Tratamento de Incidentes de Segurança

Transcrição

1 Tratamento de Incidentes de Segurança Semana de Computação UFBA (SEMCOMP 2012) Universidade Federal da Bahia Italo Valcy 04 de outubro de 2012

2 Licença de uso e atribuição Todo o material aqui disponível pode, posteriormente, ser utilizado sob os termos da: Creative Commons License: Atribuição - Uso não comercial - Permanência da Licença 2 / 92

3 Agenda Fundamentos do Tratamento de Incidentes de Segurança Impacto do NAT e DHCP na fase de Detecção TRAIRA 3 / 92

4 Definição de CSIRT CSIRT: Computer Security Incident Response Team É uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores Definição do CERT/CC Qual a diferença entre CERT e CSIRT? 4 / 92

5 Definição de CSIRT Siglas e CSIRTs que conhecemos: CERT/CC CAIS/RNP GRA/SERPRO CERT.BR AusCERT NARIS CERT.Bahia 5 / 92

6 Criando um CSIRT Justificando a existência de um CSIRT Aumento no número de incidentes Aumento no número de usuários (e expectativa dos usuários) Aumento da dependência tecnológica Normatização Necessidade da criação de CSIRTs Ponto chave na manutenção e continuidade do negócio 6 / 92

7 Normatização Conselho de Defesa Nacional (CF, Art. 91) Decreto / 2000 Institui a Política de Segurança da Informação nos órgãos e entidades da APF Comitê Gestor de Segurança da Informação (órgão de Estado) Gabinete de Segurança Institucional da Presidência da República, Decreto / 2006 Departamento de Segurança da Informação e comunicações: Ações que objetivam viabilizar e assegurar a Disponibilidade, a Integridade, a Confidencialidade e a Autenticidade das Informações. D.I.C.A. 7 / 92

8 Normatização Legislação de SIC do GSIPR/DSIC IN 01 GSIPR/DSIC (2008): Disciplina a Gestão de Segurança da Informação e Comunicações na APF NC 01: Atividades de normatização NC 02: Metodologia de Gestão de Segurança da Informação e Comunicação NC 03: Diretrizes para elaboração da PSI NC 05: Disciplina a criação dos ETIRs NC 08: Diretrizes para gerenciamento de Incidentes em Redes Computacionais... Mais informações: / 92

9 Acordão (TCU, 15/ago/2008) A situação da segurança da informação (2008) Fonte: Marcio Braz - Sefti/TCU, 1º Forum RNP 9 / 92

10 Acordão (TCU, 2010) 2º levantamento de governança de TI 3º Levantamento de governança de TI em curso (2012) Fonte: Marcio Braz - Sefti/TCU, 1º Forum RNP 10 / 92

11 Critérios de auditoria TCU Leis e decretos: Decreto 3.505/2000 (Política de SI para a APF), 4.533/2002 (Salvaguarda de dados),... Normas complementares do GSI/PR Normas NBR ISO/IEC /05, /05, (Gestão de riscos), (GCN) Cobit 4.1 (e posteriores) Jurisprudência do TCU 11 / 92

12 Criando um CSIRT Benefícios da existência de um CSIRT Possuir mecanismos de resposta a incidentes de segurança Necessário definir o conceito de incidente de segurança para a instituição (negócio) Manter sua instituição preparada para as ameaças emergentes Aumento do grau de segurança ao desenvolver uma cultura de segurança Criação de mecanismos que visam à preservação da instituição 12 / 92

13 Eventos e Incidentes de Segurança Segundo [Scarfone et al. 2008] um evento é qualquer ocorrência observável em um sistema ou na rede Ex: usuário que inicia de uma sessão SMTP, servidor web que recebe requisição HTTP, etc. Já um evento adverso é aquele que tem consequência negativa para a instituição Ex: flooding de pacotes na rede, uso não autorizado de sistemas, etc. Consideraremos apenas eventos adversos relacionados à segurança do software dos computadores 13 / 92

14 Eventos e Incidentes de Segurança Segundo [CERT.br 2006] um incidente de segurança é um evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores Alguns exemplos: Negação de Serviço Código Malicioso Acesso não autorizado Uso inapropriado (violação de direitos autorais) 14 / 92

15 Eventos e Incidentes de Segurança Genericamente, [Scarfone et al. 2008] define um incidente de segurança como violação, ou suspeita de violação, de: política de segurança da informação política de uso aceitável padrão de práticas de segurança de uma instituição Mais informações sobre esses documentos: [CERT.br 2006] 15 / 92

16 Modelos de CSIRTs CSIRT CSIRT CSIRT CSIRT CSIRT centralizado descentralizado de crise de coordenação misto 16 / 92

17 Passos para criação do CSIRT Definição Definição Definição Definição da do de de área de atuação nome do CSIRT incidente tipo e modelo de CSIRT 17 / 92

18 Missão do CSIRT A missão do CSIRT deve refletir seu campo de atuação, escopo e representação Constituency A missão deve estar alinhada com os objetivos e diretrizes da organização Vamos conhecer a missão de alguns CSIRTs 18 / 92

19 Missão do CSIRT Missão do CAIS/RNP O CAIS Centro de Atendimento a Incidentes de Segurança atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar práticas de segurança em redes 19 / 92

20 Missão do CSIRT Missão do CERT/CC The CERT Program is chartered to work with the internet community in detecting and resolving computer security incidents, as well as taking steps to prevent future incidents 20 / 92

21 Missão do CSIRT Missão do CERT.br O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. É responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira 21 / 92

22 Missão do CSIRT Missão do AusCERT AusCERT is the premier Computer Emergency Response Team (CERT) in Australia and a leading CERT in the Asia/Pacific region. AusCERT operates within a worldwide network of information security experts to provide computer incident prevention, response and mitigation strategies for members and assistance to affected parties in Australia / 92

23 Serviços do CSIRT Existe uma gama de serviços que podem ser oferecidos por um CSIRT O CERT/CC divide os serviços em: Reativos Pró-ativos Gerenciais 23 / 92

24 Serviços do CSIRT Reativos Tratamento de incidentes Elaboração de alertas e anúncios Análise de vulnerabilidades Análise de artefatos Auditoria de segurança (forense) Pró-ativos Disseminação de informação Avisos Monitoramento Detecção de intrusão Auditoria de segurança Configuração segura Testes de penetração Desenvolvimento de ferramentas de segurança Gerenciais Consultoria na área Análise de ricos Continuidade do negócio e plano de recuperação de desastres Educação e treiamento 24 / 92

25 Leitura recomendada Handbook for Computer Security Incident Response Teams Creating and Managing an Incident Response Team for a Large Company g-managing-incident-response-team-large-company_1821 RFC 2350: Expectations for Computer Security Incident Response 25 / 92

26 Exercício Em grupos de 5 pessoas, simule a criação de um CSIRT, que contenha: Nome Missão (constituency) Alguns serviços 26 / 92

27 CERT.Bahia :: Grupo de Resposta a Incidentes de Segurança Bahia/Brasil 27 / 92

28 Sobre o CERT.Bahia CSIRT (Grupo de Resposta a Incidentes de Segurança) Missão: Auxiliar as instituições conectadas ao POP-BA/RNP na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de Informação e Comunicação (TIC). 28 / 92

29 Quem somos? Coordenação Luiz Claudio Mendonça (CPD/UFBA) Equipe técnica Italo Valcy (PoP-BA/RNP) Thiago Bomfim (PoP-BA/RNP) Jundaí Abdon (PoP-BA/RNP) 29 / 92

30 Serviços do CERT.Bahia Palestras / Treinamentos / Documentação EnSI (Encontro de Segurança em Informática) Campanhas de Segurança Campanha DNSSEC Campanha de segurança nas Instituições Piloto para armadilha de SPAM... Sensores para monitoramento e alerta de incidentes de segurança Coordenação regional e apoio técnico aos clientes do PoP-BA/RNP no Tratamento a Incidentes de Segurança 30 / 92

31 Estatísticas de Incidentes do CAIS (Junho, 2012) 31 / 92

32 Estatísticas de Incidentes do CAIS (Junho, 2012) 32 / 92

33 Estatísticas de Incidentes do CAIS (Junho, 2012) 33 / 92

34 Estatísticas do CERT.Bahia 34 / 92

35 Estatísticas do CERT.Bahia Agosto, Código malicioso Tentativa de intrusão Envio de SPAM Intrusão Ataques de negação de serviço Violação de copyright 6 Tentativa 9 de intrusão Envio de SPAM Código malicioso Intrusão Ataques de negação de serviço Violação de copyright Scans / 92

36 Estatísticas do CERT.Bahia De Jan/2010 à Jun/2011 Total de incidentes: 1979 Fechado por falta de resposta do cliente: 913 Incidente resolvido: / 92

37 Fundamentos de Tratamento a Incidentes de Segurança 37 / 92

38 Motivação Aumento do número de incidentes de segurança na Internet Atividades preventivas são importantes, porém nem todos os incidentes podem ser evitados [Scarfone et al. 2008] Necessidade de estabelecimento de um Processo de Tratamento de Incidentes 38 / 92

39 Notificações de Incidentes de Segurança Principais causas de incidentes: Ataques automatizados feitos por programas maliciosos (e.g. bot ou worm) Pessoas mal intencionadas, usando ou não ferramentas automatizadas Em ambos os casos é importante alertar o responsável pelo sistema, organização ou rede em questão: Notificações de Incidentes de Segurança Grande parte das notificações são enviadas pelos CSIRTs (Grupos de Resposta a Incidentes de Segurança) 39 / 92

40 Notificações de Incidentes de Segurança Dados essenciais a serem incluídos em uma notificação: logs completos que evidenciem o incidente data, horário e timezone (fuso horário) dos logs endereço de origem do ataque, incluindo IP e porta da conexão de origem envio de informações em formato texto 40 / 92

41 Notificações de Incidentes de Segurança Encontrando o contato do responsável Contato abuse no WHOIS do Register (ARIN, APNIC, LACNIC, RIPE, AFRINIC) Cyberabuse WHOIS page=whois_server Team Cymru WHOIS 41 / 92

42 Recebimento de incidentes Recebimento: um CSIRT deve possuir meios de receber notificações de incidentes, por intermédio de , formulários web, telefone, fax, carta, etc. Não se esqueça do /security no site web e dos endereços de (abuse, cert, csirt, security, fraud, phishing e spoof) RFC / 92

43 Exercício Utilizando alguma dos serviços de WHOIS anteriores, verifique se os seguintes contatos estão corretos: / 92

44 Tratamento de Incidentes de Segurança O tratamento de incidentes de segurança envolve três funções [CERT/CC 2010]: Notificação do incidente Análise do incidente Resposta ao incidente O tratamento sistemático e efetivo de incidentes exige a definição de um processo de resposta a incidentes de segurança. Exemplos: Ciclo de vida da resposta a incidentes [Scarfone et. al. 2008] Processo de tratamento de incidentes de segurança da UFRGS [Ceron et. al. 2009] 44 / 92

45 Tratamento de Incidentes de Segurança Ciclo de vida da resposta a incidentes [Scarfone et. al. 2008]: 45 / 92

46 Tratamento de Incidentes de Segurança Preparação Fase inicial que envolve o estabelecimento de um CSIRT, aquisição de ferramentas, etc. Medidas essenciais: Atualização dos SO's e aplicações (anti-vírus, patches, etc.); Garantir o registro das atividades dos usuários (logs dos sistemas); Armazenamento seguro dos logs dos sistemas; 46 / 92

47 Tratamento de Incidentes de Segurança Detecção e Análise Nesta etapa deve-se detectar ou identificar de fato a existência de um incidente. Principais atividades: Recebimento e validação da notificação, e extração dos principais dados sobre o Incidente Verificação nas bases de IDS/IPS, anti-vírus ou logs do sistema Consulta na base de conhecimento sobre os incidentes reportados no passado 47 / 92

48 Tratamento de Incidentes de Segurança Contenção, Mitigação e Recuperação Assim que o incidente é detectado e analisado, deve-se iniciar mecanismos de contenção para evitar que ele se propague ou afete outros recursos da rede Inicia-se então o trabalho para mitigação e recuperação dos sistemas afetados. Importante: política de backup 48 / 92

49 Tratamento de Incidentes de Segurança Ações Pós-Incidente Esta etapa consiste em avaliar o processo de tratamento de incidentes e verificar a eficácia das soluções adotadas. Discutir as lições aprendidas com o CSIRT Resposta à notificação enviada 49 / 92

50 Principais Dificuldades Cada uma daquelas fases requer ações específicas de mitigação ou controle. Para incidentes que são gerados por uma instituição, alguns fatores podem dificultar seu tratamento, exemplo: Tradução de Endereços de Rede (NAT) Configuração dinâmica de rede nos hosts (DHCP) Análise dos registros do sistema (logs) Quantidade de notificações versus atribuições do CSIRT / 92

51 Principais Dificuldades Antes de continuar... Estamos supondo o seguinte cenário de rede (bastante comum nas instituições): DHCP Neste trabalho estaremos interessados nos incidentes que são gerados pela instituição 51 / 92

52 Principais Dificuldades NAT Network Address Translation (NAT) Permiti que, com um único IP roteável, ou um pequeno conjunto deles, vários hosts possam trafegar na Internet Tipos: NAPT (Network Address and Port Translation) SNAT (Source NAT) DNAT (Destination NAT) 52 / 92

53 Principais Dificuldades NAT Network Address Translation (NAT) 53 / 92

54 Principais Dificuldades NAT Network Address Translation (NAT) Em alguns casos, a porta de origem original precisa ser alterada: 54 / 92

55 Principais Dificuldades NAT Network Address Translation (NAT) Desvantagem: dificuldade em determinar, com precisão, o endereço IP interno mapeado no endereço externo Suporte à logging nos dispositivos de NAT Busca nos logs 55 / 92

56 Principais Dificuldades DHCP Dynamic Host Configuration Protocol (DHCP) Configuração automática de parâmetros de rede nos clientes. Principais utilizações: Provedores de acesso (endereços temporários) Configuração automática de máquinas na rede interna Um host pode ter dois ou mais endereços IP por dia, semana ou mês (lease time) 56 / 92

57 Principais Dificuldades DHCP Dynamic Host Configuration Protocol (DHCP) Desvantagem: Mapeamento IP-host não garantido Opção: utilizar os endereços MAC (Media Access Control) como identificador único dos hosts. 57 / 92

58 Principais Dificuldades LOGs Registros do Sistema (Logs) Um log é um registro dos eventos que ocorrem nos sistemas ou na rede de uma organização Os logs são um recurso essencial para os processos de auditória dos sistemas. Não obstante, dado seu volume e variedade, necessita-se de políticas de gerenciamento dos logs: Um processo que envolve a geração, transmissão, armazenamento, análise e descarte dos logs 58 / 92

59 Principais Dificuldades LOGs Registros do Sistema (Logs) Para eficácia no tratamento de incidentes, deve-se certificar-se sobre a configuração de logging dos sistemas ainda na fase de preparação. Já na fase de detecção, deve-se, por exemplo: buscar nos logs do dispositivo de NAT por uma ocorrência do IP, porta de origem, data e hora, que estejam em conformidade com aqueles enviados na notificação. 59 / 92

60 Exercício: Tratamento de Incidentes Incidente 1 Date: Between 2:00 and 4:30 AM, 20 Apr 2010 (UTC) From: Seguranca <security@exemplo.edu.br> To: webmaster@exemplo.sp.gov.br, csirt@sp.gov.br Subject: Troca de pagina em Prezados, O endereço teve o conteúdo de sua página trocado em decorrência de ataque e o conteúdo ainda está online. Pedimos que a página em questão seja urgentemente tirada do ar e recuperada. Atenciosamente, Grupo de Segurança Conteúdo da página online: Tehno TeaM! Admin jah era, tá dominado! 0rn1t0RR1nc0! 60 / 92

61 Exercício: Tratamento de Incidentes Incidente 2 Date: Between 2:00 and 4:30 AM, 20 Apr 2010 (UTC) From: ignacio@exemplo.edu.br To: Security Team <security@teste.com.br> Subject: 1 sistema infectado com Bot Prezado CSIRT, O IP abaixo foi detectado como possivelmente contaminado por virus/worm. Solicitamos que a maquina em questao seja analisada e contida a atividade maliciosa : Bonaqua Network : Bonaqua Network : Bonaqua Network Solicitamos que nos informem sobre o incidente relatado acima. Atenciosamente, Grupo de Segurança 61 / 92

62 TRAIRA: Tratamento de Incidentes de Rede Automatizado 62 / 92

63 TRAIRA Software desenvolvido em Perl, como extensão do RT (Request Tracker), para tratamento automatizado dos incidentes de segurança Atua em todas as fases do processo de tratamento de incidentes: Automatiza o procedimento de detecção, identificação e isolamento da máquina geradora do incidente. 63 / 92

64 TRAIRA Fluxo de execução 64 / 92

65 TRAIRA Fluxo de execução 1.Submissão de notificações de incidentes ao TRAIRA 2.TRAIRA roda o parser, para extração de informações importantes (IP, Porta, Data/Hora) 3.Busca nos logs do NAT 4.Busca no L2M 5.Notificação ao helpdesk/operação 6.Resposta à entidade que notificou o incidente 65 / 92

66 Arquitetura do TRAIRA 66 / 92

67 TRAIRA::Parser Parser: é o módulo responsável pelo recebimento da notificação e pela extração das informações essenciais ao tratamento do incidente: endereço IP e porta de origem, data e horário. O Parser a ser usado em uma notificação é definido pelo From e Subject da notificação Vamos a um exemplo / 92

68 TRAIRA::Parser 68 / 92

69 TRAIRA::Parser 69 / 92

70 TRAIRA::Parser 70 / 92

71 TRAIRA::NATMapping O NAT dificulta a identificação precisa do host que provocou um incidente de segurança O módulo NAT Mapping do TRAIRA, faz o mapeamento entre o IP externo e IP interno Dificuldades desse mapeamento: Diversidade de dispositivos NAT (logs diferentes) Volume de dados a serem processados Na UFBA são mais de 7 milhões de registros de traduções NAT por dia (média de Nov/2010) Correspondência temporal 71 / 92

72 TRAIRA::NATMapping Configuração: Segmento de rede Driver de NATMapping (iptables / asa_cisco, etc) Arquivo de log Exemplo: 72 / 92

73 TRAIRA::NATMapping 73 / 92

74 TRAIRA::IP2MAC O endereço IP pode não ser uma identificação precisa do host: Para redes que atribuem IP dinâmico via DHCP, um mesmo IP pode ser usado por diversas máquinas ao longo do dia Fácil de ser alterado pelo usuário Opção: utilizar endereço MAC (dinâmico), porém mantendo o histórico Requisito: consultar a tabela ARP dos roteadores 74 / 92

75 TRAIRA::IP2MAC (L2M) L2M :: Layer 2 Manager Software desenvolvido pela UFBA e pelo CERT.Bahia para gerenciamento de recursos em camada 2 (enlace). O L2M permite, via interface web, uma série de consultas para um host (por IP ou MAC), por exemplo, horário de entrada e saída Permite saber quantas máquinas estão acessando a rede nesse momento, nos últimos 15 dias, etc. 75 / 92

76 TRAIRA::IP2MAC Assim, o módulo IP2MAC recebe uma lista de IPs internos, data e hora de acesso, consulta o L2M e acrescenta o MAC e VLAN de cada tupla; Usando os exemplos anteriores, temos: 76 / 92

77 TRAIRA::Containment Uma vez que o host é detectado, o TRAIRA pode realizar a contenção daquele host para evitar que o mesmo continue propagando atividade maliciosa enquanto não é tratado por uma equipe de campo. Idealmente, temos três tipos de contenção: Bloqueio do host no roteador daquela VLAN Bloqueio do host no switch gerenciável mais próximo Mover o host para VLAN de quarentena 77 / 92

78 TRAIRA::Containment Implementação atual: A contenção está implementada na sua forma mais simples: bloqueio do host no roteador Além disso, a contenção é totalmente dependente do L2M Melhor caso: VLAN de quarentena Requisito: suporte à MAC-based VLAN (ou via ACL) Na pesquisa que realizamos com importantes fabricantes, apenas um possui essa funcionalidade 78 / 92

79 TRAIRA::PostDetection A etapa de Pós-detecção no TRAIRA é implementada por duas ações: Acionamento da equipe de campo (helpdesk) para realizar o tratamento da máquina (anti-vírus, reinstalação, etc.) Resposta à equipe que enviou a notificação 79 / 92

80 TRAIRA::PostDetection 80 / 92

81 Estatísticas do TRAIRA Um recurso fundamental aos CSIRTs são as estatísticas: elas ajudam os CSIRTs a detectar tendências, prever futuros ataques em grande escala, direcionar atividades, dentre outros. A implementação atual do TRAIRA fornece os seguintes gráficos: Gráfico de incidentes por VLAN Quantidade de incidentes por dia MACs reincidentes 81 / 92

82 Estatísticas do TRAIRA 82 / 92

83 Requisitos de implantação Registro remoto dos eventos de tradução de NAT (SNAT) Histórico sobre a associação entre endereços IP e MAC dos hosts Request Tracker (RT) Banco de dados 83 / 92

84 TRAIRA: instalação e configuração Registro remoto dos logs de NAT Verifique seu firewall/roteador Estudo de caso: Netfilter/IPTables Histórico do mapeamento IP -> MAC L2M RT Instalação e configuração do TRAIRA 84 / 92

85 Onde obter mais informações? Toda a documentação do TRAIRA encontrase disponível para consulta: Além do TRAIRA, a instituição deve ter uma série de ferramentas e políticas que viabilizem o tratamento dos incidentes O TRAIRA é uma ferramenta reativa 85 / 92

86 Referências Scarfone, K., Grance, T., and Masone, K. (2008). Computer Security Incident Handling Guide. NIST Special Publication, ; CERT.br (2006). Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede; CERT/CC (2010). Computer Segurity Incident Response Team FAQ. Ceron, J. et. al. (2009). O processo de tratamento de incidentes de segurança da UFRGS. In: IV Workshop de TI das IFES, / 92