Você está na página 1de 25

Formao para Sistemas Autnomos

Tratamento de
Incidentes

Formao para Sistemas Autnomos

Licena de uso do material


Esta apresentao est disponvel sob a licena
Creative Commons
Atribuio No a Obras Derivadas (by-nd)
http://creativecommons.org/licenses/by-nd/3.0/br/legalcode

Voc pode:

Compartilhar copiar, distribuir e transmitir a obra.

Fazer uso comercial da obra.

Sob as seguintes condies:


Atribuio Ao distribuir essa apresentao, voc deve deixar claro que ela faz parte do Curso de Formao
para Sistemas Autnomos do CEPTRO.br/NIC.br, e que os originais podem ser obtidos em http://ceptro.br. Voc
deve fazer isso sem sugerir que ns damos algum aval sua instituio, empresa, site ou curso.
Vedada a criao de obras derivadas Voc no pode modificar essa apresentao, nem criar apresentaes
ou outras obras baseadas nela..

Se tiver dvidas, ou quiser obter permisso para utilizar o material de outra forma, entre em contato pelo e-mail: info@nic.br.

Formao para Sistemas Autnomos

Tratamento de Incidentes

Introduo e Terminologia

Deteco

Triagem

Notificao

Gerao, coleta e anlise de log

Anlise de incidentes

Contatos e Whois

Resposta e recuperao

Ameaas Internas

Problemas com e-mail

Malware
Formao para Sistemas Autnomos

Terminologia

Notificao de Incidente:

Tratamento de Incidente:

Processo de notificar, analisar e responder


incidente

Intruso:

Notificao de atividade de segurana ou eventos

Ganhar acesso no autorizado; Violar poltica de


segurana

Vulnerabilidade:

Potencial falha de sistema que pode gerar um


incidente
Formao para Sistemas Autnomos

Terminologia

Evento:

Atividade:

Evento suspeito que pode estar relacionado ou


no a segurana

Incidente:

Qualquer atividade dentro da empresa

Evento que necessita de anlise e ou tratamento

Ataque:

Tentativa de violao da poltica de segurana


Formao para Sistemas Autnomos

CSIRT - Computer Security Incident


Response Team

Time ou pessoa que prov servios e suporte a um


pblico-alvo definido visando prevenir, tratar e
responder a incidentes de segurana de computadores
Importante definir o pblico-alvo e objetivo
No o suporte tcnico da organizao
Tem o objetivo de:

Minimizar e controlar o dano


Prover ou ajudar na recuperao
Atuar na preveno de eventos futuros
Ser ponto de contato nico para notificao de problemas
Coordenar os esforos de tratamento
Formao para Sistemas Autnomos

Percepo da Situao

Voc precisa saber o que est acontecendo


ao seu redor
importante correlacionar informaes
recebidas, s vezes sem relao evidente,
com os incidentes que esto acontecendo
Esta correlao pode ajudar a tomar melhores
decises

Formao para Sistemas Autnomos

Monitoramento Pblico

Um incidente na sua organizao pode estar


relacionado com informaes pblicas
recebidas, como um relatrio de
vulnerabilidades ou um grande evento
ocorrendo na cidade ou pas
Estas informaes podem ser fornecidas por
outros CSIRTs, fornecedores de software e
hardware, sites de segurana e at de mdias
no especializadas como jornais e portais
Formao para Sistemas Autnomos

Tratamento de Incidentes

Habilidade de prover gerncia fim a fim de


eventos e incidentes por toda a empresa que
afetem os ativos de tecnologia da informao
e informaes dentro de uma organizao

Formao para Sistemas Autnomos

Deteco de problemas

Deteco de atividade suspeita que possa


comprometer a misso do pblico-alvo
Pode ser feita por deteco reativa:

E-mail, telefonema, formulrio, outros CSIRTs etc

Pode ser feita por deteco pr-ativa:

Monitoramento de rede, escaneamento de rede,


sistemas antivrus, sistema de deteco de
intruso etc
Formao para Sistemas Autnomos

Deteco de problemas

Flows (nfdump e nfsen)


Sensores e honeypots (dionaea ou converse
com a equipe do CERT.br no prximo GTS)

Feeds de dados: Shadowserver, Cymru

Habilitar log de consultas no DNS recursivo

Pode permitir deteco de spambots e phishing

Formao para Sistemas Autnomos

Triagem

Crtico para grupos grandes ou muitas notificaes

Definio de prioridades

Crtica, Alta, Mdia, Baixa


Priorizar informaes de outros CSIRTs

Definio de categorias

Roubo de Informao, Deteco de Vulnerabilidade,


Deteco de Malware, Pedido de Informao,
Incidentes Gerais, Outros

No crie categorias e prioridades em demasia

LEMBRE-SE DO SEU OBJETIVO!!!


Formao para Sistemas Autnomos

Notificao

A Internet depende do bom relacionamento


entre ASes
Quando notificado seja um bom cidado da
Internet, ajude na resoluo do problema

Formao para Sistemas Autnomos

Gerao de logs

Log sem sincronizao de relgio (NTP) intil

Formato de data: RFC3339 ou ISO8601

aaaa-mm-ddThh:mm:ss-fhfh:fmfm
2012-12-19T16:39:57-08:00
T exigido na ISO8601, mas pode ser na
RFC3339

Coerncia de fuso horrio

Formao para Sistemas Autnomos

Coleta de logs

Coletar logs fcil, mas preciso planejar o


armazenamento para que estes possam ser
recuperados adequadamente para a anlise

Os logs devem ser fceis de usar

Definir perodo e tamanho do armazenamento

Se possvel automatizar gerao de relatrios

Na recuperao dos logs:

possvel usar scripts?


possvel correlacionar logs distintos?
possvel gerar alarmes em tempo real?
Formao para Sistemas Autnomos

Anlise de Incidentes

Lembre-se que um log pode no ter todas as


respostas sozinho
importante conseguir correlacionar logs,
emails, notificaes recebidas e at notcias
Pode ser que voc no tenha todas as
informaes e tenha que interagir com outros
CERTs ou empresas para fazer a anlise

Formao para Sistemas Autnomos

Contatos e Whois

Divulgando seus dados:

Informaes do AS: abuse-c apontando para o CSIRT


Informaes por blocos IP: abuse-c ou tech-c
Informaes de domnio: os domnios sobre
responsabilidade da sua organizao devem conter os
dados do CSIRT

Voc pode ser contatado quando um domnio dentro do


seu AS ou bloco IP estiver comprometido
RFC2142: Mailbox Names for Common Services, Roles
and Functions
Seus contatos devem estar atualizados
E-mails para estes contatos no devem ser filtrados
com antispam. Devem ter poltica diferenciada.
Formao para Sistemas Autnomos

Contatos e Whois

Contatar a respeito de domnios maliciosos,


no use as informaes do domnio, mas sim
do AS ou do bloco IP
Se descobriu um problema, notifique o
terceiro para ajudar na resoluo do problema
Se precisar de ajuda, contate o CERT.br
Qualquer AS pode solicitar um VOIP INOC
para contato com outros Ases
Formao para Sistemas Autnomos

Resposta a Incidentes

Analise a situao:

Planeje:

Defina o que fazer e quem deve ser contatado

Coordene:

Informaes recebidas, logs, anlise forense, impacto ao


negcio, risco ao negcio

Interaja internamente e com outras equipes para resolver ou


mitigar o incidente

Finalize:

Informe aos envolvidos atualizaes no incidente e o resultado


final
Documente o ocorrido, isto pode ser til em incidentes futuros
Formao para Sistemas Autnomos

Ameaas Internas

Ex-empregados e empregados atuais,


parceiros e terceiros que tem ou tiveram
acesso aos seus sistemas
Eles podem ser responsveis por fraudes,
roubo de informaes ou mesmo
sabotagem de sistemas
Controle e monitoramento so as
melhores formas de se proteger
Formao para Sistemas Autnomos

Problemas com e-mail

Spoofing:

Spamming:

Parece vir de uma fonte legtima, mas na


verdade uma falsificao
Envio massivo de emails no solicitados, pode
ser de propaganda ou de tentativas de fraude

Phishing:

Tentativa de roubo de dados pessoais e


financeiros combinando meios tcnicos e
engenharia social
Formao para Sistemas Autnomos

Malware

Software que executa em um sistema


sem autorizao com objetivo malicioso
Pode buscar obter informaes no
autorizadas, alterar o comportamento de
um sistema, gerar negao de servio
entre outros problemas
Inclu vrus, cavalos de tria, worms,
backdoors, spyware, botnet etc
Formao para Sistemas Autnomos

Notificaes de Direitos Autorais

Defina sua poltica com o seu departamento


jurdico ou consultor jurdico externo
Interagir com o notificar para confirmar fuso
horrio, datas, se o horrio estava
sincronizado com NTP para validar a
notificao antes de proceder para o prximo
passo
Por exemplo, existem ASes que repassam a
notificao ao usurio se a mesma for
validada, mas que descartam a notificao se
no receber validao por parte do notificador
Formao para Sistemas Autnomos

Notificaes Policiais e Judiciais

Se o crime for detectado por sua organizao


a deciso de contatar a Justia deve
considerar polticas previamente definidas ou
deciso conjunta envolvendo a rea jurdica
Se o crime for notificado a sua organizao,
esta deve oferecer as informaes solicitadas
e agir com cautela para evitar a destruio de
evidncias, por exemplo, desligar um
computador apaga o contedo na memria
RAM, salvar arquivo altera um disco etc
Formao para Sistemas Autnomos

Dvidas?

Formao para Sistemas Autnomos