panorama de segurança da informação na rede nacional de ... · (consumo de cpu) como identificar...

Panorama de segurança da informação na Rede Nacional de Ensino e Pesquisa e o papel dos times de segurança

Yuri Alexandro Analista de Segurança da Informação

Centro de Atendimento a Incidentes de Segurança – CAIS

Rede Nacional de Ensino e Pesquisa – RNP

Quem somos

Centro de Atendimento a Incidentes de Segurança • 17 anos de atuação na área de segurança da informação;

• Ponto central de contato de segurança da rede de ensino e pesquisa brasileira.

“O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de

incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar

práticas de segurança em redes.”

http://www.rnp.br/servicos/seguranca

Quem atendemos

O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF.

+ 800 instituições conectadas

+ 27 mil grupos de pesquisa

Quem atendemos


≈ 4 milhões de usuários

Grande quantidade de computadores conectados

Quem atendemos


Comunidade acadêmica e de pesquisa Escolas de educação superior Universidades Centros de Tecnologia Laboratórios Nacionais Institutos de Pesquisa Museus Hospitais universitários Outros

Redes Metropolitanas Rede ReMeSSA Rede GigaCandanga Rede MetroPOA Outras

Como trabalhamos

São alguns dos principais serviços

Tratamento de incidentes

Envio de notificações de incidentes

Ações corretivas e de mitigação

Reativos

Disseminações de informações de segurança

Envio de alertas de segurança

Monitoramento de atividade maliciosa

Proativos

Análise de riscos e conformidade

Campanhas de conscientização em segurança

Apoio a times de segurança da informação

Qualidade

Panorama da segurança da informação na Rede de

Ensino e Pesquisa brasileira

Estatísticas de incidentes (até Nov, 2014)

Alguns números...

371.346 371.346

Alguns números...

Estatísticas de incidentes (até Nov, 2014)

2.109 2.703 2.316 361 426 7.560

3.869 2.959 5.413 5.489

31.787

606 2.759 1.509

30.909

13.066

2.093

67.338

117.872

1.302 331 852

12.241 8.778

1.526

28.990

1.759

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000

AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO

INCIDENTES POR ESTADOS DA FEDERAÇÃO (NOV, 2014)

2.109 2.703 2.316 361 426 7.560

3.869 2.959 5.413 5.489

31.787

606 2.759 1.509

30.909

13.066

2.093

67.338

117.872

1.302 331 852

12.241 8.778

1.526

28.990

1.759

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000


2.109 2.703 2.316 361 426 7.560

3.869 2.959 5.413 5.489

31.787

606 2.759 1.509

30.909

13.066

2.093

67.338

117.872

1.302 331 852

12.241 8.778

1.526

28.990

1.759

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000


2.109 2.703 2.316 361 426 7.560

3.869 2.959 5.413 5.489

31.787

606 2.759 1.509

30.909

13.066

2.093

67.338

117.872

1.302 331 852

12.241 8.778

1.526

28.990

1.759

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000


Ainda números...

847

14.099

112

21.398

186

308

1.696

806

743

11.005

21

170.693

219

178

2.943

795

486

8.390

7

133.383

317

140

2.088

485

1 10 100 1.000 10.000 100.000 1.000.000

Conteúdo abusivo

Código malicioso

Prospecção porinformações

Tentativa de intrusão

Intrusão

Indisponibilidade deserviço ou informação

Fraude

Outros

1° Quadrimestre

2° Quadrimestre

3° Quadrimestre

PRINCIPAIS TIPOS DE ATAQUES (até Nov, 2014)

2.076

33.494

140

325.475

722

626

6.727

2.086

Enquanto isso, na Bahia.

17

32 30

45

22

39 38 46

61

55

42

0

10

20

30

40

50

60

70

80

90

100

JAN FEV MAR ABR MAR JUN JUL AGO SET OUT NOV

Notificações de incidentes de Instituições da Bahia por mês (até Nov, 2014)

TOP 1

314.340

11.135

1 10 100 1.000 10.000 100.000 1.000.000

Tentativa de exploração de vulnerabilidades

Tentativa de login

Outros

TENTATIVAS DE INTRUSÃO (até Novembro de 2014)

¹ Acontece quando um atacante, através de uma falha ou fragilidade no sistema ou computador, tenta executar ações maliciosas.

• Invadir um sistema; • Acessar informações pessoais e confidenciais; • Disparar ataques a outros computadores; • Tornar um serviço inacessível.

¹

TOP 1

314.340

11.135

1 10 100 1.000 10.000 100.000 1.000.000


Tentativa de login

Outros


¹

Em março foi anunciada uma falha crítica no OpenSSL chamada “Heartbleed”.

Sistema de e-mail da AOL foi comprometido 50 milhões de contas de usuários usadas para atividades maliciosas.

Na RNP, foram realizadas diversas ações para reduzir os impactos da vulnerabilidade.

19

4

1 10 100


Tentativa de login

Enquanto isso, na Bahia...

9 casos do Heartbleed foram identificados.

As correções foram prontamente aplicadas.


33.062

1

1

430

1 10 100 1.000 10.000 100.000

Bot

Worm

Virus

Trojan

Spyware

Scripts

Outros

Ocorrências (Log)

TOP 2

CÓDIGO MALICIOSO (até Novembro de 2014)

² 98% dos incidentes relativos a malwares na rede acadêmica brasileira são causados por máquinas que fazem parte de botnets (redes de bots).

E o que é um bot? Programa que permite um computador ser controlado remotamente.

¹ ²

TOP 2

Sobre códigos maliciosos…

Dados da Cisco: Brasil é o 3º colocado no ranking de países

atacados por malwares.

Dados da Symantec: 5,5 milhões de ataques

na Internet foram bloqueados por dia.

Dados da Karpesky: mais de 5,1 bilhões de

ciberataques foram neutralizados em 2014.

Dados da TrendMicro: mais de 200 mil malwares

foram identificados em 2014 com o único objetivo de interceptar transações

bancárias.

Em 2013, foram identificados mais de 220 mil novos

programas maliciosos por dia. (Fonte: imasters)

TOP 2

Sobre botnets…

Dados do FBI: Redes de botnets

infectam cerca de 18 sistemas por segundo.

Dados da MacSecurity: Botnet “iWorm” já

infectou 20 mil Macs no mundo.

Dados da Eset: Mais de 70% dos ataques

roubaram senhas de usuários e 55% atingiram

alvos corporativos.

Só no 1º semestre de 2014, foram roubados mais de 500

milhões de registros de usuários.

(Fonte: Computer World)

Dados da McAfee: Computadores com Windows XP são os mais visados para

infecção por botnets.


Computadores faziam parte da botnet Sirefef/ZeroAccess

Mineração de bitcoin Click fraud

“Sequestra” os resultados dos principais mecanismos de busca e navegadores (Google, Bing, Yahoo!), direcionando para sites maliciosos.

5

1 10

Bot

Worm

Virus

Trojan

Spyware

Scripts

Ocorrências (Log)

CÓDIGO MALICIOSO (até Novembro de 2014)


Como identificar se o seu computador faz parte de uma botnet?

Computador constante e excessivamente lento

• •


Alta atividade do processador sem motivo aparente

(consumo de CPU)


Alto tráfego de rede sem motivo aparente

(consumo de CPU)




Arquivos ou pastas estranhas criadas no

pendrive



Usuários desconhecidos executando processos


5.232

1.284

211

1 10 100 1.000 10.000

Violação de direitos autorais

Fingir ou falsificar identidade ou instituição

Uso de recursos de forma não autorizada

Outros

TOP 3

FRAUDES (até Novembro de 2014)

³

³ Violação de Copyright corresponde a 78% dos casos de fraude identificados na rede acadêmica.

Em outros casos, ataques de phishing e engenharia social permitem a captura de dados de acesso e uso de recursos de forma não-autorizada.

TOP 3

Fonte: Google, 2014

http://www.google.com/transparencyreport/removals/copyright/

TOP 3

Uso do “spear phishing” “phishing amigo”, enviado como se fosse uma empresa, organização ou indivíduo conhecidos.

Segundo o relatório anual da APWG, em 2014: - Mais de 3 milhões de domínios em registros de phishing no Brasil. - Desde 2011, o Brasil está entre os 10 maiores países que hospedam sites de phishing no mundo.

Fonte: cyveillance.com

280

8

1 10 100 1000

Violação de direitos autorais

Fingir ou falsificar identidade ou instituição

Uso de recursos de forma não autorizada

Outros


97% dos incidentes identificados na Bahia relacionados à fraudes são de violações de direitos autorais.

Foi identificado um spam phishing com origem na Bahia direcionado para um

órgão federal de justiça no Brasil.

FRAUDES (até Novembro de 2014)


Violação de direito autoral arquivos copiados através de softwares gerenciadores de downloads (HTTP, FTP, p2p, torrents, etc.)

Outros incidentes (até Nov, 2014)

Desfiguração de sites

Rede Ipê: 1052

Bahia: 15


Negação de Serviço

- Mais de 300 servidores DNS e NTP de dentro da Rede Ipê foram utilizados para realizar ataques entre Janeiro e Fevereiro.

- Foram feitas campanhas e divulgação de alertas sobre o problema.

- Em maio, o número voltou a subir...

- No geral em 2014, os registros de negação de serviço cresceram em quantidade e em volume de tráfego.


DNS Hijacking

- Roteadores domésticos alvos de “web-based” ataques

- Atinge dispositivos com configuração de senha padrão.

- Atacante altera informações do servidor DNS para redirecionar usuários a sites maliciosos.

SE TEM ALGO DE ESTRANHO ACONTECENDO...

E agora?

Identificam os incidentes - Qualquer atividade suspeita que podem afetar as informações da

organização ou afetar os usuários e os seus equipamentos;

Trabalham na prevenção e tratamento de incidentes - Minimizam os danos causados por um ataque de segurança consumado;

- Realizam atividades de conscientização e disseminação da cultura em segurança;

Coordenam ações conjuntas com a equipe de TI - Extremamente necessária a atuação de todas as áreas;

TIMES DE RESPOSTA A INCIDENTES

PONTO FOCAL DAS NOTIFICAÇÕES DE INCIDENTES


Notificações internas

Notificações externas

Notificações enviadas pelos usuários!

Há várias formas de se detectar um incidente - Monitoramento de rede;

- Informações dos sistemas de antivírus;

- Sensores de atividade maliciosa;

- etc...


UM CSIRT PODE DISPOR DE VÁRIOS MEIOS DE COMUNICAÇÃO



Análise

Planejamento

Ação Coordenada

Relatórios e estatísticas

CSIRT Corporativo - Trata e responde os incidentes internos da RNP;

- Realiza campanhas internas de conscientização em segurança da informação;

- Realiza auditorias de segurança da informação em de serviços e sistemas da RNP;

CSIRT de Coordenação - Repasse do incidente aos responsáveis;

- Auxílio às instituições da RNP na solução de problemas;

- Coordenação de ações

- Ex. Correção da vulnerabilidade do SSL (heartbleed)

CAIS – O CSIRT da Rede de ensino e pesquisa

AÇÕES PROATIVAS - Envio de alertas de segurança;

- Desde ano 2000, são mais de 960 alerta publicados;

- No ano de 2014, foram publicados 19 alertas de segurança.


53

42

141 135

91 84

111 102

73

30 22 25

16 17 19

0

20

40

60

80

100

120

140

160

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

ALERTAS DIVULGADOS PELO CAIS

PUBLICAÇÕES - Cartilhas de segurança

- Voltados para a segurança no dia-a-dia;

- Fácil linguagem;

- Disponível em: http://www.rnp.br/servicos/seguranca/educacao-e-conscientizacao-seguranca


EVENTOS - DISI

- Dia Internacional de Segurança em Informática

- Mês de Segurança - Mês de divulgação de ações em segurança da informação

- EnCSIRT

- Encontro dos CSIRTs da rede de ensino e pesquisa


EDUCAÇÃO

- Palestras

- GTS, FIRST, WTR, EnSI

- Cursos

- SCI/RNP, CLARA-TEC, TICAL, WRNP


SGIS – SISTEMA DE GESTÃO DE INCIDENTES DE SEGURANÇA

- Fácil gerenciamento dos incidentes pelas próprias instituições;

- Visualização de relatórios em tempo real;

- Acompanhamento do histórico de incidentes de segurança da informação das instituições;

- Dissociação entre incidentes de segurança e vulnerabilidades identificadas.


- CSIRT de coordenação da rede de ensino e pesquisa na Bahia

- Atua como ponto focal de segurança na ReMeSSA

- Primeiro CSIRT acadêmico da Bahia


Segundo CSIRT da Rede Ipê na Bahia


CSIRTs na Bahia

CSIRTs são os principais aliado no combate à atividade maliciosa na rede de ensino e pesquisa.

Projeto de desenvolvimento de CSIRTs nas organizações usuárias da Rede Ipê.

Seja analista, técnico ou usuário, atuem como disseminadores dessa iniciativa em sua instituição.

Obrigado

1

panorama de segurança da informação na rede nacional de ... · (consumo de cpu) como identificar...

Documents