a resposta a processo de desenvolvimento - owasp · fórum brasil-amazônia de tic - 11/11/2011....
TRANSCRIPT
![Page 1: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/1.jpg)
![Page 2: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/2.jpg)
A Resposta a A Resposta a Incidentes no Incidentes no Processo de Processo de Desenvolvimento Desenvolvimento SeguroSeguro
Daniel Araújo Melo - [email protected]
1o. Fórum Brasil-Amazônia de TIC - 11/11/2011
![Page 3: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/3.jpg)
AgendaAgenda
● Segurança em TIC
● Resposta a Incidentes
● Processo de Resposta a Incidentes
● Resposta a Ataques no SERPRO
![Page 4: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/4.jpg)
HistóriaHistória
● 1996 –14.000 computadores conectados à Internet
● TCP - Principal Protocolo
● 1 de setembro – Phrack Magazine publica exploit que explora característica do Destinatário
● Destinatário aloca recursos ao receber (1)
A
Cliente
servidor
2
3
4
B
1SYN
SYN + ACK
ACK
ENVIO DE DADOS
Servidor
![Page 5: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/5.jpg)
Ciclo de Vida das VulnerabilidadesCiclo de Vida das Vulnerabilidades
● Alguém descobre a vulnerabilidade;
● Atacantes analisam e produzem exploits;
● Ataques ocorrem;
● Defensores buscam correção;
● Soluções paliativas são propostas;
● Correção é publicada;
● Após alguns meses, malware é lançado.
![Page 6: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/6.jpg)
Vulnerabilidades ReportadasVulnerabilidades Reportadas
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 Q1-Q3, 20080
1000
2000
3000
4000
5000
6000
7000
8000
9000
Vulnerabilidades Reportadas ao Cert/CC
![Page 7: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/7.jpg)
Vulnerabilidades ReportadasVulnerabilidades Reportadas
Fonte: IBM X-Force 2009 Trend and Risk Report
![Page 8: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/8.jpg)
Quanto é muito?Quanto é muito?
● 3784 vulnerabilidades reportadas em 2003
● 3784 * 20 minutos para ler = 158 dias
● Supondo que você seja afetado por 10%
● 378 * 1 hora para instalar correção = 47 dias para instalar todas as correções em 1 sistema.
● Para ler notícias de segurança e corrigir 1 sistema
– 158 + 47 = 205 dias
![Page 9: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/9.jpg)
Quanto é muito?Quanto é muito?
● Wietse Venema estima que em geral existe 1 falha de segurança por 1000 linhas de código
● Kernel Linux ultrapassou 13 milhões de linhas– http://www.h-online.com/open/features/What-s-new-in-Linux-2-6-36-1103009.html?page=6
● Um sistema desktop pode possuir mais de 100 milhões de linhas de código
● Necessários 20 anos para identificar todas as falhas de um sistema desktop;
● 10% a 15% das correções inserem novas vulnerabilidades.
![Page 10: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/10.jpg)
Vulnerabilidades WEBVulnerabilidades WEB
Fonte: IBM X-Force 2009 Trend and Risk Report
![Page 11: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/11.jpg)
Estatísticas 2011Estatísticas 2011
![Page 12: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/12.jpg)
Novas Vulnerabilidades+
Nenhum mecanismo de segurança é 100% confiável!=
Incidentes de Segurança podem ocorrer...
CenárioCenário
![Page 13: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/13.jpg)
Como responder a um Incidente?
![Page 14: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/14.jpg)
Empiricamente percebe-se que:
Quanto mais ágil for a recuperação de um incidente, menor será o prejuízo.
![Page 15: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/15.jpg)
Resposta a IncidentesResposta a Incidentes
● RFC 2350 – BCP 21
● Expectations for Computer Security Incident Response
![Page 16: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/16.jpg)
Resposta a IncidentesResposta a Incidentes
● RFC 2350
● Expectations for Computer Security Incident Response
![Page 17: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/17.jpg)
Resposta a IncidentesResposta a Incidentes
● RFC 2350
● Expectations for Computer Security Incident Response
![Page 18: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/18.jpg)
Resposta a IncidentesResposta a Incidentes
● RFC 2350
● Expectations for Computer Security Incident Response
![Page 19: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/19.jpg)
Programa CERTPrograma CERT
![Page 20: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/20.jpg)
Programa CERTPrograma CERT
● Criado em 1988
● Motivação:
● Incidente com o Worm de Morris
● 10% da Internet foi afetada
● Explorava múltiplas vulnerabilidades
● Fianciado pela DARPA
● Defense Advanced Research Projects Agency
● CSIRT Handbook
● Computer Security Incident Response Team Handbook
http://en.wikipedia.org/wiki/Morris_worm
![Page 21: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/21.jpg)
CERT.BRCERT.BR
● Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
● Equipe de Resposta a Incidentes mantida pelo Comitê Gestor de Internet
![Page 22: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/22.jpg)
CERT.BRCERT.BR
● Estatísticas
![Page 23: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/23.jpg)
Estatísticas 2010Estatísticas 2010
Fonte: www.cert.br
![Page 24: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/24.jpg)
Estatísticas 2010Estatísticas 2010
Fonte: www.cert.br
![Page 25: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/25.jpg)
Csirts no BrasilCsirts no Brasil
![Page 26: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/26.jpg)
Csirts no Mundo - FIRSTCsirts no Mundo - FIRST
![Page 27: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/27.jpg)
Framework CsirtFramework Csirt
● Processo Genérico e Adaptável;
● Difundido mundialmente;
● Apresenta como estabelecer e manter uma equipe de resposta a incidentes
● Analogia com corpo de bombeiros
● Serviços que podem ser oferecidos
● 3 categorias
– Reativos– Proativos– Gestão de qualidade
![Page 28: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/28.jpg)
ServiçosServiços
![Page 29: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/29.jpg)
ServiçosServiços
![Page 30: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/30.jpg)
ServiçosServiços
![Page 31: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/31.jpg)
ServiçosServiços
![Page 32: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/32.jpg)
Incident ManagementIncident Management
![Page 33: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/33.jpg)
Processo de Resposta a IncidentesProcesso de Resposta a Incidentes
![Page 34: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/34.jpg)
EquipeEquipe
![Page 35: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/35.jpg)
Relações entre CSIRTsRelações entre CSIRTs
![Page 36: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/36.jpg)
Relação entre missão e serviçosRelação entre missão e serviços
![Page 37: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/37.jpg)
Modelos OrganizacionaisModelos Organizacionais
● Coordenação
● Ad-hoc
● Centralizado
● Distribuído
● Distribuído com Coordenação Centralizada
![Page 38: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/38.jpg)
Integração com SDLCIntegração com SDLC
● Resposta a Incidentes fornece subsídios que podem ser utilizados no inicio do SDLC;
Base de Incidentese Vulnerabilidades
Base de Incidentese Vulnerabilidades
Resposta a IncidentesResposta a Incidentes Security SDLCSecurity SDLC
![Page 39: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/39.jpg)
MicrosoftMicrosoft
![Page 40: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/40.jpg)
IBMIBM
![Page 41: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/41.jpg)
CERTCERT
![Page 42: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/42.jpg)
Casos de Sucesso do SERPROCasos de Sucesso do SERPRO
● Sem infecções em larga escala desde Agobot (2005);
● Resistência ao Conficker;
● Resistência aos ataques de DDOS em 2011;
● Nenhuma invasão aos sítios desenvolvidos pelo SERPRO e sistemas críticos durante os ataques de 2011;
● Assinatura do IDS SNORT, capaz de detectar o Ultrasurf, distribuída na comunidade internacional;
![Page 43: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/43.jpg)
Lição ImportanteLição Importante
O fator humano é fundamental.
Nenhuma tecnologia foi capaz de substituir o Analista
![Page 45: A Resposta a Processo de Desenvolvimento - OWASP · Fórum Brasil-Amazônia de TIC - 11/11/2011. Agenda ... Soluções paliativas são propostas; ... Fonte: IBM X-Force 2009 Trend](https://reader034.vdocuments.pub/reader034/viewer/2022042916/5f56518aa676de5ce348408f/html5/thumbnails/45.jpg)
BibliografiaBibliografia
● Secure Coding – Principles and Practices. Mark G. Graff, Kenneth Wyk. Editora O'reilly.
● CSIRT – Handbook - www.cert.org.