VIRANDO O JOGO:SEGURANÇA COM FOCOEM RESPOSTA AINCIDENTES    Marcelo Souza    1° Encontro OWASP em Segurança    Cibernética...
PARTE I -MOTIVAÇÃO
Qual é oproblema?
Incidentes... Sempre eles!• Incidentes de segurança continuam  acontecendo, apesar dos esforços
Estamos mesmo nos esforçando?• Pra variar a tarefa continua “mais fácil” para  quem ataca, e não para quem defende
Relativamente fácil atacar...• Dois exemplos:  • Invasão para roubo de dados (bancários, etc.), criação de botnets, etc.  ...
...com sofisticação invejável                                   “Stay quiet, be patient.”                                 ...
Porque estamosperdendo essejogo?!?
SegInfo é um jogo de estratégia...• Muros para defender, só que não.Imagens de Age of Empires III, daMicrosoft/Ensemble St...
...sem reação, a casa cai• “Turtle strategy” não segura rushes / blitzkriegs.
SegInfo convencional• Etapas do processo e camadas tecnológicas                                 Detectar o que     Evitar ...
SegInfo convencional (cont.)• “Vou sempre prevenir, detectando apenas as possíveis  exceções, reagindo e remediando confor...
SegInfo convencional (cont.)• Ou ainda: “Vou remediar como forma de reagir a algo que  detectei, quando eventualmente não ...
SegInfo, “as we know it”• “Estou constantemente reagindo e/ou remediando, já que  não pude detectar a tempo e minha preven...
SegInfo, “as we know it” (cont.)• Na prática acaba se tornando:
Sintetizando nossas falhas                               Detecção                                        Remediação• Sempr...
Falhas específicas: firewalls• Funcionamento:     • Normalmente libera o tráfego que é explicitamente       permitido na o...
Falhas específicas: antivirus  • Funcionamento:     • Verifica se um arquivo possui padrão malicioso já conhecido.     • É...
Falhas específicas: IDS/IPS  • Funcionamento:     • Capturam o tráfego e verificam a equivalência com um conjunto       de...
A culpa não é só das tecnologias• SegInfo é mais que um produto... é ProPeTec!             Processos   Pessoas            ...
ProPeTec e as falhas        Processos                Pessoas               Tecnologia  • Não existem           • Não exist...
PARTE II –VIRANDO O JOGO
Analisando aSegInfoConvencional
Analisando com TBS• Time Based Security     • Um sistema de proteção/prevenção (p) pode ser considerado       eficaz se fu...
Analisando com TBS (cont.)• Se não houver detecção e/ou reação (logo, ambos tendendo ao  infinito), então o sistema estará...
Resumindo a situação...•   Foco em tecnologias de prevenção já se mostrou equivocado.       Não vale à pena concentrar esf...
SegInfo com focoem Resposta aIncidentes
Capacidades de Resposta a Incidentes              Monitoração                                             Benefícios busca...
Resposta a Incidentes + ProPeTec!                    Monitoração        Resolução                  Identificação          ...
PARTE III –DETALHANDORESPOSTA AINCIDENTES
Processos
Processo macro e as capacidades              Monitoração                                                                  ...
Benefícios de processos definidos1. Previne respostas precipitadas, incorretas ou   incoerentes.2. Confirma ou nega a ocor...
Pessoas
Aptidões não-técnicas essenciais        10. GERENCIAMENTO DO     1. COMUNICAÇÃO                TEMPO             ORAL E ES...
Entidades e associações
Tecnologia
Domínios e formas de atuação    Forense / Análise de malware / Reação   Correlação de logs   Computadores               Re...
Forense de disco• Insumos para evidências:  • Discos rígidos (internos) e mídias   Computadores    removíveis.  • Coleta p...
Forense de memória• Insumos para evidências:  • Memória RAM, com coleta live   Computadores    (remota ou não).• Ferrament...
Forense de dispositivos móveis• Insumos para evidências:  • Imagem lógica (arquivos,            Computadores    registros)...
Forense de rede• Insumos para evidências:  • Tráfego de rede (full packet    capture), coletado live.                     ...
Análise de malware• Insumos para evidências:  • Artefatos (arquivos) suspeitos,    Computadores    executáveis, documentos...
Correlação de logs• Insumos para evidências:  • Logs (registros em trilhas de         Sistemas    auditoria), com coleta l...
Reação• Funcionamento:  • Auxilia na remoção de artefatos, bloqueio de    acessos, bloqueios de rede, etc.• Ferramentas:  ...
Integração entre soluções                  Forense                     e                  Análise         Reação          ...
Operação integrada: uma analogia                               47
Outras iniciativas tecnológicas• OWASP - Logging Cheat Sheet  • https://www.owasp.org/index.php/Logging_Cheat_Sheet• OpenI...
PARTE IV –CENÁRIO ECONCLUSÕES
Exemplo: roubode propriedadeintelectual
Descrição do incidente1. Criminoso envia e-mail direcionado para um   funcionário de uma empresa (spear phishing),   conte...
Com SegInfo convencional...      • O antivírus, IDS, etc. nada faria, pois o artefato  1     é customizado (e “targeted”)....
... e com Resposta a Incidentes       • O artefato é percebido por uma solução de  1      captura de tráfego (forense de r...
Conclusões
Lembre-se de Resposta a Incidentes!• Uma abordagem desse trará vantagens:  • Monitoração integrada traz visibilidade sobre...
Bibliografia recomendada• Incident Response & Computer Forensics (Kevin  Mandia, Chris Prosise, Matt Pepe)• Real Digital F...
OBRIGADO!    Marcelo Souza www.marcelosouza.commarcelo@marcelosouza.com       @marcelo_sz
Upcoming SlideShare
Loading in...5
×

Virando o jogo: segurança com foco em Resposta a Incidentes

909

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
909
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Virando o jogo: segurança com foco em Resposta a Incidentes

  1. 1. VIRANDO O JOGO:SEGURANÇA COM FOCOEM RESPOSTA AINCIDENTES Marcelo Souza 1° Encontro OWASP em Segurança Cibernética Brasília, Fevereiro de 2013
  2. 2. PARTE I -MOTIVAÇÃO
  3. 3. Qual é oproblema?
  4. 4. Incidentes... Sempre eles!• Incidentes de segurança continuam acontecendo, apesar dos esforços
  5. 5. Estamos mesmo nos esforçando?• Pra variar a tarefa continua “mais fácil” para quem ataca, e não para quem defende
  6. 6. Relativamente fácil atacar...• Dois exemplos: • Invasão para roubo de dados (bancários, etc.), criação de botnets, etc. 1. Copiar artefato malicioso já disponível na Internet ou criar um 2. Enviar e-mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a máquina (explorar browsers, Java, Acrobat Reader, etc.) 4. Receber os resultados • Ataques de DDoS 1. Alugar uma botnet, ou ter uma (até mesmo a do exemplo anterior) 2. Especificar um alvo e disparar o ataque
  7. 7. ...com sofisticação invejável “Stay quiet, be patient.” “Send application credentials.” “Use user account, transfer funds.” “Install new malware, new orders.” “Look for high profile assets.” Envio de comandos “Send plans, formulas, secrets…” e atualizações Vítima Criminosos Command-and-Control (C&C)“I’m here, infection successful”“Waiting for instructions” “Data Exfiltration”
  8. 8. Porque estamosperdendo essejogo?!?
  9. 9. SegInfo é um jogo de estratégia...• Muros para defender, só que não.Imagens de Age of Empires III, daMicrosoft/Ensemble Studios.Direitos reservados.
  10. 10. ...sem reação, a casa cai• “Turtle strategy” não segura rushes / blitzkriegs.
  11. 11. SegInfo convencional• Etapas do processo e camadas tecnológicas Detectar o que Evitar que algo pode estar aconteça acontecendo Recuperar o Reagir a um ambiente e incidente, corrigir realizando problemas contenção
  12. 12. SegInfo convencional (cont.)• “Vou sempre prevenir, detectando apenas as possíveis exceções, reagindo e remediando conforme necessário.” Presume-se que Detecção age a prevenção, via como “backup” de regra, sempre da prevenção funciona Reação somente quando a Remediação após prevenção e a reação detecção falharem
  13. 13. SegInfo convencional (cont.)• Ou ainda: “Vou remediar como forma de reagir a algo que detectei, quando eventualmente não conseguir prevenir.” A segurança do ambiente está ...e na detecção toda baseada na prevenção... ...a própria A reação acaba remediação sendo...
  14. 14. SegInfo, “as we know it”• “Estou constantemente reagindo e/ou remediando, já que não pude detectar a tempo e minha prevenção não foi eficaz.” Detecção tardia, Prevenção falhou ou “notícia” Remediação Reação constante constante e “no susto”
  15. 15. SegInfo, “as we know it” (cont.)• Na prática acaba se tornando:
  16. 16. Sintetizando nossas falhas Detecção Remediação• Sempre haverá mais míope • Impossível reagir de paliativa ameaças do que se forma completa sem pode enfrentar. • Enxerga-se menos do saber exatamente • Impossível remediar que realmente quando, o que e em definitivo sem acontece. como algo aconteceu. conhecer a extensão dos danos. Prevenção Reação tardia inglória e limitada
  17. 17. Falhas específicas: firewalls• Funcionamento: • Normalmente libera o tráfego que é explicitamente permitido na organização, bloqueando todo o resto.• Falhas: • Muitas vezes possui configuração excessivamente permissiva. • Tráfego web e e-mail, obviamente liberado, concentra praticamente a totalidade dos vetores de ataque. • Talvez não possa ser considerada uma solução de segurança “at all”, apesar de muitos discordarem.
  18. 18. Falhas específicas: antivirus • Funcionamento: • Verifica se um arquivo possui padrão malicioso já conhecido. • É necessário que a base de assinaturas seja constantemente atualizada. • Para cada novo malware e suas variantes, o fabricante precisa lançar atualizações. • Falhas: • Padrões devem ser previamente conhecidos (modelo de segurança negativo – “blacklist”). • Proteção suscetível a anulação mesmo em pequenas modificações de malware. • Alto índice de falsos negativos. • Nenhuma proteção em casos de “zero day” ou “targeted attacks”.
  19. 19. Falhas específicas: IDS/IPS • Funcionamento: • Capturam o tráfego e verificam a equivalência com um conjunto de assinaturas pré-definido. • Falhas: • Padrões devem ser previamente conhecidos. • Detecção suscetível a anulação mesmo em pequenas modificações. • Nenhuma detecção em casos de “zero day”. • Detecção suscetível a falsos negativos. • Alto índice de falsos positivos, dificultando a monitoração.
  20. 20. A culpa não é só das tecnologias• SegInfo é mais que um produto... é ProPeTec! Processos Pessoas Tecnologia
  21. 21. ProPeTec e as falhas Processos Pessoas Tecnologia • Não existem • Não existe equipe • Sistemas de • Quando existem, • Quando existe, é prevenção não são bem pouco preparada / ineficazes definidos e treinada • Sistemas de divulgados • Head count detecção • Procedimentos e insuficiente tradicional rotinas incompletas • Não exclusivas para ineficientes SegInfo • Muitos falsos positivos e falsos negativos • Ausência de solução de reação e/ou remediação
  22. 22. PARTE II –VIRANDO O JOGO
  23. 23. Analisando aSegInfoConvencional
  24. 24. Analisando com TBS• Time Based Security • Um sistema de proteção/prevenção (p) pode ser considerado eficaz se funcionar por mais tempo que o tempo de detecção (d) somado ao tempo de reação (r) a um incidente: Tp > Td + Tr • Como vimos, a prevenção é falha. Logo, o tempo de proteção passa a ser na verdade tempo de exposição (e), que irá durar até a conclusão da reação Te = Td + TrReferência: Livro “Time Based Security” (Winn Schwartau, 1999)
  25. 25. Analisando com TBS (cont.)• Se não houver detecção e/ou reação (logo, ambos tendendo ao infinito), então o sistema estará sempre exposto: Te ∞• Conclusão: detecção e reação são importantes e úteis, porém somente se forem rápidas (eficientes) e produzirem resultados (eficazes).
  26. 26. Resumindo a situação...• Foco em tecnologias de prevenção já se mostrou equivocado. Não vale à pena concentrar esforços e depender apenas disso.• As soluções de detecção convencionais não são suficientes. Porém ainda precisamos monitorar o que acontece no ambiente.• E quando algum incidente acontece? Precisamos reagir. Para isso é necessário identificar a ocorrência, investigar causas e resolver os issues, de modo que a resposta seja completa.• Então o foco passa a ser somente em responder aos incidentes? O foco deve ser num conjunto de capacidades que permitirão mitigar riscos e impactos ao negócio.
  27. 27. SegInfo com focoem Resposta aIncidentes
  28. 28. Capacidades de Resposta a Incidentes Monitoração Benefícios buscados: Visibilidade Resposta ConsciênciaResolução a Identificação Situacional Incidentes Contextualização Reação Assertiva Investigação
  29. 29. Resposta a Incidentes + ProPeTec! Monitoração Resolução Identificação Investigação
  30. 30. PARTE III –DETALHANDORESPOSTA AINCIDENTES
  31. 31. Processos
  32. 32. Processo macro e as capacidades Monitoração Investigação IdentificaçãoPreparação Detecção Resposta Formulação Coleta de Análise de pré- da Relatório Inicial dados dados incidente (Percepção) estratégia Forense Digital Contenção Resolução Recuperação Implementação de medidas
  33. 33. Benefícios de processos definidos1. Previne respostas precipitadas, incorretas ou incoerentes.2. Confirma ou nega a ocorrência de um incidente e sua extensão.3. Estabelece controles para a correta manipulação de provas.4. Favorece a resposta a futuros incidentes com lições aprendidas.
  34. 34. Pessoas
  35. 35. Aptidões não-técnicas essenciais 10. GERENCIAMENTO DO 1. COMUNICAÇÃO TEMPO ORAL E ESCRITA 9. SOLUÇÃO DE 2. APRESENTAÇÃO PROBLEMAS8. ADMINISTRAR O 3. POLÍTICAS E ESTRESSE PROCEDIMENTOS 7. CONHECER SEUS 4. DIPLOMACIA LIMITES 5. TRABALHO EM 6. INTEGRIDADE EQUIPE PESSOAL
  36. 36. Entidades e associações
  37. 37. Tecnologia
  38. 38. Domínios e formas de atuação Forense / Análise de malware / Reação Correlação de logs Computadores Rede Sistemas Servidores e estações • Discos e mídias removíveis • Memória Logs de Tráfego de rede sistemas Dispositivos móveis
  39. 39. Forense de disco• Insumos para evidências: • Discos rígidos (internos) e mídias Computadores removíveis. • Coleta post mortem ou live Servidores (remota ou não). e Estações • Discos e• Ferramentas: mídias removíveis • HW para aquisição, duplicação, ... • SIFT, FTK, EnCase, ...
  40. 40. Forense de memória• Insumos para evidências: • Memória RAM, com coleta live Computadores (remota ou não).• Ferramentas: Servidores e Estações • SIFT, FTK, EnCase... • Memória
  41. 41. Forense de dispositivos móveis• Insumos para evidências: • Imagem lógica (arquivos, Computadores registros) ou física (bit-a-bit), coletados post mortem.• Ferramentas: Dispositivos • XRY, UFED, ... móveis
  42. 42. Forense de rede• Insumos para evidências: • Tráfego de rede (full packet capture), coletado live. Rede• Ferramentas: • Xplico, NetWitness, Solera, ... Tráfego de rede
  43. 43. Análise de malware• Insumos para evidências: • Artefatos (arquivos) suspeitos, Computadores executáveis, documentos, etc.• Ferramentas: Servidores e estações • HBGary, Spectrum*, FireEye*, ... • Discos e mídias removíveis • Memória Dispositivos móveis
  44. 44. Correlação de logs• Insumos para evidências: • Logs (registros em trilhas de Sistemas auditoria), com coleta local ou remota.• Ferramentas (SIEM): • OSSIM, ArcSight, NitroSecurity, ... Logs
  45. 45. Reação• Funcionamento: • Auxilia na remoção de artefatos, bloqueio de acessos, bloqueios de rede, etc.• Ferramentas: • EnCase CyberSecurity, Mandiant MIR, ArcSight NSP, ... Computadores Rede Sistemas Servidores e Equipamentos Aplicações estações
  46. 46. Integração entre soluções Forense e Análise Reação Correlação de logs
  47. 47. Operação integrada: uma analogia 47
  48. 48. Outras iniciativas tecnológicas• OWASP - Logging Cheat Sheet • https://www.owasp.org/index.php/Logging_Cheat_Sheet• OpenIOC • http://www.openioc.org/ • Centenas de IOCs divulgados junto ao relatório “APT1” da Mandiant
  49. 49. PARTE IV –CENÁRIO ECONCLUSÕES
  50. 50. Exemplo: roubode propriedadeintelectual
  51. 51. Descrição do incidente1. Criminoso envia e-mail direcionado para um funcionário de uma empresa (spear phishing), contendo “aplicativo” malicioso customizado.2. Funcionário executa o aplicativo, dando inicio a instalação de um bot.3. Bot inicia comunicação com controlador na Internet e recebe instruções para copiar arquivos CAD.4. Bot realiza a cópia e upload dos arquivos para sites externos.
  52. 52. Com SegInfo convencional... • O antivírus, IDS, etc. nada faria, pois o artefato 1 é customizado (e “targeted”). • Se o IDS detectasse, seria grande a 2 probabilidade do evento não estar sendo tratado por ninguém. • Após longo período, o incidente seria noticiado. Sem processos/pessoas em investigação e 3 resolução, a causa não seria encontrada e o problema persistiria.
  53. 53. ... e com Resposta a Incidentes • O artefato é percebido por uma solução de 1 captura de tráfego (forense de rede), que dispara análise dinâmica de malware. • Alertas sobre provável novo malware na rede 2 surgem num dashboard (“cockpit”). Analista dispara forense remota dos hosts infectados. • Num curto período, a solução de forense de rede apontaria vazamento de arquivos. 3 Integrado a uma solução de reação, os uploads são bloqueados.
  54. 54. Conclusões
  55. 55. Lembre-se de Resposta a Incidentes!• Uma abordagem desse trará vantagens: • Monitoração integrada traz visibilidade sobre os domínios Rede, Hosts e Sistemas. • Identificação focada em ameaças e impactos reais, conforme o contexto da organização. • Investigação elucidativa que suporte ações (operacionais e legais) posteriores, trazendo consciência situacional. • Resolução que viabilize reação assertiva.
  56. 56. Bibliografia recomendada• Incident Response & Computer Forensics (Kevin Mandia, Chris Prosise, Matt Pepe)• Real Digital Forensics: Computer Security and Incident Response (Keith Jones, Richard Bejtlich, Curtis Rose)• The Tao of Network Security Monitoring (Richard Bejtlich)
  57. 57. OBRIGADO! Marcelo Souza www.marcelosouza.commarcelo@marcelosouza.com @marcelo_sz

×