O documento discute medidas de prevenção e resposta a ataques de ransomware, apresentando tópicos como infectologia do ransomware, mecanismos de prevenção, SOC e NOC, resposta a ataques e gestão de crise. É destacada a importância de manter sistemas atualizados, desativar o protocolo SMB, usar antivírus e fazer backups regulares. Também são explicados conceitos como MTPD, MBCO, RTO e RPO para quantificar objetivos de continuidade de negócios.

1. WANNA CRY 3.0 - PREVENIR OU CHORAR?
Kleber Melo, CISSP
Sidney R. Modenesi, MCBCC, MBCI, LDRM
19/05/2017
1

2. Agenda
• 16:00 a 16:05 - Welcome
• 16:10 a 16:45 - Talking Points
• Infectologia do ransomware
• Mecanismos de prevenção
• SOC e NOC
• Resposta a um ataque
• Gestão da Crise​
• 16:45 a 17:00 - Perguntas e Respostas
• 17:00 - Encerramento
2

3. Apresentado por
Kleber Melo, CISSP
• Mestre em Engenharia pelo Mackenzie;
• 25+ anos em Segurança da Informação;
• Membro do LAAC - Latin América
Advisory Council Board do ISC2;
• Sócio Diretor & Consultor da MindSec
Segurança e Tecnologia da Informação;
• Grande experiência em gestão de acessos
e proteção da informação em ambiente
heterogêneos em grandes e médias
empresas.
Sidney R. Modenesi, MCBCC, MBCI, LDRM
• Profissional em continuidade de negócios,
resiliência organizacional e DRP;
• Bacharel em Ciências da Computação
pela USP;
• Pós graduado em Empreendedorismo;
• Certificado MBCI pelo BCI, ISO 22301
Technical Expert pelo BSI, LDRM pelo
PECB;
• 20 anos de experiência em Continuidade
de Negócios, 30 em DRP e 40 em TIC.
3

4. Infectologia
Ransomware: software malicioso que bloqueia o acesso a um
sistema de computador ou dados, geralmente, criptografando-o,
até que a vítima pague uma “taxa de resgate” para o atacante. Em
muitos casos, o pedido de resgate vem com um prazo e se a vítima
não paga a tempo, os dados são perdidos para sempre. Em alguns
ataques o ransomware instala outros malwares no sistema do
computador, deixando a máquina infectada mesmo após o resgate
pago e os dados liberados.
Classificado por tamanho de empresa
Fonte: KnowBe4
Origem: Falha no protocolo SMB do Windows (CVE-
2017-0148) descoberta e utilizada pela NSA
Server Message Block (SMB) é um protocolo de
compartilhamento de arquivos em rede que permite
que os aplicativos de um computador leiam e
gravem em arquivos e solicitem serviços dos
programas do servidor em uma rede de
computadores.
O protocolo SMB pode ser usado sobre seu
protocolo TCP/IP ou outros protocolos de rede.
Alvo: o Mundo todo +150 países +220k
Equipamentos afetados
Resgate: 300 bitcoins aprox. R$2Mi (1BT =
R$6.358,26)
Técnica de Infecção: email e vulnerabilidade de
comunicação de rede
Característica diferencial:
• Além de sequestrar os dados ele se propagada
como vírus comum.

5. Profilaxia
1. Mantenha seu sistema com as últimas
versões de patches instaladas.
a) Reduza ao máximo o tempo de “Patching” do ambiente.
2. Patch SMB Vulnerability (MS17-010)
3. Desabilite o protocolo SMB (Share Offline)
a) Server Message Block version 1 (SMBv1), enable por default on
Windows
b) Go to Windows' Control Panel and open 'Programs.‘
c) Open 'Features' under Programs and click 'Turn Windows
Features on and off.‘
d) Now, scroll down to find 'SMB 1.0/CIFS File Sharing Support' and
uncheck it.
e) Then click OK, close the control Panel and restart the computer.
4. Habilite no Firewall o bloqueio dos Ports SMB
a) TCP:137, 139 e 445
b) UDP 137 e 138
5. Use um bom programa de Antivírus
a) Dê preferência aos antivírus que tenham bloqueio automático de
comportamentos anômalos.
6. Seja cuidadoso com eMails, Websites e Apps
7. Faça Backup regularmente
a) Preferencialmente em área não compartilhada na rede
8. Mantenha-se atualizado
a) Novas vulnerabilidades e variações de ataques aparecem todos os dias,
manter-se atualizado é uma maneira de antecipar-se aos ataques.

6. Terapêutica
Não adianta chorar sobre o
Leite Derramado !
Voltar o backup ????

7. Sintetizando
7
Boletim &
Correção

8. Sintetizando
8
Boletim &
Correção
Vulnerab.
Explorada

9. Sintetizando
9
Boletim &
Correção
Vulnerab.
Explorada
Correção
Homologada

10. Sintetizando
10
Boletim &
Correção
Vulnerab.
Explorada
Correção
Homologada
Correção
Aplicada

11. Sintetizando
11
Boletim &
Correção
Vulnerab.
Explorada
Correção
Homologada
Correção
Aplicada
RISCO
Procedimento de Resposta a Incidentes
de Segurança da Informação

12. Resposta a Incidentes de S.I.
12
• ISO/IEC 27035 partes 1 e 2 – Principles & Guidelines
• Ou outra

13. Dia a dia
Sequência de um Incidente
13

14. Dia a dia
Tempo de reação
Sequência de um Incidente
14

15. Dia a dia
Avaliação e impacto
dos danos potenciais
Tempo de reação
ASSESSMENT
Sequência de um Incidente
15

16. Dia a dia
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Mobilização do
nível gerencial
ASSESSMENT
Sequência de um Incidente
16

17. Dia a dia
?
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Mobilização do
nível gerencial
Primeiras decisões
Acionar os executivos?
Aguardar? Quanto tempo mais?
Bloquear firewall?
Desligar estações?
ESTRATÉGIAS?
ASSESSMENT
Sequência de um Incidente
17

18. Dia a dia
?
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Mobilização do
nível gerencial
Primeiras decisões
Acionar os executivos?
Aguardar? Quanto tempo mais?
Bloquear firewall?
Desligar estações?
ESTRATÉGIAS?
Avaliação detalhada
dos danos
Mobilização do
nível executivo
ASSESSMENT
ESCALATION
Sequência de um Incidente
18

19. Dia a dia
DECISÃO?
?
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Mobilização do
nível gerencial
Primeiras decisões
Acionar os executivos?
Aguardar? Quanto tempo mais?
Bloquear firewall?
Desligar estações?
ESTRATÉGIAS?
Avaliação detalhada
dos danos
Mobilização do
nível executivo
?
ASSESSMENT
ESCALATION
Sequência de um Incidente
19

20. Contingência
Dia a dia
DECISÃO?
?
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Gerenciamento de Crise
Mobilização do
nível gerencial
Primeiras decisões
Acionar os executivos?
Aguardar? Quanto tempo mais?
Bloquear firewall?
Desligar estações?
ESTRATÉGIAS?
Avaliação detalhada
dos danos
Mobilização do
nível executivo
NormalResposta a Incidentes Reinicio, Recuperação, Restauração
e Emergências
Notificação e Comunicação
ASSESSMENT
ESCALATION
Sequência de um Incidente
20
?

21. Contingência
Dia a dia
DECISÃO?
?
Mobilização dos
especialistas
Avaliação e impacto
dos danos potenciais
Tempo de reação
Gerenciamento de Crise
Mobilização do
nível gerencial
Primeiras decisões
Acionar os executivos?
Aguardar? Quanto tempo mais?
Bloquear firewall?
Desligar estações?
ESTRATÉGIAS?
Avaliação detalhada
dos danos
Mobilização do
nível executivo
NormalResposta a Incidentes Reinicio, Recuperação, Restauração
e Emergências
Notificação e Comunicação
ASSESSMENT
ESCALATION
Sequência de um Incidente
21
?
MTPD
Maximum Tolerable
Period of Disruption

22. MTPD
MTPD (Maximum Tolerable Period of Disruption): tempo
necessário para que os impactos adversos tornem-se inaceitáveis, que pode
surgir como resultado de não fornecer um produto/serviço ou realizar uma
atividade (ABNT NBR/ISO 22301)
22

23. Voltar Backup - RPO
RPO (Recovery Point Objective): ponto em que a informação
usada por uma atividade deve ser restaurada para permitir a
operação da atividade na retomada (ABNT NBR/ISO 22301)
23

24. Ainda temos – MBCO e RTO
MBCO (Minimum Business Continuity
Objective)
níveis mínimos aceitáveis de serviços e/ou produtos
para a organização alcançar seus objetivos de
negócios durante uma interrupção (ABNT NBR/ISO
22301)
RTO
(Recovery Time Objective)
período de tempo após um incidente em que: o
produto ou serviço deve ser retomado,ou a atividade
deve ser retomada, ou os recursos devem ser
recuperados (ABNT NBR/ISO 22301)
24

25. Apetite a Risco
25

26. Apetite a Risco
Produtos &
Serviços
Críticos
Processo 1 Processo 2
Aplicação 1 Aplicação 2
Servidor 1 Servidor 2
Base de Dados
1
Base de Dados ...
Base de Dados
N
... Servidor N
... Aplicação N
Processo N
26
MTPD
MBCO
RTO
RPO

27. Encerramento
Para cada produto, serviço ou processo crítico:
• Realizar Security Assessment para identificar Gaps nos sistemas de proteção, controles e
planos de resposta a incidentes, de continuidade de negócios e contingência;
• Implementar medidas preventivas, soluções e processos, de forma a conter a ameaça;
• Revisar processos de Patching, controle de rede e acessos;
• Quantificar os MTPDs, MBCOs, RTOs e RPOs alinhados ao Apetite a Risco da organização;
• Mapear dados sensitivos aos produtos, serviços e processos críticos;
• Desenvolver, implantar e testar as estratégias de prevenção, mitigação e resposta aos
incidentes de Segurança da Informação;
• Desenvolver, implantar e testar os procedimentos de comunicação interna e externa às
partes interessadas;
• Desenvolver, implantar e testar o Centro de Comando de Crise e o Sistema de Gestão de
Crise (BS 11200 - Crisis management. Guidance and good practice)
27

28. 28

29. Kleber Melo, CISSP
kleber.melo@mindsec.com.br
29
Sidney R. Modenesi,
sidney_modenesi@strohlbrasil.com.br