Tratamento Automatizado de Incidentes de Segurança da Informação em Redes de Campus

  • Italo Valcy UFBA / CERT.Bahia
  • Luciano Porto Barreto UFBA / CERT.Bahia
  • Jerônimo Bezerra UFBA / CERT.Bahia

Resumo


O crescimento atual da Internet tem alavancado o número de incidentes de segurança da informação em diversas instituições. Os prejuízos causados por tais incidentes e sua dificuldade de prevenção requerem o estabelecimento de políticas e mecanismos eficientes de tratamento e resposta a incidentes de segurança. Entretanto, a correta identificação de equipamentos comprometidos ou participantes em um incidente de segurança é severamente prejudicada pela ampla existência de redes que utilizam técnicas de tradução ou atribuição dinâmica de endereços IP (como o NAT ou DHCP), as quais dificultam a identificação precisa dos equipamentos internos. Este trabalho descreve o projeto, a implementação e avaliação da ferramenta TRAIRA, a qual automatiza o procedimento de detecção, identificação e isolamento dos equipamentos geradores de incidentes de segurança em redes com estas características. A ferramenta está atualmente em produção e uso efetivo em uma rede de campus com cerca de 12.000 equipamentos conectados.

Referências

Arvidsson, J., Cormack, A., Demchenko, Y., and Meijer, J. (2001). TERENA’S Incident Object Description and Exchange Format Requirements. RFC 3067 (Informational). Disponível em: http://www.ietf.org/rfc/rfc3067.txt. Último acesso em Julho de 2011.

BestPractical (2011). RT: Request Tracker. Disponível em: http://www.bestpractical.com/rt/. Último acesso em Julho de 2011.

Ceron, J., Boos Jr, A., Machado, C., Martins, F., and Rey, L. (2009). O processo de tratamento de incidentes de segurança. IV Workshop de TI das IFES.

Ceron, J., Granville, L., and Tarouco, L. (2010). Uma Arquitetura Baseada em Assinaturas para Mitigação de Botnets. In X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais (SBSEG’10), pages 105–118. SBC.

CERT.Bahia (2010). Estatísticas do CERT.Bahia. Disponível em: http://www.certbahia.pop-ba.rnp.br/Estatisticas. Último acesso em Julho de 2011.

CWG (2011). Conficker Working Group. Disponível em: http://www.confickerworkinggroup.org/wiki/. Último acesso em Julho de 2011.

Debar, H., Curry, D., and Feinstein, B. (2007). The Intrusion Detection Message Exchange Format (IDMEF). RFC 4765 (Experimental). Disponível em: http://www.ietf.org/rfc/rfc4765.txt. Último acesso em Julho de 2011.

Droms, R. (1997). Dynamic Host Configuration Protocol. RFC 2131 (Draft Standard). Updated by RFCs 3396, 4361, 5494.

Egevang, K. and Francis, P. (1994). The IP Network Address Translator (NAT). RFC 1631 (Informational). Obsoleted by RFC 3022.

Farnham, G. (2009). Cisco Security Agent and Incident Handling. SANS Institute InfoSec Reading Room.

Feinstein, B. and Matthews, G. (2007). The Intrusion Detection Exchange Protocol (IDXP). RFC 4767 (Experimental). Disponível em: http://www.ietf.org/rfc/rfc4767.txt. Último acesso em Julho de 2011.

Honeynet.BR (2011). Brazilian Honeypots Alliance. Disponível em: http://www.honeypots-alliance.org.br/. Último acesso Julho de 2011.

Jarocki, J. (2010). Orion Incident Response Live CD.

Kaiser, J., Vitzthum, A., Holleczek, P., and Dressler, F. (2006). Automated resolving of security incidents as a key mechanism to fight massive infections of malicious software. In GI SIDAR International Conference on IT-Incident Management and IT-Forensics (IMF 2006), volume LNI P-97, pages 92–103.

KLINGMÜLLER, T. (2005). SIRIOS: A Framework for CERTs. FIRST Conference on Computer Security Incident Handling.

Lundell, M. (2009). Incident Handling as a Service. SANS Institute InfoSec Reading Room. OTRS (2011). Open source trouble ticket system. Disponível em: http://www.otrs.org/. Último acesso em Julho de 2011.

Rekhter, Y., Moskowitz, B., Karrenberg, D., de Groot, G. J., and Lear, E. (1996). Address Allocation for Private Internets. RFC 1918 (Best Current Practice). Disponível em: http://www.ietf.org/rfc/rfc1918.txt. Último acesso em Julho de 2011.

Scarfone, K., Grance, T., and Masone, K. (2008). Computer Security Incident Handling Guide. NIST Special Publication, 800–61.

TRAIRA (2011). TRAIRA – Tratamento de Incidentes de Rede Automatizado. Disponível em: http://www.pop-ba.rnp.br/files/sw/rt-traira.tgz. Último acesso em Julho de 2011.

Werlinger, R., Botta, D., and Beznosov, K. (2007). Detecting, analyzing and responding to security incidents: a qualitative analysis. In Proceedings of the 3rd symposium on Usable privacy and security, pages 149–150. ACM.
Publicado
06/11/2011
VALCY, Italo; BARRETO, Luciano Porto; BEZERRA, Jerônimo. Tratamento Automatizado de Incidentes de Segurança da Informação em Redes de Campus. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 11. , 2011, Brasília. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2011 . p. 29-42. DOI: https://doi.org/10.5753/sbseg.2011.20561.