SlideShare uma empresa Scribd logo

TI e Threat Hunting sem Orçamento Infinito

Transferir como PPTX, PDF
Alexandre Sieira
Alexandre Sieira

Apresentação da Trilha Vanguarda do Mind The Sec 2017 sobre como threat intelligence e threat hunting pode ajudar no monitoramento de segurança e resposta a incidentes de organizações.

Esportes
1 de 28
São Paulo 12 e 13 de setembro Edição 2017 Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçamento Infinito Alexandre Sieira, CTO da Niddel
/MindTheSec Apresentação • CTO e Co-Fundador da Niddel (www.niddel.com); • Principal no MLSec Project (www.mlsecproject.org); • BDFL do grupo de Slack InfoSecBR; • Múltipla cidadania: carioca, feliz morador de São Paulo, casado com uma gaúcha; • Praticante de Aikido; • Adora gatos.
/MindTheSec Agenda • Threat Intelligence • Desafios Internos • Desafios Externos • Geração de Inteligência • Tipos de Dados • Attribution • Usando na Prática • Antes de Gastar uma Fortuna… • Threat Hunting • Definição • Metodologia • Exemplo • Alguns Desafios • Automação?
/MindTheSec Threat Intelligence
/MindTheSec Desafios Internos • Apoio executivo; • Silos organizacionais; • Conhecimento dos ativos; • Visibilidade de eventos; • Recursos humanos; • Ferramentas; ... e orçamento!
/MindTheSec Desafios Externos The Market for Silver Bullets by Ian Grigg http://iang.org/papers/market_for_silver_bullets.html
/MindTheSec Geração de Inteligência Introducing Forrester’s Targeted-Attack Hierarchy Of Needs https://go.forrester.com/blogs/14-05-20- introducing_forresters_targeted_attack_hierarchy_of_needs/
/MindTheSec Tipos de Dados The Pyramid of Pain http://detect-respond.blogspot.com.br/2013/03/the-pyramid-of-pain.html
/MindTheSec Attribution
/MindTheSec Usando na Prática 1. Geração de alertas usando IoCs: • Qualidade e tempo de validade de indicadores; • Falácia de afirmação do consequente; • Necessariamente incompleto.
/MindTheSec Usando na Prática Data-Driven Threat Intelligence: Metrics on Indicators Dissemination and Sharing https://www.blackhat.com/us-15/briefings.html#data-driven-threat-intelligence-metrics-on-indicator-dissemination-and-sharing
/MindTheSec Usando na Prática 2. Geração de contexto para alertas gerados de outras formas: • Aumenta eficácia de triagem e investigações; • Não adiciona capacidade de detecção a controles existentes. Times relutantemente acabam no 2) depois de tentar o 1) e sofrer com falsos positivos.
/MindTheSec Antes de Gastar Uma Fortuna... • Identifique suas necessidades: • Público-alvo; • Nível da informação (estratégico / operacional); • Tipos de ameaça / atores; • Cobertura geográfica; • Não subestime complexidade e custos da ingestão e integração efetiva dos dados;
/MindTheSec Antes de Gastar Uma Fortuna... • Explore fontes internas ou gratuitas de informação: • Feeds gratuitos; • Comunidades de compartilhamento; • Grupos setoriais; • CERTs nacionais (H/T Klaus e Cristine). • Tenha certeza que o seu time e processos estão preparados para fazer uso de threat intelligence.
/MindTheSec Threat Hunting
/MindTheSec Definição • Esforço de monitoramento que vai além do tratamento de alertas gerados por ferramentas tradicionais. • Investigações proativas que procuram por intrusões não-óbvias e para as quais não existem assinaturas ou regras determinísticas de detecção.
/MindTheSec A Quem Se Aplica • Organizações que já fazem um bom trabalho de monitoramento com ferramentas tradicionais e querem ir além; • Organizações que querem fazer ”monitoramento em produndidade” e ter mais uma oportunidade de detectar atacantes em seu ambiente quando os demais métodos falharem; • Organizações com alta exposição a ataques direcionados e avançados que iriam evadir ferramentas e métodos tradicionais de monitoramento.
/MindTheSec Metodologia Hunting manual é feito através da exploração de hipóteses de uma grande variedade de dados: • Logs ou registros de atividades de rede (firewall, NIDS, netflow, URL filtering, DNS, forense de rede) e/ou de host (EDR, forense de host); • Informações de contexto que permitam ações de pivoting ou identificação de relacionamentos não óbvios entre eventos e entidades; • Informações de threat intelligence; • Conhecimento do ambiente monitorado, sua composição e padrões usuais de comportamento.
/MindTheSec Exemplo
/MindTheSec Exemplo
/MindTheSec Alguns Desafios • Volume crescente de dados de segurança e de contexto que precisam ser analisados; • Complexidade crescente dos ambientes de TI; • Dificuldade de contratação de perfil do threat hunter: • Criatividade; • Capacidade analítica; • Conhecimento de segurança ofensiva; • Conhecimento das tecnologias e dados gerados pelas mesmas; • Conhecimento do ambiente da empresa.
/MindTheSec Automação?
/MindTheSec Automação?
/MindTheSec Trilha Vanguarda
/MindTheSec Trilha Vanguarda • Director, Threat Intelligence and Analytics na Dragos, Inc. • Ex-Diretor de Threat Intelligence Global da Microsoft • Ex-Diretor Técnico do Departament de Defesa dos EUA Threat Intelligence at Scale – How to Build a Global Program 11:10 Sergio Caltagirone Alex Pinto • Chief Data Scientist da Niddel • Fundador do MLSec Project Definindo um Modelo de Maturidade para Automação em Threat Hunting 12:00
/MindTheSec Trilha Vanguarda • Bad Guy Catcher no GitHub • Autor do livro Intelligence Driven Incident Response • Instrutor e membro do conselho consultivo da SANS Homemade Ramen & Threat Intelligence: A Recipe for Both 14:20 Scott Roberts Greg Poniatowski • Information Security Lead na Mars, Inc Mars Inc: Implementing Security Monitoring and Threat Hunting on a Global Scale 15:10
/MindTheSec Trilha Vanguarda Painel: Monitoramento de Segurança, Threat Intelligence e Threat Hunting no Brasil 17:20 Julio Moreira Chief Information Security Officer do Makro South America Bruno Macena Business Information Security Officer da Prudential do Brasil Seguros de Vida Diego Mariano Red Team e Hunting Team do Itaú Unibanco
OBRIGADO! Alexandre Sieira asieira@niddel.com @AlexandreSieira

Recomendados

Hacker Ético
Hacker ÉticoHacker Ético
Hacker ÉticoFernando Palma
 
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...Alex Pinto
 
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...Alexandre Sieira
 
BYOD: Bring Your Own... Disaster?
BYOD: Bring Your Own... Disaster?BYOD: Bring Your Own... Disaster?
BYOD: Bring Your Own... Disaster?Alexandre Sieira
 
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...Matt Hathaway
 
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and SharingData-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and SharingAlex Pinto
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasSpark Security
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 

Recomendados

Hacker Ético
Hacker ÉticoHacker Ético
Hacker ÉticoFernando Palma
 
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...
Data-Driven Threat Intelligence: Useful Methods and Measurements for Handling...Alex Pinto
 
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...
Sharing is Caring: Medindo a Eficácia de Comunidades de Compartilhamento de T...Alexandre Sieira
 
BYOD: Bring Your Own... Disaster?
BYOD: Bring Your Own... Disaster?BYOD: Bring Your Own... Disaster?
BYOD: Bring Your Own... Disaster?Alexandre Sieira
 
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...
Reverse Engineering the Wetware: Understanding Human Behavior to Improve Info...Matt Hathaway
 
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and SharingData-Driven Threat Intelligence: Metrics on Indicator Dissemination and Sharing
Data-Driven Threat Intelligence: Metrics on Indicator Dissemination and SharingAlex Pinto
 
Estratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasEstratégias para Modelagem de Ameaças
Estratégias para Modelagem de AmeaçasSpark Security
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Apresentação IA
Apresentação IAApresentação IA
Apresentação IALeonardo Barbosa
 
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...Maurício Linhares
 
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfeLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfMTalhaTayabani
 
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...WSI Digital Marketing
 
Singularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoSingularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoCLEBER VISCONTI
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaCentus Consultoria
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityGustavo de Boer
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresCesar Augusto Pinheiro Vitor
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoRodrigo Gomes da Silva
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Csirt
CsirtCsirt
CsirtRenato Basante Borbolla
 

Mais conteúdo relacionado

Semelhante a TI e Threat Hunting sem Orçamento Infinito

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soJOSÉ RAMON CARIAS
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...Maurício Linhares
 
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfeLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfMTalhaTayabani
 
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...WSI Digital Marketing
 
Singularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoSingularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoCLEBER VISCONTI
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoGionni Lúcio
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestJoas Antonio dos Santos
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaCentus Consultoria
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityGustavo de Boer
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informaçãomastroianni oliveira
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 

Semelhante a TI e Threat Hunting sem Orçamento Infinito (20)

H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Apresentação IA
Apresentação IAApresentação IA
Apresentação IA
 
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
Projeto e desenvolvimento de sistemas de informação 3 - gerenciamento de da...
 
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfeLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
 
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
WSI Digital Summit 2016 - Como as Empresas podem ter Sucesso neste Mundo comp...
 
Singularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remotoSingularity University 2020 Cybersecurity e trabalho remoto
Singularity University 2020 Cybersecurity e trabalho remoto
 
Ethical Hacker - Segurança da Informação
Ethical Hacker - Segurança da InformaçãoEthical Hacker - Segurança da Informação
Ethical Hacker - Segurança da Informação
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Docência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da InformaçãoDocência na Educação Profissional com a Temática Segurança da Informação
Docência na Educação Profissional com a Temática Segurança da Informação
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Csirt
CsirtCsirt
Csirt
 

TI e Threat Hunting sem Orçamento Infinito

  • 1. São Paulo 12 e 13 de setembro Edição 2017 Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçamento Infinito Alexandre Sieira, CTO da Niddel
  • 2. /MindTheSec Apresentação • CTO e Co-Fundador da Niddel (www.niddel.com); • Principal no MLSec Project (www.mlsecproject.org); • BDFL do grupo de Slack InfoSecBR; • Múltipla cidadania: carioca, feliz morador de São Paulo, casado com uma gaúcha; • Praticante de Aikido; • Adora gatos.
  • 3. /MindTheSec Agenda • Threat Intelligence • Desafios Internos • Desafios Externos • Geração de Inteligência • Tipos de Dados • Attribution • Usando na Prática • Antes de Gastar uma Fortuna… • Threat Hunting • Definição • Metodologia • Exemplo • Alguns Desafios • Automação?
  • 5. /MindTheSec Desafios Internos • Apoio executivo; • Silos organizacionais; • Conhecimento dos ativos; • Visibilidade de eventos; • Recursos humanos; • Ferramentas; ... e orçamento!
  • 6. /MindTheSec Desafios Externos The Market for Silver Bullets by Ian Grigg http://iang.org/papers/market_for_silver_bullets.html
  • 7. /MindTheSec Geração de Inteligência Introducing Forrester’s Targeted-Attack Hierarchy Of Needs https://go.forrester.com/blogs/14-05-20- introducing_forresters_targeted_attack_hierarchy_of_needs/
  • 8. /MindTheSec Tipos de Dados The Pyramid of Pain http://detect-respond.blogspot.com.br/2013/03/the-pyramid-of-pain.html
  • 10. /MindTheSec Usando na Prática 1. Geração de alertas usando IoCs: • Qualidade e tempo de validade de indicadores; • Falácia de afirmação do consequente; • Necessariamente incompleto.
  • 11. /MindTheSec Usando na Prática Data-Driven Threat Intelligence: Metrics on Indicators Dissemination and Sharing https://www.blackhat.com/us-15/briefings.html#data-driven-threat-intelligence-metrics-on-indicator-dissemination-and-sharing
  • 12. /MindTheSec Usando na Prática 2. Geração de contexto para alertas gerados de outras formas: • Aumenta eficácia de triagem e investigações; • Não adiciona capacidade de detecção a controles existentes. Times relutantemente acabam no 2) depois de tentar o 1) e sofrer com falsos positivos.
  • 13. /MindTheSec Antes de Gastar Uma Fortuna... • Identifique suas necessidades: • Público-alvo; • Nível da informação (estratégico / operacional); • Tipos de ameaça / atores; • Cobertura geográfica; • Não subestime complexidade e custos da ingestão e integração efetiva dos dados;
  • 14. /MindTheSec Antes de Gastar Uma Fortuna... • Explore fontes internas ou gratuitas de informação: • Feeds gratuitos; • Comunidades de compartilhamento; • Grupos setoriais; • CERTs nacionais (H/T Klaus e Cristine). • Tenha certeza que o seu time e processos estão preparados para fazer uso de threat intelligence.
  • 16. /MindTheSec Definição • Esforço de monitoramento que vai além do tratamento de alertas gerados por ferramentas tradicionais. • Investigações proativas que procuram por intrusões não-óbvias e para as quais não existem assinaturas ou regras determinísticas de detecção.
  • 17. /MindTheSec A Quem Se Aplica • Organizações que já fazem um bom trabalho de monitoramento com ferramentas tradicionais e querem ir além; • Organizações que querem fazer ”monitoramento em produndidade” e ter mais uma oportunidade de detectar atacantes em seu ambiente quando os demais métodos falharem; • Organizações com alta exposição a ataques direcionados e avançados que iriam evadir ferramentas e métodos tradicionais de monitoramento.
  • 18. /MindTheSec Metodologia Hunting manual é feito através da exploração de hipóteses de uma grande variedade de dados: • Logs ou registros de atividades de rede (firewall, NIDS, netflow, URL filtering, DNS, forense de rede) e/ou de host (EDR, forense de host); • Informações de contexto que permitam ações de pivoting ou identificação de relacionamentos não óbvios entre eventos e entidades; • Informações de threat intelligence; • Conhecimento do ambiente monitorado, sua composição e padrões usuais de comportamento.
  • 21. /MindTheSec Alguns Desafios • Volume crescente de dados de segurança e de contexto que precisam ser analisados; • Complexidade crescente dos ambientes de TI; • Dificuldade de contratação de perfil do threat hunter: • Criatividade; • Capacidade analítica; • Conhecimento de segurança ofensiva; • Conhecimento das tecnologias e dados gerados pelas mesmas; • Conhecimento do ambiente da empresa.
  • 25. /MindTheSec Trilha Vanguarda • Director, Threat Intelligence and Analytics na Dragos, Inc. • Ex-Diretor de Threat Intelligence Global da Microsoft • Ex-Diretor Técnico do Departament de Defesa dos EUA Threat Intelligence at Scale – How to Build a Global Program 11:10 Sergio Caltagirone Alex Pinto • Chief Data Scientist da Niddel • Fundador do MLSec Project Definindo um Modelo de Maturidade para Automação em Threat Hunting 12:00
  • 26. /MindTheSec Trilha Vanguarda • Bad Guy Catcher no GitHub • Autor do livro Intelligence Driven Incident Response • Instrutor e membro do conselho consultivo da SANS Homemade Ramen & Threat Intelligence: A Recipe for Both 14:20 Scott Roberts Greg Poniatowski • Information Security Lead na Mars, Inc Mars Inc: Implementing Security Monitoring and Threat Hunting on a Global Scale 15:10
  • 27. /MindTheSec Trilha Vanguarda Painel: Monitoramento de Segurança, Threat Intelligence e Threat Hunting no Brasil 17:20 Julio Moreira Chief Information Security Officer do Makro South America Bruno Macena Business Information Security Officer da Prudential do Brasil Seguros de Vida Diego Mariano Red Team e Hunting Team do Itaú Unibanco