Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3...
-
Upload
duongxuyen -
Category
Documents
-
view
223 -
download
0
Transcript of Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3...
![Page 1: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/1.jpg)
Thiago B. Santana
Redução de incidentes através da
identificação, análise e correção de
vulnerabilidades
André Braga
CSIRT / Laboratório Forense Digital
Divisão de Continuidade e Riscos
![Page 2: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/2.jpg)
Agenda
– Histórico e estrutura do CSIRT
– Escopo de atuação
– Estatísticas ANTES da implantação
– Vulnerabilidades em estações e servidores
– Dificuldades e desafios
– Soluções desenvolvidas pelo time
– Estatísticas APÓS a implantação
– Novo cenário e evolução
![Page 3: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/3.jpg)
PRODESP PRODESP
![Page 4: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/4.jpg)
• Data Center de 800m2
• 3 salas-cofre
• 3 Mainframes com capacidade para processar cerca de 3.7 bilhões de instruções por segundo
• Cerca de 2.200 servidores instalados, mais de 1.700 virtuais
• 180 Tb de armazenamento
• Backup - Sistema robótico: 1,3 Petabytes
• Faturamento: R$ 546,1 milhões (2012)
• Usina própria de energia
![Page 5: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/5.jpg)
Servidores
Sala-Cofre
Storage Mainframes Backbone
PRODESP
![Page 6: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/6.jpg)
PRODESP
708 postos e 616 municípios atendidos
![Page 7: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/7.jpg)
Bill Gates & Mellinda
![Page 8: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/8.jpg)
PRODESP
39 postos e 33 milhões de atendimentos em 2012
![Page 9: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/9.jpg)
CSIRT PRODESP CSIRT PRODESP
![Page 10: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/10.jpg)
ESCOPO CSIRT PRODESP
AS GESP (ASN 28637)
SP.GOV.BR Mais de 2,5 mil domínios
![Page 11: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/11.jpg)
Antes da Implantação Servidores + Estações de Trabalho
0
200
400
600
800
1000
1200
janeiro fevereiro março abril maio junho julho agosto
591 617
1076
801 818
630 697 672
96 127
122
88 92
84
169
81
TOTAL DE OCORRÊNCIAS CSIRT JAN-2012 A AGO-2012
Estações Servidores
![Page 12: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/12.jpg)
• Desfiguração de páginas
• Malwares
• Ataques, Varreduras (portscans), Negação de Serviço
(DoS), Brute Force, etc.
• Hospedagem de ferramentas maliciosas
• SPAM/Phishing
• Violação de Legislação
• Violação de Políticas e Normas
• Incidentes de Segurança
• Fraudes, Vazamentos de Informação
• Resposta a Ofícios Judiciais
Tipos de Ocorrências
![Page 13: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/13.jpg)
Solução
• Desenvolvimento interno de ferramenta de
monitoramento e gestão de vulnerabilidades nas
estações de trabalho que geram incidentes (SG7)
• Implantação de ferramenta gestão de
vulnerabilidades nos servidores, baseada no
OWASP
• Soluções integradas com o sistema de
chamados (tickets)
• Baixo custo de implantação e ambos
hospedados em apenas 1 servidor
![Page 14: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/14.jpg)
SG7
• Gestão de blindagem das estações e da segurança dos
aplicativos homologados
• Disponibiliza um banco de dados para softwares de
risco
• Redução de custos com o tratamento e quantidade de
incidentes internos
• Baixo custo de desenvolvimento e implantação
![Page 15: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/15.jpg)
SG7
![Page 16: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/16.jpg)
SG7
Mapeamento completo das estações de trabalho por
setores
Mapeamento dos usuários por setores (relação de
permissões de dispositivos, pastas, acessos)
Relação de softwares A SEREM avaliados por gestores
Relação de softwares JÁ avaliados por gestores
Relação de softwares de risco (não permitidos),
homologados e desconhecidos (para avaliação ou
homologação)
![Page 17: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/17.jpg)
Análise de Vulnerabilidades
• Scan realizado nos domínios e portais
• Compara as 10 vulnerabilidades mais comuns
(TOP 10 OWASP) e outras (Infraestrutura e
outras vulnerabilidades)
• São realizadas cerca de 20 análises/semana
![Page 18: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/18.jpg)
Análise de Vulnerabilidades
![Page 19: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/19.jpg)
Análise de Vulnerabilidades
• POC da solução – Julho/2012 - Dezembro/2012 (4 soluções
testadas)
• 3 profissionais do time de CSIRT dedicados na ferramenta
• Acesso ao ambiente previamente autorizado pelo cliente
• Envia e analisa cerca de 5000 pacotes por hora
• Relatório detalhado com recomendações de correção
![Page 20: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/20.jpg)
Relatório Detalhado
![Page 21: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/21.jpg)
Relatório Detalhado
![Page 22: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/22.jpg)
Após a Implantação Servidores + Estações de Trabalho
0
200
400
600
800
1000
1200
591 617
1076
801 818
630 697 672
498
354 326 337 455 429
355 498
435 374 391
96 127
122
88 92
84
169 81
58
32 33 23
41 55
47
75 65
27 18
TOTAL DE OCORRÊNCIAS CSIRT JAN-2012 A JUL-2013
Estações Servidores
Implantação
dos sistemas
![Page 23: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/23.jpg)
Após a Implantação Servidores + Estações de Trabalho
687 744
1198
889 910
714
866
753
556
386 359 360
496 484
402
573
500
401 409
REDUÇÃO NAS OCORRÊNCIAS CSIRT JAN-2012 A JUL-2013
Redução de
54% nos incidentes
![Page 24: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/24.jpg)
Desafios e Dificuldades
• Ausência de ferramentas de Inteligência
• Tempo de aquisição de ferramentas (média 2 anos)
• Estigma de que CSIRT é só reativo
• Justificar PoC de ferramentas
• Apoio de parceiros (Infra, Desenvolvimento e Rede Local)
• Capacitação da equipe
• Manutenção e implantação de ferramentas
opensource
![Page 25: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/25.jpg)
Conclusão
• 2012
– 42 desfigurações
– Análises de Vulnerabilidade reativas
– POC de soluções de mercado
• 2013
– 14 desfigurações (até 16/09)
– Análise de Vulnerabilidade proativas – Foco Data Center
– Lean Six Sigma e GT de Segurança da Informação
– Criação de um novo serviço: Análise de Vulnerabilidade Técnica
• 2014
– Análise de Vulnerabilidade nas páginas externas
![Page 26: Redução de incidentes através da identificação, análise … · •Data Center de 800m2 •3 salas-cofre •3 Mainframes com capacidade para processar cerca de 3.7 bilhões de](https://reader034.fdocumentos.com/reader034/viewer/2022050903/5baf7d6509d3f2c70e8ca649/html5/thumbnails/26.jpg)
Obrigado!
André Braga
(11) 2845-6801
Thiago B. Santana
(11) 2845-6344
INOC: 28637*800