Tratamento de Incidentes de Segurança em Redes de Computadores GRA - Grupo de Resposta a Ataques Palestrante: Indiana Belianka Kosloski de Medeiros 30/09/2004
ASPECTOS GERENCIAIS ESTRUTURA DE SEGURANÇA SERPRO Unidades de Relacionamento com Clientes - NEGÓCIO DIRETORIA Alinhamento Estratégico Unidades de Produtos e Serviços INFRA CSO Comitê de Segurança Comunicação Empresarial Universidade Corporativa BISOs GRA CESE Grupo de Contingência
MISSÃO ESTRATÉGICA DO G.R.A Prover a proteção e a defesa dos sitios de governo sob gestão do SERPRO, visando o tratamento de incidentes de segurança causados por tentativas de ataques e acessos indevidos aos sistemas, aplicações e serviços de rede. Foco em Pessoas, processos e padrões Alcançar a meta de nenhuma invasão realizada com sucesso em sites sob gestão do SERPRO. EVOLUÇÃO DAS ATIVIDADES Origem do G.R.A: Ambiente Internet (1999) Prioridade no processo de monitoração (reativo) Aprendizado na análise da invasão (reativo) Evolução para o processo de análise de vulnerabilidades (proativo) Expansão para o ambiente Intranet (2001) Foco na análise de vulnerabilidades Ambiente Intranet coorporativo (2001); Ambiente Intranet específicos de clientes (2002); Foco no tratamento de incidentes na Intranet ( SERPRO e clientes) Ambiente Intranet coorporativo (2002); Foco em IDC (2003/2004) Monitoração de Tentativas de invasão em ambiente Intranet (2003) Monitoração Gigabit de tronco IDC (2004) Banco de Logs, Analise de correlação, Estudo de código (2004)
AÇÕES E PRIORIDADES DO G.R.A 1º Coordenar tratamento de Incidentes 2º Gerenciar segurança(pró-ativa) 3º Têndencias de Ataques 4º Avaliar Vulnerabilidades 5º Propor e Recomendar ações de Segurança 6º Consultoria 7º Novas Técnologias e Serviços 8º Interação Externa 9º Assistir demais áreas (Cultura e capacitação) 10º Apoiar Processo de Educação (comunidade) PROCESSOS Monitoração e tratamento especializado de incidentes de segurança. Coordenação do tratamento de incidentes; Gerenciamento e monitoração 24 X 7 da segurança dos sistemas Internet Avaliação de tendências de ataques; Aplicação de mecanismos de avaliação de vulnerabilidade. O G.R.A realiza testes de segurança para sistemas e serviços disponíveis em rede, de forma a detectar riscos e falhas de segurança. Propor e recomendar ações para corrigir a vulnerabilidade detectada.
SUBPRODUTOS DE PROCESSOS Banco de conhecimentos (arquivamento de todos os casos desde 1999) Banco de armazenamento de eventos (histórico de coletas e logs); Indicadores mensais por Data center e por rede isolada(zdm) Parecer de segurança das análises de vulnerabilidades efetivadas; Parecer de análise forense para sistemas invadidos; Consultoria Projeto de segurança Capacitação técnica e participação de fóruns internos PADRONIZAÇÃO (METODOLOGIA) Documentação e scripts Formulários de descrição de subprocessos Avaliação de Vulnerabilidades, de segurança G.R.A. Formulários de formatação de resultados ( anexos a metodologia) Script de atendimento pela CAS (central de atendimento de serviços do SERPRO) TODA ENTRADA OU SAIDA DE DADOS DO G.R.A É PADRONIZADA Metodologias de apoio ao processo TAP-A ( Técnicas Avançadas de procedimentos de Auto Defesa ) TAP-B ( Técnicas Avançadas de procedimentos Básicos Equipamentos) TAP-C ( Técnicas Avançadas de procedimentos Comportamentais )
ASPECTOS TECNICOS O INCIDENTE Internet Exploração Remota Quem está seguro? 65+% vulneráveis Exploração via RAS Exploração Interna 75% vulneráveis; 95+% vulneráveis com duas explorações 100% vulneráveis Fonte: Cisco Secure Consulting Engagements, 1996-1999
E os problemas aumentam... Code Red 60000 Internet Security Violations 50000 40000 30000 20000 10000 Tequila Jerusalem Michelangelo Good Times Anna Kournikova Melissa & ILOVEYOU Badtrans Nimda Fonte: CERT Coordination Center Carnegie Mellon 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 Páginas Hackeadas CIA HOMEPAGE DOJ HOMEPAGE USAF HOMEPAGE 11/29/96
Programas maliciosos Cavalos de Tróia Programas maliciosos Cavalos de Tróia
Programas maliciosos Cavalos de Tróia Programas maliciosos Cavalos de Tróia
Programas maliciosos Internet Worm Alta capacidade de propagação Aproveita vulnerabilidades (falhas de implementação) de vários softwares Ex.: Code Red, Lion e Slapper ASPECTOS TECNICOS O TRATAMENTO
Elementos de Segurança em Redes Segurança em Perímetros Monitoração & Detecção de Intrusão Privacidade dos dados & Criptografia Autenticação & Identidade Digital Gerência de Conteúdo & Anti-virus Diretórios & Gerência de Senhas Gerência de Banda Passante Políticas de Segurança Policy e-commerce seguro: Segurança em Perímetros $ Certificate Server Hacker Authority Farm Message IDS Corporate Network Internet Manufacturing Firewall Router Service Provider Scanner Policy Server Policy Manager Message Supplier Retail Customer
e-commerce seguro: Monitoração Server Farm Hacker Certificate Authority Message IDS Corporate Network Internet Manufacturing Alert! Firewall Router Service Provider Policy Server Policy Manager Scanner Vulnerability Report Message Supplier Retail Customer Detecção de Intrusos Eventos de interesse Conjunto de eventos Eventos observáveis Eventos relativos à segurança
Detecção de Intrusos Eventos de interesse Equilíbrio entre falsas positivas e falsas negativas; Direcionamento do sensor para garantir a detecção de EOI; Efeitos da limitação do IDS e da capacidade de detecção. Detecção de Intrusos Limites da observação Eventos em outras redes; Indisponibilidade do sensor; Falta de suporte ao protocolo sendo usado no ataque; Volume alto de pacotes.
Detecção de Intrusos IDS Distribuídos Submissão de logs a um site centralizado; Análise mais completa tendo em vista o volume de dados; Iniciativa para a identificação do atacante. Detecção de Intrusos Padronização na detecção de ataques Common Vulnerabilities and Exposures (CVE); Desenvolve um sistema de nomeação comum; Serve de enciclopédia para a descrições de vulnerabilidades; http://cve.mitre.org.
Detecção de Intrusos Papel do IDS em uma defesa em Perímetros Auditoria de Segurança; Violações da Política de Segurança; Detecção de ataques internos e externos; Complementa outros elementos de segurança. Necessidades de integração de Grupos de resposta a Ataques Tratamento de incidentes (Brasil X Outros Paises) Intercambio de Conhecimento e Eventos Aderência ao projeto INOC-DBA (resposta rápida) Convênios e Parcerias no Tratamento de Incidentes Analise de código Analise Forense Gestão dos Sistemas de Segurança de Informação Ações Efetivas para o Tratamento de Incidentes Identificação / bloqueio de origem das tentativas de ataques
CONTATOS COM O G.R.A E-MAIL admgra@gra.gov.br CENTRAL DE ATENDIMENTO SERPRO Telefone 0800 78 2323 (abertura de tickets via ferramenta corporativa) INOC DBA Fone IP : 10954*800