Quem é esse “cabra”?
Quem é esse cabra?
Gerente de Operações na iBLISS
Segurança e Inteligência
Professor
Co-fundador da Nullbyte Security
Conference
Prevenção
Ferramentas de proteção estão
preparadas para acompanhar a
evolução das ameaças?
Ameaças
Ameaças Externas (Outsiders) vs
Ameaças Internas (Insiders)
Managing cyber risks in an interconnected world
http://www.dol.gov/ebsa/pdf/erisaadvisorycouncil201
5security3.pdf
Ameaças
Como vocês se previnem hoje?
Prevenção
Prevenção
Prevenção
Prevenção
Redes Neurais
Mineração
de
Dados
Inteligência
Artificial
Prevenção
Como se previnir?
Prevenção
Usando processos e
procedimentos
Prevenção
Não faz uso de criptografia;
Utiliza sistemas de encriptação desatualizados
ou fáceis de quebrar;
Utiliza criptografia forte porém aplicativos
vulneráveis (Java, IE, Flash).
Prevenção
vs
Resposta a Incidentes
Prevenção
A prevenção é importante pois
reduz os vetores de ataque.
O processo
Planejar
Auditar
Corrigir
Monitorar
Prevenção
Auditar
Ativos
Aplicações
Sistemas
Pessoas
Gerencimento de ameaças tecnológicas
TDI
Monitoração continuada
Cenário Foi possível identificar que em certos horários do dia, ocorre um
grande fluxo de pacotes saindo da rede interna para Internet
deixando a rede lenta.
Severino cabra da peste, o Sysadmin, identificou o servidor
comprometido localizando os seguintes arquivos dentro do
diretório /tmp :
•Jonh the ripper
•Shadows e Passwd
•Um arquivo contendo senhas “crackeadas”
a) Sair gritando desesperado
b) Fingir que nada aconteceu e delegar o problema para outro setor
c) Tentar encontrar um irresponsável
d) Mobilizar toda equipe de TI para conter, identificar e mitigar o ataque
e) Nenhuma das respostas acima
O que fazer?
Gabarito no final da
apresentação!
Entender o negócio, as pessoas e a
infraestrutura facilita no processo de
mapeamento de riscos e criação do
plano de respostas a incidentes.
O crescimento sem planejamento é
diretamente proporcional as
vulnerabilidades presentes na rede.
Resposta a Incidentes
"This decade, the 2010s, is the decade of
response. We've finally recognized that
prevention and detection aren't enough and
that an organization needs to invest just as
much in response."
Schneier, Bruce
Resposta a Incidentes
Sua empresa está preparada para
responder incidentes de segurança?
Quais são os requisitos mínimos
necessários para se preparar?
Resposta a Incidentes
É necessário criar um CSIRT*
interno?
* CSIRT (Computer Security Incident Response Team) grupo técnico responsável por resolver incidentes relacionados à segurança em sistemas
computacionais.
Wikipedia
Criando um Grupo de Respostas a Incidentes de Segurança em Computadores - http://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html#2
Resposta a Incidentes
Plano de Ação
1. Conscientizar os “caciques”
2. Montar a equipe
3. Capacitar a equipe
4. Definir papéis
5. Plano de ação
6. Ferramentas
7. Apoio externo (consultoria)
Plano de Resposta a Incidentes
1.
Interromper/Minimizar Incidente
2.
Investigar
3.
Restaurar Recursos
Afetados
4.
Reportar
Canais
Monitoramento de ameaças
Monitoramento de ameaças
Qual a resposta?
a) Sair gritando desesperado
b) Fingir que nada aconteceu e delegar o problema para outro setor
c) Tentar encontrar um irresponsável
d) Mobilizar toda equipe de TI para conter, identificar e mitigar o ataque
e) Nenhuma das respostas acima