Escolar Documentos
Profissional Documentos
Cultura Documentos
ETIR, STI/UFBA
Bruno Anjos, Pedro Sampaio, Italo Valcy
3
Fonte: [Cichonski et al., 2012]
Checklist tratamento de incidentes
5
Documentação e Processos
● Definição do Plano de Comunicação (estratégica e
emergencial)
6
Ferramentas
● RT + TRAIRA – Tratamento de Incidentes de Redes
Automatizado
● L2M – Gestão de endereços L2/L3 (v4 e v6)
– Em conjunto com o Netdisco
● Detecção de atividade maliciosa
– IDS e Honeypots internos
– Análise de fluxos
– Análise de logs (SIEM, scripts, análise anti-spam, etc)
– Buscas em fontes abertas
● Gerenciamento de Logs
7
Registro e acompanhamento de
incidentes
● Uma das principais ferramentas de apoio no
tratamento de incidentes de segurança
● Registro, acompanhamento, KB, relatórios e
estatísticas
● Apoiar no tratamento automatizado dos incidentes
● Opção: TRAIRA (Tratamento de Incidentes de
Redes Automatizado) [Brito et al. 2011]
– https://certbahia.pop-ba.rnp.br/projects/traira/
TRAIRA
IPv4/IPv6 Host Address
● No tratamento de incidentes, nem sempre o IP
é suficiente:
– E se você utilizar DHCP?
– E máquinas com IP estático?
– E com IPv6 auto-configuration?
● Opção: L2M (Layer 2 Manager)
– https://certbahia.pop-ba.rnp.br/projects/l2m
L2M
Monitoramento de flows
● Adotamos monitoramento via SFLOW nos
equipamentos de core da rede
● Coleta e análise via nfdump/nfsen
● Trabalho baseado no modelo do CSIRT Unicamp
– Uso de Flows no Tratamento de Incidentes da Unicamp,
GTS-26 2015
● Criação de diversos perfis de rede (ex: broadcast,
DNS, backup, SQL, LDAP, etc.)
– Network Profiling Using Flow, SEI/CMU 2012
12
Monitoramento de flows
● Estudo de caso 1) máquina possivelmente
infectada
13
Monitoramento de flows
● Estudo de caso 2) violação de copyright
– Os dados da notificação não casavam com os logs
– O dispositivo não suportava gerar logs de NAT
14
Monitoramento de flows
● Estudo de caso 3) intrusão em servidor
– Invasor tinha a senha de uma conta com acesso remoto
– Todos os logs de auditoria foram apagados
– Identificação do IP do atacante via sflow
15
Sistema de Detecção de Intrusão
● São sistemas de detecção de comportamento
malicioso com base em:
– Assinaturas de ataques
– Análise de comportamento (ex: redes neurais etc.)
● Monitoramento inline, mirror ou baseado em flows
● Tipos:
– Baseado em host (Tripware, OSSEC, Samhain etc.)
– Baseado em rede (Snort, Suricata, Bro etc.)
16
Sistema de Detecção de Intrusão
● Estudo de caso UFBA (Suricata)
– Eventos observados por dia
Eventos IDS por dia
700000
600000
500000
400000
300000
200000
100000
17
Sistema de Detecção de Intrusão
● Estudo de caso UFBA (Suricata)
– Dashboard do ELK
18
Sistema de Detecção de Intrusão
● Estudo de caso 1) máquina infectada com vírus
– Infecção com Conficker
– Equipamento médico – sistema de raio X
19
Sistema de Detecção de Intrusão
● Estudo de caso 2) site propagando vírus
– Vírus Fake JS / jQuery.php
20
Sistema de Detecção de Intrusão
● Estudo de caso 3) site sendo explorado para
DDoS/Scan/Brute-force
– Wordpress XMLRPC
21
Firewall / NAT
● É fundamental monitorar o Firewall para viabilizar a GIS e
identificar comportamento anormal
– Hosts comprometidos
– Tentativas de violação da política de Segurança
– Tradução de Endereços de Rede (NAT/PAT)
● Monitoramento pode se dá de diversas maneiras:
– Syslog
– SNMP / Traps
– Notificações por e-mail
– Dashboards (top talkers, hits, app control, cpu, mem, sess)
22
Firewall / NAT
● E com relação ao NAT, o que monitorar?
– É importante monitorar as traduções de endereços
de rede para tratamento de incidentes
– No mínimo: IP/Porta originais e traduzidos, duração,
protocolo
● Seu firewall suporta fazer logging do NAT?
– Cisco, Fortinet, Checkpoint, PaloAlto, Juniper, etc:
Sim
– IPTables/Netfilter, PFSense: não nativamente
23
Firewall / NAT
● Logging de NAT no IPTables/Netfilter:
– https://github.com/italovalcy/nfct-snatlog
Exemplo:
24
Firewall / NAT
● Roadmap PFNATTRACK
– Otimizações no envio dos eventos de log (evitando
sobrecarga no servidor syslog)
– Opção para registro via syslog ou SQL (colaboração com
UNC)
– Trabalho de investigação sobre otimização no
armazenamento e recuperação dos logs
25
Gerenciamento de Logs
● Fontes de logs:
– Firewall / NAT 25000
Volume de logs firewalls UFBA
– Autenticação
Armazenamento (MB)
15000
5000
– Disco: 30 dias
0
– Fita: 1 ano
● Ferramentas utilizadas: Total s/ compatc Total Compactado
26
Fontes abertas
27
Buscador UFBA
● Script Python de busca em fontes abertas por
sites hackeados
28
Horus – GT-EWS
● GT-RNP Cybersecurity Early Warning System
29
Preparação de pessoas
● Após construir o Plano de GIS, é importante treinar a
equipe!
– Equipe da ETIR, colaboradores do time de TI, Central de
Atendimento
● Viabilizar capacitação da equipe
– Tratamento de Incidentes de Segurança
– Análise Forense
– Políticas de Segurança da Informação
– Gestão de Riscos
– Gestão da Segurança da Informação - NBR 27001 e NBR 27002
– Segurança Ofensiva
– Auditoria de aplicações (teste de invasão)
Resumo
● Importante estabelecer o Plano Gestão de Incidentes
de Segurança, com processos e ferramentas
– Estar preparado para tratar incidentes é tecnicamente
saudável, legalmente obrigatório e profissionalmente
eficiente
● Fundamental investir em pessoas (equipe técnica e
usuários)
● Comece pelo básico: preparação da equipe,
monitoramento de logs, ferramentas de apoio...
● PDCA e melhoria contínua, LA, estatísticas,
relatórios, dashboards
Tratamento de Incidentes de Segurança: da
teoria à prática, do processo à ferramenta