grupos de resposta a incidentes: definição, importância, situação

Grupos de Resposta a Incidentes

Definiccedilatildeo Importacircncia Situaccedilatildeo Atuale o Papel do NBSO

Marcelo H P C Chavesmhpnicbr

NIC BR Security Office ndash NBSOBrazilian Computer Emergency Response Team

httpwwwnbsonicbr

Comite Gestor da Internet no Brasilhttpwwwcgorgbr

IV Workshop de Informatica do Sul de Minas PUC Minas ndash Pocos de Caldas ndash p137

Roteiro

bull Breve Histoacuterico

bull CSIRTs definiccedilatildeo tipos autoridadeserviccedilos cooperaccedilatildeo cenaacuterio internacional

bull Histoacuteria do CGIbr e do NBSO

bull Cenaacuterio Nacional de CSIRTs

bull Resposta a Incidentes

bull Iniciativas e Projetos do NBSO


Breve Histoacuterico

bull Final dos Anos 60 ndash Internetndash projeto natildeo considera implicaccedilotildees de seguranccedilandash comunidade de pesquisadoresndash confianccedila

bull 1986ndash ldquoCookoorsquos Eggrdquondash diferenccedila de U$075 na contabilidadendash 30+ sistemas invadidosndash contassenhas oacutebviasndash vulnerabilidades em softwarendash tempo e persistecircncia


Breve Histoacuterico (cont)

bull 1988ndash Internet Worm ndash Robert Morris Jr

ndash 6000+ computadores atingidos

ndash vulnerabilidades do sendmail e finger

ndash uso do arquivo rhosts

ndash mobilizaccedilatildeo em torno do tema seguranccedila

ndash criaccedilatildeo do primeiro CSIRT CERTCC


Incidente de Seguranccedila

Um incidente de seguranccedila pode ser definido comoqualquer evento adverso confirmado ou sob suspeitarelacionado agrave seguranccedila de sistemas de computaccedilatildeo oude redes de computadores

Exemplos

bull tentativas de ganhar acesso natildeo autorizadobull ataques de negaccedilatildeo de serviccedilobull uso ou acesso natildeo autorizado a um sistemabull modificaccedilotildees em um sistema sem o conhecimento ou

consentimento preacutevio do dono

bull desrespeito agrave Poliacutetica de Seguranccedila ou agrave PUA


CSIRT

Computer Emergency Response Team

Um grupo ou organizaccedilatildeo que provecirc serviccedilos e suportepara um puacuteblico bem definido para prevenccedilatildeo tratamentoe resposta a Incidentes de Seguranccedila

bull Ponto central de contato

bull Provecirc informaccedilotildees para o seu puacuteblico

bull Troca informaccedilotildees com outros CSIRTs


Papel do CSIRT

bull Fornececer informaccedilotildees confiaacuteveisndash reduzir as informaccedilotildees que chegam aos

administradores de redes e usuaacuterios

bull Prover recomendaccedilotildees e estrateacutegias

bull Determinar o impacto de incidentes

bull Prover meios para recuperaccedilatildeo raacutepida

bull Ser o ponto de contato com outros grupospoliacutecia miacutedia etc


Tipos de CSIRT e Autoridade

Tiposbull Empresasbull Paiacutesesbull Backbonesbull Oacutergaos Governamentais

Autoridadebull Completabull Parcialbull Indiretabull Sem autoridade


Serviccedilos de um CSIRT

Proativos

bull Filtragem e repasse de informaccedilotildees

bull Disseminaccedilatildeo da cultura de seguranccedila

bull Desenvolvimento de documentaccedilatildeo

bull Treinamentos e orientaccedilatildeo a usuaacuterios

bull Configuraccedilatildeo e manutenccedilatildeo dos sistemas

bull Desenvolvimento de ferramentas


Serviccedilos de um CSIRT (cont)

Reativos

bull Tratamento de Incidentes

bull Coordenaccedilatildeo de accedilotildees

bull Detecccedilatildeo e rastreamento de invasotildees

bull Preservaccedilatildeo de evidecircncias

bull Anaacutelise de artefatos

bull Anaacutelise de vulnerabilidades


Perfil do Profissional

bull Integridade e discriccedilatildeo

bull Sem preacutevio envolvimento com atividades deldquohackingrdquo

bull Conhecimentosndash TCPIPndash ambiente de TI da instituiccedilatildeondash comunicaccedilatildeo (oral e escrita)


Cooperaccedilatildeo entre CSIRTs

bull Essencial para a operaccedilatildeondash permite acesso a informaccedilotildees relevantesndash permite correlaccedilatildeo de eventosndash facilita a resoluccedilatildeo de incidentes

bull Natildeo existe foacutermula maacutegica o grupo necessitandash construir sua reputaccedilatildeondash ganhar a confianccedila de outros grupos


Cooperaccedilatildeo entre CSIRTs (cont)

Como conhecer outros CSIRTs

bull Durante o processo de resposta a incidentesbull Participando de conferecircnciasbull FIRST (Forum of Incident Response and

Security Teams)ndash reuacutene CSIRTs de todo o mundondash promove e facilita a comunicaccedilatildeo

mdashmdashmdashmdashhttpwwwfirstorg IV Workshop de Informatica do Sul de Minas PUC Minas ndash Pocos de Caldas ndash p1337

CSIRTs no Mundo

Fonte CERT Coordination Center IV Workshop de Informatica do Sul de Minas PUC Minas ndash Pocos de Caldas ndash p1437

Histoacuterico e Atuaccedilatildeo doNBSO


Comitecirc Gestor da Internet no Brasilndash CGIbr

bull Criado por portaria interministerial MCTMC147 de 31 de maio de 1995ndash recomendar padrotildees e procedimentos teacutecnicos e

operacionais para a Internet no Brasil

ndash coordenar a atribuiccedilatildeo de endereccedilos Internet oregistro de nomes de domiacutenios e a interconexatildeode backbones

ndash coletar organizar e disseminar informaccedilotildees sobre

os serviccedilos Internet

mdashmdashmdashmdashhttpwwwcgorgbrsobre-cghistoriahtm


CGIbr (cont)

Decreto Nordm 4829 de 3 de setembro de 2003

bull Dispotildee sobre a criaccedilatildeo do Comitecirc Gestor da Internetno Brasil - CGIbr sobre o modelo de governanccedila daInternet no Brasil e daacute outras providecircncias

bull Composiccedilatildeo 21 membros ndash MCT Casa Civil MC

Defesa MDIC MP Anatel representantes da

comunidade acadecircmica e empresarial entre outros

mdashmdashmdashmdashhttpwwwcgorgbrregulamentacao


Criaccedilatildeo do NBSO

Agosto1996 documento ldquoRumo agrave Criaccedilatildeo deuma Coordenadoria de Seguranccedila de Redes naInternet Brasilrdquo apontando a necessidade de

bull Um ponto central de contatobull Manutenccedilatildeo de estatiacutesticas sobre incidentes na

Internet Brasileirabull Neutralidade para coordenar accedilotildees entre redes

envolvidas em incidentesbull Representaccedilatildeo junto a oacutergatildeos internacionais de

seguranccedila

Junho1997 criado o NBSOmdashmdashmdashmdashhttpwwwcgorgbrgrupohistorico-gtshtm


Missatildeo do NBSO

CSIRT responsaacutevel por receber analisar eresponder a incidentes de seguranccedila emcomputadores envolvendo redes conectadas agraveInternet Brasileira Atua

bull no trabalho de conscientizaccedilatildeo sobre osproblemas de seguranccedila

bull no auxiacutelio ao estabelecimento de novosCSIRTs no Brasil

bull no desenvolvimento de documentaccedilatildeobull na coordenaccedilatildeo do tratamento de incidentes

mdashmdashmdashmdashhttpwwwnbsonicbrmissaohtml


Coordenaccedilatildeo do Tratamento deIncidentes

bull Ponto central de contato para a Internet noBrasil

bull Facilitaccedilatildeo de accedilotildees entre redes envolvidasem incidentes

ndash colocar as partes em contatondash prover apoio necessaacuterio para recuperaccedilatildeo

e anaacutelise de sistemas comprometidos

bull Trabalho colaborativo com outras entidadescomo as poliacutecias provedores backbones esetor financeiro


CSIRTs Brasileiros

mdashmdashmdashmdashhttpwwwnbsonicbrcontato-brhtml


CSIRTs Brasileiros (cont)

Grupos natildeo listados na paacutegina do NBSO

bull CSIRT Banco do Brasil

bull CSIRT Bradesco

bull Citibank

bull GRA Caixa Econocircmica Federal

bull GRA SERPRO

bull Itauacute

bull Telemar



Projeto INOC-DBAlowast BRSistema de comunicaccedilatildeo imediata entre operadores de

redes e CSIRTs baseado em telefonia IP

bull 120 telefones IP distribuiacutedos pelo CGIbrparandash 100 maiores AS (Autonomous Systems) do Brasil

ndash 20 CSIRTs (nomeados pelo NBSO)

mdashmdashmdashmdashlowast INOC-DBA (Internet Network Operation Centers ndash Dial By AS Number)Hotline Phone System ndash httpwwwpchnetinoc-dba


Resposta a Incidentes



Recebimento de notificaccedilotildees de incidentesbull Quase totalidade por email

ndash forma mais usada pela comunidade de CSIRTs

bull Origem variadandash administradores de redes usuaacuterios outrosndash CSIRTs

bull Natureza das notificaccedilotildeesndash varreduras tentativas de comprometimentondash violaccedilatildeo de direitos autorais

bull Accedilotildees tomadasndash checagem dos contatos notificaccedilotildees de outros sitesndash acompanhamento e estatiacutesticas


Resposta a Incidentes (cont)

Outras atividades relacionadas

bull Apoio a recuperaccedilatildeo de incidentes

bull Correlaccedilatildeo de eventos de seguranccedilaobservados com outras fontes

bull Duacutevidas sobre seguranccedila usuaacuteriosadministradores e miacutedia


Iniciativas e Projetos doNBSO


Documentos em Portuguecircs

Produccedilatildeo de Documentos

bull Cartilha de Seguranccedila para Internetndash I Conceitos de Seguranccedila

ndash II Riscos Envolvidos no Uso da Internet e Meacutetodos de Prevenccedilatildeo

ndash III Privacidade

ndash IV Fraudes na Internet

ndash V Redes de Banda Larga e Redes Sem Fio (Wireless)

ndash VI Spam

ndash VII Incidentes de Seguranccedila e Uso Abusivo da Rede

ndash Checklist

ndash Glossaacuterio

mdashmdashmdashmdashhttpwwwnbsonicbrdocscartilha


Documentos em Portuguecircs (cont)


bull Praacuteticas de Seguranccedila para Administradoresde Redeshttpwwwnbsonicbrdocsseg-adm-redes

bull Traduccedilatildeo de Documentos do CERTCCndash Advisories

ndash Documentos sobre CSIRTs

httpwwwnbsonicbrcertccadvisories

httpwwwnbsonicbrcsirts


Formaccedilatildeo e Capacitaccedilatildeo deCSIRTs

Enfoque no aumento da capacidade nacional deresposta a incidentes de seguranccedila

bull Carnegie Mellon Software EngineeringInstitute Partner

bull Cursos do CERT Coordination Centerndash Fundamentals of Incident Handling

ndash Advanced Incident Handling for Technical Staff

mdashmdashmdashmdashhttpwwwnbsonicbrcursos


Notificaccedilotildees

bull Consultas regulares em bases mundiais deabuso

bull Identificaccedilatildeo de IPs brasileiros

bull Envio de notificaccedilotildees para os responsaacuteveisdas redes

bull Alguns exemplosndash The Open Relay DataBase (ORDBorg)ndash Smurf Amplifier Registry (SAR)


Notificaccedilotildees de Spam

Controle e Acompanhamento de Notificaccedilotildees deSpam

bull Recebidos via SpamCop

bull Notificaccedilotildees e estatiacutesticas

bull Perfil do spam no Brasil tipo mais comum eorigem

bull Ajudar redes brasileiras a direcionar esforccedilos

bull Natildeo usar para blacklistmdashmdashmdashmdashhttpwwwnbsonicbrstatsspam


Estatiacutesticas de Incidentes

Anunciadas trimestralmente

bull apenas os incidentes reportados ao NBSO

bull divididos por categoria (varredura fraudesinvasotildees etc)

bull Determinaccedilatildeo de novas tendecircncias deataques

mdashmdashmdashmdashhttpwwwnbsonicbrstatsincidentes


Estatiacutesticas de Incidentes (cont)

Incidentes reportados ao NBSO ateacute o mecircs de agosto


Consoacutercio Brasileiro de Honeypots

bull Honeypots satildeo mantidos pelas instituiccedilotildees consorciadas

bull Objetivo de aumentar no espaccedilo Internet brasileiro acapacidade de

ndash detecccedilatildeo de incidentes correlaccedilatildeo de eventos

ndash determinaccedilatildeo de tendecircncias de ataques

bull Utilizaccedilatildeo dos dados por grupos de resposta a incidentes

bull Uso dos dados pelo NBSOndash Identificaccedilatildeo de ataques conhecidos detecccedilatildeo de servidores comprometidos

realizando varreduras

ndash Detecccedilatildeo de wormsviacuterusmostram um nuacutemero enorme de maacutequinasvulneraacuteveis facilmente exploraacuteveis

ndash Comparaccedilatildeo com incidentes reportados voluntariamente

mdashmdashmdashmdashhttpwwwhoneypots-allianceorgbr


Referecircncias

bull NBSO - NIC BR Security OfficeBrazilian Computer Emergency Response Teamhttpwwwnbsonicbr

bull Comitecirc Gestor da Internet no Brasilhttpwwwcgorgbr

bull Material de Apoio para CSIRTshttpwwwnbsonicbrcsirts

bull Cursos do CERTCC ministrados pelo NBSOhttpwwwnbsonicbrcursos

bull Documentaccedilatildeo sobre Seguranccedila e Administraccedilatildeo de Redeshttpwwwnbsonicbrdocs


Referecircncias (cont)

bull Estatiacutesticas de Notificaccedilotildees de Spam Reportadas ao NBSOhttpwwwnbsonicbrstatsspam

bull Estatiacutesticas de Incidentes Reportadas ao NBSOhttpwwwnbsonicbrstatsincidentes

bull Documentos RFCs e sites relacionadoshttpwwwnbsonicbrlinks

bull Material desta apresentaccedilatildeohttpwwwnbsonicbrdocspalestras

bull Consoacutercio Brasileiro de Honeypotshttpwwwhoneypots-allianceorgbr


Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo

Comitecirc Gestor da Internet no Brasil -- CGIbr

CGIbr (cont)


Missatildeo do NBSO

Coordenaccedilatildeo do Tratamento de Incidentes

CSIRTs Brasileiros







Formaccedilatildeo e Capacitaccedilatildeo de CSIRTs






Referecircncias


Roteiro

bull Breve Histoacuterico

bull CSIRTs definiccedilatildeo tipos autoridadeserviccedilos cooperaccedilatildeo cenaacuterio internacional

bull Histoacuteria do CGIbr e do NBSO

bull Cenaacuterio Nacional de CSIRTs

bull Resposta a Incidentes

bull Iniciativas e Projetos do NBSO
















Exemplos





CSIRT







Papel do CSIRT













Proativos









Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias
















Exemplos





CSIRT







Papel do CSIRT













Proativos









Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias


CSIRT







Papel do CSIRT













Proativos









Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias


Papel do CSIRT













Proativos









Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias







Proativos









Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias



Reativos






















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias
















CSIRTs no Mundo












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias












CGIbr (cont)













seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias







seguranccedila



Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias


Missatildeo do NBSO














CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias









CSIRTs Brasileiros






bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias





bull CSIRT Bradesco

bull Citibank


bull GRA SERPRO

bull Itauacute

bull Telemar

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias

































ndash VI Spam


ndash Checklist























































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias





















































Referecircncias














Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias









Roteiro




CSIRT

Papel do CSIRT







CSIRTs no Mundo


CGIbr (cont)


Missatildeo do NBSO


CSIRTs Brasileiros













Referecircncias


grupos de resposta a incidentes: definição, importância, situação

Documents