Tratamento de Incidentes de Segurança: da

teoria à prática, do processo à ferramenta

ETIR, STI/UFBA
Bruno Anjos, Pedro Sampaio, Italo Valcy

Italo Valcy <italovalcy@ufba.br>

ETIR-UFBA <etir@ufba.br>

11º EnCSIRTs, 14/12/2016

 Embasamento
● Computer Security Incident Handling Guide, NIST 800-61 v2
● ABNT ISO/IEC 27002/2013
● ABTN ISO/IEC 20000/2012
● IN 01 / DSIC / GSIPR
– NC nº 05 – Disciplina criação ETIR
– NC nº 08 – Diretrizes para GIS
– NC nº 21 – Registro, coleta e preservação evidências
● Marco civil – LEI Nº 12.965 / 2014
● Gestão ITIL – Desenho de serviço, gestão de incidentes
● Guia de boas práticas para estabelecimento de CSIRTs na
Rede de Ensino e Pesquisa, CAIS/RNP
2
 Ciclio de vida do Tratamento de
Incidentes de Segurança

3
Fonte: [Cichonski et al., 2012]
 Checklist tratamento de incidentes

Fonte: Adaptado de [Cichonski et al., 2012]

 Documentação e Processos
● Definição do Plano de Gestão de Incidentes

5
 Documentação e Processos
● Definição do Plano de Comunicação (estratégica e
emergencial)

6
 Ferramentas
● RT + TRAIRA – Tratamento de Incidentes de Redes
Automatizado
● L2M – Gestão de endereços L2/L3 (v4 e v6)
– Em conjunto com o Netdisco
● Detecção de atividade maliciosa
– IDS e Honeypots internos
– Análise de fluxos
– Análise de logs (SIEM, scripts, análise anti-spam, etc)
– Buscas em fontes abertas
● Gerenciamento de Logs

7
 Registro e acompanhamento de
incidentes
● Uma das principais ferramentas de apoio no
tratamento de incidentes de segurança
● Registro, acompanhamento, KB, relatórios e
estatísticas
● Apoiar no tratamento automatizado dos incidentes
● Opção: TRAIRA (Tratamento de Incidentes de
Redes Automatizado) [Brito et al. 2011]
– https://certbahia.pop-ba.rnp.br/projects/traira/
TRAIRA
 IPv4/IPv6 Host Address
● No tratamento de incidentes, nem sempre o IP
é suficiente:
– E se você utilizar DHCP?
– E máquinas com IP estático?
– E com IPv6 auto-configuration?
● Opção: L2M (Layer 2 Manager)
– https://certbahia.pop-ba.rnp.br/projects/l2m
L2M
 Monitoramento de flows
● Adotamos monitoramento via SFLOW nos
equipamentos de core da rede
● Coleta e análise via nfdump/nfsen
● Trabalho baseado no modelo do CSIRT Unicamp
– Uso de Flows no Tratamento de Incidentes da Unicamp,
GTS-26 2015
● Criação de diversos perfis de rede (ex: broadcast,
DNS, backup, SQL, LDAP, etc.)
– Network Profiling Using Flow, SEI/CMU 2012

12
 Monitoramento de flows
● Estudo de caso 1) máquina possivelmente
infectada

● A equipe responsável pela rede não conseguiu

identificar o host interno que originou essa conexão
– Necessidade de monitoramento do Firewall/NAT!

13
 Monitoramento de flows
● Estudo de caso 2) violação de copyright
– Os dados da notificação não casavam com os logs
– O dispositivo não suportava gerar logs de NAT

14
 Monitoramento de flows
● Estudo de caso 3) intrusão em servidor
– Invasor tinha a senha de uma conta com acesso remoto
– Todos os logs de auditoria foram apagados
– Identificação do IP do atacante via sflow

– Foi possível também fazer correlação com outros eventos

anteriores

15
 Sistema de Detecção de Intrusão
● São sistemas de detecção de comportamento
malicioso com base em:
– Assinaturas de ataques
– Análise de comportamento (ex: redes neurais etc.)
● Monitoramento inline, mirror ou baseado em flows
● Tipos:
– Baseado em host (Tripware, OSSEC, Samhain etc.)
– Baseado em rede (Snort, Suricata, Bro etc.)

16
 Sistema de Detecção de Intrusão
● Estudo de caso UFBA (Suricata)
– Eventos observados por dia
Eventos IDS por dia
700000

600000

500000

400000

300000

200000

100000

17
 Sistema de Detecção de Intrusão
● Estudo de caso UFBA (Suricata)
– Dashboard do ELK

18
 Sistema de Detecção de Intrusão
● Estudo de caso 1) máquina infectada com vírus
– Infecção com Conficker
– Equipamento médico – sistema de raio X

19
 Sistema de Detecção de Intrusão
● Estudo de caso 2) site propagando vírus
– Vírus Fake JS / jQuery.php

20
 Sistema de Detecção de Intrusão
● Estudo de caso 3) site sendo explorado para
DDoS/Scan/Brute-force
– Wordpress XMLRPC

21
 Firewall / NAT
● É fundamental monitorar o Firewall para viabilizar a GIS e
identificar comportamento anormal
– Hosts comprometidos
– Tentativas de violação da política de Segurança
– Tradução de Endereços de Rede (NAT/PAT)
● Monitoramento pode se dá de diversas maneiras:
– Syslog
– SNMP / Traps
– Notificações por e-mail
– Dashboards (top talkers, hits, app control, cpu, mem, sess)

22
 Firewall / NAT
● E com relação ao NAT, o que monitorar?
– É importante monitorar as traduções de endereços
de rede para tratamento de incidentes
– No mínimo: IP/Porta originais e traduzidos, duração,
protocolo
● Seu firewall suporta fazer logging do NAT?
– Cisco, Fortinet, Checkpoint, PaloAlto, Juniper, etc:
Sim
– IPTables/Netfilter, PFSense: não nativamente

23
 Firewall / NAT
● Logging de NAT no IPTables/Netfilter:
– https://github.com/italovalcy/nfct-snatlog

● Logging de NAT no PFSense/PF

– https://github.com/italovalcy/pfnattrack

Exemplo:

24
 Firewall / NAT
● Roadmap PFNATTRACK
– Otimizações no envio dos eventos de log (evitando
sobrecarga no servidor syslog)
– Opção para registro via syslog ou SQL (colaboração com
UNC)
– Trabalho de investigação sobre otimização no
armazenamento e recuperação dos logs

25
 Gerenciamento de Logs
● Fontes de logs:
– Firewall / NAT 25000
Volume de logs firewalls UFBA

– Proxy web 20000

– Autenticação

Armazenamento (MB)
15000

● Período de retenção: 10000

5000
– Disco: 30 dias
0
– Fita: 1 ano
● Ferramentas utilizadas: Total s/ compatc Total Compactado

– Syslog-ng, nxlog, logrotate

*Taxa de compressão: 95% (bzip2)

26
Fontes abertas

27
 Buscador UFBA
● Script Python de busca em fontes abertas por
sites hackeados

28
 Horus – GT-EWS
● GT-RNP Cybersecurity Early Warning System

29
 Preparação de pessoas
● Após construir o Plano de GIS, é importante treinar a
equipe!
– Equipe da ETIR, colaboradores do time de TI, Central de
Atendimento
● Viabilizar capacitação da equipe
– Tratamento de Incidentes de Segurança
– Análise Forense
– Políticas de Segurança da Informação
– Gestão de Riscos
– Gestão da Segurança da Informação - NBR 27001 e NBR 27002
– Segurança Ofensiva
– Auditoria de aplicações (teste de invasão)
 Resumo
● Importante estabelecer o Plano Gestão de Incidentes
de Segurança, com processos e ferramentas
– Estar preparado para tratar incidentes é tecnicamente
saudável, legalmente obrigatório e profissionalmente
eficiente
● Fundamental investir em pessoas (equipe técnica e
usuários)
● Comece pelo básico: preparação da equipe,
monitoramento de logs, ferramentas de apoio...
● PDCA e melhoria contínua, LA, estatísticas,
relatórios, dashboards
Tratamento de Incidentes de Segurança: da
teoria à prática, do processo à ferramenta

Italo Valcy <italovalcy@ufba.br>

ETIR-UFBA <etir@ufba.br>

11º EnCSIRTs, 14/12/2016