Cnasi sp apresentação marcelo souza
date post
19-Oct-2014Category
Technology
view
614download
1
Embed Size (px)
description
Transcript of Cnasi sp apresentação marcelo souza
20121022_CNASI_Tutorial_v2_SpeakerDeck.pptx
2012 TechBiz Forense Digital LTDA. Todos os direitos reservados.
Auditando as falhas das camadas de proteo/deteco
Marcelo de Souza Consultor Forense Snior
CNASI-SP, 22 de Outubro de 2012
Sobre o tutorial
Obje%vo Apresentar e discu.r falhas encontradas na abordagem comumente
empregada para SegInfo. Auditar, ou seja, realizar anlise cr.ca sobre a ecincia e eccia das
tecnologias e processos de SegInfo convencionais. Compar.lhar conhecimento e experincia sobre como melhorar o
processo de SegInfo como um todo, e no somente apontar os problemas.
Metodologia Explanaes tericas. Demonstraes pr.cas (cenrios e ferramentas).
Tpicos
3
l Parte I Entendendo a problem%ca l Mo.vao
l Teorias e pr.cas convencionais de SegInfo
l Analisando a SegInfo convencional
l Auditando as falhas
l Parte II Encontrando solues
l Premissas para uma abordagem diferenciada de SegInfo
l SegInfo baseada em Resposta a Incidentes
Tpicos (cont.)
4
l Parte III Viabilizando Resposta a Incidentes efe%va l Viso Geral de Resposta a Incidentes e Forense Digital
l Processos
l Pessoas
l Tecnologia
l Parte IV Concluindo
Parte I
Entendendo a problem.ca
Motivao
Incidentes... sempre!
Incidentes de segurana con%nuam acontecendo, apesar dos esforos
Disseminao do malware STUXNET para sabotar usinas nucleares do Ir
Invases e DoS a websites do Governo
Estamos mesmo nos esforando?
Conhecimento dos Atacantes vs. Sos%cao dos Ataques Ao passar dos anos o conhecimento necessrio para o mal diminui, mas a
sos.cao dos ataques aumentou. Se cou mais fcil atacar, no h algo errado com os esforos em SegInfo?
Quo fcil atacar hoje em dia?
Dois exemplos:
Invaso para roubo de dados (bancrios, etc.), criao de botnets, etc. 1. Copiar artefato malicioso j disponvel na Internet ou criar um 2. Enviar e-mail para o alvo, anexando o artefato ou link para ele (web) 3. Esperar o alvo abrir o artefato e comprometer a mquina (explorar browsers, Java,
Acrobat Reader, etc.) 4. Receber os resultados
Ataques de DDoS 1. Alugar uma botnet, ou ter uma (at mesmo a do exemplo anterior) 2. Especicar um alvo e disparar o ataque
Quo sofisticado?
Malware e mecanismos de Comando e Controle (C&C)
V%ma Criminosos
Envio de comandos e atualizaes
Data Exfiltration
Im here, infec.on successful Wai.ng for instruc.ons
Stay quiet, be pa.ent. Send applica.on creden.als. Use user account, transfer funds. Install new malware, new orders. Look for high prole assets. Send plans, formulas, secrets
Command-and-Control
(C&C)
Transaes Fraudulentas
Propriedade Intelectual
Credenciais de Aplicaes / Clientes
Teorias e Prticas Convencionais de SegInfo
Definies e conceitos
Obje.vo da Segurana da Informao Proteger a%vos de informao contra ameaas que possam afetar a sua:
Condencialidade: apenas usurios autorizados podem ter acesso informao
Integridade: informao deve ser man.da no estado deixado pela l.ma operao vlida e autorizada
Disponibilidade: informao deve estar acessvel aos usurios autorizadas no momento em que for necessria
Anlise de riscos
Modelo matem.co R = V x A / C
Permetro / DMZ
Rede Interna Acesso Remoto
Internet
Rede Wireless
Segurana em profundidade
Analisando a SegInfo Convencional
SegInfo convencional
Evitar que algo acontea
Detectar o que pode estar acontecendo
Reagir a um incidente, realizando conteno
Recuperar o ambiente e corrigir
problemas
Obje%vos das etapas (processo) e camadas (tecnologia)
SegInfo convencional (cont.)
Vou sempre prevenir, detectando apenas as possveis excees, reagindo e remediando conforme necessrio.
Presume-se que a preveno, via de regra, sempre
funciona
Deteco age como backup da preveno
Reao somente quando a
preveno e deteco falharem
Remediao aps a reao
SegInfo convencional (cont.)
Ou ainda: Vou remediar como forma de reagir a algo que detectei, quando eventualmente no conseguir prevenir.
A segurana do ambiente est toda baseada na preveno...
...e na deteco
A reao acaba sendo...
...a prpria remediao
SegInfo, as we know it
Estou constantemente reagindo e/ou remediando, j que no pude detectar a tempo e minha preveno no foi ecaz.
Preveno falhou Deteco tardia, ou noZcia
Reao constante e no
susto
Remediao constante
SegInfo, as we know it (cont.)
Na pr%ca acaba se tornando:
Auditando as falhas
Listando as falhas em geral
Falhas da abordagem convencional de SegInfo:
Preveno no 100% efe.va, logo no funciona como deveria.
Basta uma possvel exceo ter sucesso para toda abordagem falhar.
Reao muitas vezes desfavorecida, pois a organizao prioriza a preveno.
Remediao constante, tambm muitas vezes inecaz.
Cria-se a falsa sensao de segurana ao conar nessa abordagem.
Listando as falhas em geral (cont.)
Em outras palavras:
Sempre haver mais ameaas do que se pode enfrentar.
Preveno inglria
Enxerga-se menos do que realmente acontece.
Deteco mope Impossvel reagir de
forma completa sem saber exatamente quando, o que e como algo aconteceu.
Reao tardia e limitada
Impossvel remediar em deni.vo sem conhecer a extenso dos danos.
Remediao palia.va
Falhas especficas: firewall
Solues convencionais de ltragem de protocolos de rede
Funcionamento: Normalmente libera o trfego que explicitamente permi.do na organizao,
bloqueando todo o resto.
Falhas: Muitas vezes possui congurao excessivamente permissiva. Trfego web e e-mail, obviamente liberado, concentra pra.camente a
totalidade dos vetores de ataque. Talvez no possa ser considerada uma soluo de segurana at all, apesar de
muitos discordarem.
Falhas especficas: antivrus
Solues de an%vrus, an.-malware, etc.
Funcionamento: Verica se um arquivo possui padro malicioso j conhecido. necessrio que a base de assinaturas seja constantemente atualizada. Para cada novo malware e suas variantes, o fabricante precisa lanar
atualizaes.
Falhas: Padres devem ser previamente conhecidos (modelo de segurana nega.vo
blacklist). Proteo suscervel a anulao mesmo em pequenas modicaes de
malware. Alto ndice de falsos nega.vos. Nenhuma proteo em casos de zero day.
Falhas especficas: antivrus (cont.)
Estudo mostra: se o AV no detectar um malware novo em 6 dias, ele nunca ir (hsp://www.theregister.co.uk/2012/08/23/an._virus_detec.on_study/)
O estudo tambm mostrou que aps 30 dias, as solues de AV detectaram menos do que no primeiro dia de testes.
Falhas especficas: antivrus (cont.)
Demonstrao
1. Cdigo-fonte de um malware simples
2. Vdeo do funcionamento do malware
3. Vdeo da vericao u.lizando VirusTotal (www.virustotal.com)
4. Relatrio da vericao do malware u.lizando GFI Sandbox (www.threasrack.com)
Falhas especficas: IDS/IPS
Solues de deteco de intruso em rede
Funcionamento: Capturam o trfego e vericam a equivalncia com conjunto de assinaturas
pr-denido.
Falhas: Padres devem ser previamente conhecidos. Deteco suscervel a anulao mesmo em pequenas modicaes. Nenhuma deteco em casos de zero day. Deteco suscervel a falsos nega.vos. Alto ndice de falsos posi.vos, dicultando sua monitorao.
E as tecnologias levam a culpa?
No se esqueam que SegInfo mais que um produto... ProPeTec!
Pessoas
Tecnologia
Processos
ProPeTec e as falhas
De forma detalhada, o impacto de cada domnio e suas relaes
Processos Pessoas Tecnologia
Preveno Congurao, atualizao e manuteno irregular
No existe equipe Head count
insuciente No exclusivas
para SegInfo Ausncia de
preparao e treinamento
Inecaz, no funcionando como deveria
Muitos falsos nega.vos
Deteco Procedimentos de monitorao no so denidos / seguidos
Ineciente, no funcionando como deveria
Muitos falsos posi.vos e falsos nega.vos
Reao Procedimentos raramente existem
Muitas vezes ausente
Remediao
ProPeTec e as falhas (cont.)
Resumindo
Processos
No existem Quando existem, no so bem denidos e divulgados
Procedimentos e ro.nas de incompletas
Pessoas
No existe equipe Quando existe, pouco preparada / treinada
Head count insuciente
No exclusivas para SegInfo
Tecnologia
Sistemas de preveno inecazes
Sistemas de deteco tradicional inecientes
Muitos falsos posi.vos e falsos nega.vos
Ausncia de soluo de reao e/ou remediao
Parte II
Encontrando solues
Premissas para uma abordagem diferenciada de SegInfo
Outra tica: Time Based Security
Seguindo o conceito de TBS: Um sistema de proteo/preveno (p) pode ser considerado seguro se
funcionar por mais tempo que o tempo de deteco (d) somado ao tempo de reao (r) a um incidente: