Panorama de de Segurança da da Informação no no PoP-BA/RNP Italo Brito 1 <italo@pop-ba.rnp.br> 1 Ponto de Presença da RNP na Bahia Universidade Federal da Bahia V WTR do PoP-BA, Salvador/BA Set/2014 Júlio, Italo Infraestrutura Segura 1 / 19
Sobre o CERT.Bahia Missão CERT.Bahia Auxiliar as instituições conectadas ao POP-BA/RNP e RedeCOMEP (ReMeSSA) na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de Informação e Comunicação (TIC). Constituency Site: Instituições qualificadas na política de uso da RNP na Bahia Instituições parceiras da ReMeSSA http://certbahia.pop-ba.rnp.br/ Júlio, Italo Infraestrutura Segura 2 / 19
Sobre o CERT.Bahia Educação e Treinamento CERT.Bahia Palestras / Treinamento / Documentação Campanhas de Segurança nas instituições Eventos (EnSI, Netcafé, etc) Tratamento de Incidentes Desenv. de Ferramentas (TRAIRA, L2M) Acompanhamento e apoio Alertas de segurança Sensores de monitoramento e alerta de incidentes de segurança Alertas de vulnerabilidades Júlio, Italo Infraestrutura Segura 3 / 19
Legislação contra ciber espionagem Decreto 8.135 de 04/Nov/2013 A comunicação de dados da APF deverá ser realizada por redes e sistemas de TI fornecidos por órgãos ou entidades da APF Exceto serviço móvel pessoal e telefonia fixa Menção explícita à correio eletrônico Programas e equipamentos devem permitir auditoria Armazenamento e recuperação devem ser realizados em datacenters da APF Dispensa de licitação de órgãos e entidades da APF Júlio, Italo Infraestrutura Segura 4 / 19
Legislação contra ciber espionagem Grande repercussão, positiva e negativa, quanto à sua efetividade e viabilidade Fortalecimento de empresas nacionais Viabilidade de aplicação (auditoria de equipamentos e serviços, contratação) Descrédito com a tecnologia Fortalecimento de soluções de código aberto Falsa sensação de segurança com criptografia caseira Júlio, Italo Infraestrutura Segura 5 / 19
Heartbleed Falha grave em uma implementação do SSL/TLS (openssl 1.0.1 até 1.0.1f) Divulgação ampla do problema Webinar, gravação de vídeo, documentação Análise de vulnerabilidade em clientes Acompanhamento de solução Júlio, Italo Infraestrutura Segura 6 / 19
Netcafé Reuniões virtu-presenciais para discutir temas relacionados a infraestrutura, redes, sistemas, com foco em segurança Temas já abordados Política de segurança Gestão de Riscos de TI sob a ótica da NBR 27005 Hardening Linux Segurança em aplicações web Segurança em aplicações mobile Segurança no BGP Júlio, Italo Infraestrutura Segura 7 / 19
Copa do Mundo Grande evento ocorrido no Brasil que dispendeu grandes esforços para manter a segurança do evento Participação na OSC-BA / SESGE Grande planejamento de contingência dos serviços Esquema de monitoramento especial para maior agilidade no tratamento de incidentes Júlio, Italo Infraestrutura Segura 8 / 19
Copa do Mundo Acontecimentos em destaque Ataques de desfiguração de sites (+30) Ataques direcionados (ex: SNMP) No geral não houveram grandes problemas Sensibilização da alta gestão sobre a importância de estar preparados Oportunidade de estabelecimento de parcerias Júlio, Italo Infraestrutura Segura 9 / 19
Ataques de Amplificação/Reflexão Ataques de amplificação: Pequenas requisições e grandes respostas Ataque distribuído + fator de amplificação Ataques de reflexão Utiliza vulnerabilidade bem comum nas organizações: IP spoofing Ataques a serviços baseados em UDP (DNS, NTP, SNMP, etc) Júlio, Italo Infraestrutura Segura 10 / 19
DNS Ataques de Amplificação/Reflexão Consiste em fazer spoofing do IP de origem e consultar RR por respostas grandes Exemplo: dig +dnssec doc.org ANY Consulta: 36 bytes / Resposta: 17889 bytes Fator de amplificação: 17889 / 36 = 496x Caso famoso: Spamhaus (abr/2013) Mais de 300Gbps usando open resolvers RR utilizados: ANY, DNSSEC, TXT e até A/AAAA Afeta Servidores autoritativos Servidores recursivos (open resolvers) Júlio, Italo Infraestrutura Segura 11 / 19
Filtros anti-spoofing Pouca adoção da BCP 38 nos provedores Permite falsificação do endereço de origem Casos de uso: Impedir identificação de ataques Negação de serviço Ataques de amplificação Estatísticas do NIC.br (GTER 36) Júlio, Italo Infraestrutura Segura 12 / 19
Segurança em redes IPv6 Principal falha: ignorar a existência de IPv6 Problemas de segurança já observados: Ataques de RA (Man in the middle) By-pass de controles de segurança pelo uso de túneis Estratégia Trabalho de conscientização dos clientes Apoio na escrita de editais (RIPE 554) Júlio, Italo Infraestrutura Segura 13 / 19
APT Advanced Persistent Threat Ataques complexos contra alvos específicos por longo período de tempo (persistente) Ataques persistentes, evasivos e complexos Fazem uso de engenharia social Exemplos: Stuxnet, FLAME Difícil identificação do ataque Análise apurada de logs Sistema de logs centralizado Uso de ferramentas SIEM Júlio, Italo Infraestrutura Segura 14 / 19
Alertas de vulnerabilidades Além de alertas de incidentes, iniciamos um trabalho de envio de alertas de vulnerabilidades Vulnerabilidades de aplicações web Serviços de rede (DNS, SNMP, NTP) Ataques 0-day (ex: java, heartbleed) Serviço em fase de estruturação, definição de processos e automatização Júlio, Italo Infraestrutura Segura 15 / 19
Escrita de políticas Apoio na escrita de políticas de segurança para clientes PSI Política de senhas Norma de uso da rede Estratégia Reuniões de discussão sobre a problemática Criação de templates Suporte para dúvidas e discussões Júlio, Italo Infraestrutura Segura 16 / 19
Exemplo: política de senhas Escrita de políticas Júlio, Italo Infraestrutura Segura 17 / 19
Ações futuras Escrita de outros templates de política Automatização do processo de hardening de serviços de rede Consolidar as práticas de análise de vulnerabilidade de aplicações web Realizar mais bate-papos com os clientes Detecção de atividade maliciosa no backbone Júlio, Italo Infraestrutura Segura 18 / 19
Perguntas? Obrigado!!! ;-) Júlio, Italo Infraestrutura Segura 19 / 19