Você está na página 1de 46

Universidade de So Paulo

Centro de Computao Eletrnica




 



 
Apresentao:
Mauro Cesar Bernardes
Rafael Nogueira Tavares
Abril de 2003
1

Estrutura da Apresentao
Motivao
Uma viso geral da USPNet
A Equipe de Segurana
O cenrio antigo

A ferramenta SiRI
Funcionalidades da Ferramenta
O cenrio atual

Trabalhos futuros
Debate.
2

Uma
Uma viso
viso Geral
Geral da
da USPNet
USPNet

CIRP
CISC

Ribeiro Preto

Pirassununga

So Carlos

ANSP

Bauru

CIAGRI

Piracicaba

So Paulo

CCE
Complexo Sade
2,5 Gbps
1 Gbps
SDH Net
10 Gbps

1 Gbps

2,5 Gbps

CCE

REMAV-SP

FAPESP /
AANSP

Complexo

1 Gbps
(Redundante)

Sade

2 Gbps

10 Gbps

1 Gbps

100 Mbps
1 Gbps

Poli / LARC

E3
1 Gbps
1 Gbps
FRAME
RELAY

Reitoria
Trfego
Administrativo

1 Gbps
Qumica

Unidades

(RECAD)

Viso Geral do Campus So Paulo


Admnistrao

Letras

Histria

1 Gbps

100 / 1000 Mbps

Cultura Japo

Filosofia
6

A Equipe de Segurana
Centro de Computao Eletrnica
 Responsvel pelo security@usp.br, abuse@usp.br, ...
 4 Analistas
 4 Tnicos/operadores
 Atendimento 24x7

Administradores em cada Unidade


Trabalho cooperativo e colaborativo
7

IR Service Functions Overview


Report-Request

Triage

Incident

Feedback

Site(s)
CSIRT(s)
Expert(s)

Announcement

Requester(s)
Press Office
Management
...

Constituency
Arrows indicate information flow
Fonte: http://www.sei.cmu.edu/publications/documents/98.reports/98hb001/98hb001abstract.html

Problemas no cenrio antigo


Poltica de Segurana

Internet
IDS

IDS

Logs

Redes Internas

Logs
Firewall

Alertas

Problema:
grande
quantidade
de
dados!
Problema:
grande
quantidade
de
dados! Logs
VPN
Logs
Roteador
(Acess-list)
IDS

Logs

Honey
Logs
Pots
Web Server

Logs

Anti-vrus e
Firewalls pessoais

Logs
Logs

DNS Server
DMZ
E-mail

Logs

Logs

O problema onde h um excesso de dados pode


ser to prejudicial quanto a sua falta

A
A Ferramenta
Ferramenta SiRI
SiRI

10

A Ferramenta SiRI

11

Minimizao do Tempo de RI

12

Triagem de um Incidente

13

Aes Emergenciais
A partir da triagem do Incidente,
pode-se adotar aes emergenciais.

14

Notificaes Personalizadas

15

Identificao nica para cada Incidente

16

Viso Geral das Opes para Incidentes

17

Acompanhamento do Incidente

Acesso Mediante Certificao

18

Acompanhamento do Incidente

19

Informaes de Acompanhamento

20

Informaes de Acompanhamento

21

Consultas personalizadas para a Equipe

22

Refinamento das informaes do Incidente

23

Alterao de Status

24

Gerenciamento de Alertas

25

Cadastro de Alertas

26

Encaminhamento de Alertas
Alertas Classificados;
Uso de Ontologias

Alertas priorizados conforme


necessidade dos usurios;
Listas de Discusso X SiRI: O diferencial;
Correlacionar alertas s necessidades;
Meta: Trabalhar informaes prvias,
Histrico e Extrao de conhecimento;

27

Cadastro de Procedimentos

28

Correlao Alertas X Procedimentos

29

Correlao Alertas X Procedimentos

30

Estatsticas

31

Estatsticas Personalizadas

32

Grficos Personalizados

33

Estatsticas
O fator Psicolgico;
Repositrio de Informaes;
Ajuda a redefinir requisitos de
controle para a Poltica de Segurana.

34

Manual de Documentao

35

O Cenrio Atual
 Reduo de 60% do tempo despendido no ciclo
de vida de uma Resposta a Incidentes;
 Acompanhamento personalizado de cada
incidente;
 Maior interao entre o reclamante, a equipe de
segurana e os administradores responsveis;
 Constituio de um Repositrio de Informaes.
 Ferramenta auxiliar para as etapas previstas para
a atividade de Resposta a Incidentes;
36

IR Service Functions Overview


Report-Request

Triage

Incident

Feedback

Site(s)
CSIRT(s)
Expert(s)

Announcement

Requester(s)
Press Office
Management
...

Constituency
Arrows indicate information flow
Fonte: http://www.sei.cmu.edu/publications/documents/98.reports/98hb001/98hb001abstract.html

37

Trabalhos
Trabalhos Futuros
Futuros

38

Constituio de um Sistema de Informaes


 Trabalhar dados para produzir informao
e conhecimento;
 Fornecer suporte tomada de deciso;
 Expectativa:
Um
sistema
integrado
homem-mquina que prov informaes
para dar suporte s funes de operao,
administrao e tomada de deciso em
relao segurana computacional;
 Cdigo aberto a contribuies.
39

Metodologia: Dados, Informao e Conhecimento

Volume
Baixo

Valor
Alto
Conhecimento

Informao
Informao

Volume
Alto

Dado

Valor
Baixo

Aquisio
Aquisio de
de conhecimento
conhecimento (AC):
(AC):
Extrao,
Extrao, interpretao
interpretao ee representao
representao
do
do conhecimento
conhecimento de
de um
um dado
dado domnio.
domnio.

Tarefa difcil!

40

Sistemas de Informao e Estrutura de Deciso

Planejamento Estratgico
Nvel Estratgico

Nvel Ttico

Nvel Operacional

Planejamento Ttico

Planejamento Operacional

41

Classificao dos Sistemas de Informao

Sistemas de Informaes Gerenciais


Dados
Dados

Sistemas
Sistemasde
de
Informaes
Informaes
Gerenciais
Gerenciais

Informao
Informao
para
paraaatomada
tomada
de
deciso
de deciso

42

Extrao de conhecimento de Base de Dados


Objetivos:
Apoiar os especialistas do domnio na
obteno de conhecimento de base de dados;
KDD (Knowledge Discovery in Databases)
Base de
Dados

Sistemas
Inteligentes

KDD
TAREFAS

(Knowledge
Aprendizagem
Discovery
Estatsticas
De Mquina
in Databases)
Ferramentas de Visualizao

43

Elementos de Apoio ao Processo KDD

Data Warehouse;
Tcnicas Estatsticas;
Visualizao de Dados

44

Expectativa
Utilizao dos conceitos de sistemas
de informao para modelar um
ambiente que permita ao
administrador de segurana
computacional, metodicamente,
gerar conhecimento para planejar e
programar a tomada de deciso com
a eficincia e a eficcia exigidas
pelos sistemas/redes atuais.

45

Concluses
 A ferramenta apresentada apresentou
contribuies significativas no processo
de RI;
 Entretanto, a ferramenta SiRI apenas o
incio de um projeto para a constituio
de um sistema de informao;
 Trabalho colaborativo essencial!

46