Porque precisamos de times de resposta a incidentes. Yuri Alexandro CAIS/RNP

Documentos relacionados
Soluções Técnicas em Segurança. Andre Landim Yuri Alexandro

CSIRT As melhorias no processo de tratamento de incidentes de segurança da informação na UFRJ

A importância da conscientização em ambientes corporativos para evitar prejuízos com ransomware. Yuri Alexandro CAIS/RNP

CSIRT numa abordagem prática

Segurança da informação nos campi: desafios e tendências. Carla Freitas - RNP

Panorama de segurança da informação e combate a atividade maliciosa na Rede Ipê. WTR PoP-RJ André Landim

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Segurança: Tendências Atuais e Recomendações do NBSO

Monitoramento com foco em Segurança. Italo Valcy UFBA

PORTARIA CADE Nº 91, DE 12 DE ABRIL DE 2016.

A Resposta a Incidentes no Processo de Desenvolvimento Seguro. Daniel Araújo Melo -

POLÍTICA DE CIBERSEGURANÇA DO BANCO CETELEM S.A. ( CETELEM )

Gestão de Vulnerabilidades Técnicas Processos e Ferramentas

Rede de sensores distribuídos do CAIS Rildo Souza

A evolução dos ataques de negação de serviço (DoS). Por: Rildo Antonio de Souza - CAIS/RNP

Incorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA

Miriane Aparecida Batista Instituto Federal do Triângulo Mineiro Campus Paracatu Tecnólogo em Análises e Desenvolvimento de Sistemas. Cert.

FRAUDES NA INTERNET. Não seja vítima...nem vilão. VIII Encontro de Segurança em Informática 03 de outubro de 2018

RESOLUÇÃO Nº 83, DE 30 DE OUTUBRO DE 2014

Cenário Atual. CSIRT Computer Security Incident Response Team. CSIRTs CSIRT. Tipos de CSIRTs. Fatores de Sucesso. Problemas no Cenário Atual

4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP

Boas Práticas no Tratamento de Incidentes de Segurança

RIV-02 Data da publicação: 02/jun/2017

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Auditoria Interna em Sistema de Integridade. Rodrigo Fontenelle, CGAP, CRMA, CCSA

Comitê de Gestão de Tecnologia da Informação. 2º Reunião 14/06/2016

Gestão Integrada de Risco Cibernético e Conformidade

Hands-on: Implantação de monitoramento por Sflow

Centro de Tratamento de Incidentes em Redes de Computadores da Administração Pública Federal CTIR Gov

SISTEMA OCEPAR SESCOOP/PR PUCPR PROGRAMA DE COMPLIANCE DO COOPERATIVISMO PARANAENSE

POLÍTICA DE SEGURANÇA CIBERNÉTICA

Governança em TI na UFF. Modelo de Gestão da STI. Henrique Uzêda

Gestão de Segurança da Informação

Resposta a Incidentes no Brasil: Situação Atual e o Papel do NBSO

Tratamento de Incidentes de Segurança em Grandes Eventos Cristine Hoepers

[Digite texto] XLabs. Web App Firewall. formation Security

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

POLIÍTICA DE GERENCIAMENTO DO SISTEMA DE CONTROLES INTERNOS

Grupo de Trabalho BIS: Mecanismos para Análise de Big Data em Segurança da Informação

Rabobank Segurança Cibernética

Grupo Técnico de Cibersegurança 2 Pesquisa ANBIMA de Cibersegurança 2018

Tratamento de Incidentes

POLÍTICA DE CONFORMIDADE

PBTI. Programa de Integridade. Maio 2018

Política de Compliance

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

Processo de Gestão de Vulnerabilidades de Segurança na Universidade Federal da Bahia

Relatório Anual de Atividades de Auditoria Interna

Governança e Gestão das Aquisições. Encontro com fornecedores dos Correios. Brasília Junho/2016

PROJETO INICIATIVA INTERNET SEGURA. Gilberto Zorello

Segurança e Auditoria de Sistemas

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Sumário. 1. Política de Sustentabilidade da Rede D Or São Luiz Objetivos Abrangência Diretrizes...2

PROGRAMA POR UMA INTERNET MAIS SEGURA. Gilberto Zorello

7 CONGRESSO BRASILEIRO DE GOVERNANÇA CORPORATIVA. Eduarda La Rocque O Papel do Conselho na Gestão de Riscos

Áreas de Conhecimento, Técnicas de Análise de Negócio e Conceitos-Chave

PEÇAS-CHAVE PARA A SEGURANÇA

ITAÚ UNIBANCO HOLDING S.A.

I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis

POLÍTICA DE SUSTENTABILIDADE E RESPONSABILIDADE SOCIOAMBIENTAL

Coordenadoria de Datacenter - CSSI

PLANO DO PROJETO. WebZine Manager. Versão 1.0

CTIR Gov DSIC GSI - PR

1. Introdução PUBLIC - 1

Seminário Nacional NTU Lei Anticorrupção e Programa de Compliance. Lélis Marcos Teixeira

Ferramenta de apoio a Segurança

Elaboração: Everaldo Mota Engenheiro Mecânico/Pós-Graduação em Engenharia de Segurança do Trabalho e Gestão Ambiental.

PROCESSO GESTÃO DA MUDANÇA Versão 1.0 GERÊNCIA CORPORATIVA DE TECNOLOGIA DA INFORMAÇÃO

OBJETIVO PÚBLICO-ALVO PROGRAMA

Política de Compliance

Política de Segurança da Informação e Comunicações. PoSIC/CNEN

DEVELOP DESENVOLVA sua equipe com o programa de capacitação de parceiros Alliances.

Segurança da Informação

Sem fronteiras para o conhecimento. MS Project para Gerenciamento de Projetos

PROJETOS. Reduza seus Custos com TI sem perder a qualidade.

DOCUMENTO DE CONSTITUIÇÃO DA ETIR

Segurança de Redes. Gestão de Segurança da Informação. Prof. João Henrique Kleinschmidt

10) Implementação de um Sistema de Gestão Alimentar

Declaração de Segurança

MÓDULO CAPITAL GESTÃO DE RECURSOS LTDA. Política de Controles Internos

RPA além da tecnologia Uma abordagem completa envolvendo governança, processos e pessoas

Portaria da Presidência

POLÍTICA DE GESTÃO, INTEGRIDADE, RISCOS E CONTROLES INTERNOS MGI MINAS GERAIS PARTICIPAÇÕES S.A.

Riscos e Controles Internos

Analista de Negócio 3.0

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Gestão da Tecnologia da Informação

1 Planejamento estratégico organizacional, 1

REGRAS, PROCEDIMENTOS E CONTROLES INTERNOS

A TD MATIAS surgiu para garantir seu sono, empreendedor.

I Workshop de Tecnologias de Redes do PoP-RR. Análise Forense Digital. Ronnei Rodrigues PoP-RR

AUDITORIA DE CONFORMIDADE

BM&FBOVESPA. Política de Controles Internos. Diretoria de Controles Internos, Compliance e Risco Corporativo. Última Revisão: março de 2013.

Transcrição:

Porque precisamos de times de resposta a incidentes Yuri Alexandro CAIS/RNP

Yuri Alexandro Não é AleSSandro, nem AleCHandro Analista de Segurança na RNP desde 2014 Analista de Sistemas desde 2007 Especialista em Segurança da Informação desde 2010 Certificado Modulo Security Officer desde 2011 Soteropolitano da Bahia desde sempre Flamenguista desde vidas passadas

o que eu ganho com isso?

MOTIVO 1

Panorama no Brasil * Período: Out/2016 a Out/2017

No RJ INCIDENTES 2% VULNERABILIDADES 98% * Período: Jan/2017 a Out/2017 Notificações: 193.226 * Incidentes Vulnerabilidades 3.692 189.534

No RJ 83% 17% 66% 34% Notificações de incidentes respondidas Notificações de incidentes sem resposta Notificações de vulnerabilidades respondidas Notificações de vulnerabilidades sem resposta * Período: Jan/17 a Out/2017

VULNERABILIDADE = 8

INCIDENTE = 9

Instituições que possuem Equipes de resposta a Incidentes 0.31% 99.69% * Período: Jan/2017 a Out/2017 Notificações incidentes/vulnerabilidades respondidas Notificações sem resposta

MOTIVO 2

já temos uma equipe que trabalha com segurança!

Um Computer Security Incident Response Team (CSIRT) ou um Equipe de Tratamento de Incidentes de Rede (ETIR), é uma equipe que responde a incidentes de segurança, provendo suporte para resolvê-los ou auxiliar na prevenção. 14

das notificações são relativas ao Poodle (SSL v3)... seguidas de notificações relativas a ataques de negação de serviço (DoS, DDoS, DRDoS)...hosts fazendo parte de botnets

MOTIVO 3

Imposição normativa INSTRUÇÃO NORMATIVA GSI/PR Nº 1:2008 Norma Complementar 05/IN01/DSIC/GSIPR Norma Complementar 08/IN01/DSIC/GSIPR Disciplina a criação da Equipe de tratamento e Respostas a Incidentes e Redes Computacionais ETIR nos órgãos e entidades da Administração Pública Federal. Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes computacionais nos órgãos e entidades da Administração Pública Federal. 18

Auditorias do TCU Relatório do TCU de Perfil de Governança de TIC Ciclo de 2014 * Organização executa processo de gestão de incidentes de segurança da informação. Processo de gestão de incidentes de segurança da informação formalmente instituído, como norma de cumprimento obrigatório. Organização possui equipe de tratamento e resposta a incidentes de segurança em redes computacionais, formalmente instituída. Organização realiza, de forma periódica, ações de conscientização, educação e treinamento em segurança da informação para seus colaboradores. * Ciclo de 2016 em curso Não adota Adota parcial/integral 54% 46% 79% 21% 60% 40% 63% 37%

MOTIVO 4

Nós somos legais!

Sistema de Gestão de Incidentes de Segurança (SGIS) Combate a Atividade Maliciosa Ações em Conscientização em Segurança Apoio na Elaboração de Políticas de Segurança Apoio na criação de Equipes de Resposta a Incidentes

MOTIVAÇÃO Cenário desfavorável Fortalecimento da segurança PROJETO Rede acadêmica Foco no tratamento dos incidentes Maré crescente de incidentes e vulnerabilidades críticas nos últimos anos. Necessidade de aumentar a capacidade de segurança da informação na rede acadêmica. ETIR nos clientes da RNP Atendimento a normas e disposições legais brasileiras, sobretudo para as organizações que fazem parte da APF. Equipe de segurança corporativa Equipe de resposta a incidentes

Planejamento Desenvolvimento Operação Implantação

PLANEJAMENTO Infraestrutura Matriz SWOT Mapeamento da Infraestrutura física, hardware, software, equipe, entre outros. Mapeamento das partes interessadas a nível estratégico da organização. 25

DESENVOLVIMENTO Modelo Organizacional Missão Autonomia Clientes Serviços Visão Estrutura Organizacional

IMPLANTAÇÃO /security REDE EXTERNA REDE DE DADOS INTERNA DO CSIRT DMZ EXTERNA REDE LOCAL SERVIÇOS PÚBLICOS DO CSIRT REDE DE TESTES FIREWALL SERVIDORES INTERNOS TESTE DE SOLUÇÕES E NOVOS SERVIÇOS SERVIÇOS INTERNOS DO CSIRT

SERVIÇOS DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? REATIVOS: Gerenciamento de incidentes de segurança - Inclui Tratamento de Incidentes de segurança Análise forense de ambientes comprometidos Serviços podem ser reativos, proativos ou de qualidade. Análise de artefatos

SERVIÇOS PROATIVOS: DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? Serviços podem ser reativos, proativos ou de qualidade. Gerenciamento de vulnerabilidades - OpenVAS, Nmap, Lynis, MBSA, w3af. Monitoramento da rede - IDS: Snort, Suricata, OSSEC; - Honeypot: Honeyd, Nephentes; - Flows: NTOP, Wireshark; - SIEM: Splunk, OSSIM;

SERVIÇOS DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? Serviços podem ser reativos, proativos ou de qualidade. QUALIDADE: Gestão de riscos de segurança da informação Gestão de conformidade (compliance) - MSCM (Microsoft Security Compliance Manager); - OpenSCAP (sistemas Linux); Disseminação da cultura em segurança da informação;

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Descrever os meios de notificação de incidente Canais de comunicação; Formas proativas de detecção de atividades maliciosas; Elementos principais de uma notificação de incidente Descrição do incidente Sistemas ou serviços afetados Informações de origem / destino Horário (atualizado e com GMT)

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Definir como os incidentes serão registrados; Sistema de registro tickets ou outros Atribuir um identificador único; Confirmação de que a notificação foi recebida; Informação de que o incidente foi encaminhado para tratamento

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Determinar se a notificação é um incidente de segurança Se autor da notificação é válido; Se a descrição do incidente é válida; Se o incidente contém todas as informações necessárias; O que fazer com a notificação Descartar notificação; Reencaminhado a outra organização; Seguir o fluxo do tratamento;

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Definir tipos de incidentes (taxonomia) Tabela de tipos e subtipos de incidentes; Definir impacto Consideração sobre impacto a nível técnico e a nível de negócios; Definir status Aberto / Fechado / Status intermediários;

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Escalar responsável pelo tratamento do incidente; Executar contenção/mitigação/restauração do ambiente

GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Ações realizadas ao se encerrar o tratamento do incidente notificado; Resposta ao incidente notificado: Informações de fechamento Contato com autor da notificação

Pacote de Documentos

PROCESSO DE ESTABELECIMENTO DA ETIR

Apoio no Estabelecimento de ETIR COMO FUNCIONA

CONCLUSÃO - Novas ETIRs sempre começam pelo básico: responder incidentes. - Não é preciso realizar grandes investimentos financeiros para começar. - Instituição pode começar com um custo de investimento zero. - Existe uma comunidade de grupos de segurança na rede acadêmica disposta a ajudar.

CONCLUSÃO O CAIS já está trabalhando com várias instituições em outros estados a criarem suas equipes locais de resposta a incidentes. - Envio dos documentos de apoio; - Criação de grupos de trabalho regionais; - Novos chamados através do Service Desk da RNP (sd@rnp.br); CAIS e PoP-RJ em breve convocarão uma reunião com as instituições interessadas no estabelecimento de CSIRT.

Canais de Contato sd@rnp.br 0800 722 0216 1916*800 cais@cais.rnp.br (61) 9 9960 5971

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback