Programa visa fortalecer segurança da informação nas organizações usuárias
No encontro técnico sobre Segurança, no quarto dia do SCI em Goiânia, o Centro de Atendimento a Incidentes de Segurança da RNP (CAIS) apresentou o Programa de Fortalecimento da Segurança da Informação nas Organizações Usuárias, que visa apoiar boas práticas e contribuir para a redução dos riscos e vulnerabilidades aos quais essas organizações estão expostas.
Uma das ações é o apoio à criação de CSIRTs acadêmicos, que são as equipes de respostas a incidentes de segurança formados pelas instituições. Para isso, o CAIS criou um modelo padrão para as novas equipes, respeitando suas diferenças, definiu um modelo de gestão de incidentes, publicou um guia e promoveu a interação entre os CSIRTs novos e já existentes. “Os CSIRTs são os nossos principais aliados para elevar o nível de maturidade de segurança nas organizações”, afirmou o analista do CAIS, Yuri Alexandro.
Outra iniciativa do programa foi fomentar a elaboração de políticas de segurança da informação, nas instituições que ainda não tinham o documento ou então nas que tinham material incipiente. “Dentro das questões mais críticas, o item política de segurança da informação acabou se destacando. Não é apenas uma necessidade de atender às auditorias dos órgãos de controle, mas também de tratar a segurança desde a sua base”, declarou o também analista do CAIS, Ronald Huppers.
Um ano de SGIS
O coordenador de gestão de incidentes de segurança, Edilson Lima, trouxe a experiência de um ano do Sistema para a Gestão dos Incidentes de Segurança (SGIS), implantado em dezembro de 2014. O sistema trabalha na triagem, notificação e gestão de todo esse processo na rede acadêmica. “Com o SGIS, oferecemos a todas instituições uma ferramenta única para resposta e controle desses incidentes”, afirmou Edilson.
De acordo com dados de 2015, de janeiro a setembro, o sistema contabilizou mais de 470 mil notificações. Em 85% dos incidentes, a rede acadêmica é a origem, ou seja, os seus recursos estão sendo usados para atacar alguém. “Por dia, são 480 ataques partindo da rede Ipê”, informou Edilson, ressaltando que a exploração mais comum é em ataques DDoS. “Deixamos de ser as vítimas e passamos a ser os vilões”.
Para promover ações de combate a atividades maliciosas na rede Ipê, o CAIS também iniciou o projeto Top5, que selecionou cinco instituições com maior número de notificações na categoria mais representativa, de tentativa de intrusão, para tentar diminuir esse quadro. Das instituições escolhidas, a Universidade Federal do Paraná (UFPR) somou 32% das notificações.
Dentro dessa categoria, os três protocolos com maior incidência foram os SNMP, Netbios e NTP e maioria dos ataques de negação de serviço distribuídos reflexivos (DRDoS). “Temos uma largura de banda muito grande nas universidades. Alguém com conhecimento disso poderia usar as máquinas da rede Ipê para realizar esses ataques”, comentou Rildo Souza, da equipe do CAIS.
Rede de sensores distribuídos e DDoS
Outro projeto para identificar incidentes de segurança partindo da rede acadêmica criou uma rede de sensores distribuídos. A ferramenta é escalável, plug and play, baseada em software livre e com administração centralizada. Os sensores foram instalados em três Pontos de Presença da RNP – Ceará, Bahia e Paraná – com 696 eventos, em média, por dia. Desses, 32% dos incidentes detectados foram de bitcoins. “Em sete dias, fomos alvo de 48 mil ataques”, informou o analista do CAIS, Alan Santos.
Ele ainda apresentou mais um projeto, de combate à DDoS na rede acadêmica, usando como ferramenta de identificação o Peakflow integrada ao sistema SGIS. O objetivo foi detectar um ataque de negação de serviço em um ambiente distribuído. A principal observação foi de que os ataques são coordenados. “Eles têm o mesmo comportamento, mas são distribuídos para mais de 20 instituições envolvidas. Muitas instituições têm várias maquinas infectadas por um único controlador botnet”, constatou Alan.