SlideShare uma empresa Scribd logo

Gestão de Incidentes e Infraestruturas Críticas da Internet

SAE - Secretaria de Assuntos Estratégicos da Presidência da República
SAE - Secretaria de Assuntos Estratégicos da Presidência da República

Apresentação de Cristine Hoepers, gerente do CERTI.br, sobre a Gestão de Incidentes e Resiliência das Infraestruturas Críticas de Internet, mostrada durante o XIII Encontro Nacional de Estudos Estratégicos (ENEE) ocorreu nos dias 26 e 27 de setembro de 2013, no Rio de Janeiro.

Notícias e política
1 de 16
Baixar para ler offline
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet no Brasil Gestão de Incidentes e Resiliência das Infraestruturas Críticas de Internet Cristine Hoepers cristine@cert.br!
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Comitê Gestor da Internet no Brasil – CGI.br Dentre as atribuições definidas no Decreto Presidencial nº 4.829, de 03 de setembro de 2003, destacam-se: http://www.cgi.br/sobre-cg/ •  a proposição de normas e procedimentos relativos à regulamentação das atividades na internet; •  a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil; •  o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil; •  a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país; •  a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br>; •  a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas. •  ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet;
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Estrutura do CGI.br e NIC.br 1 – Ministério da Ciência e Tecnologia (Coordenação) 2 – Ministério das Comunicações 3 – Casa Civil da Presidência da República 4 – Ministério da Defesa 5 – Ministério do Desenvolvimento, Indústria e Comércio Exterior 6 – Ministério do Planejamento, Orçamento e Gestão 7 – Agência Nacional de Telecomunicações (Anatel) 8 – Cons. Nacional de Desenvolvimento Científico e Tecnológico 9 – Fórum Nac. de Secretários Estaduais para Assuntos de C&T 10 – Representante de Notório Saber em assuntos de Internet 11 – provedores de acesso e conteúdo 12 – provedores de infra-estrutura de telecomunicações 13 – indústria de bens de informática, telecomunicações e software 14 – segmento das empresas usuárias de Internet 15-18 – representantes do terceiro setor 19-21 – representantes da comunidade científica e tecnológica
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Resiliência •  Foco deixa de ser em se recuperar de ataques ou incidentes •  Foco é continuar a operação mesmo sob a presença de ataques ou incidentes •  Só é atingida com a integração de diversos processos de TI, Segurança e Continuidade de Negócios, incluindo: –  Análise de riscos –  Treinamento e conscientização –  Gestão de incidentes
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Gestão, Tratamento e Resposta a Incidentes Fonte: Defining Incident Management Processes for CSIRTs: A Work in Progress. Figura utilizada com permissão do CERT®/CC e do SEI/CMU. http://www.cert.org/archive/pdf/04tr015.pdf !
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Criado em 1997 com a missão de: •  Ser um ponto de contato nacional para notificação de incidentes •  Prover a facilitação e o apoio necessários no processo de resposta a incidentes •  Estabelecer um trabalho colaborativo com outras entidades •  Aumentar a conscientização sobre a necessidade de segurança na Internet •  Auxiliar novos CSIRTs (Grupos de Tratamento de Incidentes de Segurança) a estabelecerem suas atividades Rumo a Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil http://www.nic.br/grupo/historico-gts.htm | http://www.cert.br/sobre/ − Articulação − Estatísticas − Apoio à − Cursos − Palestras Treinamento e Conscientização Tratamento de Incidentes Análise de Tendências recuperação − Honeypots − Documentação − Reuniões Distribuídos − SpamPots
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Histórico do Tratamento de Incidentes no Brasil •  Agosto/1996: o relatório “Rumo à Criação de uma Coordenadoria de Seguraça de Redes na Internet Brasil” é publicado pelo CGI.br1 •  Junho/1997: o CGI.br cria o CERT.br (à época chamado NBSO – NIC BR Security Office), com base nas recomendações do relatório, como um grupo com responsabilidade nacional2 •  Agosto/1997: a RNP cria seu próprio CSIRT (CAIS)3, seguida pela rede acadêmica do Rio grande do Sul (CERT-RS)4 •  1999: outras instituições, incluindo Universidades e Operadoras de Telecomunicações, iniciaram a formação de seus CSIRTs •  2003/2004 : grupo de trabalho no MP para definição da estrutura de um CSIRT para a Administração Pública Federal •  2004: o CTIR Gov foi criado, com a Administração Pública Federal como seu público alvo5 1http://www.nic.br/grupo/historico-gts.htm 2http://www.nic.br/grupo/gts.htm 3http://www.rnp.br/_arquivo/documentos/rel-rnp98.pdf 4http://www.cert-rs.tche.br/cert-rs.html 5http://www.ctir.gov.br
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Grupos de Tratamento de Incidentes Brasileiros 37 times com serviços anunciados ao público Público Alvo CSIRTs Qualquer Rede no País CERT.br Governo CTIR Gov, CCTIR/EB, CLRI-TRF-3, CSIRT PRODESP, GATI, GRA/SERPRO, GRIS-CD, CSIRT CETRA, GRIS Correios Setor Financeiro Cielo CSIRT, CSIRT BB, CSIRT CAIXA, CSIRT Sicredi, CSIRT Santander Telecom/ISP CTBC Telecom, EMBRATEL, CSIRT Telefonica|VIVO, CSIRT Locaweb, CSIRT TIM, CSIRT UOL, StarOne, Oi, Academia GSR/INPE, CAIS/RNP, CSIRT Unicamp, CERT-RS, NARIS, CSIRT POP-MG, CEO/RedeRio, CERT.Bahia, CSIRT USP, GRC/UNESP, TRI Outros CSIRT TIVIT, GRIS Abril http://www.cert.br/csirts/brasil/
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Infraestruturas Críticas da Internet Mesmo sendo uma rede distribuída e descentralizada, diversos elementos são críticos para sua contínua operação: •  Recursos de Numeração –  Endereços IP e Sistemas Autônomos (ASNs) •  Roteamento •  Sistemas de registro de nomes de domínio (.br, .com, .de, etc) •  Sistemas de Resolução de Nomes (DNS) •  Pontos de Troca de Tráfego •  Infraestrutura física Mas nada disso opera sem pessoal capacitado –  redes (IPv4 e IPv6) e administração de sistemas –  segurança –  tratamento de incidentes
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Estratégias do NIC.br/CGI.br na Última Década •  Dar autonomia ao Brasil e à América Latina na área de recursos de nomes e endereços: –  Registro.br: Nomes, IPs e ASNs para o Brasil –  LACNIC: participação estratégica na criação do órgão e na definição das políticas para a região –  Articulação com outros administradores de recursos globais (ICANN, IANA, APNIC, AfriNIC, ARIN, RIPE, LACTLD) •  Estímulo à autonomia das redes no Brasil –  facilitação para obtenção de um AS –  manutenção gratuita dos Pontos de Troga de Tráfego (PTTs) –  aumento da resiliência dos sistemas DNS no Brasil –  treinamentos em administração de ASNs, IPv6, DNS –  treinamento de especialistas em tratamento de incidentes
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Países com Mais Pontos de Troca de Tráfego Estados Unidos !87 ! !Rússia ! !16! Brazil ! !23 ! !Austrália ! !14! França ! !21 ! !Suécia ! !12! Alemanha ! !17 ! !Argentina ! !10! Japão! ! !16 ! !Reino Unido! !09! Fonte: Packet Clearing House – pch.net
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Localização dos PTTs do NIC.br/CGI.br no Brasil Projeto iniciado em 2004 pelo CGI.br Atualmente tem média de 200 Gbps de tráfego agregado: http://ptt.br
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Países com Mais Servidores Raiz de DNS Estados Unidos !78 ! !França ! !10! Alemanha ! !14 ! !Itália ! !10! Brazil ! !13 ! !China! ! !09! Austrália ! !12 ! !Japão! ! !08! Canadá ! !10 ! !Nova Zelândia !08! Fonte: Packet Clearing House – pch.net
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Como aumentar a resiliência das redes de governo e de infraestruturas críticas •  Ter AS próprio, permitindo –  seus próprios endereços IP –  mais de uma saída para Internet –  controle sobre configuração de roteadores, autonomia na definição de rotas –  conectar-se a um PTT –  mais facilidade para lidar com ataques de Negação de Serviço (DDoS) –  mais facilidade para mudar de operadoras em situações de crise (apagões, fibras rompidas, etc) •  Haver mais operadoras por região, para permitir saídas múltiplas para a Internet, permitindo mais disponibilidade
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Alguns Desafios para o Futuro •  Qualificação profissional –  redes, administracao de sistemas, desenvolvimento de software seguro •  Resistir a DDoS –  em alguns casos a migração para CDNs é a única solução •  Migrar para o Protocolo IPv6 –  os endereços IPv4 na América Latina estão previstos para acabar em cerca de 240 dias •  Adoção de DNSSEC –  Novos protocolos, como DANE, em estudo •  Alternativas ou melhorias ao sistema atual de certificados digitais •  Segurança na infraestrutura de roteamento –  Roteamento fuciona por confiança nos anúncios –  Em discussão na comunidade o uso de RPKI e S-BGP •  Em resumo: tabelas de rotas passam a ser assinadas
XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 –  CGI.br – Comitê Gestor da Internet no Brasil http://www.cgi.br/ –  NIC.br – Núcleo de Informação e Coordenação do .br http://www.nic.br/ –  CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil http://www.cert.br/ –  Cartilha de Segurança para Internet http://cartilha.cert.br/ Cristine Hoepers cristine@cert.br

Recomendados

Csirt
CsirtCsirt
CsirtRenato Basante Borbolla
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
presentation_.ppt
presentation_.pptpresentation_.ppt
presentation_.pptFloraGoncalvesChele
 
Cloud computing-curso-dia4
Cloud computing-curso-dia4Cloud computing-curso-dia4
Cloud computing-curso-dia4Ademar Freitas
 
"Evolution of Computing, IoT & Cloud Computing"
"Evolution of Computing, IoT & Cloud Computing""Evolution of Computing, IoT & Cloud Computing"
"Evolution of Computing, IoT & Cloud Computing"EUBrasilCloudFORUM .
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvemLeonardo Grandinetti Chaves
 
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017Patricia Peck
 

Recomendados

Csirt
CsirtCsirt
CsirtRenato Basante Borbolla
 
Splunk live produban
Splunk live produbanSplunk live produban
Splunk live produbanSplunk
 
presentation_.ppt
presentation_.pptpresentation_.ppt
presentation_.pptFloraGoncalvesChele
 
Cloud computing-curso-dia4
Cloud computing-curso-dia4Cloud computing-curso-dia4
Cloud computing-curso-dia4Ademar Freitas
 
"Evolution of Computing, IoT & Cloud Computing"
"Evolution of Computing, IoT & Cloud Computing""Evolution of Computing, IoT & Cloud Computing"
"Evolution of Computing, IoT & Cloud Computing"EUBrasilCloudFORUM .
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvemLeonardo Grandinetti Chaves
 
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017
PatriciaPeck_FIA_tendências_proteção_dados_cybersecurity_11042017Patricia Peck
 
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...FecomercioSP
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede Reginaldo José Silva
 
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...SAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2Ademar Freitas
 
Governança da internet
Governança da internetGovernança da internet
Governança da internetDiólia de Carvalho Graziano
 
Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...Paulo Sousa
 
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)Daniel Flores
 
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...Conferência Luso-Brasileira de Ciência Aberta
 
CARINIANA
CARINIANACARINIANA
CARINIANAMiguel Angel Mardero Arellano
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCompanyWeb
 
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2Projeto RCAAP
 
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...Marcelo R. de Sá
 
Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...Fernando de Assis Rodrigues
 
Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...Fernando de Assis Rodrigues
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritivafventurini22
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Big data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos SobralBig data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos SobralRio Info
 
Big Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dadosBig Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dadosCicero Joasyo Mateus de Moura
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneEliézer Zarpelão
 
Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem Agroambiental
Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem AgroambientalAdaptação à Mudança do Clima - Agricultura - Embrapa Modelagem Agroambiental
Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem AgroambientalSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetec
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetecAdaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetec
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetecSAE - Secretaria de Assuntos Estratégicos da Presidência da República
 

Mais conteúdo relacionado

Semelhante a Gestão de Incidentes e Infraestruturas Críticas da Internet

VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...FecomercioSP
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2Ademar Freitas
 
Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...Paulo Sousa
 
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)Daniel Flores
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCompanyWeb
 
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2Projeto RCAAP
 
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...Marcelo R. de Sá
 
Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...Fernando de Assis Rodrigues
 
Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...Fernando de Assis Rodrigues
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritivafventurini22
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Big data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos SobralBig data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos SobralRio Info
 
Big Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dadosBig Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dadosCicero Joasyo Mateus de Moura
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneEliézer Zarpelão
 

Semelhante a Gestão de Incidentes e Infraestruturas Críticas da Internet (20)

VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
VI Congresso Fecomercio de Crimes Eletrônicos, 04/08/2014 - Apresentação de D...
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
Segurança e Defesa Cibernética: Gerenciamento de Riscos e Recuperação de Desa...
 
Cloud computing-curso-dia2
Cloud computing-curso-dia2Cloud computing-curso-dia2
Cloud computing-curso-dia2
 
Governança da internet
Governança da internetGovernança da internet
Governança da internet
 
Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...Avaliação da usabilidade e organização e representação da informação do novo ...
Avaliação da usabilidade e organização e representação da informação do novo ...
 
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
O SEI como SIGAD ou SIGAD de Negócio: Sistema Eletrônico de Informações (MPOG)
 
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...
Integrar uma Rede de Repositórios no Ecossistema de Gestão de Ciência Naciona...
 
CARINIANA
CARINIANACARINIANA
CARINIANA
 
Cloud Computing - Computação em Nuvem
Cloud Computing - Computação em NuvemCloud Computing - Computação em Nuvem
Cloud Computing - Computação em Nuvem
 
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
e-Jornadas FCCN 2020 - Sessão do Projeto RCAAP - Parte 2
 
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
A Importância das Tecnologias Livres e Abertas para o Empreendedorismo Paraen...
 
Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...Using Privacy's Taxonomy to identify activities found on Social Network's ter...
Using Privacy's Taxonomy to identify activities found on Social Network's ter...
 
Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...Categorização de elementos de privacidade identificados nos termos de uso de ...
Categorização de elementos de privacidade identificados nos termos de uso de ...
 
Resenha descritiva
Resenha descritivaResenha descritiva
Resenha descritiva
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
 
Big data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos SobralBig data: tendências e oportunidades - Palestrante: Marcos Sobral
Big data: tendências e oportunidades - Palestrante: Marcos Sobral
 
Big Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dadosBig Data na prática: como construir um Data Lake para análise de dados
Big Data na prática: como construir um Data Lake para análise de dados
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
 

Mais de SAE - Secretaria de Assuntos Estratégicos da Presidência da República

Mais de SAE - Secretaria de Assuntos Estratégicos da Presidência da República (20)

Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem Agroambiental
Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem AgroambientalAdaptação à Mudança do Clima - Agricultura - Embrapa Modelagem Agroambiental
Adaptação à Mudança do Clima - Agricultura - Embrapa Modelagem Agroambiental
 
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetec
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetecAdaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetec
Adaptação à Mudança do Clima - Sistema Energético Brasileiro - coppetec
 
Análise da Mudança Climática no Setor Elétrico - funceme - ufce
Análise da Mudança Climática no Setor Elétrico - funceme - ufceAnálise da Mudança Climática no Setor Elétrico - funceme - ufce
Análise da Mudança Climática no Setor Elétrico - funceme - ufce
 
Blogs para clipping
Blogs para clippingBlogs para clipping
Blogs para clipping
 
Vulnerabilidade e adaptação na costa brasileira
Vulnerabilidade e adaptação na costa brasileiraVulnerabilidade e adaptação na costa brasileira
Vulnerabilidade e adaptação na costa brasileira
 
Modelos de assistência técnica e gerencial na pecuária
Modelos de assistência técnica e gerencial na pecuáriaModelos de assistência técnica e gerencial na pecuária
Modelos de assistência técnica e gerencial na pecuária
 
Rally da Pecuária
Rally da PecuáriaRally da Pecuária
Rally da Pecuária
 
Crédito ABC – Recuperação de Pastagens: Resultados, Perspectivas e Gargalos
Crédito ABC – Recuperação de Pastagens: Resultados, Perspectivas e GargalosCrédito ABC – Recuperação de Pastagens: Resultados, Perspectivas e Gargalos
Crédito ABC – Recuperação de Pastagens: Resultados, Perspectivas e Gargalos
 
Trajetória do Índice Vegetativo da Cana em Mato Grosso do Sul - Safra 2014/15...
Trajetória do Índice Vegetativo da Cana em Mato Grosso do Sul - Safra 2014/15...Trajetória do Índice Vegetativo da Cana em Mato Grosso do Sul - Safra 2014/15...
Trajetória do Índice Vegetativo da Cana em Mato Grosso do Sul - Safra 2014/15...
 
Perspectivas para a construção de um projeto - Pastosat
Perspectivas para a construção de um projeto - PastosatPerspectivas para a construção de um projeto - Pastosat
Perspectivas para a construção de um projeto - Pastosat
 
Radiografia das Pastagens - Observatório Agricultura de Baixo Carbono, mudanç...
Radiografia das Pastagens - Observatório Agricultura de Baixo Carbono, mudanç...Radiografia das Pastagens - Observatório Agricultura de Baixo Carbono, mudanç...
Radiografia das Pastagens - Observatório Agricultura de Baixo Carbono, mudanç...
 
Cenários da pecuária bovina de corte
Cenários da pecuária bovina de corte Cenários da pecuária bovina de corte
Cenários da pecuária bovina de corte
 
Grupo de trabalho Pecuária Sustentável - Compromissos, ações e resultados
Grupo de trabalho Pecuária Sustentável - Compromissos, ações e resultadosGrupo de trabalho Pecuária Sustentável - Compromissos, ações e resultados
Grupo de trabalho Pecuária Sustentável - Compromissos, ações e resultados
 
Mapeamento qualitativo das pastagens do Brasil
Mapeamento qualitativo das pastagens do Brasil Mapeamento qualitativo das pastagens do Brasil
Mapeamento qualitativo das pastagens do Brasil
 
Brasil 2040 - COP20 - Natalie Unterstell
Brasil 2040 - COP20 - Natalie UnterstellBrasil 2040 - COP20 - Natalie Unterstell
Brasil 2040 - COP20 - Natalie Unterstell
 
República Dominicana: Caso Boca de Cachón, “Infraestructura Resiliente” - Oma...
República Dominicana: Caso Boca de Cachón, “Infraestructura Resiliente” - Oma...República Dominicana: Caso Boca de Cachón, “Infraestructura Resiliente” - Oma...
República Dominicana: Caso Boca de Cachón, “Infraestructura Resiliente” - Oma...
 
The IPCC Fifth Assessment Report and its implications to Latin American - Seb...
The IPCC Fifth Assessment Report and its implications to Latin American - Seb...The IPCC Fifth Assessment Report and its implications to Latin American - Seb...
The IPCC Fifth Assessment Report and its implications to Latin American - Seb...
 
Adaptação Amazonas - SAE/PR na COP20
Adaptação Amazonas - SAE/PR na COP20Adaptação Amazonas - SAE/PR na COP20
Adaptação Amazonas - SAE/PR na COP20
 
Cenários de Mudanças Climáticas: Regionalização ("downscaling")
Cenários de Mudanças Climáticas: Regionalização ("downscaling")Cenários de Mudanças Climáticas: Regionalização ("downscaling")
Cenários de Mudanças Climáticas: Regionalização ("downscaling")
 
Mechanism of Early & further action, "currency climate" and "Bretton Woods lo...
Mechanism of Early & further action, "currency climate" and "Bretton Woods lo...Mechanism of Early & further action, "currency climate" and "Bretton Woods lo...
Mechanism of Early & further action, "currency climate" and "Bretton Woods lo...
 

Gestão de Incidentes e Infraestruturas Críticas da Internet

  • 1. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet no Brasil Gestão de Incidentes e Resiliência das Infraestruturas Críticas de Internet Cristine Hoepers cristine@cert.br!
  • 2. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Comitê Gestor da Internet no Brasil – CGI.br Dentre as atribuições definidas no Decreto Presidencial nº 4.829, de 03 de setembro de 2003, destacam-se: http://www.cgi.br/sobre-cg/ •  a proposição de normas e procedimentos relativos à regulamentação das atividades na internet; •  a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil; •  o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil; •  a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país; •  a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br>; •  a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas. •  ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet;
  • 3. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Estrutura do CGI.br e NIC.br 1 – Ministério da Ciência e Tecnologia (Coordenação) 2 – Ministério das Comunicações 3 – Casa Civil da Presidência da República 4 – Ministério da Defesa 5 – Ministério do Desenvolvimento, Indústria e Comércio Exterior 6 – Ministério do Planejamento, Orçamento e Gestão 7 – Agência Nacional de Telecomunicações (Anatel) 8 – Cons. Nacional de Desenvolvimento Científico e Tecnológico 9 – Fórum Nac. de Secretários Estaduais para Assuntos de C&T 10 – Representante de Notório Saber em assuntos de Internet 11 – provedores de acesso e conteúdo 12 – provedores de infra-estrutura de telecomunicações 13 – indústria de bens de informática, telecomunicações e software 14 – segmento das empresas usuárias de Internet 15-18 – representantes do terceiro setor 19-21 – representantes da comunidade científica e tecnológica
  • 4. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Resiliência •  Foco deixa de ser em se recuperar de ataques ou incidentes •  Foco é continuar a operação mesmo sob a presença de ataques ou incidentes •  Só é atingida com a integração de diversos processos de TI, Segurança e Continuidade de Negócios, incluindo: –  Análise de riscos –  Treinamento e conscientização –  Gestão de incidentes
  • 5. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Gestão, Tratamento e Resposta a Incidentes Fonte: Defining Incident Management Processes for CSIRTs: A Work in Progress. Figura utilizada com permissão do CERT®/CC e do SEI/CMU. http://www.cert.org/archive/pdf/04tr015.pdf !
  • 6. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Criado em 1997 com a missão de: •  Ser um ponto de contato nacional para notificação de incidentes •  Prover a facilitação e o apoio necessários no processo de resposta a incidentes •  Estabelecer um trabalho colaborativo com outras entidades •  Aumentar a conscientização sobre a necessidade de segurança na Internet •  Auxiliar novos CSIRTs (Grupos de Tratamento de Incidentes de Segurança) a estabelecerem suas atividades Rumo a Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil http://www.nic.br/grupo/historico-gts.htm | http://www.cert.br/sobre/ − Articulação − Estatísticas − Apoio à − Cursos − Palestras Treinamento e Conscientização Tratamento de Incidentes Análise de Tendências recuperação − Honeypots − Documentação − Reuniões Distribuídos − SpamPots
  • 7. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Histórico do Tratamento de Incidentes no Brasil •  Agosto/1996: o relatório “Rumo à Criação de uma Coordenadoria de Seguraça de Redes na Internet Brasil” é publicado pelo CGI.br1 •  Junho/1997: o CGI.br cria o CERT.br (à época chamado NBSO – NIC BR Security Office), com base nas recomendações do relatório, como um grupo com responsabilidade nacional2 •  Agosto/1997: a RNP cria seu próprio CSIRT (CAIS)3, seguida pela rede acadêmica do Rio grande do Sul (CERT-RS)4 •  1999: outras instituições, incluindo Universidades e Operadoras de Telecomunicações, iniciaram a formação de seus CSIRTs •  2003/2004 : grupo de trabalho no MP para definição da estrutura de um CSIRT para a Administração Pública Federal •  2004: o CTIR Gov foi criado, com a Administração Pública Federal como seu público alvo5 1http://www.nic.br/grupo/historico-gts.htm 2http://www.nic.br/grupo/gts.htm 3http://www.rnp.br/_arquivo/documentos/rel-rnp98.pdf 4http://www.cert-rs.tche.br/cert-rs.html 5http://www.ctir.gov.br
  • 8. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Grupos de Tratamento de Incidentes Brasileiros 37 times com serviços anunciados ao público Público Alvo CSIRTs Qualquer Rede no País CERT.br Governo CTIR Gov, CCTIR/EB, CLRI-TRF-3, CSIRT PRODESP, GATI, GRA/SERPRO, GRIS-CD, CSIRT CETRA, GRIS Correios Setor Financeiro Cielo CSIRT, CSIRT BB, CSIRT CAIXA, CSIRT Sicredi, CSIRT Santander Telecom/ISP CTBC Telecom, EMBRATEL, CSIRT Telefonica|VIVO, CSIRT Locaweb, CSIRT TIM, CSIRT UOL, StarOne, Oi, Academia GSR/INPE, CAIS/RNP, CSIRT Unicamp, CERT-RS, NARIS, CSIRT POP-MG, CEO/RedeRio, CERT.Bahia, CSIRT USP, GRC/UNESP, TRI Outros CSIRT TIVIT, GRIS Abril http://www.cert.br/csirts/brasil/
  • 9. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Infraestruturas Críticas da Internet Mesmo sendo uma rede distribuída e descentralizada, diversos elementos são críticos para sua contínua operação: •  Recursos de Numeração –  Endereços IP e Sistemas Autônomos (ASNs) •  Roteamento •  Sistemas de registro de nomes de domínio (.br, .com, .de, etc) •  Sistemas de Resolução de Nomes (DNS) •  Pontos de Troca de Tráfego •  Infraestrutura física Mas nada disso opera sem pessoal capacitado –  redes (IPv4 e IPv6) e administração de sistemas –  segurança –  tratamento de incidentes
  • 10. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Estratégias do NIC.br/CGI.br na Última Década •  Dar autonomia ao Brasil e à América Latina na área de recursos de nomes e endereços: –  Registro.br: Nomes, IPs e ASNs para o Brasil –  LACNIC: participação estratégica na criação do órgão e na definição das políticas para a região –  Articulação com outros administradores de recursos globais (ICANN, IANA, APNIC, AfriNIC, ARIN, RIPE, LACTLD) •  Estímulo à autonomia das redes no Brasil –  facilitação para obtenção de um AS –  manutenção gratuita dos Pontos de Troga de Tráfego (PTTs) –  aumento da resiliência dos sistemas DNS no Brasil –  treinamentos em administração de ASNs, IPv6, DNS –  treinamento de especialistas em tratamento de incidentes
  • 11. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Países com Mais Pontos de Troca de Tráfego Estados Unidos !87 ! !Rússia ! !16! Brazil ! !23 ! !Austrália ! !14! França ! !21 ! !Suécia ! !12! Alemanha ! !17 ! !Argentina ! !10! Japão! ! !16 ! !Reino Unido! !09! Fonte: Packet Clearing House – pch.net
  • 12. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Localização dos PTTs do NIC.br/CGI.br no Brasil Projeto iniciado em 2004 pelo CGI.br Atualmente tem média de 200 Gbps de tráfego agregado: http://ptt.br
  • 13. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Países com Mais Servidores Raiz de DNS Estados Unidos !78 ! !França ! !10! Alemanha ! !14 ! !Itália ! !10! Brazil ! !13 ! !China! ! !09! Austrália ! !12 ! !Japão! ! !08! Canadá ! !10 ! !Nova Zelândia !08! Fonte: Packet Clearing House – pch.net
  • 14. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Como aumentar a resiliência das redes de governo e de infraestruturas críticas •  Ter AS próprio, permitindo –  seus próprios endereços IP –  mais de uma saída para Internet –  controle sobre configuração de roteadores, autonomia na definição de rotas –  conectar-se a um PTT –  mais facilidade para lidar com ataques de Negação de Serviço (DDoS) –  mais facilidade para mudar de operadoras em situações de crise (apagões, fibras rompidas, etc) •  Haver mais operadoras por região, para permitir saídas múltiplas para a Internet, permitindo mais disponibilidade
  • 15. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 Alguns Desafios para o Futuro •  Qualificação profissional –  redes, administracao de sistemas, desenvolvimento de software seguro •  Resistir a DDoS –  em alguns casos a migração para CDNs é a única solução •  Migrar para o Protocolo IPv6 –  os endereços IPv4 na América Latina estão previstos para acabar em cerca de 240 dias •  Adoção de DNSSEC –  Novos protocolos, como DANE, em estudo •  Alternativas ou melhorias ao sistema atual de certificados digitais •  Segurança na infraestrutura de roteamento –  Roteamento fuciona por confiança nos anúncios –  Em discussão na comunidade o uso de RPKI e S-BGP •  Em resumo: tabelas de rotas passam a ser assinadas
  • 16. XIII Encontro Nacional de Assuntos Estratégicos, SAE/PR, Rio de Janeiro, RJ, 26/09/2013 –  CGI.br – Comitê Gestor da Internet no Brasil http://www.cgi.br/ –  NIC.br – Núcleo de Informação e Coordenação do .br http://www.nic.br/ –  CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil http://www.cert.br/ –  Cartilha de Segurança para Internet http://cartilha.cert.br/ Cristine Hoepers cristine@cert.br