seminÁrio equipes de tratamento e resposta a incidentes em ... · dispositivos computacionais,...
TRANSCRIPT
![Page 1: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/1.jpg)
SEMINÁRIO
Equipes de Tratamento e Resposta aIncidentes em Redes Computacionais
(ETIR)
15 AGO 18
![Page 2: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/2.jpg)
Sumário
Missão da Divisão de Proteção – CDCiber Colaboração Cibernética O que é MISP? Principais funcionalidades e benefícios Ecossistema MISP e ATT&CK MITRE Comunidades Plano de trabalho para implantação Reuniões de especialistas Conclusão
![Page 3: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/3.jpg)
Ser capaz de conduzir ações para neutralizarataques e exploração cibernética contra os nossos dispositivos computacionais, redes de computadores ede comunicações, incrementando as ações de guerracibernética em face de uma situação de crise ouconflito. É uma atividade de caráter permanente.
Missão da Divisão de Proteção
![Page 4: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/4.jpg)
Células Funcionais
![Page 5: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/5.jpg)
Alertas, Notificações e Recomendações
Alerta CVE-2018-7600
Drupalgeddon2
Destinatários: CTIR FFAA
Notificações eRecomendações de
Segurança – Campanhas deRansomware 2017
WannaCry, Petya e BadRabbit
![Page 6: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/6.jpg)
ANÁLISE DE INCIDENTESGESTÃO DE RISCOS
(ÍNDICE DE RISCO CIBERNÉTICO)
CONSCIÊNCIA SITUACIONAL+ =
Nível de Alerta Cibernético
Muito Alto
Alto
Médio
Moderado
Baixo
Classificação dada ao estado emque se encontra o EspaçoCibernético de interesse do MD edas FA, no tocante a possibilidadede concretização de ameaçascibernéticas.
![Page 7: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/7.jpg)
Quando a prevenção falha...
PREVENÇÃO
DETECÇÃO
RECUPERAÇÃO
REAÇÃO
COLABORAÇÃO
CTI
CTI
CTI
CTI
![Page 8: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/8.jpg)
Quando a prevenção falha...
PREVENÇÃO
DETECÇÃO
RECUPERAÇÃO
REAÇÃO
COLABORAÇÃO
CTI
CTI
CTI
CTI
![Page 9: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/9.jpg)
Quando a prevenção falha...
PREVENÇÃO
DETECÇÃO
RECUPERAÇÃO
REAÇÃO
COLABORAÇÃO
CTI
CTI
CTI
CTI
![Page 10: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/10.jpg)
Para reduzir o tempo de reação!
RÁPIDAEVOLUÇÃO
DO CENÁRIODE
AMEAÇAS
RECUPERAÇÃOCOLABORAÇÃO
ESCASSEZ DETALENTOS
LIMITAÇÃO DEORÇAMENTO
E TEMPO
COMPLEXIDADEDOS EVENTOS
DE SEGURANÇA
AUTOMAÇÃO
ELEVADONÚMERO DE
EVENTOS DE
SEGURANÇA
COLABORAÇÃO
Melhoria Contínua
![Page 11: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/11.jpg)
Fatos...
Inteligência de Ameaças + Análise Forense Digital +Resposta a Incidentes = Trabalho de Equipe
Nós devemos buscar o impulsionamento dessasatividades e aprimorá-las continuamente
Graças a equipe de operações é possível aobtenção de estatísticas significativas
![Page 12: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/12.jpg)
Compartilhar é se importar!Minha detecção é sua prevenção!
DETECÇÃO REAÇÃO
RECUPERAÇÃOCOLABORAÇÃO
Investigação realizada, IOC’s coletados eresposta adequada feita.
É hora de descansar? Não! Alguns, se não todos os IOC’s, devem ser
compartilhados. Eles podem ser úteis para outras instituições
se defenderem. Espera-se que outras instituições criem IOC’s
complementares que eram desconhecidospara nós.
![Page 13: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/13.jpg)
Rede de Colaboração Cibernética
![Page 14: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/14.jpg)
Malware Information Sharing Platform and Threat Sharing
Início do uso da plataforma em 2012 Cristophe Vandeplas – CERT Belga _https://github.com/MISP/MISP _http://www.misp-project.org
![Page 15: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/15.jpg)
O Malware Information Sharing Plataform and ThreatSharing (MISP) é uma solução de software de código abertopara coletar, armazenar, distribuir e compartilhar indicadoresde segurança e ameaças cibernéticas. O MISP foi projetado por e para analistas de incidentes,especialistas em engenharia reversa de malware eprofissionais de segurança para dar suporte as suasoperações do dia-a-dia e compartilhar informaçõesestruturadas de maneira eficiente.
O que é ?
![Page 16: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/16.jpg)
Compartilhamento de informações estruturadas ou nãodentro da comunidade de segurança (IOC e threat sharing).
Correlacionamento automático, importação de texto livre,distribuição e colaboração de eventos.
Suporte a vários formatos para exportação: IDS/IPS(Suricata, Snort), SIEM, Host Scanners (OpenIOC, STIX,CSV, Yara), plataformas de análise (Maltego), dentre outras.
Compartilhamento de indicadores para otimizar a detecçãoe bloqueio de ameaças como também obter a inteligênciada ameaça.
Principais funcionalidades do
![Page 17: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/17.jpg)
Eliminar a duplicação de trabalho analítico.
Detectar de forma mais eficiente as ameaças.
Melhorar a inteligência e a atribuição de ameaças. (visãoholística versus de uma única organização)
Permitir a interoperabilidade. (Padronização dosprotocolos de compartilhamento)
Dar suporte a automação por intermédio de recursos deimportação e exportação de IOC's.
Quais os benefícios do ?
![Page 18: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/18.jpg)
Overview do Projeto MISP
Projeto desenvolvido em PHPe Python
Módulos (Python) paraexpandir as funcionalidades(importação e exportação)
Taxonomias (JSON) paraadicionar categorias e marcaçãoglobal
Listas de avisos (JSON) paradetectar possíveis falsospositivos
Galaxy (JSON) para adicionaragentes de ameaças,ferramentas ou "inteligência"
![Page 19: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/19.jpg)
Modelo de colaboração entreinstâncias
Evento Inicial
Evento com colaboraçãode atributos
![Page 20: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/20.jpg)
Sincronização entre instâncias
![Page 21: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/21.jpg)
Fluxo de informações
![Page 22: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/22.jpg)
Workflow
![Page 23: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/23.jpg)
Correlação de Eventos
![Page 24: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/24.jpg)
Ecossistema
![Page 25: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/25.jpg)
MISP 2.4.93 released (aka ATT&CK integration)
![Page 26: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/26.jpg)
MISP 2.4.93 released (aka ATT&CK integration)
![Page 27: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/27.jpg)
Comunidades
![Page 28: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/28.jpg)
Instância do MISP CTIR Gov
(APF e EstruturasEstratégicas)
Instância do MISP CTIR Militar
Comunidades Nacionais(propostas)
![Page 29: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/29.jpg)
Plano de Trabalho para Implantação
Fase 1Instalação29 JUN 18
Fase 2Capacitação
29 JUN 18
Fase 3Operação e Gestão
6 JUL 18
Fase 6Instância de Produção
28 SET 18
Fase 5Integração RT
31 AGO 18
Fase 4 Implantação de API’s
Em execução
![Page 30: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/30.jpg)
- Objetivo: trocas de lições aprendidas sobre a implantação,operação, suporte, segurança e infraestrutura.
- Foi criado um Grupo de WhatsApp com especialistas devários setores de infraestrutura estratégica (órgãos de governoda APF, financeiro, telecomunicações e energia).
- A 1ª reunião foi realizada em 12 JUL 18 no CTIR Gov com apresença do militares do CDCiber, CTIR Gov e BRB.
- Próxima reunião agendada para 300930 AGO 2018.
Reuniões de Especialistas
![Page 31: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/31.jpg)
Conclusão
O segredo do compartilhamento deinformações é compartilhar mais (e melhor)
do que seus adversários!
![Page 32: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/32.jpg)
- O MISP é apenas uma ferramenta. O que importasão as suas práticas de compartilhamento.
- Transparência nos processos de colaboração entrediversas equipes de segurança que podem interconectar e sincronizar as informações entre elas.
Conclusão
![Page 33: SEMINÁRIO Equipes de Tratamento e Resposta a Incidentes em ... · dispositivos computacionais, redes de computadores e ... e bloqueio de ameaças como também obter a inteligência](https://reader031.vdocuments.site/reader031/viewer/2022022106/5be3ec0709d3f219598c0a3e/html5/thumbnails/33.jpg)
Forte Marechal RondonEstrada Parque do Contorno, Rodovia DF-001, km 05
Setor Habitacional Taquari - Lago NorteBrasília - Distrito Federal
CEP: 71.559-902 - Brasília/DF(61) 3415-3702(61) 3415-3600
Centro de Defesa Cibernética