Total Security - totalsecurity.com.br
Como responder a um incidente de segurança
Muitas empresas, inclusive as de grande porte, não estão preparadas para lidar corretamente com incidentes de segurança.Vamos aos fatos:
1. É realizada uma tentativa de invasão através de uma técnica conhecida como SQL Injection.
2. A tentativa de invasão é identificada, um alerta é gerado e o autor da tentativa é rastreado na Internet.
3. É enviada uma notificação de tentativa de invasão informando a técnica utilizada, a origem, o destino, data, hora, etc, a empresa responsável pelo IP que o autor da tentativa de invasão estava utilizando.
4. A empresa responsável pelo IP não sabe como agir diante a este tipo de problema e simplesmente ignora a notificação recebida informando a tentativa de invasão através de uma técnica de SQL Injection, por exemplo.
5. O autor da tentativa de invasão irá continuar tentando invadir outros sistemas através de SQL Injection porque os profissionais responsáveis por tratarem de incidentes de segurança não sabem como resolver o problema.
O caso descrito acima ocorre todos os dias porque a grande maioria dos profissionais responsáveis pela área de segurança não estão preparados para lidar com um incidente de segurança.
Um caso bem interessante:
1. Um Cracker hospeda em um provedor no Brasil uma página clonada de um grande banco.
2. O banco é informado sobre a existência da página clonada.
3. O banco entra em contato com a Embratel e solicita, por telefone, o bloqueio do IP do servidor que está hospedando a página clonada.
4. O IP é bloqueado às 16:00.
5. O IP que é bloqueado está associado a um servidor que hospeda 1.200 páginas web de diversas empresas. Resultado: diversas empresas ficam com suas páginas indisponíveis para acesso.
6. Às 17:00 o provedor de Internet que teve seu IP bloqueado entra em contato com a Embratel, porém, o motivo do IP estar bloqueado é desconhecido por eles.
7. Às 17:30 a equipe técnica do provedor identifica o site clonado e bloqueia o acesso a página.
8. Todos os logs são salvos para uma análise.
9. Às 21:00 a Embratel entra em contato com o provedor informando que o IP foi bloqueado a pedido do banco.
10. A Embratel não consegue informar o nome da pessoa responsável pela solicitação do bloqueio do IP.
11. O banco não entra em contato com o provedor solicitando os logs para auditoria ou rastreamento do autor da página clonada, ou seja, o caso não é investigado.
12. O provedor não entra em contato com o banco porque ninguém sabe quem do banco solicitou para a Embratel o bloqueio do IP.
As empresas devem estar preparadas para lidar com qualquer tipo de incidente de segurança. Porém, as Equipes de Resposta a Incidentes de Segurança existem em um número muito pequeno no Brasil. Seguem algumas informações para que você possa estar criando o CSIRT para sua empresa.
O que é um "Computer Security Incident Response Team (CSIRT)"?
Um "Computer Security Incident Response Team (CSIRT)", ou Grupo de Resposta a Incidentes de Segurança, é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Um CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, como uma empresa, um órgão governamental ou uma organização acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como um país, uma rede de pesquisa ou clientes que pagam por seus serviços.
Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um grupo formal tem no trabalho de resposta a incidentes a sua principal função. Um grupo "ad hoc" é reunido quando há um incidente de segurança em andamento ou para responder a um incidente quando necessário.
Fonte: CSIRT FAQ do CERT Coordination Center
Montando a Equipe de Resposta a Incidentes de Segurança do Computador principal
A CSIRT é o ponto focal para lidar com incidentes de segurança do computador em seu ambiente. Suas responsabilidades incluem:
• Monitorar sistemas quanto a violações de segurança.
• Servir como um ponto de comunicação central para receber relatórios de incidentes de segurança e disseminar informações vitais para as entidades apropriadas sobre o incidente.
• Documentar e catalogar incidentes de segurança.
• Promover a conscientização da segurança dentro da empresa para ajudar a impedir que incidentes ocorram na sua organização.
• Oferecer suporte a auditorias de sistema e de rede por processos, como avaliação de vulnerabilidade e testes de penetração.
• Manter-se atualizado com as novas vulnerabilidades e estratégias de ataque empregadas por intrusos.
• Manter-se atualizado com os novos patches de software.
• Analisar e desenvolver novas tecnologias para minimizar vulnerabilidades e riscos de segurança.
• Fornecer serviços de consultoria de segurança.
• Atualizar e refinar continuamente os sistemas e procedimentos atuais.
Autor: Denny Roger
Fonte: Batori Security
1. É realizada uma tentativa de invasão através de uma técnica conhecida como SQL Injection.
2. A tentativa de invasão é identificada, um alerta é gerado e o autor da tentativa é rastreado na Internet.
3. É enviada uma notificação de tentativa de invasão informando a técnica utilizada, a origem, o destino, data, hora, etc, a empresa responsável pelo IP que o autor da tentativa de invasão estava utilizando.
4. A empresa responsável pelo IP não sabe como agir diante a este tipo de problema e simplesmente ignora a notificação recebida informando a tentativa de invasão através de uma técnica de SQL Injection, por exemplo.
5. O autor da tentativa de invasão irá continuar tentando invadir outros sistemas através de SQL Injection porque os profissionais responsáveis por tratarem de incidentes de segurança não sabem como resolver o problema.
O caso descrito acima ocorre todos os dias porque a grande maioria dos profissionais responsáveis pela área de segurança não estão preparados para lidar com um incidente de segurança.
Um caso bem interessante:
1. Um Cracker hospeda em um provedor no Brasil uma página clonada de um grande banco.
2. O banco é informado sobre a existência da página clonada.
3. O banco entra em contato com a Embratel e solicita, por telefone, o bloqueio do IP do servidor que está hospedando a página clonada.
4. O IP é bloqueado às 16:00.
5. O IP que é bloqueado está associado a um servidor que hospeda 1.200 páginas web de diversas empresas. Resultado: diversas empresas ficam com suas páginas indisponíveis para acesso.
6. Às 17:00 o provedor de Internet que teve seu IP bloqueado entra em contato com a Embratel, porém, o motivo do IP estar bloqueado é desconhecido por eles.
7. Às 17:30 a equipe técnica do provedor identifica o site clonado e bloqueia o acesso a página.
8. Todos os logs são salvos para uma análise.
9. Às 21:00 a Embratel entra em contato com o provedor informando que o IP foi bloqueado a pedido do banco.
10. A Embratel não consegue informar o nome da pessoa responsável pela solicitação do bloqueio do IP.
11. O banco não entra em contato com o provedor solicitando os logs para auditoria ou rastreamento do autor da página clonada, ou seja, o caso não é investigado.
12. O provedor não entra em contato com o banco porque ninguém sabe quem do banco solicitou para a Embratel o bloqueio do IP.
As empresas devem estar preparadas para lidar com qualquer tipo de incidente de segurança. Porém, as Equipes de Resposta a Incidentes de Segurança existem em um número muito pequeno no Brasil. Seguem algumas informações para que você possa estar criando o CSIRT para sua empresa.
O que é um "Computer Security Incident Response Team (CSIRT)"?
Um "Computer Security Incident Response Team (CSIRT)", ou Grupo de Resposta a Incidentes de Segurança, é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Um CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, como uma empresa, um órgão governamental ou uma organização acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como um país, uma rede de pesquisa ou clientes que pagam por seus serviços.
Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um grupo formal tem no trabalho de resposta a incidentes a sua principal função. Um grupo "ad hoc" é reunido quando há um incidente de segurança em andamento ou para responder a um incidente quando necessário.
Fonte: CSIRT FAQ do CERT Coordination Center
Montando a Equipe de Resposta a Incidentes de Segurança do Computador principal
A CSIRT é o ponto focal para lidar com incidentes de segurança do computador em seu ambiente. Suas responsabilidades incluem:
• Monitorar sistemas quanto a violações de segurança.
• Servir como um ponto de comunicação central para receber relatórios de incidentes de segurança e disseminar informações vitais para as entidades apropriadas sobre o incidente.
• Documentar e catalogar incidentes de segurança.
• Promover a conscientização da segurança dentro da empresa para ajudar a impedir que incidentes ocorram na sua organização.
• Oferecer suporte a auditorias de sistema e de rede por processos, como avaliação de vulnerabilidade e testes de penetração.
• Manter-se atualizado com as novas vulnerabilidades e estratégias de ataque empregadas por intrusos.
• Manter-se atualizado com os novos patches de software.
• Analisar e desenvolver novas tecnologias para minimizar vulnerabilidades e riscos de segurança.
• Fornecer serviços de consultoria de segurança.
• Atualizar e refinar continuamente os sistemas e procedimentos atuais.
Autor: Denny Roger
Fonte: Batori Security
URL Fonte: https://totalsecurity.com.br/noticia/689/visualizar/
Comentários