panorama de segurança da informação na rede nacional de ... · (consumo de cpu) como identificar...
TRANSCRIPT
Panorama de segurança da informação na Rede Nacional de Ensino e Pesquisa e o papel dos times de segurança
Yuri Alexandro Analista de Segurança da Informação
Centro de Atendimento a Incidentes de Segurança – CAIS
Rede Nacional de Ensino e Pesquisa – RNP
Quem somos
Centro de Atendimento a Incidentes de Segurança • 17 anos de atuação na área de segurança da informação;
• Ponto central de contato de segurança da rede de ensino e pesquisa brasileira.
“O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de
incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar
práticas de segurança em redes.”
http://www.rnp.br/servicos/seguranca
Quem atendemos
O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF.
+ 800 instituições conectadas
+ 27 mil grupos de pesquisa
Quem atendemos
O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF.
≈ 4 milhões de usuários
Grande quantidade de computadores conectados
Quem atendemos
O CAIS atende a todas as instituições que estão conectadas à rede nacional de ensino e pesquisa nos 26 estados brasileiros e mais o DF.
Comunidade acadêmica e de pesquisa Escolas de educação superior Universidades Centros de Tecnologia Laboratórios Nacionais Institutos de Pesquisa Museus Hospitais universitários Outros
Redes Metropolitanas Rede ReMeSSA Rede GigaCandanga Rede MetroPOA Outras
Como trabalhamos
São alguns dos principais serviços
Tratamento de incidentes
Envio de notificações de incidentes
Ações corretivas e de mitigação
Reativos
Disseminações de informações de segurança
Envio de alertas de segurança
Monitoramento de atividade maliciosa
Proativos
Análise de riscos e conformidade
Campanhas de conscientização em segurança
Apoio a times de segurança da informação
Qualidade
Alguns números...
Estatísticas de incidentes (até Nov, 2014)
2.109 2.703 2.316 361 426 7.560
3.869 2.959 5.413 5.489
31.787
606 2.759 1.509
30.909
13.066
2.093
67.338
117.872
1.302 331 852
12.241 8.778
1.526
28.990
1.759
0
20.000
40.000
60.000
80.000
100.000
120.000
140.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
INCIDENTES POR ESTADOS DA FEDERAÇÃO (NOV, 2014)
2.109 2.703 2.316 361 426 7.560
3.869 2.959 5.413 5.489
31.787
606 2.759 1.509
30.909
13.066
2.093
67.338
117.872
1.302 331 852
12.241 8.778
1.526
28.990
1.759
0
20.000
40.000
60.000
80.000
100.000
120.000
140.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
2.109 2.703 2.316 361 426 7.560
3.869 2.959 5.413 5.489
31.787
606 2.759 1.509
30.909
13.066
2.093
67.338
117.872
1.302 331 852
12.241 8.778
1.526
28.990
1.759
0
20.000
40.000
60.000
80.000
100.000
120.000
140.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
2.109 2.703 2.316 361 426 7.560
3.869 2.959 5.413 5.489
31.787
606 2.759 1.509
30.909
13.066
2.093
67.338
117.872
1.302 331 852
12.241 8.778
1.526
28.990
1.759
0
20.000
40.000
60.000
80.000
100.000
120.000
140.000
AC AL AM AP BA CE DF ES GO MA MG MS MT PA PB PE PI PR RJ RN RO RR RS SC SE SP TO
Ainda números...
847
14.099
112
21.398
186
308
1.696
806
743
11.005
21
170.693
219
178
2.943
795
486
8.390
7
133.383
317
140
2.088
485
1 10 100 1.000 10.000 100.000 1.000.000
Conteúdo abusivo
Código malicioso
Prospecção porinformações
Tentativa de intrusão
Intrusão
Indisponibilidade deserviço ou informação
Fraude
Outros
1° Quadrimestre
2° Quadrimestre
3° Quadrimestre
PRINCIPAIS TIPOS DE ATAQUES (até Nov, 2014)
2.076
33.494
140
325.475
722
626
6.727
2.086
Enquanto isso, na Bahia.
17
32 30
45
22
39 38 46
61
55
42
0
10
20
30
40
50
60
70
80
90
100
JAN FEV MAR ABR MAR JUN JUL AGO SET OUT NOV
Notificações de incidentes de Instituições da Bahia por mês (até Nov, 2014)
TOP 1
314.340
11.135
1 10 100 1.000 10.000 100.000 1.000.000
Tentativa de exploração de vulnerabilidades
Tentativa de login
Outros
TENTATIVAS DE INTRUSÃO (até Novembro de 2014)
¹ Acontece quando um atacante, através de uma falha ou fragilidade no sistema ou computador, tenta executar ações maliciosas.
• Invadir um sistema; • Acessar informações pessoais e confidenciais; • Disparar ataques a outros computadores; • Tornar um serviço inacessível.
¹
TOP 1
314.340
11.135
1 10 100 1.000 10.000 100.000 1.000.000
Tentativa de exploração de vulnerabilidades
Tentativa de login
Outros
TENTATIVAS DE INTRUSÃO (até Novembro de 2014)
¹
Em março foi anunciada uma falha crítica no OpenSSL chamada “Heartbleed”.
Sistema de e-mail da AOL foi comprometido 50 milhões de contas de usuários usadas para atividades maliciosas.
Na RNP, foram realizadas diversas ações para reduzir os impactos da vulnerabilidade.
19
4
1 10 100
Tentativa de exploração de vulnerabilidades
Tentativa de login
Enquanto isso, na Bahia...
9 casos do Heartbleed foram identificados.
As correções foram prontamente aplicadas.
TENTATIVAS DE INTRUSÃO (até Novembro de 2014)
33.062
1
1
430
1 10 100 1.000 10.000 100.000
Bot
Worm
Virus
Trojan
Spyware
Scripts
Outros
Ocorrências (Log)
TOP 2
CÓDIGO MALICIOSO (até Novembro de 2014)
² 98% dos incidentes relativos a malwares na rede acadêmica brasileira são causados por máquinas que fazem parte de botnets (redes de bots).
E o que é um bot? Programa que permite um computador ser controlado remotamente.
¹ ²
TOP 2
Sobre códigos maliciosos…
Dados da Cisco: Brasil é o 3º colocado no ranking de países
atacados por malwares.
Dados da Symantec: 5,5 milhões de ataques
na Internet foram bloqueados por dia.
Dados da Karpesky: mais de 5,1 bilhões de
ciberataques foram neutralizados em 2014.
Dados da TrendMicro: mais de 200 mil malwares
foram identificados em 2014 com o único objetivo de interceptar transações
bancárias.
Em 2013, foram identificados mais de 220 mil novos
programas maliciosos por dia. (Fonte: imasters)
TOP 2
Sobre botnets…
Dados do FBI: Redes de botnets
infectam cerca de 18 sistemas por segundo.
Dados da MacSecurity: Botnet “iWorm” já
infectou 20 mil Macs no mundo.
Dados da Eset: Mais de 70% dos ataques
roubaram senhas de usuários e 55% atingiram
alvos corporativos.
Só no 1º semestre de 2014, foram roubados mais de 500
milhões de registros de usuários.
(Fonte: Computer World)
Dados da McAfee: Computadores com Windows XP são os mais visados para
infecção por botnets.
Enquanto isso, na Bahia...
Computadores faziam parte da botnet Sirefef/ZeroAccess
Mineração de bitcoin Click fraud
“Sequestra” os resultados dos principais mecanismos de busca e navegadores (Google, Bing, Yahoo!), direcionando para sites maliciosos.
5
1 10
Bot
Worm
Virus
Trojan
Spyware
Scripts
Ocorrências (Log)
CÓDIGO MALICIOSO (até Novembro de 2014)
Enquanto isso, na Bahia...
Como identificar se o seu computador faz parte de uma botnet?
Computador constante e excessivamente lento
• •
Enquanto isso, na Bahia...
Alta atividade do processador sem motivo aparente
(consumo de CPU)
Como identificar se o seu computador faz parte de uma botnet?
Alto tráfego de rede sem motivo aparente
(consumo de CPU)
Enquanto isso, na Bahia...
Como identificar se o seu computador faz parte de uma botnet?
Enquanto isso, na Bahia...
Arquivos ou pastas estranhas criadas no
pendrive
Como identificar se o seu computador faz parte de uma botnet?
Enquanto isso, na Bahia...
Usuários desconhecidos executando processos
Como identificar se o seu computador faz parte de uma botnet?
5.232
1.284
211
1 10 100 1.000 10.000
Violação de direitos autorais
Fingir ou falsificar identidade ou instituição
Uso de recursos de forma não autorizada
Outros
TOP 3
FRAUDES (até Novembro de 2014)
³
³ Violação de Copyright corresponde a 78% dos casos de fraude identificados na rede acadêmica.
Em outros casos, ataques de phishing e engenharia social permitem a captura de dados de acesso e uso de recursos de forma não-autorizada.
TOP 3
Uso do “spear phishing” “phishing amigo”, enviado como se fosse uma empresa, organização ou indivíduo conhecidos.
Segundo o relatório anual da APWG, em 2014: - Mais de 3 milhões de domínios em registros de phishing no Brasil. - Desde 2011, o Brasil está entre os 10 maiores países que hospedam sites de phishing no mundo.
Fonte: cyveillance.com
280
8
1 10 100 1000
Violação de direitos autorais
Fingir ou falsificar identidade ou instituição
Uso de recursos de forma não autorizada
Outros
Enquanto isso, na Bahia...
97% dos incidentes identificados na Bahia relacionados à fraudes são de violações de direitos autorais.
Foi identificado um spam phishing com origem na Bahia direcionado para um
órgão federal de justiça no Brasil.
FRAUDES (até Novembro de 2014)
Enquanto isso, na Bahia...
Violação de direito autoral arquivos copiados através de softwares gerenciadores de downloads (HTTP, FTP, p2p, torrents, etc.)
Outros incidentes (até Nov, 2014)
Negação de Serviço
- Mais de 300 servidores DNS e NTP de dentro da Rede Ipê foram utilizados para realizar ataques entre Janeiro e Fevereiro.
- Foram feitas campanhas e divulgação de alertas sobre o problema.
- Em maio, o número voltou a subir...
- No geral em 2014, os registros de negação de serviço cresceram em quantidade e em volume de tráfego.
Outros incidentes (até Nov, 2014)
DNS Hijacking
- Roteadores domésticos alvos de “web-based” ataques
- Atinge dispositivos com configuração de senha padrão.
- Atacante altera informações do servidor DNS para redirecionar usuários a sites maliciosos.
Identificam os incidentes - Qualquer atividade suspeita que podem afetar as informações da
organização ou afetar os usuários e os seus equipamentos;
Trabalham na prevenção e tratamento de incidentes - Minimizam os danos causados por um ataque de segurança consumado;
- Realizam atividades de conscientização e disseminação da cultura em segurança;
Coordenam ações conjuntas com a equipe de TI - Extremamente necessária a atuação de todas as áreas;
TIMES DE RESPOSTA A INCIDENTES
PONTO FOCAL DAS NOTIFICAÇÕES DE INCIDENTES
TIMES DE RESPOSTA A INCIDENTES
Notificações internas
Notificações externas
Notificações enviadas pelos usuários!
Há várias formas de se detectar um incidente - Monitoramento de rede;
- Informações dos sistemas de antivírus;
- Sensores de atividade maliciosa;
- etc...
TIMES DE RESPOSTA A INCIDENTES
CSIRT Corporativo - Trata e responde os incidentes internos da RNP;
- Realiza campanhas internas de conscientização em segurança da informação;
- Realiza auditorias de segurança da informação em de serviços e sistemas da RNP;
CSIRT de Coordenação - Repasse do incidente aos responsáveis;
- Auxílio às instituições da RNP na solução de problemas;
- Coordenação de ações
- Ex. Correção da vulnerabilidade do SSL (heartbleed)
CAIS – O CSIRT da Rede de ensino e pesquisa
AÇÕES PROATIVAS - Envio de alertas de segurança;
- Desde ano 2000, são mais de 960 alerta publicados;
- No ano de 2014, foram publicados 19 alertas de segurança.
CAIS – O CSIRT da Rede de ensino e pesquisa
53
42
141 135
91 84
111 102
73
30 22 25
16 17 19
0
20
40
60
80
100
120
140
160
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
ALERTAS DIVULGADOS PELO CAIS
PUBLICAÇÕES - Cartilhas de segurança
- Voltados para a segurança no dia-a-dia;
- Fácil linguagem;
- Disponível em: http://www.rnp.br/servicos/seguranca/educacao-e-conscientizacao-seguranca
CAIS – O CSIRT da Rede de ensino e pesquisa
EVENTOS - DISI
- Dia Internacional de Segurança em Informática
- Mês de Segurança - Mês de divulgação de ações em segurança da informação
- EnCSIRT
- Encontro dos CSIRTs da rede de ensino e pesquisa
CAIS – O CSIRT da Rede de ensino e pesquisa
EDUCAÇÃO
- Palestras
- GTS, FIRST, WTR, EnSI
- Cursos
- SCI/RNP, CLARA-TEC, TICAL, WRNP
CAIS – O CSIRT da Rede de ensino e pesquisa
SGIS – SISTEMA DE GESTÃO DE INCIDENTES DE SEGURANÇA
- Fácil gerenciamento dos incidentes pelas próprias instituições;
- Visualização de relatórios em tempo real;
- Acompanhamento do histórico de incidentes de segurança da informação das instituições;
- Dissociação entre incidentes de segurança e vulnerabilidades identificadas.
CAIS – O CSIRT da Rede de ensino e pesquisa
- CSIRT de coordenação da rede de ensino e pesquisa na Bahia
- Atua como ponto focal de segurança na ReMeSSA
- Primeiro CSIRT acadêmico da Bahia
Enquanto isso, na Bahia...
CSIRTs na Bahia
CSIRTs são os principais aliado no combate à atividade maliciosa na rede de ensino e pesquisa.
Projeto de desenvolvimento de CSIRTs nas organizações usuárias da Rede Ipê.
Seja analista, técnico ou usuário, atuem como disseminadores dessa iniciativa em sua instituição.