You are on page 1of 29

Análise e Correlacionamento de

Incidentes de Segurança

www.jornadatecnologica.com.br

Rafael M. Koike
Gerente de Produtos em Segurança
CISM, CISSP, CCNP

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Terminologia
•  Incidente
– Qualquer evento ou série de eventos que
impactam na segurança ou habilidade de
uma organização na condução normal de
seus negócios
•  Evento
– Qualquer ocorrência observável; Um
aspecto de uma investigação que pode ser
documentado, verificado e analisando

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Incidentes de TI incluem
•  Vírus e outros códigos maliciosos
•  Ataques Hackers
•  Ataques Terroristas
•  Ataques de usuários internos
•  Erros de um empregado
•  Ações não autorizadas do empregado
•  Roubo de informação competitiva
•  Falha de hardware ou software

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Ciclo de Resposta a Incidentes

Identificação Reparo
Contenção Analise Rastreamento Prevenção
Notificação Correção

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Identificação e Notificação
•  Alerta para o fato de que alguma coisa
aconteceu
•  Monitorar sistemas
– IDS
– Logs de eventos
•  Funções de Alerta
– Preferencialmente automatizadas
•  Decisões Humanas
– Falso Positivos

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Contenção
•  Conter um incidente é vital. Isto pode
envolver a desconexão de sistemas da
rede ou da Internet.
•  Alguns incidentes são contidos por um
determinado período de tempo para fins
de análise
•  Isolar sistemas afetados ou sistemas
infectados
•  Objetivo é minimizar a disseminação e
os estragos

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Análise
•  Logs
•  Trilhas de auditoria
•  Coleta de informações para entender:
– Quem, O que, Quando, Onde, Por Que e
Como
•  Relatórios para a gerencia

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Rastreamento
•  Origem do incidente
– Interno
– Externo
•  Ponto de entrada ou saída
•  Pode envolver empresas externas para
a análise

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Reparo e Correção
•  Reduzir os danos
– Reputação
– Obrigações Contratuais
– Financeiramente
•  Proteger o ambiente enquanto reparar
– Limitar os serviços e operações
•  Reparar os sistemas e ambiente

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Prevenção
•  Prevenir a ocorrência de incidentes
similares
– Novos controles de segurança
– Procedimentos
•  Monitoramento ativo do ambiente
•  Aprendizado e Educação

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Dispositivos a monitorar
•  Servidores
– Logons, Logoffs
– Serviços iniciados ou fechados
– Conexões iniciadas a partir de servidores de
aplicação
– Aumento na utilização de disco/cpu/
memória
•  Firewalls
– Conexões para IP’s aleatorios
– Ataques de DOS/DDOS
•  Anti-Virus
– Comportamento anomalo de estações
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Opções de monitramento
•  Soluções de syslog servers
– Kiwi Syslog Server
•  Monitoramento de dispositivos
– Nagios
– What’s Up
– NTop
– Cacti
– MRTG
– PRTG

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Problemas com a avalanche de
informações

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Problemas no monitoramento
descentralizado
•  Como analisar centenas ou milhares de
logs/eventos gerados no dia?
•  Como consolidar informações de
diferentes áreas/fabricantes e encontrar
a origem do problema de forma rápida
e efetiva sem aumentar os custos
operacionais?
•  Como armazenar informações por
meses ou anos para fins de auditoria?
•  Como gerar relatórios gerenciais com
informações separadas?

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Soluções para automatização
•  Ferramentas de SIM (Security Incident
Management)
– CS-MARS (Cisco Security Monitoring,
Analysis, and Reporting System)
• Capacidade de armazenamento (Storage de até
2.0Tb)
• Correlação/Filtro de eventos
• Automatização do trabalho
• Relatórios de conformidade

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Cisco Security MARS
Visão Geral dos Appliances

MARS GC2 & GC2R


MARS 210

MARS 110

MARS 110R

MARS 50

MARS 20

MARS 20R

EPS 50 500 1000 4500 7500 15000

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Cisco Security MARS
Gerenciamento de Eventos de Segurança

•  Appliance Avançado para Firewall Log IDS Event Server Log


Mitigação de Ameaças Switch Log Firewall AV Alert
Cfg.
•  Controle para a segurança da
Switch Cfg. NAT Cfg. App Log
sua rede
Router Cfg. Netflow VA Scanner
•  Correlaciona informações de
diferentes dispositivos/
softwares Eventos Isolados
•  Solução Multi-vendor para
monitoramento que

Correlação
Sessões
informações de rede e

Redução
segurança Regras

•  Rápida detecção, isolamento Verificação


e mitigação, alem de
visibilidade da topologia
•  Completo sistema de
relatórios
Modelos de Appliances MARS para SMB & Enterprise

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Cisco Security MARS

BR2-NIDS-2 BR2-NIDS-4
HQ-SW-4 Cloud 27
HQ-NIDS-2
BR2-ISS-Host1
BR2-NIDS-3
HQ-SW-3
n-10.4.14.0/24
Cloud 42
Cloud 40 Intruvert
Sensor BR2-WAN-
Entercept Edge-Router
Cloud 39 n-192.168.2.0/24
Cloud 14 nsSxt pix506
Cloud 16 n-10.4.2.0/24
CP Module
CSA n-10.4.13.0/24
HQ-FW-2 HQ-FW-3 BR2-NIDS-10 ns25
BR2-NIDS-1
BR2-NIDS-
HQ-WAN
Edge Router BR2-IQ-Router

Cloud 4 Cloud 5 HQ Hub Router n-10.1.7.0/24


n-10.4.15.0/24
BR3-RW-1
Mgmt
HQ-SW-1
BR2-NIDS-9

HQ-FW-1 Intruvert HQ-SW-2

n-192.168.0/24

Cloud 2 BR2-NIDS-8
n-22.22.22.0/24

MARS
Demo3 HQ-NIDS1
BR3-ISSHost1

HQ-WEB-1

Jornada de Atualização Tecnológica BR Head-End Router


São José dos Campos, 15 e 16 de julho de 2008
Redução de Dados

Incident Dashboard
- Aggregate
- Correlate
- Summarize
2,694,083 Eventos

992,511 Sessões

249 Incidentes

61 Incidentes de
Severidade Alta

Grande redução dos dados permite o


Administrador focar nas prioridades.
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Sugestão de remediação!
•  Capacidade de controle sobre a
infra-estrutura
–  Visibilidade do caminho do ataque na
camada 2/3 Switch
–  Dispositivos de mitigação são identificados
–  Comando exato para mitigação é
mostrado Router

Firewall

]
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Relatorios pré-definidos de Cobit,
SOX e PCI
Demonstrar processos e controle

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Perguntas?

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Lista de dispositivos suportados

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Lista de dispositivos Suportados

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Jornada de Atualização Tecnológica
São José dos Campos, 15 e 16 de julho de 2008
Lista de Dispositivos Suportados

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008
Modelos

Jornada de Atualização Tecnológica


São José dos Campos, 15 e 16 de julho de 2008

You might also like