P E P Auditoria e Segurana de Redes de Computadores

Jacson R. C. Silva <jeiks@doctum.edu.br>

Contedo

Introduo Polticas de Segurana Arquitetura:

Plano de segurana Proteo de servios Servios e procedimentos seguros Autenticao Confiana Integridade Autorizao Acesso Auditoria Protegendo Backups

Servios de Segurana e Procedimentos

Introduo

Vamos discutir sobre Segurana em Redes de Computadores...

Introduo

Um plano de segurana inclui os seguintes passos:

Identificar o que est tentando proteger; Determinar o que est tentando se proteger; Determina o quanto provvel so as ameaas; Implementar as medidas de proteo dos recursos importantes de maneira efetiva; Revisar o processo continuamente e fazer melhorias cada vez que uma fraqueza for encontrada.

Provrbio...

Provrbio

o custo de se proteger contra uma ameaa deve ser menor que o custo da recuperao se a ameaa o atingir expressadas em moeda corrente real; reputao; confiana e outras medidas menos bvias.

Sendo custo, as perdas:

Sem conhecimento razovel do que est protegendo e o que so as ameaas provveis, proteger sua rede pode ser impossvel.

Discusso Geral

Razo importantes de criar uma poltica de segurana de computador:

assegurar que esforos dispendidos em segurana rendero benefcios efetivos

Pode parecer bvio, mas possvel se enganar sobre onde os esforos so necessrios.

Anlise do risco

preciso determinar

o voc precisa proteger, do que voc precisa proteger, e como proteger. examinar todos os riscos, e orden-los por nvel de severidade.

Deve-se

Identificando os recursos

Para anlise de risco, necessrio identificar tudo que precisa ser protegido Algumas categorias so:

Hardware: CPUs, teclados, estaes de trabalho, discos; Software: programas fonte e objeto, utilitrios, programas de diagnstico, sistemas operacionais e programas de comunicao; Dados: durante execuo, armazenados on-line e off-line, backups, logs; Pessoas: usurios, administradores e suporte de hardware. Documentao: programas, hardware, sistemas, local, procedimentos administrativos. Materiais: papel, formulrios, fitas e mdia magntica.

Identificando as ameaas

Identificando os recursos, torna-se necessrio identificar as ameaas a esses recursos As ameaas podem ser examinadas para determinar o potencial de perda existente Dentre as ameaas, encontram-se:

Acesso sem autorizao a informaes e/ou recursos Revelao de informao sem inteno e/ou sem autorizao Denial of Service

Polticas de Segurana

O que e por que ter?

As decises tomadas ou no quanto segurana, iro determinar:

quo segura ou insegura a sua rede, quantas funcionalidades ela ir oferecer, e qual ser a facilidade de utiliz-la.

Para tomar boas decises sobre segurana, necessita-se determinar quais so as metas de segurana No poder utilizar qualquer coleo de ferramentas de segurana enquanto no souber o que checar e quais restries impor

Polticas de Segurana

Estabelecer objetivos atravs determinantes:

Servios oferecidos versus Segurana fornecida

Cada servio oferecido para os usurios carrega seu prprios riscos de segurana. Para alguns servios, o risco superior que o benefcio do mesmo, optando-se por eliminar o servio ao invs de tentar torn-lo menos inseguro. O sistema mais fcil de usar deveria permitir acesso a qualquer usurio e no exigir senha, ou seja, sem segurana. Solicitar senhas torna o sistema um pouco menos conveniente, mas mais seguro. Requerer senhas de momento geradas por dispositivos, torna o sistema ainda mais difcil de utilizar, mas bastante mais seguro.

Facilidade de uso versus Segurana

Polticas de Segurana

Custo da segurana versus o Risco da perda

Custos diferentes para segurana:

monetrio (o custo da aquisio de hardware e software como firewalls, e geradores de senha de momento), performance (tempo cifragem e decifragem), e facilidade de uso. perda de privacidade (a leitura de uma informao por indivduos no autorizados), perda de dados (corrupo ou deleo de informaes), e a perda de servios (ocupar todo o espao disponvel em disco, impossibilidade de acesso rede).

Nveis de risco:

Cada tipo de custo deve ser contra-balanado ao tipo de perda.

Polticas de Segurana

Conjunto de regras de segurana que regem sobre a rede de computadores Devem ser comunicadas a todos os usurios, pessoal operacional e gerentes da empresa

Uma poltica de segurana a expresso formal das regras pelas quais fornecido acesso aos recursos tecnolgicos da empresa.

Propsitos...

Informar aos usurios, equipe e gerentes, as suas obrigaes para a proteo da tecnologia e do acesso informao Especificar os mecanismos atravs dos quais estes requisitos podem ser alcanados. Oferecer um ponto de referncia, a partir do qual se possa

adquirir, configurar e auditar sistemas computacionais e redes, para que sejam adequados aos requisitos propostos.

Uma poltica de uso apropriado (Appropriate - ou Acceptable - Use Policy AUP) pode tambm ser parte de uma poltica de segurana

Ela deveria expressar o que os usurios devem e no devem fazer, incluindo o tipo de trfego permitido nas redes Deve ser explcita, evitando ambigidades e maus entendimentos

Quem deve ser envolvido?

Para que uma poltica de segurana se torne apropriada e efetiva, ela deve ter a aceitao e o suporte de todos os nveis de empregados dentro da organizao.

Deve envolver:

O administrador de segurana do site O pessoal tcnico de tecnologia da informao Os Administradores de grandes grupos de usurios dentro da organizao A equipe de reao a incidentes de segurana Os Representantes de grupos de usurios afetados pela poltica de segurana O Conselho Legal

Boa Poltica de Segurana

As caractersticas de uma boa poltica de segurana so:

deve ser implementvel atravs de

procedimentos de administrao, publicao das regras de uso aceitveis, ou outros mtodos apropriados. ferramentas de segurana, onde apropriado, e sanes onde a preveno efetiva no seja tecnicamente possvel.

Ela deve ser exigida com

Ela deve definir claramente as reas de responsabilidade para os usurios, administradores e gerentes.

Boa Poltica de Segurana

Seus Componentes:

Guias para a compra de tecnologia computacional que especifiquem os requisitos ou caractersticas que os produtos devem possuir. Uma poltica de privacidade que defina

expectativas razoveis de privacidade relacionadas a aspectos como a monitorao de correio eletrnico, logs de atividades, e acesso aos arquivos dos usurios.

Uma poltica de acesso que defina os direitos e os privilgios para proteger a organizao de danos, atravs da especificao de linhas de conduta dos usurios, pessoal e gerentes.

Boa Poltica de Segurana

Seus Componentes:

Uma poltica de contabilidade que defina as responsabilidades dos usurios.

deve especificar a capacidade de auditoria e oferecer a conduta no caso de incidentes.

Uma poltica de autenticao que estabelea confiana atravs de

uma poltica de senhas efetiva e atravs da linha de conduta para autenticao de acessos remotos e o uso de dispositivos de autenticao.

Boa Poltica de Segurana

Um documento de disponibilidade que define as expectativas dos usurios para a disponibilidade de recursos

endereando aspectos como redundncia e recuperao, especificando horrios de operao e de manuteno, com informaes para contato para relatar falhas de sistema e de rede.

Um sistema de tecnologia de informao e poltica de manuteno de rede que descreva como tanto o pessoal de manuteno interno como externo devem manipular e acessar a tecnologia Uma poltica de relatrio de violaes que indique quais os tipos de violaes devem ser relatados e a quem estes relatos devem ser feitos

Boa Poltica de Segurana

Suporte a informao

que oferea aos usurios informaes para contato para cada tipo de violao Linha de conduta sobre como gerenciar consultas externas sobre um incidente de segurana Referncias cruzadas para procedimentos de segurana e informaes relacionadas

Confirmao dos participantes

Uma vez que a poltica tenha sido estabelecida, deve-se criar um documento que os usurios assinem, dizendo que leram, entenderam e concordaram com a poltica estabelecida Finalmente, a poltica deve ser revisada regularmente para verificar seu funcionamento e possveis melhorias

Manter a poltica flexvel

Uma poltica deve ser largamente independente de hardware e softwares especficos Os mecanismos para a atualizao da poltica devem estar claros Deve-se explicitar o processo e as pessoas envolvidas na atualizao da poltica

Arquitetura

Objetivos Planos de Segurana Completamente Definidos

Separao de Servios Bloquear tudo / Permitir tudo Identificao das Reais Necessidades de Servios

Definio de planos de segurana

Cada instituio deve definir um amplo plano de segurana

de mais alto nvel projetado como um framework de objetivos amplos nos quais polticas especficas se enquadraro.

Plano de Segurana

Um plano de segurana deve definir:

a lista de servios de rede que sero providos; quais reas da organizao provero os servios; quem ter acesso aos servios; como o acesso ser provido; quem administrar esses servios; Como os incidentes sero tratados; etc.

Separao de Servios

Isolar os servios em hosts dedicados; nveis diferentes de acesso e modelos de confiana distinguir entre hosts que operam em diferentes modelos e confiana Se possvel, cada servio deve estar sendo executado em mquinas diferentes que tm como o nico objetivo prover aquele servio

fica mais fcil isolar intrusos e limitar falhas potenciais

Bloquear tudo / Permitir tudo

Existem 2 filosofias diametricamente opostas que podem ser adotadas quando se define um plano de segurana Ambas as alternativas so modelos legtimos a se adotar A escolha entre uma ou outra depende do local e suas necessidades de segurana

Bloquear tudo / Permitir tudo

A primeira opo :

retirar todos os servios e ento habilit-los seletivamente, considerando-os caso a caso.

Isto pode ser feito no nvel de host ou rede mais seguro do que o outro Porm, a configurao requer mais trabalho e compreenso dos servios

Bloquear tudo / Permitir tudo

A segunda opo :

permitir tudo na rede ou host

mais fcil de implementar menos segura que a outra Simplesmente ligar todos os servios (a nvel de host) e permitir a todos os protocolos que trafeguem na rede (a nvel de roteador) Os buracos de segurana ficam aparentes no host ou rede

Pode-se misturar as duas filosofias

Pode-se usar "permitir tudo" quando se trata de estaes de uso geral, mas "bloquear tudo" quando se trata de servidores de informaes, como servidores de email Pode-se tambm "permitir tudo" para o trfego entre subredes internas, mas "bloquear tudo" para comunicao com a Internet.

Reais necessidades de Servios

Novos servios disponibilizados Deve-se avaliar cada novo servio em relao sua necessidade real Geralmente, mais servios, mais insegurana

Configurao de Servios e Rede

Proteo da Infra-Estrutura Proteo da Rede Proteo dos Servios Proteo da Proteo

Protegendo a Infra-estrutura

administradores de rede costumam

proteger bem seus hosts deixar de proteger a rede

Pensa-se que os atacantes no tiraro proveito atacando os dados da rede

Mas um ataque comum nos dados da rede a procura por senhas de logins alheios

A infra-estrutura tambm pede proteo dos erros humanos Quando um administrador no configura bem um host, ele pode oferecer um mau servio

Proteo da Rede

Existem muitos ataques nos quais as redes se tornam vulnerveis O ataque clssico o "denial of service"

a rede levada a um estado no qual no consegue mais transmitir dados de usurios legtimos H duas maneiras de como isso pode ser feito:

atacando os roteadores e enchendo a rede com trfego estranho

Proteo dos Servios

Proteo diferenciada dos servios fornecidos no host Utilizao de Intranet Proteo de acesso annimo, ou guest Acessos isolados de hosts e sistemas de arquivos que no devem ser vistos por usurios externos. Acesso annimo com permisso de escrita

informaes colocadas por annimos devem ser monitoradas.

Proteo de Servios

Servidores de Nomes (DNS e NIS(+)) Servidores de Senha/Chave (NIS(+) e KDC) Servidores de Autenticao/Proxy (SOCKS, FWTK) Correio Eletrnico World Wide Web (WWW) Transferncia de Arquivo (FTP, TFTP) NFS

Arquitetura

Firewalls Sistemas de Deteco de Intrusos Sistemas de Preveno de Intrusos

Servios e Procedimentos Seguros

Autenticao

Senhas de Acesso nico Kerberos Escolhendo e Protegendo Tokens e Indentificadores Pessoais Numricos Secretos Garantia da Senha

Senhas robustas Troca de senhas padro Restringindo acesso ao arquivo de senhas Envelhecimento de Senhas Bloqueio de contas e senhas

Propriedades para a segurana dos dados

Confidencialidade

Guardar grandes segredos da empresa Informaes destrudas ou alteradas Conseguir acessar externamente e seguramente as informaes importantes de uma empresa

Integridade

Disponibilidade

Confidencialidade

Proteger da revelao entidades no autorizadas Proteo de arquivos atravs de permisses Utilizao de criptografia

Integridade

Prover alguma garantia sobre a integridade da informao em seus sistemas Realizar checksum de arquivos e manter offline Alguns sums no so de confiana

Autorizao

Conceder privilgios para processos e, em ltima anlise, para usurios Uma vez identificados (seguramente), os privilgios, direitos, propriedade e aes permissveis do usurio so determinados atravs da autorizao Uma abordagem, popularizada em sistemas de UNIX, associar a cada objeto trs classes de usurio: proprietrio, grupo e mundo Outra forma atravs de Lista de Controle de Acesso (ACL)

Acesso

Acesso Fsico Conexes de Rede Wireless Outras Tecnologias de Rede com comutao Modems

Linhas gerenciadas Usurios de discagem autenticados Capacidade de chamada reversa Logins registrados no log

Acesso

Modems

Mensagem de abertura Autenticao Dial-Out Programao forte da configurao dos modems

Acesso Fsico

Restringir o acesso fsico aos hosts, permitindo acesso somente a aquelas pessoas que devem us-los Manter cpias originais e backup de programas e dados seguras

Alm de mant-las em boas condies para fins de backup, elas devem ser protegidas contra furtos Certificar que no causaro problemas se um computador porttil de seu pessoal for roubado espcies de dados permitidos em discos de computadores portteis e maneira pela qual os dados devem ser protegidos

Hosts portteis

Conexes de Rede Wireless

Permite a qualquer usurio conectar um host no autorizado a sua rede Poltica de autenticao Fornecer o servio somente em locais necessrios Warchalking

Modems

Linhas de Modem devem ser Gerenciadas

Cuidado ao acesso conveniente a um local para todos seus usurios

elas podem tambm fornecer um desvio efetivo dos firewalls do local

No permite aos usurios instalar uma linha de modem sem uma autorizao apropriada Tenha um registro de todas as suas linhas de modem e mantenha-o atualizado

Modems

Usurios de Discagem devem ser Autenticados

A verificao do cdigo de usurio e da senha antes que o usurio possa ter acesso a qualquer coisa na sua rede Estabelecer um intervalo curto aps o primeiro e o segundo "login" falho, e force uma desconexo aps o terceiro

Modems

Capacidade de Chamada Reversa

Alguns servidores "dial-in" oferecem facilidades de chamada reversa o usurio disca e autenticado, ento o sistema desconecta a chamada e chama de volta no nmero especfico do usurio

Modems

Registrar Logins em Log

todos os logins bem-sucedidos ou no deveriam ser registrados no log no guardar senhas corretas no log registre-as como uma simples tentativa de login bem-sucedida

Modems

Banner de abertura correto

Muitos locais usam um "default" do sistema contido em um arquivo de mensagem do dia para seu "banner" de abertura Infelizmente, isto frequentemente inclui o tipo de hardware e sistema operacional do host Isto pode fornecer informaes valiosas para um possvel intruso O Ideal um banner curto e sem nomes convidativos

Modems

Autenticao "Dial-Out"

Usurios "dial-out" deveriam ser autenticados particularmente porque seu local ter de pagar pelas despesas telefnicas

Jamais permitir a discagem de sada a partir de uma chamada de entrada no autenticada Estabelecer se ser permitida a discagem de sada partir de uma entrada autenticada

Modems

Configurao Eficaz

Certificar que os modems no podem ser reprogramados enquanto estiverem em servio O ideal programa os modems para "resetarem" sua configurao padro no incio de cada chamada

Auditoria

O que coletar

Processo de Coleta

Carga de Coleta Manipulando e Preservando os dados de auditoria Condies legais

O que coletar

Incluir qualquer tentativa de obter um nvel de segurana diferente por qualquer pessoa, processo, ou outra entidade da rede

"login" e "logout" acesso de super-usurio qualquer outra mudana de acesso ou estado especialmente importante notar o acesso "anonymous" ou "guest" a servidores pblicos

Nota muito importante: no coletar senhas

Processo de Coleta

Ordenado pelo host ou recurso sendo acessado Manter os dados localmente ou em outros hosts Trs formas de armazenar registros de auditoria:

em um arquivo de leitura e escrita em um host, em um dispositivo do tipo escreva uma vez, leia vrias em um dispositivo somente de escrita

Deve-se tornar seguro o caminho entre o dispositivo que gera o registro e o que realmente armazena o registro Se o caminho est comprometido, o registro pode ser parado, ou adulterado, ou ambos

Carga da Coleta

Deve-se considerar a disponibilidade de armazenamento para os dados coletados Compactao de dados Armazenamento de dados durante um perodo de tempo Apagar logs antigos

Manipulando e Preservando os Dados de Auditoria

Devem estar entre aqueles mais protegidos no local e nos backups Se um intruso tiver acesso aos registros de auditoria, no s os dados, mas tambm os prprios sistemas correriam riscos Dados de auditoria podem tambm se tornar chaves para a investigao, apreenso e acusao do autor de um incidente Estabelecimento de manipulao dos dados pela equipe jurdica

Consideraes Legais

O contedo dos dados de auditoria

ateno da sua equipe jurdica deve-se preparar para as conseqncias resultantes tanto da sua existncia como do seu contedo

Ao coletar e salvar dados de auditoria

A investigao nos dado poderia representar uma invaso de privacidade

Protegendo Backups

Certificar que os backups esto sendo criados Certificar que est utilizando armazenamento secundrio para os backups

A localizao deve ser cuidadosamente selecionada

Criptografar os backups para proporcionar proteo No assumir que os backups sempre esto bons Periodicamente verifique a correo e a completude de seus backups.

Tratamento de incidentes de Segurana

Se a brecha o resultado de

um ataque de intruso externo, dano no intencional, um estudante testando algum programa novo para explorar uma vulnerabilidade de software, ou um empregado com ms intenses

Deve-se reagir conforme o plano, que j deveria ter sido previsto com antecedncia

Preparando e Planejando o Tratamento de Incidentes

Estar preparado para responder a um incidente antes dele acontecer Preparar diretrizes de tratamento de incidentes como parte de um plano de contingncia para sua organizao ou site

Preparando e Planejando o Tratamento de Incidentes

Aprender a responder eficazmente a um incidente para

proteger os recursos que poderiam ser comprometidos proteger os recursos que poderiam ser utilizados mais eficientemente se um incidente no requeresse seus servios seguir os regulamentos (do governo ou outros) prevenir o uso de seus sistemas em ataques contra outros sistemas (que poderia implicar em obrigaes legais) minimizar o potencial para exposio negativa

Preparando e Planejando o Tratamento de Incidentes

Um conjunto especfico de objetivos poderia ser:

descobrir como aconteceu descobrir como evitar explorao adicional da mesma vulnerabilidade evitar a expanso e incidentes adicionais avaliar o impacto e dano do incidente recuperar-se do incidente atualizar polticas e procedimentos conforme necessrio descobrir quem fez isto (se apropriado e possvel)

Preparando e Planejando o Tratamento de Incidentes

importante priorizar as aes a serem tomadas durante um incidente com bastante antecedncia antes do incidente acontecer Sugestes de prioridade so:
1. proteger vida humana e segurana das pessoas
vida humana sempre tem precedncia sobre outras consideraes

2. proteger dados importantes

Previna explorao sistemas, redes ou locais importantes. Informe sistemas, redes ou locais importantes que tenham sido afetados sobre invases acontecidas

Preparando e Planejando o Tratamento de Incidentes

3. proteger outros dados incluindo dados proprietrios, cientficos, administrativos e outros, pois perda de dados cara em termos de recursos.
Previna exploraes de outros sistemas, redes ou locais e informe os sistemas, redes ou locais afetados sobre invases bem sucedidas

4. prevenir dano para sistemas

Danos em sistemas pode resultar em custo de recuperao alto.

Preparando e Planejando o Tratamento de Incidentes

5. minimizar a interrupo dos recursos de computao(inclusive processos)
melhor em muitos casos desligar um sistema ou desconect-lo de uma rede que arriscar dano para dados ou sistemas

Notificao e Pontos de Contato

Gerentes locais e Pessoal

quem est encarregado de coordenar a atividade dos diversos jogadores

Agncias de Investigao e de Execuo da Lei Grupos de Tratamento de Incidentes de Segurana de Computadores Sites Afetados e Envolvidos Comunicaes internas Relaes pblicas - Press Releases

Relaes Pblicas

Algumas aes importantes

manter o nvel de detalhes tcnicos baixo manter a especulao fora de declaraes de imprensa trabalhar com profissionais da lei para assegurar que a evidncia protegida no dar uma entrevista de imprensa antes de estar preparado no permitir que a ateno de imprensa diminua o tratamento do evento

Identificando um Incidente

Real? Tipos e Escopo de Incidentes Avaliando Dano e Extenso

O Incidente Real?

Esta fase envolve determinar se um problema realmente existe Naturalmente muitos so anomalias tal como falhas de hardware ou comportamento de suspeito de sistema/usurio H sintomas que merecem mais ateno

Sintomas

Quedas (Crashes) de sistemas. Novas contas de usurio (a conta sysadmin2 foi criada inesperadamente), ou atividade alta em uma conta previamente pouco usada. arquivos novos (normalmente com nomes de arquivo estranhos) discrepncias de contabilidade (ex: lastlog) mudanas em tamanho ou data de arquivo tentativas de escrever em pastas de sistema modificao de dados ou apagamento

Sintomas

negao de servio (usurios impedidos de entrar no sistema) desempenho de sistema inexplicavelmente baixo anomalias (mensagens no monitor e inexplicveis "beeps") numerosas tentativas de login sem sucesso de outro nodo algum se torna um usurio root em um sistema UNIX e acessa arquivos arquivo aps arquivo em contas de muitos usurios inabilidade de um usurio para se logar devido a modificaes em sua conta. Estes so apenas alguns dos sintomas maliciosos

Tipos e Escopo de Incidentes

Avaliao do mbito e impacto do problema importante identificar os limites do incidente corretamente para

lidar efetivamente e priorizar respostas este um incidente multi-site? muitos computadores foram afetados? a imprensa est envolvida?

Olhar pontos, como por exemplo:

Avaliando Dano e Extenso

A anlise do dano e extenso do incidente pode consumir muito tempo

mas deve conduzir a alguma idia sobre a natureza do incidente e ajudar na investigao e prossecuo

Assim que a brecha tenha acontecido, o sistema inteiro e todos seus componentes devem ser considerado suspeitos

Avaliando Dano e Extenso

Deve-se verificar

A integridade dos arquivos Os backups de sistema Os logs centralizados

procura por anormalidades procura por caminhos percorridos por usurios

Tratando um Incidente

Tipos de Notificao e Troca de Informao Protegendo as Evidncias e Logs de Atividade Reteno Erradicao Recuperao Acompanhamento

Tratando um Incidente

Seguir polticas existentes para no perder o enfoque Restabelecer controle dos sistemas afetados e limitar o impacto e dano

No pior caso, fechando o sistema, ou desconectando o sistema da rede danos reais podem acontecer devido a demoras ou a informaes perdidas

Ajuda quanto necessrio para agilizar o trabalho

Tipos de Notificao e Troca de Informao

O pessoal apropriado deve ser notificado As circunstncias devem ser descritas em tantos detalhes quanto possvel

facilitar o pronto reconhecimento e entender o problema

Cuidado ao determinar quais grupos tcnicos a informao ser enviada na notificao

Tipos de Notificao e Troca de Informao

A escolha da fala usada quando notificar as pessoas sobre o incidente pode ter um efeito profundo no modo que informao recebida

Quando voc usa termos emocionais ou inflamatrios, voc eleva o potencial para dano e resultados negativos do incidente importante permanecer tranqilo ambos as comunicaes escrita e falada

Tambm requer cuidado de idiomas, timezone, etc.

Protegendo as Evidncias e Logs de Atividade

Deve-se documentar todos os detalhes relacionados ao incidente Isto prover valiosa informao para desvendar o curso dos eventos Detalhes armazenados tambm provero evidncias para esforos de prossecuo e provero os movimentos naquela direo

Protegendo as Evidncias e Logs de Atividade

Como mnimo, deve-se registrar:

todos os eventos de sistemas

registros de auditoria tempo usado inclusive a pessoa com quem falou, a data e tempo, e o contedo da conversa

todas as aes feitas

todas as conversaes externas

Protegendo as Evidncias e Logs de Atividade

O modo mais direto para manter documentao mantendo um livro de log Seguindo, por exemplo, os passos

Fazer cpias rotineiras assinadas de seus logs para um administrador de documentos O administrador deve armazenar estas pginas copiadas em um lugar seguro Ao submeter a informao para armazenamento, um recibo datado e assinado pelo administrador do documento deve ser emitido

Reteno

O propsito de reteno limitar a extenso de um ataque Uma parte essencial de reteno deciso do que fazer

por exemplo: determinando desligar um sistema; desconectar da rede; monitorar sistemas ou atividades de rede; etc.

A organizao ou site deve, por exemplo, definir riscos aceitveis lidando com um incidente

estabelecendo aes especficas e estratgias adequadas; Isso importante quando uma deciso rpida necessria.

Erradicao

Uma vez que o incidente foi contido, tempo para erradicar a causa Softwares podem estar disponveis para ajudar no processo de erradicao Deve-se tomar cuidado com os backups, pois pode existir uma cpia dos problemas Depois de erradicao, deveria ser feito um novo backup

Erradicao

Removendo todas as vulnerabilidades uma vez um incidente aconteceu difcil A chave para remover vulnerabilidades conhecimento e entendimento da brecha atacada Pode ser necessrio voltar para as mdia de distribuio originais e r-customizar o sistema

Recuperao

Uma vez que a causa de um incidente foi erradicada, a fase de recuperao define a prxima fase de ao A meta de recuperao retornar o sistema ao normal Em geral, expondo servios na ordem de demanda

Acompanhamento

Uma vez que voc acredita que o sistema foi restabelecido a um "estado seguro", ainda possvel que buracos, e at mesmo armadilhas Uma das fases mais importantes de respostas a incidentes a fase de acompanhamento

Resultados de um Incidente

Aes posteriores ao incidente

Criao de um inventrio dos recursos dos sistemas Criar um novo plano de segurana revisado com as lies aprendidas para impedir o incidente de racontecer Desenvolver uma anlise de risco nova levando em conta o incidente Uma investigao e prossecuo dos indivduos que causaram o incidente, se julgada desejvel

Responsabilidades

Proteja a sua prpria rede e no as dos outros partir do conhecimento, voc conhecer a falha de outras redes No caia na tentao de fazer como seu intruso

Endereos interessantes

CAIS (Centro de Atendimento Incidentes de Segurana)

http://www.rnp.br/cais

NBSO (NIC BR Security Office)

http://www.nbso.nic.br/

CERT (Computer Emergence Response Team)

http://www.cert.org

Ferramentas de Monitoramento
http://tools.netsa.cert.org/

Cartilha do CERT
http://cartilha.cert.br/download/

Apostila CERT
http://www.cert.br/docs/seg-adm-redes/