modelo de gestão de vulnerabilidades para a rede acadêmica ... · o que é gestão de...
TRANSCRIPT
Modelo de gestão de vulnerabilidades para a rede
acadêmica brasileira
CAIS – Centro de Atendimento à Incidentes de Segurança
Tópicos
• Sobre a RNP & CAIS
• O que é Gestão de Vulnerabilidades
• Motivação & Objetivos
• Processo de Gestão de Vulnerabilidades
• Desafios e Decisões
• Plataforma Greenbone Vulnerability Management (OpenVAS)
• Resultados alcançados
• Conclusão
Sobre a RNP & CAIS
• “Somos uma rede avançada de alcance nacional
para educação superior, pesquisa e inovação.
Em 1992, ajudamos a trazer a internet para o
Brasil e continuamos a promover o uso inovador
de Tecnologias da Informação e Comunicação,
impulsionando ciência e educação para todos.”
• Rede Ipê (backbone RNP – ASN 1916)
• 27 Pontos de Presença (PoPs);
• +1500 campi e unidades de instituições de
ensino, pesquisa e saúde em todo o país;
• Mais de 3,5 milhões de usuários.
Sobre a RNP & CAIS
Sobre a RNP & CAIS
Sobre a RNP & CAIS
Sobre a RNP & CAIS
Sobre a RNP & CAIS
O que é Gestão de Vulnerabilidades
• Citado na ABNT NBR ISO/IEC 27002:2013
• Pode ser parte do processo de “Gestão de Mudanças”, por exemplo.
• Gestão de Vulnerabilidades != Gestão de Riscos
• Gestão de vulnerabilidades, normalmente, é voltado para questões tecnológicas
do ambiente, mas não se restringe a isso.
• Pode ser definido como:
Motivação & Objetivos
• Alto número de notificações referentes a vulnerabilidades na rede acadêmica;
• Parceiros & Varreduras esporádicas
• Inconsistência de informações de parceiros
• Necessidade de validar dados repassados
• Base central de informações e de “propriedade” da RNP
• Controle sobre varreduras
• Escopo & Periodicidade
• Varreduras específicas de acordo com nossas necessidades
• Maior número de incidentes = Vulnerabilidades mais exploradas
O processo de Gestão de Vulnerabilidades
• Alguns benefícios de um processo de gestão de vulnerabilidades
Conhecimento do ambiente;
Auxílio para tomada de decisão;
Priorização de ações
...
O processo de Gestão de Vulnerabilidades
• Basicamente composto pelas seguintes etapas
O processo de Gestão de Vulnerabilidades
• Desafios encontrados
Quantidade de ativos;
Duração das varreduras;
Degradação da rede ou serviços;
Dimensão do backbone;
BD da plataforma de análise com problemas de performance (PgSQL);
...
http://www.gamemuseum.es/wp-content/uploads/2014/04/challenger.png
O processo de Gestão de Vulnerabilidades
• Decisões...
https://live.staticflickr.com/5741/20141007433_6cef5546c6_b.jpg
O processo de Gestão de Vulnerabilidades
• Máquinas de varreduras alocadas em cada um dos 27 PoP’s
• Nó central de controle alocado na rede do CAIS
• Porém, cada PoP pode operar de forma autônoma
• Cada PoP executa varredura em seu range de IP’s
• Cada range pode ser divido em sub-redes
O processo de Gestão de Vulnerabilidades
• Periodicidade X Tempo de varredura
• Algumas redes (“/16” & UDP Scan) demoravam mais de 32 horas para serem
analisadas;
• Uma varredura a cada 48 horas (mínimo).
• Redes analisadas & Vulnerabilidades observadas
• Redes “/16” são analisadas em processos separados (serviços dedicados);
• Inicialmente vulnerabilidades tratadas eram relacionadas a DDoS:
• NTP Monlist, OpenDNS, OpenSNMP...
• Vulnerabilidades observadas são ajustadas conforme demanda/necessidade:
• RDP, SSH, SSL...
Plataforma Greenbone Vulnerability Management (OpenVAS)
• Projeto ativo em:
• www.openvas.org
• Atualmente na versão 10
• Possui mais de 50k NVTs
• Network Vulnerability Tests
• “API” própria
• OMP – OpenVAS Management Protocol
Resultados alcançados
• Rede Ipê:
• Aumento de cerca de 25% no total de vulnerabilidades detectadas;
• Em comparação com os dados repassados por parceiros
• Redução de mais de 80% em alguns PoPs
• Redução média na casa de 35%
• Próximos passos
• Aumentar o escopo de vulnerabilidades analisadas
• Melhorar integração com SGIS e estatísticas
• Varreduras em IPv6
Resultados alcançados
• Rede Ipê:
• Guia de Gestão de Vulnerabilidades
• Documento estruturado com todas as etapas básicas do processo de gestão
de vulnerabilidades.
• Disponível em:
https://www.cais.rnp.br/docs/guia-gest-vulns-v2.pdf
Resultados alcançados
• Projeto piloto junto a EMBRAPA Sede (DF)
• Projeto iniciado em Dez/2018 e finalizando em Set/2019
• Principais resultados obtidos
• Definição de “escopo crítico”;
• Redução de +90% em vulnerabilidades de nível ALTO
• Objetivo inicial
• Próximos passos
• Implantação efetiva nas demais unidades e tratamento de todas outras
vulnerabilidades encontradas.
Conclusão
• Gestão de Vulnerabilidades != Gestão de Risco
Gestão de Riscos é mais abrangente e focada no “negócio”
Gestão de Vulnerabilidades é mais focada em TI
• Processo de Gestão de Vulnerabilidades é fundamental para qualquer organização;
• Processo não é ferramenta!
Maturidade no processo pode trazer a tona a necessidade de consultoria
especializada e ferramentas mais específicas;
• Respeitar as fases para o processo de mitigação
• Entendimento dos problemas X Priorização das soluções
Dúvidas???
Contatos
Ministério daDefesa
Ministério daCultura
Ministério daSaúde
Ministério daEducação
Ministério daCiência, Tecnologia, Inovações
e Comunicações
OBRIGADO!
André Landim
Analista de Segurança da Informação – CAIS/RNP