Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Detecção de Ameaças 101

Nichols Jasper
May 19, 2023
Technology
0
71

Detecção de Ameaças 101

Detectar ameaças é uma capacidade de suma importância para as empresas da atualidade. Com o pujante ritmo de digitalização de nossas vidas pessoais e corporativas, a acelerada transformação digital implementada nas empresas e um cenário de ameaças cada vez mais vasto e sofisticado é vital que uma organização possa eficazmente monitorar sua rede, aplicações e demais ativos em busca de potenciais violações de segurança. O desenvolvimento deste processo é um dos pilares da resiliência cibernética, fator central para mitigar os riscos e proteger as estratégias de negócio contra os mais variados atores de ameaça, cujas ações podem ser determinantes para o fracasso de uma companhia.

Nichols Jasper

May 19, 2023
Tweet

More Decks by Nichols Jasper

See All by Nichols Jasper
Segurança da Informação nas Profundezas da Internet
nicholsjasper
0
38
Detecção Agnóstica de Ransomware - GTS 37
nicholsjasper
0
35
Fraudes Contábeis e Controles de Segurança
nicholsjasper
0
64
Inteligência de Ameaças: Como aprimorar a detecção e resposta a ataques
nicholsjasper
1
290
Deep Web 101 – Vasculhando as profundezas da Internet
nicholsjasper
0
170
Panorama de Segurança na Internet das Coisas
nicholsjasper
0
62
Estratégias para Modelagem de Ameaças
nicholsjasper
1
200
Resposta a Incidentes de Segurança com ferramentas SIEM
nicholsjasper
0
72
Gestão de Riscos de Segurança da Informação
nicholsjasper
0
53

Other Decks in Technology

See All in Technology
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
290
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
110
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
300
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
160
Cypress or Playwright?
rainerhahnekamp
0
130
MapLibreとAmazon Location Service
dayjournal
1
160
VS CodeでAWSを操作しよう
smt7174
8
1.7k
生成AIの変革の時代に、 直近1年で直面した課題とその解決策
ktc_wada
0
370
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
BPStudyの200回を中心にIT業界を振り返る。そしてこれから
haru860
2
200
JSON攻略法.pdf
miyakemito
8
5.1k

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
Music & Morning Musume
bryan
41
5.6k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Designing the Hi-DPI Web
ddemaree
276
33k
Producing Creativity
orderedlist
PRO
337
39k
Designing Experiences People Love
moore
136
23k
The Invisible Customer
myddelton
114
12k
Mobile First: as difficult as doing things right
swwweet
216
8.6k
Scaling GitHub
holman
457
140k
Making the Leap to Tech Lead
cromwellryan
124
8.5k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k

Transcript

  1. Click to edit Master title style 1 Detecção de Ameaças

    101 Isso é para mim? Seminários de Informática Nichols Jasper 19/05/2023

  2. Click to edit Master title style 2 Agenda 2 •

    Introdução • O que é? • Por que é necessário? • Como? • Logs, a matéria-prima • Arquitetura de Detecção • Métodos de Detecção • O que detectar? • Filosofia e Desafios • Dúvidas e Respostas

  3. Click to edit Master title style 4 4 Introdução

  4. Click to edit Master title style 5 Recordar é Viver.....

    5 Uma ameaça é qualquer evento adverso e indesejado: • Acesso não autorizado • Abuso de privilégios • Destruição • Divulgação • Negação de Serviço • Modificação indevida Um incidente é uma ocorrência que compromete o CID de um sistema de informação ou das informações que o sistema processa, armazena ou transmite, é uma violação de segurança. [1] Segurança da Informação Confidencialidade Integridade Disponibilidade

  5. Click to edit Master title style 6 Logo, detectar ameaças

    é…. 6 • O processo de monitorar os eventos que ocorrem em um sistema de computador ou rede e analisá-los em busca de sinais de possíveis incidentes. [1] • A capacidade das organizações de identificar com rapidez e precisão ameaças à rede, computadores, aplicativos ou outros ativos dentro da rede. • Sem a capacidade de reconhecer intrusos (adversários mal- intencionados) na sua rede em tempo hábil, os analistas de segurança de TI não têm esperança de responder aos incidentes de segurança e mitigar seus danos com eficácia. [2]

  6. Click to edit Master title style 7 Por que é

    necessário? 1) Digitalização Exponencial Evolution of the Desk - https://www.youtube.com/watch?v=rszCQwOvHT0 7

  7. Click to edit Master title style 8 Por que é

    necessário? 1) Digitalização Exponencial 8 [3] • 79861 por minuto Novos hosts • 7620 por minuto Novos dispositivos IOT • 150 por minuto Novos domínios • 53 por minuto Novos certificados SSL LetsEncrypt • 23 por minuto Novos aplicativos móveis [4]

  8. Click to edit Master title style 9 Por que é

    necessário? 2) Inovações sob Ameaça 9 Computação em Nuvem Internet das Coisas Complexa Cadeia de suprimentos de SW e HW Pujante Transformação Digital IA generativa Ciência de Dados Blockchain / DeFi Ataques contra infraestrutura em nuvem Comprometimento e uso de IoT em Botnets Intrusão indireta para prejudicar clientes Danos à reputação da empresas e marcas Vazamento de informações confidenciais e PI Corrupção de dados de pesquisa Uso não autorizado de recursos para mineração

  9. Click to edit Master title style 10 Por que é

    necessário? 3) Vasto cenário de Ameaças 10 [5] [6]

  10. Click to edit Master title style 11 11 [4] Por

    que é necessário? 3) Vasto cenário de Ameaças

  11. Click to edit Master title style 12 12 Como?

  12. Click to edit Master title style 13 Logs, a matéria-prima

    13 Evento Qualquer ocorrência observável em uma rede ou sistema de informação Log Um registro dos eventos que ocorrem nos sistemas de informação e redes de uma organização [1], [7] A partir da análise destas informações é possível: ✓ Registrar as atividades normais ✓ Detectar problemas de hardware ou nos programas e serviços instalados no computador ✓ Detectar um ataque ✓ Detectar o uso indevido do sistema

  13. Click to edit Master title style 14 Exemplos de Logs

    – Autenticação SSH 14

  14. Click to edit Master title style 15 Exemplos de Logs

    – Secure Web Gateway (SWG) 15 "2023-05-16 18:56:28","Nichols Jasper ([email protected])", “XXX.XXX.203.181",“XXX.XXX.45.138",“XXX.XXX.36.178","","ALLOWED","htt ps://www.google-analytics.com/g/collect","https://it.umich.edu/", "Software/Technology,Computers and Internet ([email protected]),XXXXX92",",Roaming Client","POST","ALLOWED" Neste log de navegação web podemos mapear: ✓ Informações de identidade. ✓ Origem e destino (IPs, hostnames) ✓ Categoria do conteúdo sendo acessado. ✓ Ação requisitada (POST) no Google Analytics embutido na página da universidade de Michigan, ação permitida pela plataforma de segurança.

  15. Click to edit Master title style 16 Logs, a matéria-prima

    16 Exemplos de eventos para registrar: ✓ Logins e autenticação com e sem sucesso. ✓ Alterações de senha. ✓ Falhas de autorização durante tentativas de acesso. ✓ Mudanças de membros do grupo. ✓ Acesso do usuário a dados restritos. ✓ Modificação de dados sensíveis (por exemplo, configuração de sistemas sensíveis ou críticos, transações financeiras). ✓ Ações de contas privilegiadas dos sistemas. ✓ Acessos a sites e conteúdo web. ✓ Detecção de atividade suspeita ou maliciosa de sistemas de segurança. [8]

  16. Click to edit Master title style 17 Arquitetura de Detecção

    17 Antimalware / EDR Aplicações Servidores Bases de Dados Mainframe Firewall / Proxy de Internet SIEM

  17. Click to edit Master title style 18 Abuso Ameaça Anomalia

    Métodos de Detecção 18 Conhecido Desconhecido Volátil Complexo [9] Ambiente Difícil Evasão Fácil Evasão Oneroso Limitado Indicadores • Assinaturas de ataques passados. • Conteúdo estático (hashes, domínios, IPs) Comportamento • Indicadores de Ataque • Modus Operandi de ataques prévios Controle de Mudanças • Comparações entre o aferido e o desejável • Investigação de Desvios Modelagem • Estatística Descritiva • Inteligência Artificial e Aprendizado de Máquina

  18. Click to edit Master title style 19 Frameworks – NIST

    Cybersecurity Framework (CSF) 19 [10]

  19. Click to edit Master title style 20 Frameworks - MITRE

    ATT&CK 20 É uma base de conhecimento de táticas e técnicas usadas por adversários baseadas em observações do mundo real. Táticas: 14 Técnicas: 196 Sub-técnicas: 411 [11] e [12]

  20. Click to edit Master title style 21 “ “Algumas invasões

    são realmente óbvias. Se você está preocupado com alguém vandalizando seu site corporativo, então a defesa óbvia é ter uma máquina em algum lugar que busque a página regularmente, inspecione-a e soe um alarme muito alto quando ela mudar. Mas, no caso geral, detecção de intrusos é bem mais difícil que isso.” Security Engineering: A Guide to Building Dependable Distributed Systems Profº Ross Anderson – professor na Universidade de Cambridge e Edimburgo [13] 21

  21. Click to edit Master title style 22 “ A detecção

    de algo malicioso envolve detectar a intenção e não a atividade. Isso equivale a intuição e inferência, algo que exige habilidades de pessoas e não de máquinas. Um exemplo: aqui está uma conexão com a porta 443 deste IP. Bom, mau? Adicionar contexto pode ajudar, mas ainda pode ser insuficiente em nossa tentativa de deduzir a intenção. Isso torna a detecção ainda mais difícil.” Why is Threat Detection Hard? Anton Chuvakin – especialista em segurança no Google e ex-líder de pesquisa no Gartner [14] 22

  22. Click to edit Master title style 23 Referências I •

    [1] NIST Cybersecurity Glossary - https://csrc.nist.gov/glossary • [2] SumoLogic - https://www.sumologic.com/glossary/threat-detection-response/ • [3] Statista - https://www.statista.com/chart/25443/estimated-amount-of-data- created-on-the-internet-in-one-minute/ • [4] Cyberthreat Minute 2022 - https://www.microsoft.com/en- us/security/business/security-insider/threat-briefs/cyberthreat-minute-2022/ • [5] Reliaquest - https://www.reliaquest.com/blog/your-data-at-risk-fbi-cyber- division-shares-top-emerging-cyber-threats-to-your-enterprise/ • [6] Threat Actor - https://cyberhoot.com/cybrary/threat-actor/ • [7] Fundamentos de Segurança da Internet e da Informação - https://www.cert.br/docs/palestras/certbr-egijur-bsb2017.pdf

  23. Click to edit Master title style 24 Referências II •

    [8] Universidade de Michigan - https://it.umich.edu/information-technology- policies/general-policies/DS-19 • [9] The four types of Threat Detection - https://www.dragos.com/wp- content/uploads/The_Four_Types-of_Threat_Detection.pdf • [10] NIST CSF - https://www.nist.gov/cyberframework • [11] ATT&CK Techniques - https://attack.mitre.org/techniques/enterprise/ - • [12] F5 – ATT&CK Explained - https://www.f5.com/labs/learning-center/mitre- attack-what-it-is-how-it-works-who-uses-it-and-why • [13] Ross Anderson – Security Engineering 2nd - https://www.cl.cam.ac.uk/~rja14/Papers/SEv2-c21.pdf • [14] Why is Threat Detection Hard? - https://medium.com/anton-on-security/why-is- threat-detection-hard-42aa479a197f

  24. Click to edit Master title style 25 Perguntas são muito

    bem- vindas! • Muito obrigado pela oportunidade!