Prevenção vs Resposta a

Incidentes

O foco mudou? Alexandro Silva

alexos@ibliss.com.br

Quem é esse “cabra”?

Quem é esse cabra?

Gerente de Operações na iBLISS

Segurança e Inteligência

Professor

Co-fundador da Nullbyte Security

Conference

Prevenção

Ferramentas de proteção estão

preparadas para acompanhar a

evolução das ameaças?

Ameaças

Ameaças Externas (Outsiders) vs

Ameaças Internas (Insiders)

Managing cyber risks in an interconnected world

http://www.dol.gov/ebsa/pdf/erisaadvisorycouncil201

5security3.pdf

Ameaças

Como vocês se previnem hoje?

Prevenção

Prevenção

Prevenção

Prevenção

Redes Neurais

Mineração

de

Dados

Inteligência

Artificial

Prevenção

Como se previnir?

Prevenção

Usando processos e

procedimentos

Prevenção

Não faz uso de criptografia;

Utiliza sistemas de encriptação desatualizados

ou fáceis de quebrar;

Utiliza criptografia forte porém aplicativos

vulneráveis (Java, IE, Flash).

Prevenção

vs

Resposta a Incidentes

Prevenção

A prevenção é importante pois

reduz os vetores de ataque.

O processo

Planejar

Auditar

Corrigir

Monitorar

Prevenção

Auditar

Ativos

Aplicações

Sistemas

Pessoas

Gerencimento de ameaças tecnológicas

TDI

Monitoração continuada

Cenário Foi possível identificar que em certos horários do dia, ocorre um

grande fluxo de pacotes saindo da rede interna para Internet

deixando a rede lenta.

Severino cabra da peste, o Sysadmin, identificou o servidor

comprometido localizando os seguintes arquivos dentro do

diretório /tmp :

•Jonh the ripper

•Shadows e Passwd

•Um arquivo contendo senhas “crackeadas”

a) Sair gritando desesperado

b) Fingir que nada aconteceu e delegar o problema para outro setor

c) Tentar encontrar um irresponsável

d) Mobilizar toda equipe de TI para conter, identificar e mitigar o ataque

e) Nenhuma das respostas acima

O que fazer?

Gabarito no final da

apresentação!

Entender o negócio, as pessoas e a

infraestrutura facilita no processo de

mapeamento de riscos e criação do

plano de respostas a incidentes.

O crescimento sem planejamento é

diretamente proporcional as

vulnerabilidades presentes na rede.

Resposta a Incidentes

"This decade, the 2010s, is the decade of

response. We've finally recognized that

prevention and detection aren't enough and

that an organization needs to invest just as

much in response."

Schneier, Bruce

Resposta a Incidentes

Sua empresa está preparada para

responder incidentes de segurança?

Quais são os requisitos mínimos

necessários para se preparar?

Resposta a Incidentes

É necessário criar um CSIRT*

interno?

* CSIRT (Computer Security Incident Response Team) grupo técnico responsável por resolver incidentes relacionados à segurança em sistemas

computacionais.

Wikipedia

Criando um Grupo de Respostas a Incidentes de Segurança em Computadores - http://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html#2

Resposta a Incidentes

Plano de Ação

1. Conscientizar os “caciques”

2. Montar a equipe

3. Capacitar a equipe

4. Definir papéis

5. Plano de ação

6. Ferramentas

7. Apoio externo (consultoria)

Plano de Resposta a Incidentes

1.

Interromper/Minimizar Incidente

2.

Investigar

3.

Restaurar Recursos

Afetados

4.

Reportar

Canais

Monitoramento de ameaças

Monitoramento de ameaças

Qual a resposta?

a) Sair gritando desesperado

b) Fingir que nada aconteceu e delegar o problema para outro setor

c) Tentar encontrar um irresponsável

d) Mobilizar toda equipe de TI para conter, identificar e mitigar o ataque

e) Nenhuma das respostas acima

Dúvidas!

Alexandro Silva alexos@ibliss.com.br

www.ibliss.com.br