDoS Como o incidente acontece? Qualquer falha física ou lógica, atualização malsucedida, caso fortuito de uma incorreta configuração e ataque bem sucedido; Os ativos que estão na rede que o firewall prove segurança, por exemplo, perderão comunicação com o ambiente externo. Quanto ao IPS/IDS e solução AntiDDoS, devido às características passivas e capacidade de tolerância a falhas só é possível a identificação das logs da console as quais são gerenciadas pelas equipes de segurança. Como o incidente é percebido? Indisponibilidade nos serviços. Quanto a ativos como IPS/ISD e AntiDDOS, nas logs das consoles. Quanto ao firewall e filtro de conteúdo, verificação por parte do usuário e ferramentas de gerenciamento. Procedimento para a preservação da evidência Logs das ferramentas de gerenciamento e as logs das consoles. É configurado para não rotacionar ou sobrescrever.

91 Subcategorias dos incidentes de segurança da informação Indisponibilidade de Ativos de Segurança Firewall, IPS/IDS, Firewall de Aplicação, Filtro de Conteúdo e Solução AntiDDoS Papel da SUPOP Identificar o desvio e prontamente atuar numa solução de contorno e caso necessite atuar em conjunto com o fornecedor da solução para o retorno dos ativos. Os responsáveis pelos ativos de segurança atuarão acionando o fornecedor e abrindo a OSF (Ordem de Serviço ao Fornecedor) relacionada. Normas e políticas relacionadas SG 025/2003 (SEGURANÇA DE REDES).

92 Subcategorias dos incidentes de segurança da informação Indisponibilidade de Ativos de Segurança Firewall, IPS/IDS, Firewall de Aplicação, Filtro de Conteúdo e Solução AntiDDoS Orientação para classificação da severidade Nível severidade alto. Afetando um dos SMCs, altíssima severidade sendo tratado pelo Centro de Comandos com ações das equipes de segurança responsável pelo equipamento. Como registrar o incidente? É possível que um tíquete incidente já esteja aberto. Caso positivo, verificar necessidade de realizar a recategorização. Em caso negativo, deverá ser aberto um incidente. Serviço afetado. Endereço IP do servidor afetado. Acionar equipe de plantão (via celular) se fora do horário de expediente.

93 Exemplos práticos de registro de incidentes de segurança da informação Exemplos práticos de registro de incidentes de segurança

94 Exemplo 1 Caso 1: usuário registra incidente de alta severidade informando que o sistema X está indisponível. Imediatamente, o incidente é encaminhado para tratamento. Como a equipe de solução deverá proceder? Ratificar/retificar a severidade do incidente. Se afetar SMC: encaminhar o incidente para o Centro de Comando e solicitar que a severidade seja alterada para altíssima. Se alta severidade: encaminhar incidente para o Centro de Comando. Como o Centro de Comando deverá proceder? Realizar notificação SMS e ; Verificar a categoria e realizar recategorização se necessário; Orquestrar a atuação das áreas envolvidas. SUPCD e SUPOP; Atualizar o tíquete (impacto, serviços afetados, diagnóstico, áreas que atuaram na solução etc). Registrar solução aplicada e encerrar o incidente.

97 Exemplo 1 Caso 1: usuário registra incidente de alta severidade informando que o sistema X está indisponível. Imediatamente, o incidente é encaminhado para tratamento. Como as equipes de solução (segurança) deverão atuar? Ratificar/retificar a severidade do incidente. Diagnosticar o incidente: Negação de Serviço Manter o Centro de Comando informado, tempestivamente, sobre as ações adotadas para solução do incidente. Verificar se a categorização do incidente está correta. Se não, solicitar ao Centro de Comando realizar a recategorização.

98 Exemplo 1 Caso 1: usuário registra incidente de alta severidade informando que o sistema X está indisponível. Imediatamente, o incidente é encaminhado para tratamento. Como as equipes de solução (segurança) deverão atuar? Ratificar/retificar a severidade do incidente. Diagnosticar o incidente: Negação de Serviço Manter o Centro de Comando informado, tempestivamente, sobre as ações adotadas para solução do incidente. Verificar se a categorização do incidente está correta. Se não, solicitar ao Centro de Comando realizar a recategorização. Após o encerramento do incidente, elaborar o relatório e enviar para o gerente do Centro de Comando.

99 Exemplo 2 Caso 2: usuário interno alega que houve movimentação indevida em sua conta corrente. Informa que o acesso foi realizado dentro do ambiente do Serpro. Como o usuário deverá proceder? Deve ser registrado, imediatamente, um RI? Usuário deverá registrar uma Requisição de Serviço (RS) solicitando que sua máquina seja analisada. Como a equipe de solução deverá atuar? Caso a máquina esteja contaminada, a RS deverá ser encerrada e deverá ser aberto um RI.

100 Exemplo 2 Caso 2: usuário interno alega que houve movimentação indevida em sua conta corrente. Informa que o acesso foi realizado dentro do ambiente do Serpro. Como o usuário deverá proceder? Deve ser registrado, imediatamente, um RI? Não. O usuário deverá registrar uma Requisição de Serviço (RS) solicitando que sua máquina seja analisada. Como a equipe de solução deverá atuar? Caso a máquina esteja contaminada, a RS deverá ser encerrada e deverá ser aberto um RI.

Exibir mais