Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
O que um CSIRT pode fazer por você
Yuri AlexandroCAIS – Centro de Atendimento a Incidentes de Segurança
RNP – Rede Nacional de Ensino e Pesquisa
30/09/2015
A RNP
Missão: Promover o uso inovador de redes avançadas.
Comunidade acadêmica e de pesquisa Escolas de educação superior Universidades Centros de Tecnologia Laboratórios Nacionais Institutos de Pesquisa Museus Hospitais universitários Outros
O CAIS
18 anos de atuação na área de segurança da informação dentro da rede de ensino e pesquisa brasileira;
O que é Informação
Tudo aquilo que tem valor para alguém.
O que é Informação
C I DConfidencialidade
Somente pessoas
autorizadas podem ter
acesso à informação
Integridade
A informação não
pode ser modificada
no seu tratamento
Somente pessoas
autorizadas podem
modificar a
informação
Disponibilidade
A informação tem que
estar acessível a todos
quando necessário
Ameaças
Qualquer coisa que ocasione a quebra do CID
Naturais
Ameaças
Não-intencionais
Qualquer coisa que ocasione a quebra do CID
Ameaças
Intencionais
Qualquer coisa que ocasione a quebra do CID
Ameaças
Ameaças existem independente da nossa vontade!
Qualquer coisa que ocasione a quebra do CID
Já vulnerabilidades..
São os pontos fracos, passíveis de serem explorados
pelas ameaças.
O que acontece quando..
explora
compromete
O que acontece quando..
INCIDENTE DE SEGURANÇA
O que acontece quando..INCIDENTE DE SEGURANÇA
O que acontece quando..INCIDENTE DE SEGURANÇA
E se..
o sistema mais crítico da organização for comprometido?
informações vitais forem apagadas?
suas informações confidenciais forem acessadas?
o acesso aos sistemas ficar indisponível?
a sua imagem for comprometida?
O que acontece quando..
E agora?
TRATAMENTO DO INCIDENTE
são importantes aliados
CSIRTs
- O que são CSIRTs?
- Como trabalham?
- Onde vivem?
- O que um CSIRT pode fazer por você?
Mas, afinal, o que é um CSIRT?
Computer Security Incidents Response Team
Traduzindo...
“Organização ou grupo que provê serviços e suporte a um público bem definido, para
prevenção, tratamento e resposta a incidentes de segurança da informação.”
Fonte: http://www.cert.br/docs/palestras/nbso-snpci2002-2.pdf
Equipe de Resposta a Incidentes de Segurança
Ou seja...
Mas, afinal, o que é um CSIRT?
CSIRT
ETIR
CERTERIS
TRIETRISetc..
Ponto focal de contato para reportar incidentes de segurança
da informação.
O que faz um CSIRT
Identifica os incidentes- Qualquer atividade suspeita que podem afetar as
informações da organização ou afetar os usuários e os seus equipamentos;
Trabalha na prevenção e tratamento- Se antecipam aos atacantes, prevenindo a ocorrência
de novos incidentes;
- Realizam atividades de conscientização e disseminação da cultura em segurança;
Coordena ações conjuntas com a equipe de TI- Atua em parceria com outras áreas de TI;
Tipos de CSIRT
CoordenaçãoCoordenam as ações que devem ser tomadas por outros CSIRTs equipes de segurança ou equipes de TIC.
CorporativosTratam os incidentes e problemas de segurança relacionados com usuários, produtos e serviços de uma organização específica.
GovernamentaisAtuam no tratamento de incidentes de instituições do Governo, tanto a nível nacional, regional ou local.
AcadêmicosAtendem comunidades acadêmicas, universidades, institutos de pesquisa.
CSIRT
CSIRT
CSIRT: pra que?
Razão da existência do CSIRT
Determina o objetivo do CSIRT
Estabelece como o CSIRT espera ser reconhecido
CSIRT
CSIRT: pra quem?
Pode ser definido por:Conjunto de usuários
Domínios administrativos
Conjunto de redes IP
CSIRT
CSIRT: o que?
ServiçosReativos
Proativos
Qualidade em segurança
Reativos
Tratamento de incidentes
Publicação de alertas
Análise de artefatos
Análise forense
CSIRT: o que?
CSIRT: o que?
Proativos
Análise de vulnerabilidades
Monitoramento de segurança da rede
Detecção de intrusão
PenTests
CSIRT: o que?
Qualidade em segurança
Análise de riscos
Educação e treinamento
Continuidade de negóciose recuperação de desastres
Gestão de conformidade
CSIRT
MODELO E ESTRUTURA ORGANIZACIONAL
CSIRT: como?
RECURSOS
POLÍTICASE PROCEDIMENTOSAUTONOMIA
E AUTORIDADE
E-MAIL INSTITUCIONALEx. [email protected]
[email protected]ç[email protected]
CSIRT: como?
SITE PÚBLICO DO CSIRTEx. www.instituicao.edu.br/seguranca
www.instituicao.edu.br/securitycsirt.instituicao.edu.br
RAMAL / TELEFONE / RED LINE / INOC-DBAEx. Contato: (19) 3787-3300
Plantão: (19) 98111-0743INOC: 1916-80
CSIRT: próximo passo
CSIRT: o que um CSIRT pode fazer por você
1) RECEBER AS NOTIFICAÇÕES DE INCIDENTES
2) REALIZAR O TRATAMENTO E MITIGAÇÃO DOS INCIDENTES
CSIRT: o que um CSIRT pode fazer por você
3) ESTRUTURAR, DOCUMENTAR E PLANEJAR AÇÕES DE SEGURANÇA
4) RESPONDER AO USUÁRIO OU AO RECLAMANTE SOBRE O INCIDENTE
CSIRT: o que um CSIRT pode fazer por você
5) GERAR ESTATÍSTICAS SOBRE A SEGURANÇA DA INSTITUIÇÃO
6) REALIZAR CAPACITAÇÃO E TREINAMENTO DE USO SEGURO DOS RECURSOS DE TI
CSIRT: o que um CSIRT pode fazer por você
7) REALIZA CAMPANHAS DE CONSCIENTIZAÇÃO EM SEGURANÇA
8) AJUDA EM DÚVIDAS DE SEGURANÇA DA INFORMAÇÃO
CAIS – O CSIRT da Rede de ensino e pesquisa
“O Centro de Atendimento a Incidentes de Segurança (CAIS) atua na detecção, resolução e prevenção de
incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar
práticas de segurança em redes.”
http://www.rnp.br/servicos/seguranca
CSIRT Corporativo Trata e responde os incidentes internos da RNP;
Realiza campanhas internas de conscientização em segurança da informação;
Realiza auditorias de segurança da informação em de serviços e sistemas da RNP;
CSIRT de Coordenação Repasse do incidente aos responsáveis;
Auxílio às instituições da RNP na solução de problemas;
Coordenação de ações
Ex. Correção da vulnerabilidade do SSL (heartbleed)
CAIS – O CSIRT da Rede de ensino e pesquisa
CAIS – O CSIRT da Rede de ensino e pesquisa
CAIS
Gestão de Incidentes de
Segurança (GSI)
Disseminação da Cultura de
Segurança (DCS)
Gestão de Riscos e
Segurança da Informação
(GRSI)
Serviços à comunidade acadêmica
(INFRA/SERV)
Desenvolvimento
de CSIRTs(CSIRT)
LINHAS DE ATUAÇÃO
Como o CAIS pode ajudar
NOVOS CSIRTs
• Processo de criação de novas equipes;
• Guia de boas práticas com passo a passo, exemplos e indicações;
• Check-list dos passos necessários;
• Projeto piloto em execução;
• Materiais disponíveis em breve.
Como o CAIS pode ajudar
CSIRTs EXISTENTES
• Apoio na realização de eventos de segurança da informação;
• Encontro anual dos CSIRSTs da rede de ensino e pesquisa;
• Programa de crescimento e desenvolvimento contínuo das equipes de resposta a incidentes;
• Estabelecimento de um fórum permanente de discussão e troca de informações
encsirts
No fim das contas..
Seja analista, técnico ou usuário, atuem como disseminadores dessa
iniciativa em sua instituição.
Centro de Atendimento a Incidentes de Segurança(CAIS)
Yuri Alexandro(19) 3787-3327