SlideShare une entreprise Scribd logo

Prevenção ransomware guia

Carlos Serrao
Carlos Serrao

Informação da OWASP sobre algumas medidas a tomar para a prevenção do "ransomware".

Technologie
1  sur  37
Télécharger pour lire hors ligne
Prevenir o “ransomware” Guia OWASP para prevenção de “ransomware” Carlos Serrão carlos.serrao@iscte.pt @pontocom ISCTE - Instituto Universitário de Lisboa
 7.Junho.2017
OWASP 2
A evolução do “ransomware” ao longo dos últimos anos (fonte: F-Secure) 3 O “ransomware” não pára de crescer…
Categorias de Mitigações 4 Defesa do Perímetro Defesa da 
 Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM (Sec. Information and Event Management) e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes
Categorias de Mitigações 5 Defesa do Perímetro Defesa da 
 Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Primeira linha de defesa para travar ameaças antes que as mesmas tenham impacto em sistemas ou utilizadores ▰Firewall ▰Servidor Proxy/Filtro Web ▰Filtro SPAM
Defesa do Perímetro ▰Garantir que a firewall está devidamente configurada, não apenas para tráfego in-bound, mas igualmente out- bound ▻Garantir sempre o modelo do “menor previlégio” ▻Sistemas que não necessitem de acesso exterior, devem ser impedidos de efectuar tal acesso ▻No caso de compromisso por “ransomware” limita o malware de “ligar para casa” ▻Logging na firewall deve estar activo para verificar tentativas sucessivas de ligações a IPs maliciosos conhecidos - indicador da existência de problemas. 6 Firewall
Defesa do Perímetro ▰Os sistemas ligados à Internet devem ser configurados para usarem proxy servers, que permite que o conteúdo Web seja filtrado ▻Com base em whitelists de sites permitidos ▻Bloqueio de acesso a sites maliciosos ou potencialmente perigosos ▰A nível organizacional, apesar de serem impopulares, as seguintes medidas podem ser implementadas: ▻Bloqueio de acesso a email pessoal, sites de partilha de ficheiros, redes sociais, mensagens, redes de publicidades, entre outros. ▻Proibir o download de ficheiros executáveis ▻Nos proxies que permitam, usar em combinação com um AV para analisar o conteúdo Web de entrada. 7 Servidor Proxy/Filtro Web Cortar por completo os sistemas da Internet apesar de parecer uma ótima ideia por vezes não é possível
Defesa do Perímetro ▰Filtrar o email antes do mesmo chegar aos servidores da empresa e aos utilizadores finais - mitigando links maliciosos, anexos maliciosos, entre outros. ▻Bloquear mensagens com anexos executáveis (.exe, .vbs, etc.) ▰Garantir que os filtros de SPAM estão actualizados 8 Filtro SPAM
Categorias de Mitigações 9 Defesa da Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰DNS Sinkhole ▰Segmentação da Rede ▰Network Intrusion Detection System (NIDS) Defesas que podem ser usadas na LAN para ajudar a detectar e mitigar malware.
Defesa da Rede ▰A segmentação de redes através de VLANs e das ACLs que controlam o tráfego entre VLANs não previne ataques de malware/ransomware ▰No entanto é essencial para limitar o impacto do malware/ransonware em caso de ataque ▰A segmentação de redes pode ajudar a conter uma infecção por malware/ransomware, garantindo que a mesma fica isolada num determinado segmento da rede 10 Segmentação da Rede
Defesa da Rede ▰Uma NIDS não é muito eficaz na deteção e prevenção de malware/ransomware, no entanto podem ser úteis para alertar para potenciais problemas uma vez que podem detectar tentativas de comunicação feitas para endereços IP maliciosos (que podem ser realizadas pelo malware/ransomware) ▻Quanto mais cedo os responsáveis de IT/InfoSec forem alertados, mais rápido podem agir para conter e corrigir os problemas. ▰Pode ainda ser útil para identificar numa organização que sistema afectado está a tentar infectar os restantes em seu redor 11 Network Intrusion Detection System (NIDS)
Categorias de Mitigações 12 Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Corrigido (patched) e actualizado ▰Não usar/instalar aplicações ou serviços desnecessários ▰Sem direitos administrativos ▰Anti-vírus (AV) ▰Host Based Intrusion Detection/ Prevention Systems (HIDS/HIPS) ▰Filtros Web Proteções que existem no computador pessoal ou outros sistemas com os quais os utilizadores interagem Defesa da 
 Rede ▰Filtros SPAM ▰Desactivar Macros ▰Políticas de restrição de software ▰Ficheiro Hosts ▰Desactivar acesso via USB ▰Infraestrutura de Desktop Virtual ▰“Sandboxing” de aplicações
Defesa no Terminal ▰Malware/ransomware usam exploits para conseguir obter acesso a um sistema ▰Se os sistemas estiverem devidamente corrigidos (patched) e actualizados minimizam-se as formas como o mesmo pode ser explorado ▻Em relação ao ransomware: cliente de email, browser, Flash (se é que precisa), devidamente actualizados ▰Organizações devem ter processos automatizados para gestão de correções/patches 13 Corrigido (patched) e actualizado
Defesa no Terminal ▰Se uma aplicação não existir num sistema, esta não pode ser explorada ▰Garantir que as configurações do terminal também seguem um modelo de “menor privilégio” é uma forma de reduzir a superfície de ataque ▰Recomendável não executar o Java e o Flash em computadores que não necessitem dos mesmos. 14 Não usar/instalar aplicações ou serviços desnecessários
Defesa no Terminal ▰Direitos administrativos devem ser usados apenas para tarefas administrativas ▻Utilização “normal” não deve ser realizada de uma conta com privilégios administrativos ▰Previne muitos tipos de malware/ransomware de ganharem acesso porque a conta simplesmente não tem permissões para instalar o software. 15 Sem direitos administrativos
Defesa no Terminal ▰AV deve ser executado em todos os terminais e configurado para detectar acesso a ficheiros e outros recursos ▰AV deve estar sempre actualizado e configurado para alertar sobre possíveis infeções ▻Notar que o AV é baseado em assinaturas e pode apenas detectar ameaças conhecidas ▻AV pode não oferecer nenhuma proteção contra novos vírus ou novas variantes de um malware conhecido ▰Idealmente deve ser usado um fornecedor de AV diferente do usado para analisar vírus no perímetro da rede. 16 Anti-vírus (AV)
Defesa no Terminal ▰Muito software para proteção do terminal oferecem formas adicionais de filtrar conteúdo Web malicioso, e como tal é aconselhável usar os mesmos ▻Podem oferecer proteção adicional ao filtro Web de perímetro em especial se o fornecedor for diferente ▻Aumenta a possibilidade de bloqueio de conteúdo Web malicioso antes do sistema ou utilizador poder aceder ao mesmo. 17 Filtros Web
Defesa no Terminal ▰Tal como na filtragem Web, o filtro de SPAM é igualmente útil no terminal do utilizador. ▻Aumenta a possibilidade de deteção de SPAM e diminui a possibilidade de um email malicioso poder passar pela defesa de perímetro e de terminal sem ser detectado. ▻É crítico porque existem algumas variantes de malware/ ransomware (Locky, p.e.) que se espalham em anexos do email. 18 Filtros SPAM
Defesa no Terminal ▰Macros e outros tipos de conteúdos executáveis podem ser embebidos em documentos de Office ou PDF. ▻ A maior parte dos utilizadores na organização não precisam de usar estas funcionalidades e como tal as mesmas devem estar desactivadas por defeito. 19 Desactivar Macros
Defesa no Terminal ▰Ficheiros “host” são usados antes do DNS para resolver endereços IP. ▰Tais como os DNS ”sinkholes” podem ser usados para prevenir domínios maliciosos de serem resolvidos. ▰Pode ser usado como uma medida adicional de defesa para impedir ligações a sites maliciosos. 20 Ficheiro Hosts
Defesa no Terminal ▰Apesar de não serem muito comuns existem algumas variantes do malware/ransomware (p.e.CryptoLocker) que se espalha por drives USB. ▰Se possível, para aumentar a segurança, o acesso a drives USB deve ser bloqueado. 21 Desactivar acesso via USB
Defesa no Terminal ▰Se os terminais forem “virtualizados”, uma opção adicional para defesa contra malware é assegurar que todos os terminais VDI são não-persistentes e que todos os sistemas são revertidos para um estado pré-definido após cada sessão ▻Garante que qualquer malware que infecte um desktop VDI, é eliminado depois da sessão do utilizador terminar, revertendo assim a um estado anterior 22 Infraestrutura de Desktop Virtual
Categorias de Mitigações 23 Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Permissões de ficheiros ▰Snapshots de Máquinas Virtuais Defesa da 
 Rede Defesa no Terminal
Defesa no Servidor (Network-Attached Server - NAS) ▰Princípio importante em InfoSec é o do “menor previlégio”, em que indivíduos apenas devem ter acesso ao que é necessário para as suas tarefas e não mais ▰Infelizmente isto nem sempre acontece, e ao longo do tempo as permissões vão aumentando de forma descontrolada (p.e. em shares partilhados em rede) ▰Devido ao aumento de ataques de ransomware é muito importante agora para as organizações auditarem as permissões de acesso em partilhas de rede e garantir que o principio de “menor previlégio” está imposto ▰Embora não possa previnir um ataque de ransomware, pode mitigar o impacto do mesmo nos dados da organização. 24 Permissões de Ficheiros ▻Pessoal de IT nem sempre é informado da mobilidade dos recursos humanos (novas funções, saídas, de pessoal, etc.) ▻Resulta em permissões que são adicionadas para novas funções e papeis, mas as anteriores continuam activas
Defesa no Servidor (Network-Attached Server - NAS) ▰A “virtualização” da infraestrutura de servidores é muito comum ▻Possível proteger a mesma de ransomware fazendo “snapshots” regulares das máquinas virtuais ▻Permite recuperar o estado da máquina virtual para um estado anterior no tempo ▰Pode oferecer um ponto de recuperação alternativo na eventualidade de um ataque por ransomware 25 Snapshots de Máquinas Virtuais
Categorias de Mitigações 26 SIEM e Gestão de Logs Defesa no 
 Servidor (NAS) Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro Defesa da 
 Rede Defesa no Terminal ▰Equipamentos e ferramentas como firewalls, servidores, IDS, filtros Web, sistemas operativos, entre outros, geram informação em ficheiros de log. ▻A informação no ficheiro de log oferece pistas para detectar e resolver problemas de malware ▻Possuir uma solução que é capaz de integrar e processar toda esta informação de logs (SIEM - Security Information and Event Management) pode ser muito útil para detectar e erradicar rapidamente o problema ▻A centralização desta informação ajuda igualmente a identificar as causas do problema, e a sua posterior análise
Categorias de Mitigações 27 Backup e Recuperação Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Backup e Plano de Recuperação ▰Snapshots de Armazenamento ▰Testes de Backup e de Recuperação Defesa da 
 Rede Defesa no Terminal
Backup e Recuperação ▰Organização deve possuir pontos de recuperação e tempos de recuperação muito bem definidos para cada activo ▻Ajuda a determinar quais a tecnologias e procedimentos de backup que devem ser usados ▰Devem existir políticas e procedimentos documentados para descrever: ▻Planeamento de backups, como é que os dados devem ser copiados e recuperados, quem é responsável pelos mesmos ▻Deve existir pessoal treinado nesta área. 28 Backup e Plano de Recuperação
Backup e Recuperação ▰Planos de recuperação de desastres são muitas vezes ignorados até que aconteça um desastre == má política! ▰Backup e recuperação devem ser testados de uma forma rotineira para garantir que os sistemas operam correctamente e que o staff os consegue operar ▰Não esperar até que não esteja a ser realizado backup a um servidor crítico depois de um ataque de ransomware ou outro ataque ocorra ▰Testes de rotina podem melhorar o tempo de recuperação no caso de incidente. 29 Testes de Backups e Recuperação
Categorias de Mitigações 30 Treino e consciencia- lização Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Resposta a incidentes Defesa da 
 Perímetro Defesa da 
 Rede Defesa no Terminal ▰Apesar de poderem existir um conjunto de medidas técnicas de proteção, o utilizador é sempre o “elo mais fraco” ▰Um utilizador bem treinado é sempre uma das formas mais eficazes de defesa ▻Reconhecer emails ou links suspeitos e reportar os mesmos para investigação ▰Quanto mais cedo estes problemas forem reportados mais cedo podem ser detectados, corrigidos e contidos na organização (p.e. através de medidas técnicas)
Categorias de Mitigações 31 Resposta a incidentes Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Defesa da 
 Perímetro ▰Planos de Resposta a Incidentes ▰Simulação de Incidentes Defesa da 
 Rede Defesa no Terminal
Resposta a Incidentes ▰Pior atitude: “depois de casa arrombada, trancas na porta” ▰Organizações devem ter planos para: ▻Definir como reagir ao incidente ▻Quem vai ser responsável pelas fases de detecção, contenção, erradicação e recuperação ▰Conhecimento dos planos por parte do staff ▰Treino dos planos 32 Planos de Resposta a Incidentes https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
Resposta a Incidentes ▰Quando ocorre um incidente o mesmo deve ser detectado e contido o mais depressa possível ▰Para estar preparado para isto é importante treinar cenários de incidente ▻Começar por testar com cenários de ataques mais simples como malware ou phishing aos utilizadores (usando a string de testes da EICAR*, p.e.) 33*European Institute of Computer Anti-Virus Research Simulação de Incidentes
Documentação adicional ▰The OWASP Anti-Ransomware Guide, https:// www.owasp.org/index.php/OWASP_Anti- Ransomware_Guide_Project 34
35 Russia’s Top Religious Official Sprays Holy Water on Computers to Fend Off Ransomware Virus E se estas recomendações não resultarem? https://heatst.com/tech/russias-secret-weapon-against-ransomware-virus-holy-water/
36 … e se mesmo assim falhar… … o melhor é usar um verdadeiro procedimento de emergência!
Prevenir o “ransomware” Guia OWASP para prevenção de “ransomware” Carlos Serrão carlos.serrao@iscte.pt @pontocom ISCTE - Instituto Universitário de Lisboa
 7.Junho.2017

Recommandé

OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10Carlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 

Recommandé

OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10Carlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertaçãoMiky Mikusher Raymond
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Symantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Advanced Threat Protection: Symantec Cynic
Symantec Advanced Threat Protection: Symantec CynicSymantec Brasil
 
Sophos UTM9
Sophos UTM9Sophos UTM9
Sophos UTM9DeServ - Tecnologia e Servços
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
backdoors
backdoorsbackdoors
backdoorsguest0510c9
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...Luiz Dias
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internetMadalena Santos
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaDeServ - Tecnologia e Servços
 
Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophosm3corp
 
CONSULTCORP - F-SECURE - Datasheet Client Security português
CONSULTCORP - F-SECURE - Datasheet Client Security portuguêsCONSULTCORP - F-SECURE - Datasheet Client Security português
CONSULTCORP - F-SECURE - Datasheet Client Security portuguêsConsultcorp Distribuidor F-Secure no Brasil
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaMafalda Martins
 
Comandos CMD
Comandos CMDComandos CMD
Comandos CMDfrancissal
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semanaJorge Ávila Miranda
 

Contenu connexe

Tendances

Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoCisco do Brasil
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...Luiz Dias
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophosm3corp
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec Brasil
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoDanilo Alves
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 

Tendances (19)

Sophos UTM9
Sophos UTM9Sophos UTM9
Sophos UTM9
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernéticoRedes de controle: Mantenha a disponibilidade durante um ataque cibernético
Redes de controle: Mantenha a disponibilidade durante um ataque cibernético
 
backdoors
backdoorsbackdoors
backdoors
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
Apresentação da solução Allanis Backup que protege seus dados do ransonware-w...
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
Segurança na internet
Segurança na internetSegurança na internet
Segurança na internet
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
Apresentação Sophos
Apresentação SophosApresentação Sophos
Apresentação Sophos
 
CONSULTCORP - F-SECURE - Datasheet Client Security português
CONSULTCORP - F-SECURE - Datasheet Client Security portuguêsCONSULTCORP - F-SECURE - Datasheet Client Security português
CONSULTCORP - F-SECURE - Datasheet Client Security português
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Symantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: NetworkSymantec™ Advanced Threat Protection: Network
Symantec™ Advanced Threat Protection: Network
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 

Similaire à Prevenção ransomware guia

Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaMafalda Martins
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28LilianeR
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploitsNaraBarros10
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresBruno Dos Anjos Silveira
 
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"Verdanatech Soluções em TI
 
Alerta 02 2017- ataques de ransomware
Alerta 02 2017- ataques de ransomwareAlerta 02 2017- ataques de ransomware
Alerta 02 2017- ataques de ransomwareJoão José
 
Windows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparWindows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparSymantec Brasil
 

Similaire à Prevenção ransomware guia (20)

Ransomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresaRansomware - 7 passos para evitar o sequestro da sua empresa
Ransomware - 7 passos para evitar o sequestro da sua empresa
 
Comandos CMD
Comandos CMDComandos CMD
Comandos CMD
 
Aula 4 semana
Aula 4 semanaAula 4 semana
Aula 4 semana
 
Pdf e5-ss28
Pdf e5-ss28Pdf e5-ss28
Pdf e5-ss28
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Desenvolvimento de exploits
Desenvolvimento de exploitsDesenvolvimento de exploits
Desenvolvimento de exploits
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
Hardening
HardeningHardening
Hardening
 
Firewall
Firewall Firewall
Firewall
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Pentest teórico
Pentest teóricoPentest teórico
Pentest teórico
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
Segurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de ComputadoresSegurança em Sistemas Baseados em Redes de Computadores
Segurança em Sistemas Baseados em Redes de Computadores
 
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"
Comunicado do "Centro de Tratamento de Incidentes de Redes do Governo"
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Segurança ead
Segurança eadSegurança ead
Segurança ead
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 
Alerta 02 2017- ataques de ransomware
Alerta 02 2017- ataques de ransomwareAlerta 02 2017- ataques de ransomware
Alerta 02 2017- ataques de ransomware
 
Windows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocuparWindows 2003 sem suporte: por que você deveria se preocupar
Windows 2003 sem suporte: por que você deveria se preocupar
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico
 

Plus de Carlos Serrao

Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 

Plus de Carlos Serrao (20)

Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 

Prevenção ransomware guia

  • 1. Prevenir o “ransomware” Guia OWASP para prevenção de “ransomware” Carlos Serrão carlos.serrao@iscte.pt @pontocom ISCTE - Instituto Universitário de Lisboa
 7.Junho.2017
  • 3. A evolução do “ransomware” ao longo dos últimos anos (fonte: F-Secure) 3 O “ransomware” não pára de crescer…
  • 4. Categorias de Mitigações 4 Defesa do Perímetro Defesa da 
 Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM (Sec. Information and Event Management) e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes
  • 5. Categorias de Mitigações 5 Defesa do Perímetro Defesa da 
 Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Primeira linha de defesa para travar ameaças antes que as mesmas tenham impacto em sistemas ou utilizadores ▰Firewall ▰Servidor Proxy/Filtro Web ▰Filtro SPAM
  • 6. Defesa do Perímetro ▰Garantir que a firewall está devidamente configurada, não apenas para tráfego in-bound, mas igualmente out- bound ▻Garantir sempre o modelo do “menor previlégio” ▻Sistemas que não necessitem de acesso exterior, devem ser impedidos de efectuar tal acesso ▻No caso de compromisso por “ransomware” limita o malware de “ligar para casa” ▻Logging na firewall deve estar activo para verificar tentativas sucessivas de ligações a IPs maliciosos conhecidos - indicador da existência de problemas. 6 Firewall
  • 7. Defesa do Perímetro ▰Os sistemas ligados à Internet devem ser configurados para usarem proxy servers, que permite que o conteúdo Web seja filtrado ▻Com base em whitelists de sites permitidos ▻Bloqueio de acesso a sites maliciosos ou potencialmente perigosos ▰A nível organizacional, apesar de serem impopulares, as seguintes medidas podem ser implementadas: ▻Bloqueio de acesso a email pessoal, sites de partilha de ficheiros, redes sociais, mensagens, redes de publicidades, entre outros. ▻Proibir o download de ficheiros executáveis ▻Nos proxies que permitam, usar em combinação com um AV para analisar o conteúdo Web de entrada. 7 Servidor Proxy/Filtro Web Cortar por completo os sistemas da Internet apesar de parecer uma ótima ideia por vezes não é possível
  • 8. Defesa do Perímetro ▰Filtrar o email antes do mesmo chegar aos servidores da empresa e aos utilizadores finais - mitigando links maliciosos, anexos maliciosos, entre outros. ▻Bloquear mensagens com anexos executáveis (.exe, .vbs, etc.) ▰Garantir que os filtros de SPAM estão actualizados 8 Filtro SPAM
  • 9. Categorias de Mitigações 9 Defesa da Rede Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰DNS Sinkhole ▰Segmentação da Rede ▰Network Intrusion Detection System (NIDS) Defesas que podem ser usadas na LAN para ajudar a detectar e mitigar malware.
  • 10. Defesa da Rede ▰A segmentação de redes através de VLANs e das ACLs que controlam o tráfego entre VLANs não previne ataques de malware/ransomware ▰No entanto é essencial para limitar o impacto do malware/ransonware em caso de ataque ▰A segmentação de redes pode ajudar a conter uma infecção por malware/ransomware, garantindo que a mesma fica isolada num determinado segmento da rede 10 Segmentação da Rede
  • 11. Defesa da Rede ▰Uma NIDS não é muito eficaz na deteção e prevenção de malware/ransomware, no entanto podem ser úteis para alertar para potenciais problemas uma vez que podem detectar tentativas de comunicação feitas para endereços IP maliciosos (que podem ser realizadas pelo malware/ransomware) ▻Quanto mais cedo os responsáveis de IT/InfoSec forem alertados, mais rápido podem agir para conter e corrigir os problemas. ▰Pode ainda ser útil para identificar numa organização que sistema afectado está a tentar infectar os restantes em seu redor 11 Network Intrusion Detection System (NIDS)
  • 12. Categorias de Mitigações 12 Defesa no Terminal Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Corrigido (patched) e actualizado ▰Não usar/instalar aplicações ou serviços desnecessários ▰Sem direitos administrativos ▰Anti-vírus (AV) ▰Host Based Intrusion Detection/ Prevention Systems (HIDS/HIPS) ▰Filtros Web Proteções que existem no computador pessoal ou outros sistemas com os quais os utilizadores interagem Defesa da 
 Rede ▰Filtros SPAM ▰Desactivar Macros ▰Políticas de restrição de software ▰Ficheiro Hosts ▰Desactivar acesso via USB ▰Infraestrutura de Desktop Virtual ▰“Sandboxing” de aplicações
  • 13. Defesa no Terminal ▰Malware/ransomware usam exploits para conseguir obter acesso a um sistema ▰Se os sistemas estiverem devidamente corrigidos (patched) e actualizados minimizam-se as formas como o mesmo pode ser explorado ▻Em relação ao ransomware: cliente de email, browser, Flash (se é que precisa), devidamente actualizados ▰Organizações devem ter processos automatizados para gestão de correções/patches 13 Corrigido (patched) e actualizado
  • 14. Defesa no Terminal ▰Se uma aplicação não existir num sistema, esta não pode ser explorada ▰Garantir que as configurações do terminal também seguem um modelo de “menor privilégio” é uma forma de reduzir a superfície de ataque ▰Recomendável não executar o Java e o Flash em computadores que não necessitem dos mesmos. 14 Não usar/instalar aplicações ou serviços desnecessários
  • 15. Defesa no Terminal ▰Direitos administrativos devem ser usados apenas para tarefas administrativas ▻Utilização “normal” não deve ser realizada de uma conta com privilégios administrativos ▰Previne muitos tipos de malware/ransomware de ganharem acesso porque a conta simplesmente não tem permissões para instalar o software. 15 Sem direitos administrativos
  • 16. Defesa no Terminal ▰AV deve ser executado em todos os terminais e configurado para detectar acesso a ficheiros e outros recursos ▰AV deve estar sempre actualizado e configurado para alertar sobre possíveis infeções ▻Notar que o AV é baseado em assinaturas e pode apenas detectar ameaças conhecidas ▻AV pode não oferecer nenhuma proteção contra novos vírus ou novas variantes de um malware conhecido ▰Idealmente deve ser usado um fornecedor de AV diferente do usado para analisar vírus no perímetro da rede. 16 Anti-vírus (AV)
  • 17. Defesa no Terminal ▰Muito software para proteção do terminal oferecem formas adicionais de filtrar conteúdo Web malicioso, e como tal é aconselhável usar os mesmos ▻Podem oferecer proteção adicional ao filtro Web de perímetro em especial se o fornecedor for diferente ▻Aumenta a possibilidade de bloqueio de conteúdo Web malicioso antes do sistema ou utilizador poder aceder ao mesmo. 17 Filtros Web
  • 18. Defesa no Terminal ▰Tal como na filtragem Web, o filtro de SPAM é igualmente útil no terminal do utilizador. ▻Aumenta a possibilidade de deteção de SPAM e diminui a possibilidade de um email malicioso poder passar pela defesa de perímetro e de terminal sem ser detectado. ▻É crítico porque existem algumas variantes de malware/ ransomware (Locky, p.e.) que se espalham em anexos do email. 18 Filtros SPAM
  • 19. Defesa no Terminal ▰Macros e outros tipos de conteúdos executáveis podem ser embebidos em documentos de Office ou PDF. ▻ A maior parte dos utilizadores na organização não precisam de usar estas funcionalidades e como tal as mesmas devem estar desactivadas por defeito. 19 Desactivar Macros
  • 20. Defesa no Terminal ▰Ficheiros “host” são usados antes do DNS para resolver endereços IP. ▰Tais como os DNS ”sinkholes” podem ser usados para prevenir domínios maliciosos de serem resolvidos. ▰Pode ser usado como uma medida adicional de defesa para impedir ligações a sites maliciosos. 20 Ficheiro Hosts
  • 21. Defesa no Terminal ▰Apesar de não serem muito comuns existem algumas variantes do malware/ransomware (p.e.CryptoLocker) que se espalha por drives USB. ▰Se possível, para aumentar a segurança, o acesso a drives USB deve ser bloqueado. 21 Desactivar acesso via USB
  • 22. Defesa no Terminal ▰Se os terminais forem “virtualizados”, uma opção adicional para defesa contra malware é assegurar que todos os terminais VDI são não-persistentes e que todos os sistemas são revertidos para um estado pré-definido após cada sessão ▻Garante que qualquer malware que infecte um desktop VDI, é eliminado depois da sessão do utilizador terminar, revertendo assim a um estado anterior 22 Infraestrutura de Desktop Virtual
  • 23. Categorias de Mitigações 23 Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Permissões de ficheiros ▰Snapshots de Máquinas Virtuais Defesa da 
 Rede Defesa no Terminal
  • 24. Defesa no Servidor (Network-Attached Server - NAS) ▰Princípio importante em InfoSec é o do “menor previlégio”, em que indivíduos apenas devem ter acesso ao que é necessário para as suas tarefas e não mais ▰Infelizmente isto nem sempre acontece, e ao longo do tempo as permissões vão aumentando de forma descontrolada (p.e. em shares partilhados em rede) ▰Devido ao aumento de ataques de ransomware é muito importante agora para as organizações auditarem as permissões de acesso em partilhas de rede e garantir que o principio de “menor previlégio” está imposto ▰Embora não possa previnir um ataque de ransomware, pode mitigar o impacto do mesmo nos dados da organização. 24 Permissões de Ficheiros ▻Pessoal de IT nem sempre é informado da mobilidade dos recursos humanos (novas funções, saídas, de pessoal, etc.) ▻Resulta em permissões que são adicionadas para novas funções e papeis, mas as anteriores continuam activas
  • 25. Defesa no Servidor (Network-Attached Server - NAS) ▰A “virtualização” da infraestrutura de servidores é muito comum ▻Possível proteger a mesma de ransomware fazendo “snapshots” regulares das máquinas virtuais ▻Permite recuperar o estado da máquina virtual para um estado anterior no tempo ▰Pode oferecer um ponto de recuperação alternativo na eventualidade de um ataque por ransomware 25 Snapshots de Máquinas Virtuais
  • 26. Categorias de Mitigações 26 SIEM e Gestão de Logs Defesa no 
 Servidor (NAS) Backup e Recuperação Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro Defesa da 
 Rede Defesa no Terminal ▰Equipamentos e ferramentas como firewalls, servidores, IDS, filtros Web, sistemas operativos, entre outros, geram informação em ficheiros de log. ▻A informação no ficheiro de log oferece pistas para detectar e resolver problemas de malware ▻Possuir uma solução que é capaz de integrar e processar toda esta informação de logs (SIEM - Security Information and Event Management) pode ser muito útil para detectar e erradicar rapidamente o problema ▻A centralização desta informação ajuda igualmente a identificar as causas do problema, e a sua posterior análise
  • 27. Categorias de Mitigações 27 Backup e Recuperação Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Treino e consciencia- lização Resposta a incidentes Defesa da 
 Perímetro ▰Backup e Plano de Recuperação ▰Snapshots de Armazenamento ▰Testes de Backup e de Recuperação Defesa da 
 Rede Defesa no Terminal
  • 28. Backup e Recuperação ▰Organização deve possuir pontos de recuperação e tempos de recuperação muito bem definidos para cada activo ▻Ajuda a determinar quais a tecnologias e procedimentos de backup que devem ser usados ▰Devem existir políticas e procedimentos documentados para descrever: ▻Planeamento de backups, como é que os dados devem ser copiados e recuperados, quem é responsável pelos mesmos ▻Deve existir pessoal treinado nesta área. 28 Backup e Plano de Recuperação
  • 29. Backup e Recuperação ▰Planos de recuperação de desastres são muitas vezes ignorados até que aconteça um desastre == má política! ▰Backup e recuperação devem ser testados de uma forma rotineira para garantir que os sistemas operam correctamente e que o staff os consegue operar ▰Não esperar até que não esteja a ser realizado backup a um servidor crítico depois de um ataque de ransomware ou outro ataque ocorra ▰Testes de rotina podem melhorar o tempo de recuperação no caso de incidente. 29 Testes de Backups e Recuperação
  • 30. Categorias de Mitigações 30 Treino e consciencia- lização Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Resposta a incidentes Defesa da 
 Perímetro Defesa da 
 Rede Defesa no Terminal ▰Apesar de poderem existir um conjunto de medidas técnicas de proteção, o utilizador é sempre o “elo mais fraco” ▰Um utilizador bem treinado é sempre uma das formas mais eficazes de defesa ▻Reconhecer emails ou links suspeitos e reportar os mesmos para investigação ▰Quanto mais cedo estes problemas forem reportados mais cedo podem ser detectados, corrigidos e contidos na organização (p.e. através de medidas técnicas)
  • 31. Categorias de Mitigações 31 Resposta a incidentes Defesa no 
 Servidor (NAS) SIEM e Gestão de Logs Backup e Recuperação Treino e consciencia- lização Defesa da 
 Perímetro ▰Planos de Resposta a Incidentes ▰Simulação de Incidentes Defesa da 
 Rede Defesa no Terminal
  • 32. Resposta a Incidentes ▰Pior atitude: “depois de casa arrombada, trancas na porta” ▰Organizações devem ter planos para: ▻Definir como reagir ao incidente ▻Quem vai ser responsável pelas fases de detecção, contenção, erradicação e recuperação ▰Conhecimento dos planos por parte do staff ▰Treino dos planos 32 Planos de Resposta a Incidentes https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901
  • 33. Resposta a Incidentes ▰Quando ocorre um incidente o mesmo deve ser detectado e contido o mais depressa possível ▰Para estar preparado para isto é importante treinar cenários de incidente ▻Começar por testar com cenários de ataques mais simples como malware ou phishing aos utilizadores (usando a string de testes da EICAR*, p.e.) 33*European Institute of Computer Anti-Virus Research Simulação de Incidentes
  • 34. Documentação adicional ▰The OWASP Anti-Ransomware Guide, https:// www.owasp.org/index.php/OWASP_Anti- Ransomware_Guide_Project 34
  • 35. 35 Russia’s Top Religious Official Sprays Holy Water on Computers to Fend Off Ransomware Virus E se estas recomendações não resultarem? https://heatst.com/tech/russias-secret-weapon-against-ransomware-virus-holy-water/
  • 36. 36 … e se mesmo assim falhar… … o melhor é usar um verdadeiro procedimento de emergência!
  • 37. Prevenir o “ransomware” Guia OWASP para prevenção de “ransomware” Carlos Serrão carlos.serrao@iscte.pt @pontocom ISCTE - Instituto Universitário de Lisboa
 7.Junho.2017