A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Atividade Maliciosa na Rede Ipê

Apresentações semelhantes


Apresentação em tema: "Atividade Maliciosa na Rede Ipê"— Transcrição da apresentação:

1 Atividade Maliciosa na Rede Ipê
Detectando e combatendo “perturbações na força” CAIS - Centro de Atendimento a Incidentes de Segurança André R. Landim Bate papo de Segurança 22/10/2012 Foz do Iguaçu – PR Brasil - Nina: colocar “perturbações na força” entre aspas, por ele fazer menção ao uso do filme. Nina: Indicar a autoria do CAIS Nina: Indicar nome do palestrante Indicar data e que é no âmbito do Bate-papo de Segurança

2 Atividade Maliciosa na Rede Ipê Agenda
Visão geral dos incidentes Casos “interessantes” Processo de tratamento de incidentes – mais estatísticas Conclusão Deixei a revisão deste slide para o final da revisão... Interessantes acho que teria que estar entre aspas também, como feito lá na frente Panorama é mais abrangente, acho que cabe mais “Processo de tratamento de incidentes – mais estatísticas” - Tirar bate-papo da lista, pois já está na agenda principal

3 Atividade Maliciosa na Rede Ipê Durante o ano de 2012, até o momento…
Até o mês de setembro, o CAIS tratou cerca de 98 mil incidentes de segurança; Mais de 70 mil incidentes são relacionados a código malicioso; Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos; Cerca de 300 incidentes foram relacionados a invasão de sistemas; Foram reportados em torno de 70 casos de negação de serviço. Setembro/Outubro ? Ser mais específico, ou é setembro ou é outubro. Meses se escreve em minúsculo. Mais de 70 mil incidentes são relacionados à código malicioso; .. relacionados a código… (sem crase, neste caso) .. relacionados a violação de direitos (sem crase, neste caso) … relacionados a invasão de sistemas (sem crase, neste caso)

4 Atividade Maliciosa na Rede Ipê Incidentes reportados no ano 2012
Durante... Até o momento  Incidentes reportados no ano 2012 até a data

5 Como diria Jack… Ops, John “The Ripper”… “Vamos por partes!”

6 “Mais de 70 mil incidentes são relacionados a código malicioso”
O “famigerado” Conficker/Downadup ainda é o worm mais ativo dentro da Rede Ipê; Mais de 55 mil casos foram reportados; Mais de 60% desses casos são reincidências; Soluções para o Conficker/Downadup? O boletim de segurança da Microsoft MS trata a vulnerabilidade explorada pelo worm em questão. Porém… O boletim foi emitido em outubro de 2008!!! O que isso significa? Diversas instituições não aplicam e/ou não possuem políticas de atualização de sistemas em suas redes. ... relacionados a código malicioso Outubro é com minúsculo.

7 “Incidentes relacionados a violação de direitos autorais somaram mais de 10 mil casos”
A propagação de material protegido por direitos autorais continua alta dentro da Rede Ipê; Compartilhamentos de arquivos via Torrent são responsáveis pela maioria dos casos; Existe uma necessidade de conscientização dos usuários sobre os problemas resultantes desse tipo de comportamento: Perda de credibilidade do mercado multimídia; Restrições de conteúdo no país; O CAIS tem em andamento projetos de monitoramento de serviços de compartilhamento de arquivos visando reduzir o número de incidentes desta categoria. - ... relacionados a violação de direitos... Torrent iniciar com maiúsculo Atitude mudar para comportamento. Sobre o último bullet... O CAIS iniciou recentemente o monitoramento de serviços de compartilhamento de arquivos visando reduzir o número de incidentes nesta categoria.  Entendo que se refiram ao trabalho GT_UNIT e à incorporação desse serviço ao CAIS. LANDIM – SIM, é sobre o GT UNIT.

8 “Cerca de 300 incidentes foram relacionados a invasão de sistemas”
A grande maioria de sistemas invadidos é utilizada para hospedagem de sites falsos; O maior vilão são os sistemas WordPress comprometidos devido à falta de atualização e/ou configuração incorreta da aplicação; Foram observados casos de comprometimento de contas utilizadas em serviços de acesso remoto (ex.: SSH). Em geral, nestes casos, os servidores comprometidos eram utilizados para envio de SPAM, armazenamento e propagação de arquivos maliciosos; ... a invasão de sistemas ... grande vilão são sistemas ...  O maior vilão são os sistemas...  comprometidos devido à falta (com crase)

9 “Foram reportados em torno de 70 casos de negação de serviço.”
O número de incidentes de negação de serviço reportados ao CAIS é menor do que o detectado por nossos sistemas de detecção e mitigação; Um dos maiores ataques de negação de serviço detectado e mitigado ocorreu contra um destino localizado no estado do PR: Porta de destino: 80 (http) Protocolo utilizado: TCP Quantidade total de tráfego detectada: ~4Gbps Quantidade de PPS: ~9Mpps

10 Atividade Maliciosa na Rede Ipê
Não entendi as aspas e o sorriso no final, mas talvez porque você quis dizer “Peculiaridades”

11 Atividade Maliciosa na Rede Ipê Casos interessantes…
Não entendi as aspas e o sorriso no final, mas talvez porque você quis dizer “Peculiaridades”

12 Atividade Maliciosa na Rede Ipê “Confirmar sua conta de e-mail RNP”
O CAIS recebeu uma notificação, através de parceiros, da existência de phishing scam “direcionado” para usuários da RNP; A falsa notificação informava o usuário da RNP sobre o bloqueio da sua conta de , devido a ter-se excedido o limite de armazenamento; Era solicitado que o usuário fizesse atualização de seus dados através de um formulário web; A intenção desse ataque era coletar contas de válidas para envio de spam ou vazamento de informações; Os endereços origem do phishing foram notificados e o formulário web removido. .... devido ter excedido... - devido a ter-se excedido...

13 Atividade Maliciosa na Rede Ipê “Confirmar sua conta de e-mail RNP”

14 Atividade Maliciosa na Rede Ipê “Ataques de XSS no site da RNP”
Notificações de usuários e parceiros sobre problemas de XSS nos sites da instituições As notificações, geralmente, explicam com clareza as formas de exploração das falhas e apresentam um PoC (Proof Of Concept/Prova de Conceito); O CAIS entra em contato com o responsável pelos assuntos de TI/SI da instiuição para auxiliar na resolução do problema. Não indicar que se trata do site da RNP. Se a ideia é dizer que estes casos são típicos, incluir slide mas sanitizando as informações, tal como foi nos outros casos. ... atuou para resolução...  atuou na resolução

15 Atividade Maliciosa na Rede Ipê “DoS usando porta 0 UDP”
O CAIS, em conjunto com a equipe de Operações de Rede, identificou, através dos sistemas de monitoramento, um tráfego anormal partindo de uma instituição do PA Porta de origem e destino: 0 (zero) Protocolo utilizado: UDP Quantidade total de tráfego detectada: ~290G Quantidade de PPS: ~8kpps

16 Atividade Maliciosa na Rede Ipê “Exploração de vulnerabilidade no RDP”
O CAIS recebeu uma notificação relatando a identificação e possível exploração do serviço/protocolo RDP da Microsoft partindo de uma instituição localizada no estado de MG O interessante deste caso é que ele foi notificado apenas alguns dias após a publicação do boletim de segurança MS que tratava vulnerabilidades no RDP; A instituição cliente foi contatada e o equipamento que originava os scans/ataques foi sanitizado.

17 Atividade Maliciosa na Rede Ipê “Instituição financeira solicita filtro de IP”
O CAIS recebeu uma solicitação de bloqueio de IP onde era hospedado um site falso da instituição financeira em questão Foi solicitado o filtro no backbone para impedir que usuários da RNP fossem vítimas do falso site O IP foi bloqueado por um período de 40 dias, visto que o provedor que hospedava o site não respondia às solicitações da instituição reclamane; O filtro foi aplicado nos roteadores de borda do backbone; Eu acho que é ... respondia às solicitações...

18 Atividade Maliciosa na Rede Ipê “Ataques contra servidores DNS”
O CAIS, através dos sistemas de monitoramento, identificou ataques de DNS Reflection partindo de um servidor DNS de grande representatividade Em conjunto com a equipe de Operações de Rede, foi tomada uma ação de mitigação do problema; Os responsáveis pelo servidor DNS em questão foram notificados e o mesmo foi reconfigurado visando evitar este tipo de ataque. ... um dos root servers brasileiros.  ... um dos DNS root servers brasileiros.. (isso porque mais para frente é dito “o servidor DNS em questão”.

19 Atividade Maliciosa na Rede Ipê “Vazamento de dados de orgão público do estado de SC”
O CAIS identificou o vazamento de dados confidenciais relacionados a um orgão público do estado de SC: O material estava hospedado em um site de compartilhamento de arquivos e continha dados pessoais de usuários e projetos do orgão público; O CAIS repassou ao CTIR.Gov para que tomasse as devidas providências e notificou o site hospedeiro. - ... à um orgão público...  ... a um orgão público.. .(sem crase)

20 Atividade Maliciosa na Rede Ipê “Phishing scam utilizando dados telefônicos da RNP”
O CAIS recebeu informações de um phishing scam utilizando contatos telefônicos da RNP Uma falsa notificação de recebimento de nota fiscal de pedido de compra utilizava o número de contato telefônico da RNP Campinas; Foram recebidas mais de 30 ligações solicitando esclarecimentos sobre o incidente; O CAIS identificou o fraudulento e publicou um alerta no sistema de Catálogo de Fraudes; Incluir link do Catálogo de Fraudes

21 Atividade Maliciosa na Rede Ipê “Phishing scam utilizando dados telefônicos da RNP”

22 Atividade Maliciosa na Rede Ipê Estatísticas até setembro…
Setembro minúsculo

23 Atividade Maliciosa na Rede Ipê Estatísticas até setembro…
Dos quase 100 mil incidentes tratados pelo CAIS até hoje, o número de incidentes efetivamente fechados não chega a 10%; Até o “fechamento desta edição”, os números não passavam de 7 mil; Somando os 5 estados com mais incidentes reportados, totalizamos mais de 49 mil incidentes; Os 5 estados com maior número de inicidentes são: Dos mais de 98 mil incidentes Dos quase 100 mil incidentes tratados pelo CAIS até hoje, o número de incidentes efetivamente fechados - Inicidentes? Incidentes Os numeros  os números (acento agudo) Será preciso explicar aqui que é um incidente fechado para o CAIS. Mesmo a instituição tendo resolvido o problema, se ele não for devidamente comunicado ao CAIS, ele não será contabilizado como fechado.

24 Atividade Maliciosa na Rede Ipê Estatísticas até setembro…
Os estados com maior índice de resposta a incidentes são: Os estados de MG e RS que apresentam, respectivamente, e 1663 incidentes (números totais) - A primeira frase eu trocaria por “... maior índice de resposta a incidentes”

25 Atividade Maliciosa na Rede Ipê Conclusão
Os estados de RJ, PR, PB, PE e SC apresentam números elevados de incidentes. É preciso atuar de forma mais próximas deles; Alguns estados com baixo indíce de incidentes reportados possuem efetividade na resposta; É importante analisar soluções de sucesso e, se viável, replicar tais soluções em outros estados; É necessário uma maior participação das instituições na resolução de incidentes; Ações específicas de combate a atividade maliciosa no backbone serão propostas no EnCSIRTs PARTICIPEM!!! Talvez ir para os bullets diretamente Primeiro item mudar para... É importante analisar soluções de sucesso e, se viável, replicar tais soluções em outros estados. Sobre a frase Alguns estados possuem baixos índices de incidentes reportados Não entendi o porém nesta frase... ambas coisas são positivas. - Sobre a frase que inicia com Os estados ... Mudar para: Os estados de (não é do) RJ, PR, PB e SC apresentam números elevados de incidentes. É preciso atuar de forma mais próxima deles. Combate à atividade maliciosa (sem crase) É necessário uma maior (faltou o “uma” no slide) Mudar a ordem para: [3] Os estados [2] Alguns estados... (?) [5] É fundamental uma maior participação [1] É preciso analisar [4] Ações específicas

26 OBRIGADO!!!


Carregar ppt "Atividade Maliciosa na Rede Ipê"

Apresentações semelhantes


Anúncios Google