O que um CSIRT pode fazer por você

Yuri AlexandroCAIS – Centro de Atendimento a Incidentes de Segurança

RNP – Rede Nacional de Ensino e Pesquisa

30/09/2015

A RNP

Missão: Promover o uso inovador de redes avançadas.

Comunidade acadêmica e de pesquisa Escolas de educação superior Universidades Centros de Tecnologia Laboratórios Nacionais Institutos de Pesquisa Museus Hospitais universitários Outros

O CAIS

18 anos de atuação na área de segurança da informação dentro da rede de ensino e pesquisa brasileira;

O que é Informação

Tudo aquilo que tem valor para alguém.

O que é Informação

C I DConfidencialidade

Somente pessoas

autorizadas podem ter

acesso à informação

Integridade

A informação não

pode ser modificada

no seu tratamento

Somente pessoas

autorizadas podem

modificar a

informação

Disponibilidade

A informação tem que

estar acessível a todos

quando necessário

Ameaças

Qualquer coisa que ocasione a quebra do CID

Naturais

Ameaças

Não-intencionais

Qualquer coisa que ocasione a quebra do CID

Ameaças

Intencionais

Qualquer coisa que ocasione a quebra do CID

Ameaças

Ameaças existem independente da nossa vontade!

Qualquer coisa que ocasione a quebra do CID

Já vulnerabilidades..

São os pontos fracos, passíveis de serem explorados

pelas ameaças.

O que acontece quando..

explora

compromete

O que acontece quando..

INCIDENTE DE SEGURANÇA

O que acontece quando..INCIDENTE DE SEGURANÇA

O que acontece quando..INCIDENTE DE SEGURANÇA

E se..

o sistema mais crítico da organização for comprometido?

informações vitais forem apagadas?

suas informações confidenciais forem acessadas?

o acesso aos sistemas ficar indisponível?

a sua imagem for comprometida?

O que acontece quando..

E agora?

TRATAMENTO DO INCIDENTE

são importantes aliados

CSIRTs

- O que são CSIRTs?

- Como trabalham?

- Onde vivem?

- O que um CSIRT pode fazer por você?

Mas, afinal, o que é um CSIRT?

Computer Security Incidents Response Team

Traduzindo...

“Organização ou grupo que provê serviços e suporte a um público bem definido, para

prevenção, tratamento e resposta a incidentes de segurança da informação.”

Fonte: http://www.cert.br/docs/palestras/nbso-snpci2002-2.pdf

Equipe de Resposta a Incidentes de Segurança

Ou seja...

Mas, afinal, o que é um CSIRT?

CSIRT

ETIR

CERTERIS

TRIETRISetc..

Ponto focal de contato para reportar incidentes de segurança

da informação.

O que faz um CSIRT

Identifica os incidentes- Qualquer atividade suspeita que podem afetar as

informações da organização ou afetar os usuários e os seus equipamentos;

Trabalha na prevenção e tratamento- Se antecipam aos atacantes, prevenindo a ocorrência

de novos incidentes;

- Realizam atividades de conscientização e disseminação da cultura em segurança;

Coordena ações conjuntas com a equipe de TI- Atua em parceria com outras áreas de TI;

Tipos de CSIRT

CoordenaçãoCoordenam as ações que devem ser tomadas por outros CSIRTs equipes de segurança ou equipes de TIC.

CorporativosTratam os incidentes e problemas de segurança relacionados com usuários, produtos e serviços de uma organização específica.

GovernamentaisAtuam no tratamento de incidentes de instituições do Governo, tanto a nível nacional, regional ou local.

AcadêmicosAtendem comunidades acadêmicas, universidades, institutos de pesquisa.

CSIRT

CSIRT

CSIRT: pra que?

Razão da existência do CSIRT

Determina o objetivo do CSIRT

Estabelece como o CSIRT espera ser reconhecido

CSIRT

CSIRT: pra quem?

Pode ser definido por:Conjunto de usuários

Domínios administrativos

Conjunto de redes IP

CSIRT

CSIRT: o que?

ServiçosReativos

Proativos

Qualidade em segurança

Reativos

Tratamento de incidentes

Publicação de alertas

Análise de artefatos

Análise forense

CSIRT: o que?

CSIRT: o que?

Proativos

Análise de vulnerabilidades

Monitoramento de segurança da rede

Detecção de intrusão

PenTests

CSIRT: o que?

Qualidade em segurança

Análise de riscos

Educação e treinamento

Continuidade de negóciose recuperação de desastres

Gestão de conformidade

CSIRT

MODELO E ESTRUTURA ORGANIZACIONAL

CSIRT: como?

RECURSOS

POLÍTICASE PROCEDIMENTOSAUTONOMIA

E AUTORIDADE

E-MAIL INSTITUCIONALEx. abuse@instituicao.edu.br

security@instituicao.edu.brsegurança@instituicao.edu.br

CSIRT: como?

SITE PÚBLICO DO CSIRTEx. www.instituicao.edu.br/seguranca

www.instituicao.edu.br/securitycsirt.instituicao.edu.br

RAMAL / TELEFONE / RED LINE / INOC-DBAEx. Contato: (19) 3787-3300

Plantão: (19) 98111-0743INOC: 1916-80

CSIRT: próximo passo

CSIRT: o que um CSIRT pode fazer por você

1) RECEBER AS NOTIFICAÇÕES DE INCIDENTES

2) REALIZAR O TRATAMENTO E MITIGAÇÃO DOS INCIDENTES

CSIRT: o que um CSIRT pode fazer por você

3) ESTRUTURAR, DOCUMENTAR E PLANEJAR AÇÕES DE SEGURANÇA

4) RESPONDER AO USUÁRIO OU AO RECLAMANTE SOBRE O INCIDENTE

CSIRT: o que um CSIRT pode fazer por você

5) GERAR ESTATÍSTICAS SOBRE A SEGURANÇA DA INSTITUIÇÃO

6) REALIZAR CAPACITAÇÃO E TREINAMENTO DE USO SEGURO DOS RECURSOS DE TI

CSIRT: o que um CSIRT pode fazer por você

7) REALIZA CAMPANHAS DE CONSCIENTIZAÇÃO EM SEGURANÇA

8) AJUDA EM DÚVIDAS DE SEGURANÇA DA INFORMAÇÃO

CAIS – O CSIRT da Rede de ensino e pesquisa

“O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de

incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar

práticas de segurança em redes.”

http://www.rnp.br/servicos/seguranca

CSIRT Corporativo Trata e responde os incidentes internos da RNP;

Realiza campanhas internas de conscientização em segurança da informação;

Realiza auditorias de segurança da informação em de serviços e sistemas da RNP;

CSIRT de Coordenação Repasse do incidente aos responsáveis;

Auxílio às instituições da RNP na solução de problemas;

Coordenação de ações

Ex. Correção da vulnerabilidade do SSL (heartbleed)

CAIS – O CSIRT da Rede de ensino e pesquisa

CAIS – O CSIRT da Rede de ensino e pesquisa

CAIS

Gestão de Incidentes de

Segurança (GSI)

Disseminação da Cultura de

Segurança (DCS)

Gestão de Riscos e

Segurança da Informação

(GRSI)

Serviços à comunidade acadêmica

(INFRA/SERV)

Desenvolvimento

de CSIRTs(CSIRT)

LINHAS DE ATUAÇÃO

Como o CAIS pode ajudar

NOVOS CSIRTs

• Processo de criação de novas equipes;

• Guia de boas práticas com passo a passo, exemplos e indicações;

• Check-list dos passos necessários;

• Projeto piloto em execução;

• Materiais disponíveis em breve.

Como o CAIS pode ajudar

CSIRTs EXISTENTES

• Apoio na realização de eventos de segurança da informação;

• Encontro anual dos CSIRSTs da rede de ensino e pesquisa;

• Programa de crescimento e desenvolvimento contínuo das equipes de resposta a incidentes;

• Estabelecimento de um fórum permanente de discussão e troca de informações

encsirts

No fim das contas..

Seja analista, técnico ou usuário, atuem como disseminadores dessa

iniciativa em sua instituição.

Centro de Atendimento a Incidentes de Segurança(CAIS)

Yuri Alexandro(19) 3787-3327

yuri.ferreira@rnp.br

cais@cais.rnp.br