Tratamento de Incidentes

Documentos relacionados
Como tornar-se um Sistema Autônomo

Dicas de Segurança sobre Virus

Cenários para Multihoming

Técnico em Radiologia. Prof.: Edson Wanderley

COMANDO DA AERONÁUTICA

ENGENHARIA DE SOFTWARE

Os salários de 15 áreas de TI nas cinco regiões do Brasil

Política de acesso à rede WiFi

Introdução ao roteamento

Política de Privacidade

Impressora Latex série 300. Garantia limitada

Segurança e Preservação de Dados

Parabéns por você ter chegado até aqui isso mostra o seu real interesse em aprender como se ganhar dinheiro na internet logo abaixo te darei algumas

Engenharia de Software II

Política de uso. AR SSL Corporativa. DAGSer Diretoria Adjunta de Gestão de Serviços. Versão 1.0

Ferramenta Nessus e suas funcionalidades

Gestão da Qualidade. Aula 13. Prof. Pablo

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000

Como remover vírus do celular

Processo de Gerenciamento do Catálogo de Serviços de TIC

Copyright Proibida Reprodução. Prof. Éder Clementino dos Santos

Impresso em 26/08/ :39:41 (Sem título)

POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL CREDITÁ S.A. Crédito, Financiamento e Investimento

Segurança e IoT: desafios e expectativas, com base nos incidentes que já estão ocorrendo. Cristine Hoepers, D.Sc. Gerente Geral CERT.br/NIC.

OBJETIVO GERAL DA DISCIPLINA

MENSAGEM DO PRESIDENTE

Ameaça é tudo aquilo que pode comprometer a segurança de um sistema, podendo ser acidental (falha de hardware, erros de programação/usuários,

Manual do usuário Certificado Digital

Programação Orientada a Objetos SANTOS, Rafael

ÁREA DO PROFESSOR (TUTOR)

MEMORANDO DE ENTENDIMENTO DE CLUBE RECURSOS Guia para implementação do Memorando de Entendimento de clube

Gerenciamento do Escopo do Projeto (PMBoK 5ª ed.)

Prof. José Maurício S. Pinheiro - UGB

CURSOS OFERECIDOS PELO ITA

(4) Não efetuamos alterações nem adaptações de qualquer natureza no software visando adaptar ao uso específico dos usuários.

Indíce. Indice ) Identificar a sua persona (Cliente ideal)...erro! Indicador não definido. Exemplo... 4

e Uso Abusivo da Rede

SOFTWARE VIAWEB. Como instalar o Software VIAWEB

Código: MINV-P-003 Versão: 03 Vigência: 03/2011 Última Atualização: 02/2016

Como utilizar a tecnologia a favor da sua central de atendimento

RESOLUÇÃO Nº 22, DE 22 DE AGOSTO DE 2002 (*)

Descrição do Serviço Diagnóstico no Local

SISTEMAS DISTRIBUÍDOS

O que é um banco de dados? Banco de Dados. Banco de dados

Política de Responsabilidade Socioambiental Sulcredi São Miguel

HP IMC NTA Implementation

POLÍTICA DE RESPONSABILIDADE SOCIOAMBIENTAL DO BANCO DA AMAZÔNIA

Política de Responsabilidade Socioambiental

A Mensagem de correio eletrônico

PLANO DA QUALIDADE (MAPEAMENTO DOS ELEMENTOS DO PROCESSO)

Métricas de Software Importância e Aplicação

Análise de Requisitos

ATO NORMATIVO Nº 019/2011. O PROCURADOR-GERAL DE JUSTIÇA DO ESTADO DA BAHIA, no uso das suas atribuições legais, e considerando:

Configuração para Uso do Tablet no GigaChef e Outros Dispositivos

Controlo parental AVISO PARA OS PAIS. Vita antes de permitir que os seus filhos joguem. Defina o controlo parental no sistema PlayStation

IPERON - ABRIL VERDE/ PASSOS PARA UMA LIDERANÇA DE RESULTADOS

1. Na página 13, com relação aos discos SSD para Máquinas Virtuais (VMs): 2 Na página 14, com relação a Backup / Armazenamento:

Uso de Flows no Tratamento de Incidentes da Unicamp

GUIA SOBRE A APLICAÇÃO DOS ASPECTOS LINGUÍSTICOS DA CARTILHA DE ADESÃO À AGENCE UNIVERSITAIRE DE LA FRANCOPHONIE

COMITÊ DE TECNOLOGIA DA. INFORMAÇÃO E COMUNICAÇÃO (CoTIC) Serviço de Correio Eletrônico: Política de Uso. Versão 1.0

PROCEDIMENTO GERENCIAL PARA PG 012/04 GESTÃO DE MATERIAIS E EQUIPAMENTOS Página 2 de 7

ANEXO III. Roteiro para Apresentação de Projetos do Tipo C R$ ,00 a R$ ,00

Gerenciamento dos Riscos do Projeto (PMBoK 5ª ed.)

Adaptação com Base na Comunidade Lista de Controlo do Plano de Implementação do Projecto

REGULAMENTO DO NÚCLEO DE ESTUDOS COMPORTAMENTAIS (NEC) DA COMISSÃO DE VALORES MOBILIÁRIOS

1 Visão Geral. 2 Instalação e Primeira Utilização. Manual de Instalação do Gold Pedido

Cadeira de Tecnologias de Informação. Ano lectivo 2009/2010. Sites dinâmicos. Com Expression Web TI2009/10 EWD_1. Filipa Pires da Silva (2009)

MBA em Gerenciamento de Projetos. Teoria Geral do Planejamento. Professora: Maria Erileuza do Nascimento de Paula

FACULDADE PITÁGORAS DISCIPLINA: GESTÃO DE PROJETOS. Prof. Msc. Carlos José Giudice dos Santos

FACULDADE SOGIPA DE EDUCAÇÃO FÍSICA

Conceitos de Segurança

Buscador não é provedor de conteúdo!!! É índice de conteúdos!!!!

SISTEMA OPERACIONAL - ANDROID

DIVISÃO DE INFORMAÇÃO E SISTEMATIZAÇÃO

Manual Instalação Web Services Client Web.NewHotel

MANUTENÇÃO SISTEMAS INFORMATIZADOS PARA O PLANEJAMENTO E CONTROLE DA MANUTENÇÃO. CCMS- Computer Maintenance Management System

Você tem o controle da Internet na sua empresa? Gerencie melhor os seus usuários Filtro de conteúdo e Anti-Spam

Cinco erros na hora de monitorar seu ambiente de T.I

Para entender o conceito de objetos em programação devemos fazer uma analogia com o mundo real:

NORMA DE ELABORAÇÃO DE INSTRUMENTOS NORMATIVOS - NOR 101

CONTRATO DE LICENÇA DO UTILIZADOR PARA PRODUTOS DE SOFTWARE DA STONERIDGE ELECTRONICS LTD

Auditoria de Meio Ambiente da SAE/DS sobre CCSA

Os passos a seguir servirão de guia para utilização da funcionalidade Acordo Financeiro do TOTVS Gestão Financeira.

Transcrição:

Tratamento de Incidentes

Licença de uso do material Esta apresentação está disponível sob a licença Creative Commons Atribuição Não a Obras Derivadas (by-nd) http://creativecommons.org/licenses/by-nd/3.0/br/legalcode Você pode: Compartilhar copiar, distribuir e transmitir a obra. Fazer uso comercial da obra. Sob as seguintes condições: Atribuição Ao distribuir essa apresentação, você deve deixar claro que ela faz parte do Curso de Formação para Sistemas Autônomos do CEPTRO.br/NIC.br, e que os originais podem ser obtidos em http://ceptro.br. Você deve fazer isso sem sugerir que nós damos algum aval à sua instituição, empresa, site ou curso. Vedada a criação de obras derivadas Você não pode modificar essa apresentação, nem criar apresentações ou outras obras baseadas nela.. Se tiver dúvidas, ou quiser obter permissão para utilizar o material de outra forma, entre em contato pelo e-mail: info@nic.br.

Tratamento de Incidentes Introdução e Terminologia Detecção Triagem Notificação Geração, coleta e análise de log Análise de incidentes Contatos e Whois Resposta e recuperação Ameaças Internas Problemas com e-mail Malware

Terminologia Notificação de Incidente: Notificação de atividade de segurança ou eventos Tratamento de Incidente: Processo de notificar, analisar e responder incidente Intrusão: Ganhar acesso não autorizado; Violar política de segurança Vulnerabilidade: Potencial falha de sistema que pode gerar um incidente

Terminologia Evento: Qualquer atividade dentro da empresa Atividade: Evento suspeito que pode estar relacionado ou não a segurança Incidente: Evento que necessita de análise e ou tratamento Ataque: Tentativa de violação da política de segurança

CSIRT - Computer Security Incident Response Team Time ou pessoa que provê serviços e suporte a um público-alvo definido visando prevenir, tratar e responder a incidentes de segurança de computadores Importante definir o público-alvo e objetivo Não é o suporte técnico da organização Tem o objetivo de: Minimizar e controlar o dano Prover ou ajudar na recuperação Atuar na prevenção de eventos futuros Ser ponto de contato único para notificação de problemas Coordenar os esforços de tratamento

Percepção da Situação Você precisa saber o que está acontecendo ao seu redor É importante correlacionar informações recebidas, às vezes sem relação evidente, com os incidentes que estão acontecendo Esta correlação pode ajudar a tomar melhores decisões

Monitoramento Público Um incidente na sua organização pode estar relacionado com informações públicas recebidas, como um relatório de vulnerabilidades ou um grande evento ocorrendo na cidade ou país Estas informações podem ser fornecidas por outros CSIRTs, fornecedores de software e hardware, sites de segurança e até de mídias não especializadas como jornais e portais

Tratamento de Incidentes Habilidade de prover gerência fim a fim de eventos e incidentes por toda a empresa que afetem os ativos de tecnologia da informação e informações dentro de uma organização

Detecção de problemas Detecção de atividade suspeita que possa comprometer a missão do público-alvo Pode ser feita por detecção reativa: E-mail, telefonema, formulário, outros CSIRTs etc Pode ser feita por detecção pró-ativa: Monitoramento de rede, escaneamento de rede, sistemas antivírus, sistema de detecção de intrusão etc

Detecção de problemas Flows (nfdump e nfsen) Sensores e honeypots (dionaea ou converse com a equipe do CERT.br no próximo GTS) Feeds de dados: Shadowserver, Cymru Habilitar log de consultas no DNS recursivo Pode permitir detecção de spambots e phishing

Triagem Crítico para grupos grandes ou muitas notificações Definição de prioridades Crítica, Alta, Média, Baixa Priorizar informações de outros CSIRTs Definição de categorias Roubo de Informação, Detecção de Vulnerabilidade, Detecção de Malware, Pedido de Informação, Incidentes Gerais, Outros Não crie categorias e prioridades em demasia LEMBRE-SE DO SEU OBJETIVO!!!

Notificação A Internet depende do bom relacionamento entre ASes Quando notificado seja um bom cidadão da Internet, ajude na resolução do problema

Geração de logs Log sem sincronização de relógio (NTP) é inútil Formato de data: RFC3339 ou ISO8601 aaaa-mm-ddthh:mm:ss-fhfh:fmfm 2012-12-19T16:39:57-08:00 T exigido na ISO8601, mas pode ser na RFC3339 Coerência de fuso horário

Coleta de logs Coletar logs é fácil, mas é preciso planejar o armazenamento para que estes possam ser recuperados adequadamente para a análise Os logs devem ser fáceis de usar Definir período e tamanho do armazenamento Se possível automatizar geração de relatórios Na recuperação dos logs: É possível usar scripts? É possível correlacionar logs distintos? É possível gerar alarmes em tempo real?

Análise de Incidentes Lembre-se que um log pode não ter todas as respostas sozinho É importante conseguir correlacionar logs, emails, notificações recebidas e até notícias Pode ser que você não tenha todas as informações e tenha que interagir com outros CERTs ou empresas para fazer a análise

Divulgando seus dados: Contatos e Whois Informações do AS: abuse-c apontando para o CSIRT Informações por blocos IP: abuse-c ou tech-c Informações de domínio: os domínios sobre responsabilidade da sua organização devem conter os dados do CSIRT Você pode ser contatado quando um domínio dentro do seu AS ou bloco IP estiver comprometido RFC2142: Mailbox Names for Common Services, Roles and Functions Seus contatos devem estar atualizados E-mails para estes contatos não devem ser filtrados com antispam. Devem ter política diferenciada.

Contatos e Whois Contatar a respeito de domínios maliciosos, não use as informações do domínio, mas sim do AS ou do bloco IP Se descobriu um problema, notifique o terceiro para ajudar na resolução do problema Se precisar de ajuda, contate o CERT.br Qualquer AS pode solicitar um VOIP INOC para contato com outros Ases

Resposta a Incidentes Analise a situação: Informações recebidas, logs, análise forense, impacto ao negócio, risco ao negócio Planeje: Defina o que fazer e quem deve ser contatado Coordene: Interaja internamente e com outras equipes para resolver ou mitigar o incidente Finalize: Informe aos envolvidos atualizações no incidente e o resultado final Documente o ocorrido, isto pode ser útil em incidentes futuros

Ameaças Internas Ex-empregados e empregados atuais, parceiros e terceiros que tem ou tiveram acesso aos seus sistemas Eles podem ser responsáveis por fraudes, roubo de informações ou mesmo sabotagem de sistemas Controle e monitoramento são as melhores formas de se proteger

Problemas com e-mail Spoofing: Parece vir de uma fonte legítima, mas é na verdade uma falsificação Spamming: Envio massivo de emails não solicitados, pode ser de propaganda ou de tentativas de fraude Phishing: Tentativa de roubo de dados pessoais e financeiros combinando meios técnicos e engenharia social

Malware Software que executa em um sistema sem autorização com objetivo malicioso Pode buscar obter informações não autorizadas, alterar o comportamento de um sistema, gerar negação de serviço entre outros problemas Incluí vírus, cavalos de tróia, worms, backdoors, spyware, botnet etc

Notificações de Direitos Autorais Defina sua política com o seu departamento jurídico ou consultor jurídico externo Interagir com o notificar para confirmar fuso horário, datas, se o horário estava sincronizado com NTP para validar a notificação antes de proceder para o próximo passo Por exemplo, existem ASes que repassam a notificação ao usuário se a mesma for validada, mas que descartam a notificação se não receber validação por parte do notificador

Notificações Policiais e Judiciais Se o crime for detectado por sua organização a decisão de contatar a Justiça deve considerar políticas previamente definidas ou decisão conjunta envolvendo a área jurídica Se o crime for notificado a sua organização, esta deve oferecer as informações solicitadas e agir com cautela para evitar a destruição de evidências, por exemplo, desligar um computador apaga o conteúdo na memória RAM, salvar arquivo altera um disco etc

Dúvidas?

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback