Porque precisamos de times de resposta a incidentes Yuri Alexandro CAIS/RNP
Yuri Alexandro Não é AleSSandro, nem AleCHandro Analista de Segurança na RNP desde 2014 Analista de Sistemas desde 2007 Especialista em Segurança da Informação desde 2010 Certificado Modulo Security Officer desde 2011 Soteropolitano da Bahia desde sempre Flamenguista desde vidas passadas
o que eu ganho com isso?
MOTIVO 1
Panorama no Brasil * Período: Out/2016 a Out/2017
No RJ INCIDENTES 2% VULNERABILIDADES 98% * Período: Jan/2017 a Out/2017 Notificações: 193.226 * Incidentes Vulnerabilidades 3.692 189.534
No RJ 83% 17% 66% 34% Notificações de incidentes respondidas Notificações de incidentes sem resposta Notificações de vulnerabilidades respondidas Notificações de vulnerabilidades sem resposta * Período: Jan/17 a Out/2017
VULNERABILIDADE = 8
INCIDENTE = 9
Instituições que possuem Equipes de resposta a Incidentes 0.31% 99.69% * Período: Jan/2017 a Out/2017 Notificações incidentes/vulnerabilidades respondidas Notificações sem resposta
MOTIVO 2
já temos uma equipe que trabalha com segurança!
Um Computer Security Incident Response Team (CSIRT) ou um Equipe de Tratamento de Incidentes de Rede (ETIR), é uma equipe que responde a incidentes de segurança, provendo suporte para resolvê-los ou auxiliar na prevenção. 14
das notificações são relativas ao Poodle (SSL v3)... seguidas de notificações relativas a ataques de negação de serviço (DoS, DDoS, DRDoS)...hosts fazendo parte de botnets
MOTIVO 3
Imposição normativa INSTRUÇÃO NORMATIVA GSI/PR Nº 1:2008 Norma Complementar 05/IN01/DSIC/GSIPR Norma Complementar 08/IN01/DSIC/GSIPR Disciplina a criação da Equipe de tratamento e Respostas a Incidentes e Redes Computacionais ETIR nos órgãos e entidades da Administração Pública Federal. Estabelece as Diretrizes para Gerenciamento de Incidentes em Redes computacionais nos órgãos e entidades da Administração Pública Federal. 18
Auditorias do TCU Relatório do TCU de Perfil de Governança de TIC Ciclo de 2014 * Organização executa processo de gestão de incidentes de segurança da informação. Processo de gestão de incidentes de segurança da informação formalmente instituído, como norma de cumprimento obrigatório. Organização possui equipe de tratamento e resposta a incidentes de segurança em redes computacionais, formalmente instituída. Organização realiza, de forma periódica, ações de conscientização, educação e treinamento em segurança da informação para seus colaboradores. * Ciclo de 2016 em curso Não adota Adota parcial/integral 54% 46% 79% 21% 60% 40% 63% 37%
MOTIVO 4
Nós somos legais!
Sistema de Gestão de Incidentes de Segurança (SGIS) Combate a Atividade Maliciosa Ações em Conscientização em Segurança Apoio na Elaboração de Políticas de Segurança Apoio na criação de Equipes de Resposta a Incidentes
MOTIVAÇÃO Cenário desfavorável Fortalecimento da segurança PROJETO Rede acadêmica Foco no tratamento dos incidentes Maré crescente de incidentes e vulnerabilidades críticas nos últimos anos. Necessidade de aumentar a capacidade de segurança da informação na rede acadêmica. ETIR nos clientes da RNP Atendimento a normas e disposições legais brasileiras, sobretudo para as organizações que fazem parte da APF. Equipe de segurança corporativa Equipe de resposta a incidentes
Planejamento Desenvolvimento Operação Implantação
PLANEJAMENTO Infraestrutura Matriz SWOT Mapeamento da Infraestrutura física, hardware, software, equipe, entre outros. Mapeamento das partes interessadas a nível estratégico da organização. 25
DESENVOLVIMENTO Modelo Organizacional Missão Autonomia Clientes Serviços Visão Estrutura Organizacional
IMPLANTAÇÃO /security REDE EXTERNA REDE DE DADOS INTERNA DO CSIRT DMZ EXTERNA REDE LOCAL SERVIÇOS PÚBLICOS DO CSIRT REDE DE TESTES FIREWALL SERVIDORES INTERNOS TESTE DE SOLUÇÕES E NOVOS SERVIÇOS SERVIÇOS INTERNOS DO CSIRT
SERVIÇOS DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? REATIVOS: Gerenciamento de incidentes de segurança - Inclui Tratamento de Incidentes de segurança Análise forense de ambientes comprometidos Serviços podem ser reativos, proativos ou de qualidade. Análise de artefatos
SERVIÇOS PROATIVOS: DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? Serviços podem ser reativos, proativos ou de qualidade. Gerenciamento de vulnerabilidades - OpenVAS, Nmap, Lynis, MBSA, w3af. Monitoramento da rede - IDS: Snort, Suricata, OSSEC; - Honeypot: Honeyd, Nephentes; - Flows: NTOP, Wireshark; - SIEM: Splunk, OSSIM;
SERVIÇOS DEFINIÇÃO DE SERVIÇOS Definir um conjunto de atividades que serão providos para os clientes: Como o CSIRT vai atender a organização? Serviços podem ser reativos, proativos ou de qualidade. QUALIDADE: Gestão de riscos de segurança da informação Gestão de conformidade (compliance) - MSCM (Microsoft Security Compliance Manager); - OpenSCAP (sistemas Linux); Disseminação da cultura em segurança da informação;
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Descrever os meios de notificação de incidente Canais de comunicação; Formas proativas de detecção de atividades maliciosas; Elementos principais de uma notificação de incidente Descrição do incidente Sistemas ou serviços afetados Informações de origem / destino Horário (atualizado e com GMT)
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Definir como os incidentes serão registrados; Sistema de registro tickets ou outros Atribuir um identificador único; Confirmação de que a notificação foi recebida; Informação de que o incidente foi encaminhado para tratamento
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Determinar se a notificação é um incidente de segurança Se autor da notificação é válido; Se a descrição do incidente é válida; Se o incidente contém todas as informações necessárias; O que fazer com a notificação Descartar notificação; Reencaminhado a outra organização; Seguir o fluxo do tratamento;
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Definir tipos de incidentes (taxonomia) Tabela de tipos e subtipos de incidentes; Definir impacto Consideração sobre impacto a nível técnico e a nível de negócios; Definir status Aberto / Fechado / Status intermediários;
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Escalar responsável pelo tratamento do incidente; Executar contenção/mitigação/restauração do ambiente
GESTÃO DE INCIDENTES DOCUMENTAR PLANOS E PROCEDIMENTOS PLANO DE GESTÃO DE INCIDENTES Ações realizadas ao se encerrar o tratamento do incidente notificado; Resposta ao incidente notificado: Informações de fechamento Contato com autor da notificação
Pacote de Documentos
PROCESSO DE ESTABELECIMENTO DA ETIR
Apoio no Estabelecimento de ETIR COMO FUNCIONA
CONCLUSÃO - Novas ETIRs sempre começam pelo básico: responder incidentes. - Não é preciso realizar grandes investimentos financeiros para começar. - Instituição pode começar com um custo de investimento zero. - Existe uma comunidade de grupos de segurança na rede acadêmica disposta a ajudar.
CONCLUSÃO O CAIS já está trabalhando com várias instituições em outros estados a criarem suas equipes locais de resposta a incidentes. - Envio dos documentos de apoio; - Criação de grupos de trabalho regionais; - Novos chamados através do Service Desk da RNP (sd@rnp.br); CAIS e PoP-RJ em breve convocarão uma reunião com as instituições interessadas no estabelecimento de CSIRT.
Canais de Contato sd@rnp.br 0800 722 0216 1916*800 cais@cais.rnp.br (61) 9 9960 5971