Universidade de São Paulo Centro de Computação Eletrônica

Transcrição

1 Universidade de São Paulo Centro de Computação Eletrônica 077,2039,$ # 08:,:9, 450,6: 50/0 $0 :7,3,/,&$! Apresentação: Mauro Cesar Bernardes Rafael Nogueira Tavares Abril de

2 Estrutura da Apresentação Motivação Uma visão geral da USPNet A Equipe de Segurança O cenário antigo A ferramenta SiRI Funcionalidades da Ferramenta O cenário atual Trabalhos futuros Debate. 2

3 Uma visão Geral da USPNet 3

4 CIRP CISC Ribeirão Preto Pirassununga São Carlos Bauru ANSP CIAGRI Piracicaba São Paulo CCE Complexo Saúde 2,5 Gbps 1 Gbps SDH Net 10 Gbps 4

5 2,5 Gbps FAPESP / AANSP 1 Gbps REMAV-SP CCE 2 Gbps 1 Gbps (Redundante) Complexo Saúde 10 Gbps 1 Gbps 100 Mbps 1 Gbps Poli / LARC E3 1 Gbps 1 Gbps FRAME RELAY Reitoria Tráfego Administrativo Química 1 Gbps Unidades (RECAD) 5

6 Visão Geral do Campus São Paulo Admnistração Letras História 1 Gbps 100 / 1000 Mbps Cultura Japão Filosofia 6

7 A Equipe de Segurança Centro de Computação Eletrônica Responsável pelo 4 Analistas 4 Ténicos/operadores Atendimento 24x7 Administradores em cada Unidade Trabalho cooperativo e colaborativo 7

8 IR Service Functions Overview Report-Request Triage Incident Feedback Site(s) CSIRT(s) Expert(s) Announcement Requester(s) Press Office Management... Arrows indicate information flow Constituency Fonte: 8

9 Problemas no cenário antigo Internet IDS Política de Segurança IDS Roteador (Acess-list) Logs VPN Logs Alertas IDS Firewall Web Server DNS Server Logs DMZ Logs Honey Pots Logs Redes Internas Problema: grande quantidade de de dados! Logs Logs Logs Logs Anti-vírus e Firewalls pessoais Logs Logs O problema onde há um excesso de dados pode ser tão prejudicial quanto a sua falta 9

10 A Ferramenta SiRI 10

11 A Ferramenta SiRI 11

12 Minimização do Tempo de RI 12

13 Triagem de um Incidente 13

14 Ações Emergenciais A partir da triagem do Incidente, pode-se adotar ações emergenciais. 14

15 Notificações Personalizadas 15

16 Identificação única para cada Incidente 16

17 Visão Geral das Opções para Incidentes 17

18 Acompanhamento do Incidente Acesso Mediante Certificação 18

19 Acompanhamento do Incidente 19

20 Informações de Acompanhamento 20

21 Informações de Acompanhamento 21

22 Consultas personalizadas para a Equipe 22

23 Refinamento das informações do Incidente 23

24 Alteração de Status 24

25 Gerenciamento de Alertas 25

26 Cadastro de Alertas 26

27 Encaminhamento de Alertas Alertas Classificados; Uso de Ontologias Alertas priorizados conforme necessidade dos usuários; Listas de Discussão X SiRI: O diferencial; Correlacionar alertas às necessidades; Meta: Trabalhar informações prévias, Histórico e Extração de conhecimento; 27

28 Cadastro de Procedimentos 28

29 Correlação Alertas X Procedimentos 29

30 Correlação Alertas X Procedimentos 30

31 Estatísticas 31

32 Estatísticas Personalizadas 32

33 Gráficos Personalizados 33

34 Estatísticas O fator Psicológico; Repositório de Informações; Ajuda a redefinir requisitos de controle para a Política de Segurança. 34

35 Manual de Documentação 35

36 O Cenário Atual Redução de 60% do tempo despendido no ciclo de vida de uma Resposta a Incidentes; Acompanhamento personalizado de cada incidente; Maior interação entre o reclamante, a equipe de segurança e os administradores responsáveis; Constituição de um Repositório de Informações. Ferramenta auxiliar para as etapas previstas para a atividade de Resposta a Incidentes; 36

37 IR Service Functions Overview Report-Request Triage Incident Feedback Site(s) CSIRT(s) Expert(s) Announcement Requester(s) Press Office Management... Arrows indicate information flow Constituency Fonte: 37

38 Trabalhos Futuros 38

39 Constituição de um Sistema de Informações Trabalhar dados para produzir informação e conhecimento; Fornecer suporte à tomada de decisão; Expectativa: Um sistema integrado homem-máquina que provê informações para dar suporte às funções de operação, administração e tomada de decisão em relação à segurança computacional; Código aberto a contribuições. 39

40 Metodologia: Dados, Informação e Conhecimento Volume Baixo Conhecimento Valor Alto Volume Alto Informação Dado Valor Baixo Aquisição de conhecimento (AC): Extração, interpretação e representação do conhecimento de um dado domínio. Tarefa difícil! 40

41 Sistemas de Informação e Estrutura de Decisão Nível Estratégico Planejamento Estratégico Nível Tático Planejamento Tático Nível Operacional Planejamento Operacional 41

42 Classificação dos Sistemas de Informação Sistemas de Informações Gerenciais Dados Dados Sistemas Sistemas de de Informações Informações Gerenciais Gerenciais Informação Informação para para a tomada tomada de de decisão decisão 42

43 Extração de conhecimento de Base de Dados Objetivos: Apoiar os especialistas do domínio na obtenção de conhecimento de base de dados; KDD (Knowledge Discovery in Databases) Base de Dados KDD TAREFAS Aprendizagem De Máquina Sistemas Inteligentes (Knowledge Discovery in Databases) Estatísticas Ferramentas de Visualização 43

44 Elementos de Apoio ao Processo KDD Data Warehouse; Técnicas Estatísticas; Visualização de Dados 44

45 Expectativa Utilização dos conceitos de sistemas de informação para modelar um ambiente que permita ao administrador de segurança computacional, metodicamente, gerar conhecimento para planejar e programar a tomada de decisão com a eficiência e a eficácia exigidas pelos sistemas/redes atuais. 45

46 Conclusões A ferramenta apresentada apresentou contribuições significativas no processo de RI; Entretanto, a ferramenta SiRI é apenas o início de um projeto para a constituição de um sistema de informação; Trabalho colaborativo é essencial! 46