Tratamento Incidentes

Formao para Sistemas Autnomos
Tratamento de
Incidentes
Licena de uso do material

Esta apresentao est disponvel sob a licena
Creative Commons
Atribuio No a Obras Derivadas (by-nd)
http://creativecommons.org/licenses/by-nd/3.0/br/legalcode
Voc pode:
Compartilhar copiar, distribuir e transmitir a obra.
Fazer uso comercial da obra.
Sob as seguintes condies:

Atribuio Ao distribuir essa apresentao, voc deve deixar claro que ela faz parte do Curso de Formao
para Sistemas Autnomos do CEPTRO.br/NIC.br, e que os originais podem ser obtidos em http://ceptro.br. Voc
deve fazer isso sem sugerir que ns damos algum aval sua instituio, empresa, site ou curso.
Vedada a criao de obras derivadas Voc no pode modificar essa apresentao, nem criar apresentaes
ou outras obras baseadas nela..
Se tiver dvidas, ou quiser obter permisso para utilizar o material de outra forma, entre em contato pelo e-mail: info@nic.br.
Tratamento de Incidentes
Introduo e Terminologia
Deteco
Triagem
Notificao
Gerao, coleta e anlise de log
Anlise de incidentes
Contatos e Whois
Resposta e recuperao
Ameaas Internas
Problemas com e-mail
Malware
Terminologia
Notificao de Incidente:
Tratamento de Incidente:
Processo de notificar, analisar e responder

incidente
Intruso:
Notificao de atividade de segurana ou eventos
Ganhar acesso no autorizado; Violar poltica de

segurana
Vulnerabilidade:
Potencial falha de sistema que pode gerar um

incidente
Terminologia
Evento:
Atividade:
Evento suspeito que pode estar relacionado ou

no a segurana
Incidente:
Qualquer atividade dentro da empresa
Evento que necessita de anlise e ou tratamento
Ataque:
Tentativa de violao da poltica de segurana

CSIRT - Computer Security Incident

Response Team
Time ou pessoa que prov servios e suporte a um

pblico-alvo definido visando prevenir, tratar e
responder a incidentes de segurana de computadores
Importante definir o pblico-alvo e objetivo
No o suporte tcnico da organizao
Tem o objetivo de:
Minimizar e controlar o dano

Prover ou ajudar na recuperao
Atuar na preveno de eventos futuros
Ser ponto de contato nico para notificao de problemas
Coordenar os esforos de tratamento
Percepo da Situao
Voc precisa saber o que est acontecendo

ao seu redor
importante correlacionar informaes
recebidas, s vezes sem relao evidente,
com os incidentes que esto acontecendo
Esta correlao pode ajudar a tomar melhores
decises
Monitoramento Pblico
Um incidente na sua organizao pode estar

relacionado com informaes pblicas
recebidas, como um relatrio de
vulnerabilidades ou um grande evento
ocorrendo na cidade ou pas
Estas informaes podem ser fornecidas por
outros CSIRTs, fornecedores de software e
hardware, sites de segurana e at de mdias
no especializadas como jornais e portais
Tratamento de Incidentes
Habilidade de prover gerncia fim a fim de

eventos e incidentes por toda a empresa que
afetem os ativos de tecnologia da informao
e informaes dentro de uma organizao
Deteco de problemas
Deteco de atividade suspeita que possa

comprometer a misso do pblico-alvo
Pode ser feita por deteco reativa:
E-mail, telefonema, formulrio, outros CSIRTs etc
Pode ser feita por deteco pr-ativa:
Monitoramento de rede, escaneamento de rede,

sistemas antivrus, sistema de deteco de
intruso etc
Deteco de problemas
Flows (nfdump e nfsen)

Sensores e honeypots (dionaea ou converse
com a equipe do CERT.br no prximo GTS)
Feeds de dados: Shadowserver, Cymru
Habilitar log de consultas no DNS recursivo
Pode permitir deteco de spambots e phishing
Triagem
Crtico para grupos grandes ou muitas notificaes
Definio de prioridades
Crtica, Alta, Mdia, Baixa

Priorizar informaes de outros CSIRTs
Definio de categorias
Roubo de Informao, Deteco de Vulnerabilidade,

Deteco de Malware, Pedido de Informao,
Incidentes Gerais, Outros
No crie categorias e prioridades em demasia
LEMBRE-SE DO SEU OBJETIVO!!!

Notificao
A Internet depende do bom relacionamento

entre ASes
Quando notificado seja um bom cidado da
Internet, ajude na resoluo do problema
Gerao de logs
Log sem sincronizao de relgio (NTP) intil
Formato de data: RFC3339 ou ISO8601
aaaa-mm-ddThh:mm:ss-fhfh:fmfm
2012-12-19T16:39:57-08:00
T exigido na ISO8601, mas pode ser na
RFC3339
Coerncia de fuso horrio
Coleta de logs
Coletar logs fcil, mas preciso planejar o

armazenamento para que estes possam ser
recuperados adequadamente para a anlise
Os logs devem ser fceis de usar
Definir perodo e tamanho do armazenamento
Se possvel automatizar gerao de relatrios
Na recuperao dos logs:
possvel usar scripts?

possvel correlacionar logs distintos?
possvel gerar alarmes em tempo real?
Anlise de Incidentes
Lembre-se que um log pode no ter todas as

respostas sozinho
importante conseguir correlacionar logs,
emails, notificaes recebidas e at notcias
Pode ser que voc no tenha todas as
informaes e tenha que interagir com outros
CERTs ou empresas para fazer a anlise
Contatos e Whois
Divulgando seus dados:
Informaes do AS: abuse-c apontando para o CSIRT

Informaes por blocos IP: abuse-c ou tech-c
Informaes de domnio: os domnios sobre
responsabilidade da sua organizao devem conter os
dados do CSIRT
Voc pode ser contatado quando um domnio dentro do

seu AS ou bloco IP estiver comprometido
RFC2142: Mailbox Names for Common Services, Roles
and Functions
Seus contatos devem estar atualizados
E-mails para estes contatos no devem ser filtrados
com antispam. Devem ter poltica diferenciada.
Contatos e Whois
Contatar a respeito de domnios maliciosos,

no use as informaes do domnio, mas sim
do AS ou do bloco IP
Se descobriu um problema, notifique o
terceiro para ajudar na resoluo do problema
Se precisar de ajuda, contate o CERT.br
Qualquer AS pode solicitar um VOIP INOC
para contato com outros Ases
Resposta a Incidentes
Analise a situao:
Planeje:
Defina o que fazer e quem deve ser contatado
Coordene:
Informaes recebidas, logs, anlise forense, impacto ao

negcio, risco ao negcio
Interaja internamente e com outras equipes para resolver ou

mitigar o incidente
Finalize:
Informe aos envolvidos atualizaes no incidente e o resultado

final
Documente o ocorrido, isto pode ser til em incidentes futuros
Ameaas Internas
Ex-empregados e empregados atuais,

parceiros e terceiros que tem ou tiveram
acesso aos seus sistemas
Eles podem ser responsveis por fraudes,
roubo de informaes ou mesmo
sabotagem de sistemas
Controle e monitoramento so as
melhores formas de se proteger
Problemas com e-mail
Spoofing:
Spamming:
Parece vir de uma fonte legtima, mas na

verdade uma falsificao
Envio massivo de emails no solicitados, pode
ser de propaganda ou de tentativas de fraude
Phishing:
Tentativa de roubo de dados pessoais e

financeiros combinando meios tcnicos e
engenharia social
Malware
Software que executa em um sistema

sem autorizao com objetivo malicioso
Pode buscar obter informaes no
autorizadas, alterar o comportamento de
um sistema, gerar negao de servio
entre outros problemas
Inclu vrus, cavalos de tria, worms,
backdoors, spyware, botnet etc
Notificaes de Direitos Autorais
Defina sua poltica com o seu departamento

jurdico ou consultor jurdico externo
Interagir com o notificar para confirmar fuso
horrio, datas, se o horrio estava
sincronizado com NTP para validar a
notificao antes de proceder para o prximo
passo
Por exemplo, existem ASes que repassam a
notificao ao usurio se a mesma for
validada, mas que descartam a notificao se
no receber validao por parte do notificador
Notificaes Policiais e Judiciais
Se o crime for detectado por sua organizao

a deciso de contatar a Justia deve
considerar polticas previamente definidas ou
deciso conjunta envolvendo a rea jurdica
Se o crime for notificado a sua organizao,
esta deve oferecer as informaes solicitadas
e agir com cautela para evitar a destruio de
evidncias, por exemplo, desligar um
computador apaga o contedo na memria
RAM, salvar arquivo altera um disco etc
Dvidas?

Tratamento Incidentes

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tratamento Incidentes

Cargado por

Copyright:

Formatos disponibles

Formao para Sistemas Autnomos

Formao para Sistemas Autnomos

Licena de uso do material

Compartilhar copiar, distribuir e transmitir a obra.

Fazer uso comercial da obra.

Sob as seguintes condies:

Formao para Sistemas Autnomos

Gerao, coleta e anlise de log

Problemas com e-mail

Processo de notificar, analisar e responder

Notificao de atividade de segurana ou eventos

Ganhar acesso no autorizado; Violar poltica de

Potencial falha de sistema que pode gerar um

Evento suspeito que pode estar relacionado ou

Qualquer atividade dentro da empresa

Evento que necessita de anlise e ou tratamento

Tentativa de violao da poltica de segurana

CSIRT - Computer Security Incident

Time ou pessoa que prov servios e suporte a um

Minimizar e controlar o dano

Voc precisa saber o que est acontecendo

Formao para Sistemas Autnomos

Um incidente na sua organizao pode estar

Habilidade de prover gerncia fim a fim de

Formao para Sistemas Autnomos

Deteco de atividade suspeita que possa

E-mail, telefonema, formulrio, outros CSIRTs etc

Pode ser feita por deteco pr-ativa:

Monitoramento de rede, escaneamento de rede,

Flows (nfdump e nfsen)

Feeds de dados: Shadowserver, Cymru

Habilitar log de consultas no DNS recursivo

Pode permitir deteco de spambots e phishing

Formao para Sistemas Autnomos

Crtico para grupos grandes ou muitas notificaes

Crtica, Alta, Mdia, Baixa

Roubo de Informao, Deteco de Vulnerabilidade,

No crie categorias e prioridades em demasia

LEMBRE-SE DO SEU OBJETIVO!!!

A Internet depende do bom relacionamento

Formao para Sistemas Autnomos

Log sem sincronizao de relgio (NTP) intil

Formato de data: RFC3339 ou ISO8601

Coerncia de fuso horrio

Formao para Sistemas Autnomos

Coletar logs fcil, mas preciso planejar o

Os logs devem ser fceis de usar

Definir perodo e tamanho do armazenamento

Se possvel automatizar gerao de relatrios

Na recuperao dos logs:

possvel usar scripts?

Lembre-se que um log pode no ter todas as

Formao para Sistemas Autnomos

Divulgando seus dados:

Informaes do AS: abuse-c apontando para o CSIRT

Voc pode ser contatado quando um domnio dentro do

Contatar a respeito de domnios maliciosos,

Defina o que fazer e quem deve ser contatado

Informaes recebidas, logs, anlise forense, impacto ao

Interaja internamente e com outras equipes para resolver ou

Informe aos envolvidos atualizaes no incidente e o resultado

Ex-empregados e empregados atuais,

Problemas com e-mail

Parece vir de uma fonte legtima, mas na