Segurança de Informações e Comunicação: Uma visão acadêmica



Documentos relacionados
DIBSet: Um Detector de Intrusão por Anomalias Baseado em Séries Temporais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

Aula 03 Malware (Parte 01) Visão Geral. Prof. Paulo A. Neukamp

Ferramenta para Gerência de Segurança Usando Análise de Tráfego em Backbones IP

CENTRO DE DEFESA CIBERNÉTICA

Projeto de Monitoração e Melhoria Contínua com Six-Sigma, IoT e Big Data

ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 3 TRIMESTRE/2012

DESEMPENHO DE REDES. Fundamentos de desempenho e otimização de redes. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com>

Gerenciamento de Riscos em Segurança da informação.

Programas Maliciosos / 1 Segurança de Redes/Márcio d Ávila 182. Vírus de Computador

ASSUNTOS A SEREM TRATADOS: Primeira Oficina de Especialistas en Gerência de Incidentes de Segurança Informática

Segurança na Rede Local Redes de Computadores

Segurança na Rede UFBA

Política de privacidade do Norton Community Watch

para Mac Guia de Inicialização Rápida

3º Fórum Brasileiro de CSIRTS

Conceitos de Segurança Física e Segurança Lógica. Segurança Computacional Redes de Computadores. Professor: Airton Ribeiro Fevereiro de

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida

BANCO CENTRAL DO BRASIL 2009/2010

O papel do CTI Renato Archer em Segurança Cibernética

Sistemas de Detecção de Intrusão

Objetivos deste capítulo

Normas de Segurança da Informação Processo de Certificação ISO 27001:2006. Ramon Gomes Brandão Janeiro de 2009

O processo de tratamento de incidentes de segurança da UFRGS

Tópicos Especiais em Redes de Telecomunicações

Expandindo a proteção do seu datacenter

Smart Grid Advantage

Segurança Física e Segurança Lógica. Aécio Costa

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

PROGRAMA DE GERENCIAMENTO DE SEGURANÇA

Tratamento de Incidentes de Segurança em Redes de Computadores. GRA - Grupo de Resposta a Ataques

Análise SWOT. Filipe Vana Leonardo Monteiro Marcus Voloch

Plano de Segurança da Informação

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO Lead Auditor

EN-3611 Segurança de Redes Sistemas de Detecção de Intrusão e Honeypots Prof. João Henrique Kleinschmidt

Segurança e privacidade na era da mobilidade: riscos e desafios. Aldo Albuquerque aldo@tempest.com.br

Gerenciamento de Incidentes: o Papel do CSIRT no Aumento da Segurança das Corporações

BIG DATA INTRODUÇÃO. Humberto Sandmann

3 SCS: Sistema de Componentes de Software

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

CENTRO UNIVERSITÁRIO ESTÁCIO RADIAL DE SÃO PAULO SÍNTESE DO PROJETO PEDAGÓGICO DE CURSO 1

SIEM - Smart Correlation

Descubra como gerir de forma inteligente a sua estratégia de segurança, garan6ndo proa6vidade na defesa contra ameaças digitais.

Gerência de Segurança

XIII Encontro de Iniciação Científica IX Mostra de Pós-graduação 06 a 11 de outubro de 2008 BIODIVERSIDADE TECNOLOGIA DESENVOLVIMENTO

Aula 01 Introdução ao Gerenciamento de Redes

DAS Inteligência Artificial Aplicada à Controle de Processos e Automação Industrial

Panorama de de Segurança da da Informação no no PoP-BA/RNP

Administração Central Unidade de Ensino Médio e Técnico - CETEC. Ensino Técnico

Tecnologias WEB Web 2.0

O Cert-RS e a segurança na rede acadêmica. Marcos Straub Leandro Bertholdo

Gerenciamento de Níveis de Serviço

Um IDS utilizando SNMP e Lógica Difusa

Controle e Monitoramento Inteligente dos processos e regras de negócios utilizando a Plataforma Zabbix

Projeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência

3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio

)HUUDPHQWDV &RPSXWDFLRQDLV SDUD 6LPXODomR

Algoritmos e Linguagem de Programação I

Administração de Sistemas de Informação I

Automação de Bancada Pneumática

Cartilha de Segurança para Internet

FAE São José dos Pinhais

Sistemas de Detecção de Intrusão SDI

CAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO

Tratamento de incidentes de segurança na Rede Acadêmica Brasileira

Você consegue dirigir seu carro sem um painel de controle? Você consegue gerenciar um Service Desk sem Indicadores?

Código de prática para a gestão da segurança da informação

IW10. Rev.: 02. Especificações Técnicas

Uma Ontologia para Gestão de Segurança da Informação

PARA MAC. Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

DOCUMENTO DE CONSTITUIÇÃO DA ETIR

Segurança de Redes. em Ambientes Cooperativos. Emilio Tissato Nakamura Paulo Lício de Geus. Novatec

Software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Tópicos. Atualizações e segurança do sistema. Manutenção Preventiva e Corretiva de Software (utilizando o MS Windows XP)

Protegendo o seu negócio com servidores DNS que se protegem

Capítulo 9. Gerenciamento de rede

Arquitetura dos Sistemas de Informação Distribuídos

Transcrição:

Segurança de Informações e Comunicação: Uma visão acadêmica Instituto Tecnológico de Aeronáutica Laboratório de Segurança Inteligente de Informações (LABIN) Paulo André L. Castro Prof. Dr. pauloac@ita.br

Motivação A complexidade crescente dos sistemas e a rápida produção de grandes volumes de eventos impede a análise manual de incidentes de segurança. Torna-se necessário o uso de ferramentas inteligentes para a análise de segurança. Fundamental um comportamento pró-ativo em relação a segurança cibernética. O comportamento reativo pode ser tardio.

Objetivo do Labin Desenvolver atividades de projetos de pesquisas de uso de tecnologias de fusão e análise de dados voltados para a segurança da informação. Fusão e análise de dados é o processo de integração de múltiplos dados e conhecimento de objetos do mundo real em uma representação consistente, precisa e útil.

Linhas de Pesquisas Modelos para adaptação e integração de dados usando Ontologias. Modelos de impactos baseados em redes bayesianas. Modelos de simulação cibernética para apoio a sistemas de C2. Modelos de aprendizagem para identificação de padrões de ataques através de técnicas de Machine Learning

Projetos em Andamento Modelos para análise de impactos à missão (Maj. Av. Barreto, Prof Parente.) Modelos de Simulação para Consciência Situacional Cibernética (CSC) (Maj. Ex. André, Prof. Parente) Modelos de Análise de Intrusão de Ameaças Persistentes Avançadas (Parth Bath, Prof. Edgar Yano) Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) (Bruno Santos, Prof. Paulo André)

Modelos de Análise de Impactos à Missão Projeto diretamente ligado a necessidade da Força Aérea e busca responder a questões como: Recursos cibernéticos são adequados para atender a missão? Como atuar para ter maior garantias dos recursos cibernéticos? Como

Modelos de Simulação para CSC Consciência Situacional Cibernética (CSC) envolve Percepção, Entendimento e Projeção em contextos cibernéticos Modelos de Simulação para CSC buscam responder questões como: Quais os recursos cibernéticos chaves? Quais o papel desses recursos na situação cibernética e quais os mais vulneráveis? Quais serão os efeitos de um ataque? Quais são as melhores opções para a proteção da missão?

Simulação para CSC Modelo de Operações Modelo de Integração Modelo de Infraestrutura

Modelos de Análise de Intrusão de Ameaças Persistentes Avançadas Ataques direcionados (Targeted attacks) [3]: O ataque é contínuo ao alvo selecionado. O atacante não desiste para procurar alvos mais fáceis. Ameaça persistente avançado (Advanced Persistent Threat or APT) [4]: Ameaça pode persistir meses (ou anos) sem detecção. Uso de vulnerabilidades Zero-Day. Colaboração voluntária ou não de um agente interno. Objetivo de manter a(s) conquista(s) dentro do ambiente alvo por longo período Mecanismos de segurança corrente não são efetivos.

Intrusion Kill Chain Sequencia de atividades que um atacante inevitavelmente realiza para conseguir uma intrusão [4] Uma detecção da intrusão pode ocorrer apenas nas fases mais avançadas da cadeia, porém é possível realizar a reconstrução de uma cadeia de intrusão sob certas condições[8].

Intrusion Kill Chain [8] Seleção de alvos. Coleta de vulnerabilidades potenciais. Inclusão de código malicioso junto a arquivos tipo pdfs, docs, ppts and etc. Entrega do arquivo armado para o alvo. Uso de uma vulnerabilidade do alvo para ativar a exploração. Instalação de agente com controle remoto. Estabelecer um canal de C2 com servidor externo. Ações de roubo, adulteração, de destruição, etc. 11

Intrusion kill Chain Intrusion Kill Chain Reconstruction Reconstrução pode filtrar falsos positivos [8] Reconstrução permite um entendimento de como o ataque aconteceu e qual é o alvo. 12

Framework HIDS Log Management Intrusion Reconstruction Detection NIDS Flume Hadoop Cluster Server Hive/ Intrusion Reconstruction Kill Chain Patterns Mail Other Logging Services Log Management Module Control Module Malware Samples Logs from tools about malware sample for intrusion Synthesis Malware Analysis Module System Administrator

Alguns Experimentos e Resultados [9] Ambiente usados nos Experimentos

Reconstrução da Instrusão No primeiro caso de reconstrução da Intrusão usando nosso framework, foram obtidos os seguintes resultados O número total de registros de armazenados e manipulados através do Hadoop foram 69,969,233 em um cluster com cinco máquinas Hadoop O processo de reconstrução foi concluido em 7 minutos e 38 segundos Tempo de análise e reconstrução poderia ser reduzido com maior poder de processamento, porém tende a crescer com a complexidade das análises

Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) Reconhecer novos padrões de ataques (Zero-Day) através da análise de dados de eventos oriundos de vários sensores distintos Uso de técnicas de Machine Learning para identificar possíveis ataques, mesmo que nas fases avançadas do Kill Chain (Installation, C2, Actions) Atividade complexa, demandante de significativo poder computacional e com tendência a gerar falsos positivos Reconstrução da Intrusão como mecanismo para minimizar a ocorrência de falsos positivos

Reconhecimento de padrões de ataques em grande volume de dados(big data) sobre eventos (logs) Para utilizar técnicas de Machine learning, é preciso ter bases de dados para serem utilizadas no treinamento dos algoritmos Nossa idéa é promover competições acadêmicas entre os alunos do ITA em um ambiente de teste controlado e isolado para obter esses dados de treinamento

Instituto Tecnológico de Aeronáutica Laboratório de Segurança Inteligente de Informações (LABIN) Obrigado! Paulo André L. Castro Prof. Dr. pauloac@ita.br

Referências Bibliográficas 1. Endsley, M. R. Designing and Evaluation for Situation Awareness Enhancement. In Proceedings of The Human Factors Society 32 st Annual Meeting. 1988. 2. Gregoire, M. Bedoin, L. Visualization for Network Situational Awareness in Computer Network Defence, NATO OTAN RTO-MP-IST-043, paper 20, 2005. 3. Sood A.K., Enbody R.J. (2013) Targeted cyber attacks: A Superset of advanced persistent threats Security & Privacy, IEEE Volume 11, Issue 1,pages 54 61, Jan.-Feb. 2013 4. Hutchins Eric M., Cloppert Michael J., Amin Rohan M,(2011) Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains ICIW2011 5. White, T., Hadoop: The Definitive Guide, Third Edition, 2012 O Reilly 6. Capriolo E., Wampler D., Rutherglen J., Programming Hive, 2012,First Edition, O Reilly 7. Therdphapiyanak J., Piromsopa K., Applying Hadoop for log analysis toward distributed IDS ACM ICUIMC 2013, Article No. 3 8. Bhatt, P. Yano, E. A Hadoop based Framework to support Cybersecurity Situatiional Awareness. Proceeding of SIGE 2013.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback