Aula 9 - Segurança
Aula 9 - Segurança
Aula 9 - Segurança
RESPOSTA A INCIDENTES:
CONTINUIDADE DE
NEGÓCIOS
Prof. Paulo Sena
2022 - 1
Segurança Cibernética
Continuidade de Negócios?
• Informações: essenciais
– Para a empresa funcionar
• Desastres
– Podem impedir a continuidade dos negócios!
• Até agora: muitos aspectos de prevenção
– Alguns conceitos e dicas de recuperação
Segurança Cibernética
Metas de um PCN
• Segurança das pessoas
– Empregados/colaboradores e visitantes
• Minimizar perdas e danos imediatos
– Físicas e lógicas
• Rápida restauração das atividades
– Instalações e equipamentos
• Rápida reativação dos processos críticos
– Manter o negócio em funcionamento!
• Conscientização e treinamento
– Responsáveis pela execução do plano!
Segurança Cibernética
Insumos para o PCN
• Análise de Risco
– Identificar todos os desastres possíveis
– Consequências da interrupção de cada sistema
– Tempo limite para a recuperação
– Identificação e priorização
• Recursos, sistemas, processos críticos...
Segurança Cibernética
Insumos para o PCN
• Identificação de Mecanismos de Prevenção
– No Breaks / Geradores
– Detectores de incêndio
– Ar condicionado
– Cofres à prova de fogo, água e fumaça
– Armazenagem externa / Backups
– Criptografia.
Segurança Cibernética
Insumos para o PCN
• Estratégias de Recuperação
– Backups e localidades alternativas
– Reposição de equipamentos e manutenção.
Segurança Cibernética
ELEMENTOS BÁSICOS DE UM
PLANO DE CONTINGÊNCIA
(DISASTER RECOVERY PLAN)
Segurança Cibernética
Forma do Plano de Contingência
• Cinco seções
1. Informação de Suporte
2. Notificação/Ativação
3. Recuperação
4. Reconstituição
5. Anexos
Segurança Cibernética
PC: Informação de Suporte
• Operação
– Explicação geral e resumida do processo
• Situações de uso
– Em que situações deve ser acionado
• Sistemas envolvidos
– Todos os impactados
• Responsáveis
– Quem cuida de cada
sistema envolvido
• Hierarquia de
PC: Notificação/Ativação
• Procedimentos Iniciais
– “Primeiros socorros”
• Processo de Notificação de Responsáveis
– Ordem, telefone, informações a passar...
• Avaliação de Danos (Processo para)
– Causa, nível de emergência, áreas afetadas, tipos
de danos etc.
• Ativação
– Como proceder a ativação...
– ...quando os danos apurados assim exigirem
Segurança Cibernética
PC: Recuperação
• Sequência das atividades de recuperação
– Ordem detalhada dos procedimentos
• Habilitação de Sistemas Alternativos
– Síntese dos recursos utilizados
– Procedimento detalhado
• Recuperação do Sistema Principal
– Métodos
– Procedimento detalhado
– Testes do sistema reconstituído
Segurança Cibernética
PC: Reconstituição
• Desmobilização da Contingência
– Desativação dos sistemas alternativos
– Reativação dos sistemas restaurados
• Testes dos Sistemas Principais
– Avaliação da Recuperação
• Integração de Dados
– Incorporação dos dados de operação...
– ...do sistema alternativo para o principal.
Segurança Cibernética
PC: Anexos
• Responsáveis pelo plano
– Qualquer informação adicional pertinente
– Informações sobre serviços externos
– Apoio alternativo em caso de indisponibilidade
• Checklists
– Listas de acompanhamento
• Ordem de ligamento/desligamento
• Especificações técnicas
– Toda inform. útil na recuperação
• Equipamentos / Software
Requisitos para PCN Funcionar
• Apoio da alta administração
– Fundamental!
• Treinamento e conscientização
– Não pode ser novidade na hora do desastre!
• Teste do PCN
– Evitar pressupostos incorretos, omissões etc.
– Mudanças!
• Revisões periódicas
– Ambiente, pessoas, endereços, leis... Tudo muda.
Segurança Cibernética
Além do PCN
• Tomar todas as medidas!
– Proatividade na segurança!
• Atenção ao SLA dos serviços de manutenção
– Service Level Agreement
• Contratação de seguros
– Seguro Cibernético.
Segurança Cibernética
RESPOSTAS A
INCIDENTES E DESASTRES
Segurança Cibernética
Incidentes e Desastres
• Nem todo incidente...
– ...se torna um desastre.
• Tentativas de ataques detectadas
– Demandam um tipo de ação
• Ataques realizados com sucesso
– Demandam outro tipo de ação
Segurança Cibernética
Tentativas de Ataques
• Tentativa: ainda não causou desastre
– Recomenda-se ação tão rápida quanto possível
– Mas... importante! Mantenha a calma!
Segurança Cibernética
Tentativas de Ataques
• Primeiro passo
– Certificar-se de que as defesas do sistema estão ok
• O que verificar?
– Firewall está ativo?
• Se não estiver, suba imediatamente!
– Antivírus está ativo e atualizado?
• Se não estiver, atualize.
– Verifique as portas abertas com o NMAP
• As portas abertas são as que deveriam?
– Há uso de SSH e a máquina tem acesso público?
• Verifique se o SSH está funcional.
Segurança Cibernética
Tentativas de Ataques
• Segundo passo
– Auditoria: identificar os tipos de ataques
• O que verificar em termos de log?
– Log de sistema (Ex.: syslog)
– Log de falha de acesso (Ex.: lastb)
– Logs de aplicações (Ex.: apache, postfix etc)
Segurança Cibernética
Tentativas de Ataques
• Terceiro passo
– Auditoria: identificar se houve sucesso no
ataque
• O que verificar em termos do sistema?
– Execute uma verificação dos arquivos
• Rkhunter, Lynis etc. (cfg prévia); Antivirus
• Usuários do sistema
• Verifique se não apareceu nenhum indevido!
– Processos/Serviços automáticos (Ex.: crontab)
• Para todos os usuários!
– Verifique os processos em execução (Ex.: top, htop)
• Tem algum processo estranho?
– Verifique as conexões ativas (Ex.: netstat -punta)
Segurança Cibernética
Tentativas de Ataques
• Quarto passo
– Ações corretivas
• Não houve invasão, mas há método no ataque?
– Certifique-se de que todo o possível foi feito
• Configure proteções, instale programas de proteção...
• Pesquise!.
• Argh! Tem coisa estranha na máquina!
– Parta para a próxima seção...
• Procedimentos para desastre!.
Segurança Cibernética
Desastre Identificado
• Houve desastre: há comprometimento
– Primeira ação imediata: desligue a rede
• Pode ser tirando o cabo, mesmo
• Se não for possível, desabilite as interfaces de rede.
– Agora respire fundo e mantenha a calma
– Sangue frio é importante nesse momento
Segurança Cibernética
Desastre Identificado
• Primeiro passo
– Verificação no restante do sistema
• O que verificar?
– Todas as máquinas ligadas na rede da empresa
• No mínimo as da mesma sub-rede
– Busque a mesma falha da máquina atacada
– Se localizadas falhas, mesmo procedimento
• Desligá-las da rede
– Pode ser feita em paralelo com próximos passos
• Comande a equipe para realizar esse primeiro passo
• Próximos passos: aplicados em todas as máquinas
Segurança Cibernética
Desastre Identificado
• Segundo passo
– Subir ambiente alternativo
– Preparar o recuperado
• Qual ambiente alternativo?
– Se há, o do cold site.
– O do warm ou hot site pode estar comprometido
• Como preparar novo ambiente?
– Restaurar o backup mais recente
• Em nova máquina
• Em ambiente desconectado ou com firewall fechado
Segurança Cibernética
Desastre Identificado
• Terceiro passo
– Auditoria: verificar extensão de dano imediato
• Identificar se houve vazamento de informações pessoais
• O que verificar?
– Execute uma verificação dos arquivos
• Rkhunter, Lynis etc. (cfg prévia); Antivirus
– Usuários do sistema (Ex.: passwd)
• Verifique se não apareceu nenhum indevido!
– Processos/Serviços automáticos (Ex.: crontab)
• Para todos os usuários!
– Verifique os processos em execução (Ex.: top, htop)
• Tem algum processo estranho?
Segurança Cibernética
Desastre Identificado
• Quarto passo
– Auditoria: identificar como o ataque teve sucesso
• Como começar?
– Pesquise o que pode ocasionar o problema
• Oriente-se pelo resultado do terceiro passo
• Consulte os CVEs (Common Vulnerabilities and
Exposures!)
• O que verificar nos log?
– Log de sistema (Ex.: syslog)
– Log de falha de acesso (Ex.: lastb)
– Logs de aplicações (Ex.: apache, postfix etc)
Segurança Cibernética
Desastre Identificado
• Quinto passo
– Ações corretivas...
– ...na nova máquina
• Procedimento?
– Com a nova máquina criada no segundo passo
• Restauração do backup...!
– Aplique todas a checklist de segurança da empresa
– Aplique todas as correções para travar
• Problemas encontrados no terceiro passo
• Brechas identificadas no quarto passo
Segurança Cibernética
Desastre Identificado
• Sexto passo
– Ajustando novo ambiente
• Procedimento?
– Atenção aos CVEs!
– Verifique se há portas “ouvindo” (netstat –punta)
– Passe o pente fino na nova configuração do firewall
– Se for uma VM, faça um snapshot
– Habilite a nova configuração do firewall
– Verifique o que está aberto com o NMAP
Segurança Cibernética
Desastre Identificado
• Sétimo passo
– Monitoramento e controle
• Máquina antiga...
– Nunca mais será confiável
– Auditoria detalhada (Forense Computacional)
• Identificar extensão real dos danos
– Desativar a máquina após o desastre.
• Máquina nova
– Monitorar por um tempo
• Conexões, tráfego
Segurança Cib•ernPétricoa
Desastre Identificado
• Em paralelo do 3º ao 7º passos
– Se houve dados pessoais afetados!
• Informar a ANPD sobre o incidente
– Imediato (sugere-se até 72hs) – ou justificar
– Natureza dos dados, titulares envolvidos, medidas
prévias, riscos envolvidos, medidas mitigadoras
• Identificar os usuários afetados
– Bem como suas informações detalhadas
• Informar a todos os usuários afetados
– Quais dados foram afetados
– Medidas tomadas para mitigar impactos
– Medidas que o usuário pode tomar
Segurança Cibernética