Modelo de gestão de vulnerabilidades para a rede

acadêmica brasileira

CAIS – Centro de Atendimento à Incidentes de Segurança

Tópicos

• Sobre a RNP & CAIS

• O que é Gestão de Vulnerabilidades

• Motivação & Objetivos

• Processo de Gestão de Vulnerabilidades

• Desafios e Decisões

• Plataforma Greenbone Vulnerability Management (OpenVAS)

• Resultados alcançados

• Conclusão

Sobre a RNP & CAIS

• “Somos uma rede avançada de alcance nacional

para educação superior, pesquisa e inovação.

Em 1992, ajudamos a trazer a internet para o

Brasil e continuamos a promover o uso inovador

de Tecnologias da Informação e Comunicação,

impulsionando ciência e educação para todos.”

• Rede Ipê (backbone RNP – ASN 1916)

• 27 Pontos de Presença (PoPs);

• +1500 campi e unidades de instituições de

ensino, pesquisa e saúde em todo o país;

• Mais de 3,5 milhões de usuários.

Sobre a RNP & CAIS

Sobre a RNP & CAIS

Sobre a RNP & CAIS

Sobre a RNP & CAIS

Sobre a RNP & CAIS

O que é Gestão de Vulnerabilidades

• Citado na ABNT NBR ISO/IEC 27002:2013

• Pode ser parte do processo de “Gestão de Mudanças”, por exemplo.

• Gestão de Vulnerabilidades != Gestão de Riscos

• Gestão de vulnerabilidades, normalmente, é voltado para questões tecnológicas

do ambiente, mas não se restringe a isso.

• Pode ser definido como:

Motivação & Objetivos

• Alto número de notificações referentes a vulnerabilidades na rede acadêmica;

• Parceiros & Varreduras esporádicas

• Inconsistência de informações de parceiros

• Necessidade de validar dados repassados

• Base central de informações e de “propriedade” da RNP

• Controle sobre varreduras

• Escopo & Periodicidade

• Varreduras específicas de acordo com nossas necessidades

• Maior número de incidentes = Vulnerabilidades mais exploradas

O processo de Gestão de Vulnerabilidades

• Alguns benefícios de um processo de gestão de vulnerabilidades

Conhecimento do ambiente;

Auxílio para tomada de decisão;

Priorização de ações

...

O processo de Gestão de Vulnerabilidades

• Basicamente composto pelas seguintes etapas

O processo de Gestão de Vulnerabilidades

• Desafios encontrados

Quantidade de ativos;

Duração das varreduras;

Degradação da rede ou serviços;

Dimensão do backbone;

BD da plataforma de análise com problemas de performance (PgSQL);

...

http://www.gamemuseum.es/wp-content/uploads/2014/04/challenger.png

O processo de Gestão de Vulnerabilidades

• Decisões...

https://live.staticflickr.com/5741/20141007433_6cef5546c6_b.jpg

O processo de Gestão de Vulnerabilidades

• Máquinas de varreduras alocadas em cada um dos 27 PoP’s

• Nó central de controle alocado na rede do CAIS

• Porém, cada PoP pode operar de forma autônoma

• Cada PoP executa varredura em seu range de IP’s

• Cada range pode ser divido em sub-redes

O processo de Gestão de Vulnerabilidades

• Periodicidade X Tempo de varredura

• Algumas redes (“/16” & UDP Scan) demoravam mais de 32 horas para serem

analisadas;

• Uma varredura a cada 48 horas (mínimo).

• Redes analisadas & Vulnerabilidades observadas

• Redes “/16” são analisadas em processos separados (serviços dedicados);

• Inicialmente vulnerabilidades tratadas eram relacionadas a DDoS:

• NTP Monlist, OpenDNS, OpenSNMP...

• Vulnerabilidades observadas são ajustadas conforme demanda/necessidade:

• RDP, SSH, SSL...

Plataforma Greenbone Vulnerability Management (OpenVAS)

• Projeto ativo em:

• www.openvas.org

• Atualmente na versão 10

• Possui mais de 50k NVTs

• Network Vulnerability Tests

• “API” própria

• OMP – OpenVAS Management Protocol

Resultados alcançados

• Rede Ipê:

• Aumento de cerca de 25% no total de vulnerabilidades detectadas;

• Em comparação com os dados repassados por parceiros

• Redução de mais de 80% em alguns PoPs

• Redução média na casa de 35%

• Próximos passos

• Aumentar o escopo de vulnerabilidades analisadas

• Melhorar integração com SGIS e estatísticas

• Varreduras em IPv6

Resultados alcançados

• Rede Ipê:

• Guia de Gestão de Vulnerabilidades

• Documento estruturado com todas as etapas básicas do processo de gestão

de vulnerabilidades.

• Disponível em:

https://www.cais.rnp.br/docs/guia-gest-vulns-v2.pdf

Resultados alcançados

• Projeto piloto junto a EMBRAPA Sede (DF)

• Projeto iniciado em Dez/2018 e finalizando em Set/2019

• Principais resultados obtidos

• Definição de “escopo crítico”;

• Redução de +90% em vulnerabilidades de nível ALTO

• Objetivo inicial

• Próximos passos

• Implantação efetiva nas demais unidades e tratamento de todas outras

vulnerabilidades encontradas.

Conclusão

• Gestão de Vulnerabilidades != Gestão de Risco

Gestão de Riscos é mais abrangente e focada no “negócio”

Gestão de Vulnerabilidades é mais focada em TI

• Processo de Gestão de Vulnerabilidades é fundamental para qualquer organização;

• Processo não é ferramenta!

Maturidade no processo pode trazer a tona a necessidade de consultoria

especializada e ferramentas mais específicas;

• Respeitar as fases para o processo de mitigação

• Entendimento dos problemas X Priorização das soluções

Dúvidas???

Contatos

Ministério daDefesa

Ministério daCultura

Ministério daSaúde

Ministério daEducação

Ministério daCiência, Tecnologia, Inovações

e Comunicações

OBRIGADO!

André Landim

Analista de Segurança da Informação – CAIS/RNP