Qualquer empresa pode sofrer um incidente de segurança. Na verdade, qualquer empresa vai sofrer um incidente de segurança, se é que já não sofreu. O cenário é favorável aos ciber criminosos e espiões digitais: empresas altamente dependentes de tecnologia, parques tecnológicos grandes e diversificados, sistemas corporativos expostos, incontáveis pontos de entrada a rede e a lista segue infinitamente. Até mesmo tecnologias avançadas de ciber espionagem governamental estão nas mãos de crimiinosos. Nesse cenário, as empresas devem investir igualmente na proteção e na rápida capacidade de detecção e resposta, e vamos discutir como fazê-lo.
Palestra apresentada no Roadsec BH em 2017.
6. RSA's Breach Readiness survey – 2015
30%Tem planos formais de
Resposta a Incidentes
57%
Com pouca frequencia
ou nunca revisam ou
atualizam seus
planos
11. O Ataque vira Vazamento
Minutos Horas Dias Semanas Meses
Ataque
Detectado
Ataque Detectado
Detecção
comprometimentos
em MINUTOS98% das exfiltrações
ocorrem em DIAS99% descobertos em
MESES67%
Spear Phishing
Attack
Malware
Instalado
Comprometimento
Inicial
Comunicação com
Server Externo
(C2)
Vazamento
Movimento
Lateral
Acesso a
Equipamentos
Críticos
Data
Exfiltration
Verizon Data Breach Report 2017
12. 1
2
das corporações estão insatisfeitas
com seus tempos de resposta
90%
RSA Threat Detection Effectiveness Survey, 2016
14. • Time: turnos, papéis, responsabilidades
• Treinamento
• Alinhamento com negócio e risco
• Planejamento de prevenção a incidentes
• Implementação de controles de segurança
Preparação
• Categorização & prioritização dos incidentes
• Inteligência; Malware Analysis
• Workflow de tratamento de incidentes
• Criação de Alertas, Notificações e Relatórios
Detecção & Análise
• Remediação pro-ativa e interromper o ataque
• Acumular e proteger evidências
• Envolvimento do C-level e outros times
• Terceiros, incluindo força policial
Contenção,
Erradicação &
Recuperação
• Atualizar Métricas, Relatório do incidente
• Hardening de sistemas
• Retenção de evidências; ações legais
• Lições aprendidas; Atualizar análise de riscos
Pós Incidente
NIST Computer Security Incident Handling Guide & RSA Best Practices
16. Pontos essenciais
1. Monitoramento
1. Host
2. Rede
3. Comportamento dos usuários
2. Inteligência contra ameaças
3. Automatização de processos
16
http://www.networkworld.com/article/3020585/security/the-incident-response-fab-five.html
17. Inteligência
• Incluir contexto de negócio e de
risco
– Permite a priorização
– Transforma dados em inteligência
• Adicionando expertise
– Revisão proativa do tráfego para destinos,
ações e host names incomuns
– Analisando malwares em sandbox
– Confirmar beaconing
• Criar IOCs para ser pró-ativo
– Feeds
– IPs e Sites suspeitos (Downloaders, C2, TOR)
18. • Procure sinais de exfiltração
– Grandes arquivos de saída em FTP, SSH, etc.
– Detectar a mudança de tráfego para hosts alternativos
– Tráfego criptografado (arquivos, payloads, etc.) em http, tunelagem, protocolos de
compartilhamento peer-to-peer, etc.
• Sinais de comprometimento no end point
– Extensões de arquivo com números mágicos
– Acesso intenso a arquivos
• Sinais de Beaconing
– Trojans, bots & DNS servers, endpoints, etc.
• Outras pistas
– Pedidos Get/Post para nós C2
– Downloads obfuscados
– Tráfego para destinos de alto risco
Inteligência (exemplo)
19. Integre atividade avançada de ameaças ao programa de segurança geral
Concentre-se nos ativos de alto valor
Examine o impacto de pessoas e processos
Invista em visibilidade ampla e análise lógica de segurança de big data
Reconheça a necessidade de uma nova abordagem
Mudança de longo prazo
21. Como?
1. Priorize os recursos e identifique suas vulnerabilidades
2. Quantificar o risco e o impacto do negócio
3. Estratégia de defesa com relação custo / benefício
(pessoas, processo, tecnologia)
4. Identifique as lacunas entre o que você tem hoje e ideal
5. Faça uma abordagem por etapas;
Priorizar de acordo com o impacto de risco
6. Reavaliar constantemente ameaças e vulnerabilidades para
ajustar sua estratégia;
Ter um plano de resposta
21
25. Referências
Verizon Data Breach Investigations Report
http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/
Ebook: “The Evolution of SIEM”
https://www.rsa.com/en-us/resources/ebook-evolution-siem-why-it-is-critical-move-
beyond-logs
Anatomy of an attack
https://blogs.rsa.com/anatomy-of-an-attack/
Closing the GAP on Breach Readiness
http://www.emc.com/collateral/ebook/closing-the-gap-on-breach-readiness-ebook.pdf
25