Guillermo Rodriguez compartilhou uma palestra conosco no #DragonJARCON 2020 intitulada “Porquê implementar um poderoso SOC com…
01:01:15
Guillermo Rodriguez compartilhou uma palestra conosco no #DragonJARCON 2020 intitulada “Porquê implementar um poderoso SOC com…
bom bom continuamos com o programação do circuito de trabalho e conferência, espero que você esteja desfrutando da verdade que temos chegaram muitas imagens suas curtindo aquele evento de casa e Isso nos motiva muito. Lembre-se de usar o hackeie isso ao trabalhar com o que é o única maneira que temos mostrar que é realmente tendo um bom tempo curtindo este grande evento que estamos organizando para você novamente o boas memórias ao longo transmissão tem sido muito útil freqüente e é objeto de certificação nós de fato como prometido vamos certificar o participação no evento para que você pode obter esta certificação sem custo e totalmente gratuito Você só tem que ir trabalhar com ponto org e registrar automaticamente eles chegarão a uma lista correios e não é que vão gerar imediatamente se esgota hoje para 7 da noite nosso em tudo isso uso aplicado não descansemos deixe-os dormir um pouco no decorrer da próxima semana as instruções chegarão até você correio de almas no processo para que você pode gerar seus certificados sem nenhum custo, em seguida, jogando fora o Programação temos o Guillermo aqui Mercadorias Guillermo do Uruguai vamos algo muito interessante e é como montar nossa própria loja com ferramentas open-source e você está lá eles são usados eles são todos seus Muito obrigado Jaime, como te disse, é uma honra para mim há muito tempo os cios você é das comunidades de hacking de demônios para mais importantes então um prazer e bem-vindo todos à minha palestra nesta apresentação deve mostrar como montamos um poderoso centro de operações de segurança cibernética para a defesa da segurança informações sobre nossa infraestrutura e os ativos de nossos clientes em dados Conheço a empresa para a qual trabalho e para a qual trabalho optamos por usar ferramentas código livre de código aberto que revelar-se muito poderoso, flexível e Além do baixo orçamento para isso e muito mais é que venho te mostrar nossa experiência do uruguai temos tradição em boca não é para trabalhar na liberdade de segurança e proteção hoje em dia os resultados são visíveis estamos um dos sete mais digitalizado do mundo que tem baixo controlar a pandemia global e global agenda saúde e direitos humanos é um líder mundial não é maravilha que eu estou aqui hoje do pomba um spa já são uruguai de 7.000 habitantes falando sobre defesas de segurança cibernética usando software livre porque o Uruguai também é líder nesse sentida com 3 por cento do produto bruto interno de desenvolvimento de software uma indústria de serviços de ponta com exportações de vários milhões dólares e muito deste software é software livre que é usado em diversas regiões do estado e no municipal e governamental, pois é legislado por lei seu uso que também é O software livre é o software que mais nós amamos hackers porque é modificável e transparente e que claramente democratizar o uso da tecnologia também aqui tivemos uma resiliência saúde efetiva, ou seja, antes da adversidades fomos capazes de nos manter à tona É algo em que trabalhamos e comunidade como uruguaios e os resiliência cibernética também é uma palavra que é cada vez mais comum como adaptamo-nos às novas ameaças cibernéticas temos tecnologias disruptivas como link neuro que o atraiu explicou a ele minha mãe ficou maravilhada com possibilidades que eu poderia ter, mas também dos riscos e aí falei pra ele Mãe é onde eu trabalho segurança de tecnologia para todos os dias com essas possibilidades que podemos tornar as coisas mais seguras bem, minha palestra é sobre o nosso experiência de trabalho no curso Vou falar sobre a minha empresa onde trabalhei quem sou eu e um pouco sobre como montamos esse centro de operações quais são os papéis e membros que você precisa ter quais são as ferramentas de gestão ao nível da análise e também do gerenciamento de tickets e comunicação com clientes etc. e isso nos ajudará e trabalhar em todo o fluxo em todos processos de trabalho do centro operações boas datacell que é uma assinatura atual do mercado internacional desde 1987 pioneira na área da boa governação seguros e gestão de riscos e qualidade de segurança em sistemas informações eu sou e meu nome é Rodríguez hacker ético certificado há mais de 15 anos anos, tenho oito anos de experiência como começo da ponte eu estive muito do lado Digamos que a classificação da parte de atacante com mais de 70 grandes projetos relevância nacional e auditor interno internacional para garantir a conformidade regulamentar com pci hoje, ou seja, eles trabalham Também trabalho com cartões de crédito com suíço está no nível da rede boa banca me dedico sobre sobre todos os riscos cibernéticos para apoiar ferramenta de segurança e bem trabalhada também na primeira conferência de segurança de montevidéu la charrúa com e bom que é o sol que o sol que é centro de operações é doce lar casa o time azul o time azul é o equipe de resposta a incidentes, digamos é aquele que trabalha em defesa do ativos de informação, em seguida, através de um centro de operações coordenadas consegue detectar, proteger e responder eficazmente às ameaças de incidente de segurança emergente Então, quais são os objetivos de este centro o principal de seu objetivo é assegurar e fazer cumprir a objetivos de segurança da informação definido por políticas organizações podem levar a conformidade com os requisitos de segurança baseada em padrões internacional, pois pode ser psi para mentes de cartão de crédito ou iso 27001 que é útil para outros tipos de empresas em em geral e bem nesse sentido tem a missão de detectar, informar e alertar incidentes de segurança para a gestão programado para este fim pode ser tecnologia ou uma direção geral do empresa e outra tarefa é investigar as causas dos incidentes para emitir recomendações sobre reduzir os riscos operacionais sabendo como e por que parar a partir daí responda a incidentes ativando manutenção de processos de mudança visão geral das próprias ferramentas centro de operações é geralmente o mesmo responsabilidade do foco obviamente e do que deve assegurar que os registros e alertas estão sempre disponíveis ou que há uma alta disponibilidade para realizar suas tarefas, bem como obter as provas necessárias para o conformidade com os regulamentos segurança e também às vezes operacional, então o time azul é um equipas de trabalho especializadas que operam em segurança cibernética deve funcionar em sincronia no mesmos ativos, por exemplo, saber quando uma varredura é realizada por do impacto do rating nos registros e monitoramento da equipe azul, portanto Tenha um cronograma de atividades No geral, também é muito importante interação com as equipes de gelo que trabalha em remediação entre outros atividades de construção é importante para quando você estiver pronto mudança para realizar uma verificação é uma verificação de que ele pode fazer isso ‘rating’ ou o time azul e bom nisso ciclo de trabalho é que eles devem Sincronize todos os centros de operações e cada uma das equipes ataque e trabalho de construção e defesa existem vários centros de operações ser csif e choque ser diferem em diferentes escalas, digamos em diferentes abordagens contam nisso sentido por exemplo um que não está aqui mas é conhecido porque é a rede choque é aquele que opera no nível de operações de rede é o primeiro centro de operações geralmente no empresas, mas tenha em mente que seu o escopo é limitado neste gráfico seria com um círculo vermelho de choque mas mais garoto, o choque funciona além as tecnologias de rede que os cobrem mas também atinge sistemas operando para aplicativos e muito mais ativos de informação do organização, mas sempre com foco em tecnologias em termos de ser foco na inteligência ameaças, ou seja, quais são as ameaças do negócio e não Eles estão apenas no nível tecnológico, mas obviamente eles estão em outros níveis também e o csirt nos negócios é mais focado precisamente no políticas sobre como está a concentração conscientização dos usuários sobre como eles abaixam as diretrizes corporativo, ou seja, trabalham em definido em escopos diferentes, mas seu objetivo é exatamente compreensão das ameaças de riscos de segurança de organizações nesse sentido aquilo que leva o políticas e procedimentos e cientes conscientização atual do usuário para Reconheça o contexto em que você age e meça e real se for e aja se for requerem melhorias a foc também atua para alarmes de nível de segurança física controles ambientais, etc., bem firewall de perímetro lógico vpn vpn rotas etc. na rede interna também em sniffers em comutadores de rede atrás ele é que podem ter nos simpons para nível de acesso do usuário anti-malware segurança do jardim etc. então descemos em cada um estes até os dados que trabalhamos no aplicações no aplicativos de criptografia de dados com integridade se fossem modificados ou não, então como vemos o escopo tecnologia é ampla e complexa para atingir os objetivos detectar proteger e responder choque é nutrido de várias ferramentas e processos inteligência também deve emitir relatórios e comunicações compreensíveis para os outros áreas de negócio com determinadas periodicidade deve manter um sistema de registro de 100 setes e categorização deles em algum sistema de bilhetes, por exemplo, em que você tem um registro histórico e como agir que também servirá como uma entrada na base de conhecimento onde o aprendizado será registrado incidentes e todos esses elementos obviamente eles têm sua evolução e maturação que dependerá do contexto em que o choque atua então uma organização pode montar um choque ou você pode contratar analistas externo, que geralmente é o mais comum porque obviamente os negócios não são focado em cibersegurança então contratar equipes externas dependendo deste contexto para regulamentar um centro das operações de segurança cibernética devem para definir o escopo e começa bem, veja o que é preciso para você precisam ser claros, além do chegar a conhecer o ambiente que devemos proteger pedir informações sobre quais ativos estão em mapas de alcance de criticidade de redes de ativos para o gerentes técnicos de negócios e gerenciamentos de janelas gerenciais manutenção de sistemas documentais erros ou incidentes conhecidos acima vamos pedir as políticas de segurança existente, tanto teórica quanto aqueles que são praticados na realidade muitas vezes sabemos que existe uma lacuna esse sentido dependendo do controle de visibilidade que se conta no meio ambiente é que é Você pode dimensionar os serviços solares conosco pelo menos dividida em três possíveis monitoramento e resposta precoce para um primeiro serviço básico, digamos registro de lodo e boa resposta o mais rápido possível possível desses eventos de segurança então para outro nível de monitoramento e alarme mais produtividade, ou seja, buscam em logs ativamente ameaças e em um terceiro com um pouco mais de escopo e também obtendo talvez mais responsabilidade de ativos monitoramento e resposta e resolução direto do choque de apenas as mitigações correções de vulnerabilidade então o processo de trabalho deve filtrar muito e não temos muito informações de milhões de registros e milhões de eventos então no primeiro Em vez disso, esses registros tornam-se alguns milhões de eventos desde diferentes fontes de dados então temos muitos ativos muitas equipes que são concentrados e um dos primeiros filtros é separar os registros de segurança e auditoria do resto assim torna-se um hábito em eventos de interesse e depois com filtros mais finos aqueles que realmente podem gerar alertas de incidentes reais que são padrões observados ou indicadores de compromisso para novos lá analisar o manualmente do eles mesmos e transformá-los em casos de Eu trabalho esse processo de filtragem para que é ideal em seus estágios iniciais teria que ser automatizado e no últimos trabalhadores humanos analisar se são ‘falsas’ positivos’ consultando outros colaboradores são um contato direto com o cliente com a organização para saber se estes são eventos que não são tem que levantar suspeitas ou para o Pelo contrário, são compromissos em que você tem que agir assim eles vão embora categorizar improvisar o diferentes casos e bilhetes para sair criando com base nessa filtragem, isso é parte do que é conhecido como triagem triagem então os estágios iniciais disso processo envolve a descoberta por exemplo vamos para a esquerda então executa são analisados digamos que o logs para links de palavras de erros anomalias de software conhecidas mapeamento de registro entre vários dispositivos também para determinar se há suspeita de envolvimento com base na certo comportamento esperado usuários em tais casos pode ser um varredura de porta ou vulnerabilidade execução de código etc e de daí a investigação preliminar consiste em atribuir uma pontuação ao evento registrado que é determinado com base em ao ativo ou ativos envolvidos o tipo aplicativo que gerou esse registro a gravidade do problema e com base em uma investigação onde se verifica que Não é um falso positivo passa a responder, pode ser um contenção temporária mais uma remediação geral e mais eficaz a longo prazo e eventualmente atualizações de sistemas aplicativos ou mudanças em configurações para terminar você deve compartilhe as mudanças feitas atualizar a documentação com base em todo esse processo é todo esse processo de resposta documentação e assim vamos em um ciclo e nós apenas tomamos este processo que pode ser linear e nós resolvemos isso caminho circular onde onde Temos três fases distintas pelo qual se altera e evolui sobre este descobrir primeiro ciclo obtenha visibilidade dos alertas de monitoramento a partir daí, se surgir um incidente resolver contém recuperar e finalmente do que temos de conhecimento e que trabalhamos no prevenção na adaptabilidade no verificação de que se isso é corretamente e aí podemos continuar otimizando o processo e evoluindo com essas equipes de trabalho tanto o ataque como defesa time vermelho e azul trabalhando juntos como você pode ver aqui ambos estão trabalhando nisso ciclo e é como deveria ser então para executar todos estes tarefas Isso envolve um processo de trabalho e é precisa de um grupo distribuído e coordenação de pessoas que cumprem O organograma é organizado em três níveis mais um administrador de foco em o primeiro nível abaixo temos o manipuladores de incidentes são analistas de segurança seu sindicato que muitas vezes procuram indicadores e padrões de ameaças e incidentes segurança nas diferentes ferramentas que aglomerados em registros desses vamos falar ou serão os alertas e decidirão se forem falsos positivos ou incidentes que seria necessário atender e quando foi descoberto, inicie os testes criar casos no sistema de bilhetagem ou Bem, o coordenador é notificado incidentes ou o coordenador nível 2 este coordenador digamos que este nível 2 esteja conformado por um grupo de analistas seniores que tomar medidas investigativas e remediação quanto a este nível não Consegui encontrar o problema ou solução passa corretamente para o último nível técnico que é analista sênior com um nível técnico que são uma analista altamente experiente e especialista geral que pode atender e aprofundar o caso até sua resolução finalmente é a administrador que gerencia o estratégias a seguir após o choque priorizar ferramentas de procedimentos gerencia o grupos humanos e é geralmente o o contato final com o cliente é o relacionamento final com o cliente final em o sentido não técnico obviamente o resto da equipe também tem um relacionamento, mas em um nível mais gerencial e com muita responsabilidade bom é o gerente que tem essa responsabilidade então, como um resumo, temos que o alertas gerados por plataformas inteligência como se estivesse no apartamento tecnologia ou helpdesk ou os mesmos usuários criados em tickets são estes são os analistas de nível um que abra esses tickets esses casos de incidentes realizam uma pesquisa básica para determinar a importância da certeza o incidente e fechar aqueles que estão falsos positivos, ou seja, eles realizam o primeiro filtro de todo monitoramento presente para a organização de acordo com o nível de visibilidade do relatório incidentes por outras áreas que você tem os casos são subseqüentemente elevados a pesquisadores para trabalhar profundidade por exemplo nível 2 o qual mitigação recomenda melhor e processos de mudança para remediar o incidentes no nível 3 funciona no prevenção contínua em pesquisa avançado em incidentes complicados em forense, ou seja, quando um agente comprometeu quaisquer ativos e é necessário conheça as causas e outros detalhes para revelar e eliminar ameaças é o choque então também funciona e no nível mais que gerente traduzir o jargão técnico para um linguagem mais comercial e compreensível pois nos negócios então eles existem quatro perguntas a serem respondidas para aumentar o gerenciamento de dados relevante, o primeiro é aquele ou eu quem foi o alvo do ataque o adversário teve sucesso ou não quem é o adversário e qual é a sua motivação e como continuamos a missão é dizer como melhoramos isso como fazemos aquilo não acontecer etc etc etc para executar todas essas tarefas analistas e técnicos do sol del foc eles geralmente se ajudam com uma ferramenta criado para o seu conforto e para otimizar o tarefas em 100 informações de segurança e mesmo a gestão é o seu melhor aliado com é possível concentrar-se em um único local de registro centralizado firewalls servidores roteador sistemas prevenção de intrusos e outros ativos com para ir procurá-los em um por sua vez com a sua correlação de eventos podem disparar alertas segurança contra eventos conhecidos ameaças isso permite que a organização pesquisar eventos de segurança muito mais eficiente, já que o 100 é assim possível obter relatórios e estatísticas de incidentes de tempo real muitas vezes sabendo o estado da largura de banda da rede usada recursos de hardware quantidade de pacotes em protocolos de rede de trânsito usado etc. 100 idealmente deve capturar e centralizar maior quantidade de recursos e ativos de organização possível desta forma a busca de incidentes é otimizada e por sua vez, é mais fácil apoiar o seu informações para análise e florença em que sentem os registros mais importante poderia ser eu sei ativos de rede de perímetro de segurança firewall vpn controla hoje em dia que perímetro é muito diluído e por isso também podemos obter e gerenciar os ram a segurança de bandidos e acessos físicos de fator duplo ou de telefones celulares de modelos em busca do equipamento do fornecedor ou qualquer acesso à nossa rede de dados então tem registros de sistemas que analisam o tráfego rede ativa em redes internas por exemplo de é norte, bem como assentos hospedar tanto no nível de conexões em alterna através da rede, mas através escaneia por ip pra saber se é novo computadores foram adicionados à rede se eles são autorizados ou você não receberá logs do sistema de autenticação sobre a criação de novos operação de autenticação de usuários de inatividade de rede e aplicativos do login de usuários falhou elevações de privilégios e, por outro lado, pode quando são as mudanças de arquivo configurações ou arquivos importantes para negócios através de aplicativos verificação de integridade Eles os ajudam em muitas ocasiões antes mudanças inesperadas como malware ou usuários mal-intencionados como este 100 pode se alimentar de discos e do souk obtenha a melhor visibilidade do ambiente possível é por isso que o escopo é tão relevante enfrentar esses desafios graças a a comunidade de desenvolvedores código livre, podemos obter excelente software que atenda aos objetivos então temos 2 ec que é um filme que permite monitorar as mudanças arquivos obras fazendo ruas de os arquivos e os compara em um servidor central para saber e alertar à menor mudança identifica conteúdo altera permissões de propriedade e outros atributos os arquivos que indiquemos também que identifica nativamente para usuários de aplicativos usados para criar ou modifique esses arquivos em outro lugar nós temos então é norte e sul e aqui está funcionando iniciando pacotes rede através de regras pré-configuradas digitalizar pacotes para o risco de segurança, como tráfego detecção de criptografia de digitalização para detecção de execução de portas exploits conhecidos detecção de ataque força bruta entre muitos outros não temos nascidos e szabics que nos ajude a monitorar o status de disponibilidade de rede e hardware exemplo para saber se um servidor está ativado se seus serviços estiverem ativos e funcionando corretamente e se um link está ativo e com a largura de banda e essas são ferramentas fundamentais para visibilidade e função da rede e infra-estrutura em geral então temos as três marias a pilha que é composta de elástico procure os toques e que vão a que deu para indexar e exibir um interface web rápida e gráfica eficiente com o qual podemos escalar e Pesquise rapidamente em milhões de registros dos diferentes ativos e ferramentas de segurança finalmente temos uma abertura de fuga aberta que é uma ferramenta que ajuda na verifique a conformidade james jones de as configurações de segurança do hospedar através de uma análise do arquivos de configuração que é o passivo permite que você saiba onde há falhas de jardim em que podem ser aplicados gerar relatórios gerar relatórios digamos com recomendações de mudanças que serão ativados para retornar o sistemas mais seguros é uma excelente ferramenta para aplicação de endurecimento e para verificar o cumprimento dos regulamentos segurança a ferramenta que conglomera e digamos que ajudar o objetivo de emol é ou azul e é a principal ferramenta que nós usamos no show Esta é a ferramenta que, como eu disse combina todas as ferramentas recentemente nomeamos Iguazú é um excelente O sistema de segurança tudo-em-um é um ford que eu sei que fez evolução para próximo nível tirando do referente monitoramento de análise de log e integridade do arquivo de dados detecção de intrusão baseada modificações no sistema de arquivos local e as respostas ativas que são programas que podem ser executados automaticamente antes de certo eventos de segurança, por exemplo pontos de bloqueio para portas antes de um ataque força bruta ou varredura de porta automaticamente a outra ferramenta que também é integrado no Iguazú é aberto oscar que execute como eu disse monitoramento políticas de segurança que permitem reconhecer o cumprimento deles e realizar análises com habilidades em os olhos através da análise passiva de arquivos de configuração e gera além de recomendações de jardins para sistemas operacionais e serviços todos isso é suportado pela pilha de tic’s que o armazenamento fornece indexação analítica do mecanismo de pesquisa visualização de bégar africa reports e todos os eventos de segurança capacidades de Iguazú digamos por tem grandes capacidades para as quais temos nos testou para convertê-lo para eu em um dos 100 melhores já competir com o que é ibm passa a dar praticamente e é de código aberto, então para mim pode se tornar um ferramenta que abrange muitos aspectos necessário para cumprir os objetivos choque sua instalação é bastante simples a documentação do projeto é muito bom, bem como a comunidade de desenvolvedores muito ativos tanto em ajuda pelo canal do slack like muito ativo seu desenvolvimento evolução o o software é modular e altamente personalizável tanto nas ferramentas como nas regras que pode ser configurado como seu dimensionamento em nível de arquitetura que acaba por ser muito valioso e tornou-se uma das ferramentas principal nosso soc tem detecção de análise de segurança de análise e análise de intrusos indexação para buscas rápidas controle de integridade de registros em arquivos de detecção de vulnerabilidade respostas automáticas a incidentes conformidade regulatória civil e visibilidade dos controles segurança ambas as plataformas de nuvem como recipientes sua arquitetura mais básica de um único servidor é composto por um servidor no qual que a pilha do tic está instalada conjuntos e programas de washoe el gerente, por outro lado, temos o centros em que um agente está instalado O que eu sei depois que estiver disponível para muitas plataformas e é usado para enviar os logs para o servidor no arquitetura de servidor atual é um arquitetura distribuída do show dois servidores um com a pilha de ticks e o aplicativo iguazu que roda em a busca do tic e que vão para isso servidor será aquele que armazena índice e exibir os resultados em seu aplicativo web e no outro está instalado o coringa gerente o guazú e que se encarregam de receber eventos de agentes distribuídos dos tempos que temos e pouco de arquivo que na parte da pilha do nàstic que ajuda a coleção e perseus e exibição de registros depois na arquitetura das águas em em geral Digamos que envolve conexões entre o diferentes módulos dos seguintes maneira como podemos comentar isso por padrão isso usa as portas do século para comunicação com ele entre as pessoas e o gerente com a porta 2.514 o servidor iguazú é responsável por analisar os dados recebidos do agentes processam eventos e através decodificadores e regras usam o inteligência de ameaças para encontrar e foices, isto é, indicadores de conhecido compromete servidor único de washoe pode analisar dados de centenas ou milhares de agentes e escala horizontalmente quando definido para modo de cluster, o servidor também é usado para gerenciar agentes configurando e atualizando remotamente quando necessário além disso o servidor pode enviar comandos para o agentes, por exemplo, para ativar respostas quando uma ameaça é detectada a arquitetura interna das pessoas executar verificações de integridade exemplo através de funções de rua ou sobre os arquivos e os envia para o servidor para validação e comparação que é a que determina se houve mudanças ou não uma planta que geralmente me faz estes como são tratados os ‘falsos’ os arquivos dos positivos podem ser ignorar manualmente nas configurações ou por regras isso é importante porque temos que fazer muito muitas ocasiões e por padrão quando um arquivo foi alterado três vezes alterações adicionais são ignoradas diz automaticamente que não registra por enquanto também não inundando os logs esta é a interface web que podemos ver configuração na oficina principal lá podemos ver que tem o parte de eventos de segurança agentes ativos que conectamos que nunca foram conectados auditoria de sistemas vamos ver um pouco como esse aplicativo funciona também temos o vírus total que agora vou comentar que pode ser integrado com um caneta de desenvolvimento premium para que com cada alteração da verificação de integridade é enviar novos hashes através do api virustotal isso nos acionará regras de vírus detectadas por este análise que como você sabe é de múltiplas regras heurísticas de vários softwares antivírus nesse sentido é interessante tem a capacidade de implementar da capacidade da via em centralizar todos os logs de malware sim não temos um antivírus ou um servidor centralizado então podemos também centralize aqui para configurar e adicionar este módulo Por exemplo, a nomenclatura é usada de 12 para a configuração são usados arquivos e agora vamos comentar estes são de eu estou mostrando lá também outra das recomendações que mostra aberto de copo para ela podemos ver por exemplo, a parte de conformidade com algumas regras o que pode ser usado por exemplo, ganhar pegar como um pacote filtragem se presente do que geralmente é usado para cheirar verdade então, assim como muitos outros regras do jardim e aqui me perdi um pouco bem, ele também tem outro módulo que lhamas e benchmark que possui e o que também nos permite dizer obter harding informações lá, por exemplo temos este caso que é se o as comunicações são digitais assinados ou não ou se estão habilitados essas políticas de segurança eles apenas permitem o protocolo de rede vídeos smb são protegidos nas redes interno e como você pode ver isso nos dá recomendações e nos dá diretamente uma descrição uma correção do Eu verifico o que ele faz e bem, onde ele está o registro é que é para essa parte então também podemos obter informações de vulnerabilidade, como Eu disse que isso é muito importante porque daqui podemos ver se é vulnerável a certos cb e obter informações diretamente de os registros para conhecer aqueles vulnerabilidades e obter também de estes gráficos para poder obter mais informações se formos internalizando Também nos permite aplicar Whatsapp lá também temos um quadrado queria começar o que nos permite é digamos executar alguns comandos em sistemas operacional o que tem é um nomenclatura do tipo sql onde através a partir desta nomenclatura podemos executar várias consultas e nesses comandos em sistemas operacionais em diferentes sistemas operacionais com linguagem bastante genérico e funciona para nós também integrar isso no show estar realmente em guazú para apenas não apenas obtenha registrar informações, mas obter informações de comando específico que queremos executar e bem nos serve se não podemos obter de outro lugar no controle de integridade de jose Geralmente, como vos digo, tem um barulho esse barulho não é feito o tempo todo tempo, a menos que haja modificações nos arquivos para 16 ocasiões envia mas se não fosse pelos arquivos que são em repouso o que se faz é a cada seis horas uma pesquisa geral do sistema fai se você é um ouvinte respeitoso, você pode modificar e dessa forma é bom podemos obter informações se você disser houve modificações nesses arquivos em o servidor central obtém informações em particular notificações que também podemos enviar por slack e outros significa que também permite que o pé de whatsapp é pra dizer que o azul nos permite integrar vírus total e habilidades de comunicação para obter alertas diretamente do que quer que seja acontecendo nele há sempre como eles podem veja tem informação que o simples do que a configuração para adicionar o O módulo virustotal é um xml que é coloca o apicc e ai vamos poder ter integrado para ambos os vírus no linux windows ou mac etc. boné openoffice também é outro dos que eu comentei que também funciona para nós muito para conhecer as políticas do jardim em que poderiam ser muito mais eficaz, por exemplo, desative o ssh que está ativado determinado ou configuração incorreta ou insegura e bem lá ou tristezas aqui também vai funcionar para nós ajudar a obter essa informação vamos obtê-lo centralmente em Whatsapp bem, ele também tem um painel conformidade com regulamentos como digamos pc e como eu comento funciona para cartões de crédito bom para conformidade com pce el sistema só aumentou em um painel administração, mas também um documento de referência no qual requisitos aplicam o uso de Iguazú e você verá que contribui muito todos os requisitos de espécies e para isso é muito muito importante para outro ao lado da última coisa adicionada em siem ele é de iguazú ele me trata pra falar isso matriz do conhecimento sabe kilstein o que foi recentemente integrado para reconhecer especificamente diferentes técnicas e procedimentos conhecidos e documentados por mitra então porque o choque é bom o suficiente para obter informações digamos que isso é tão bom quanto informações relevantes que você obtém e pode processar, ou seja, que o inteligência importa e, portanto, este é também o Matrix também nos dá essa inteligência então o que podemos ver é que também temos esses painéis aqui temos um instantâneo da evolução de alertas para técnicas de hacking ‘ataque do medidor, então aí podemos e obter respostas diretamente de indicadores de compromisso neste matriz que ajuda muito Deve-se reconhecer que hoje é método de detecção em evolução tradicionalmente nós tínhamos os dois dizer os indicadores de comprometimento que eram assinaturas de exploração de malware vulnerabilidades e endereços IP ou urls agora isso evolui para o que São os caras que são os medidores ataque, ou seja, a execução de comando de persistência de código sem controle movimentos laterais etc. é feito muito mais relevante desde os tios nos dê um ponto no tempo em geral e os caras do ataque nos dão todas as filme como está acontecendo no tempo real e diferem no encadeamento comportamentos e obedecer a padrões de ataques conhecidos para esta mitra Obviamente ajuda muito para que fique claro tradicionalmente o scanner de ameaças durante o dia devido ao tráfego incomum entrando e deixa os arquivos e aplicativos de rede e processos desconhecidos no sistema atividade de conta suspeita formador ou actividades privilegiadas irregular como o trânsito em países com o qual a organização mais do que login comercial e acesso a outras contas de atividade de rede questionáveis indicando sondagem ou ataques de força picos anômalos de solicitação bruta e volume de leitura em arquivos do tráfego de rede da empresa atravessando arquivos de portas usados de forma incomum servidores de nomes alterados configurações de registro de domínio também como alterações de configuração sistema incluindo dispositivos móvel grandes quantidades outro exemplo pode ser grandes quantidades de arquivos compactado e dados encontrados inexplicavelmente na educação é onde não deveria estar entre as missões eventos estranhos e computador então deve haver inteligência para reconhecer os limites os indicadores de ataque poderia ser mais eficaz e é um evolução obviamente a considerar guazú tem documentação online para cada uma de suas versões é excelente realmente tem muitos trabalhadores que falam espanhol desenvolvedores técnicos engenheiros que estão por trás disso a documentação Está em inglês, também é muito fácil de ler e também segurar um blog com informações super relevantes para otimizar o uso e a detecção por exemplo de gols de floyd de mottet etc, uma vez que nos dá como deveríamos estabelecer as regras e que devemos esperar de seu uso comunidade é muito importante Tem uma comunidade muito ativa de usuários da barragem para abrir um canal em espanhol eles ainda estão considerando que existem muitos falantes de espanhol como eu disse eles ainda não fizeram isso, mas de qualquer maneira formulários servem apenas em inglês também para para nos ajudar como um registro global de os problemas e soluções que é tão Quão bom você pode evoluir e viver? melhor de alguma forma e serviços do que as pessoas coletam eventos do sistema e outros registradores que estão configurados aplicativos e outras coisas bem aqui eu acho que um confuso os serviços deste como é suportado especialmente na parte de software livre e digamos que seja com serviços segurança, neste caso, eles têm um trem de três dias saindo bem 1800 dólares por pessoa que não nós fizemos nós fizemos por conta própria digamos que eles também tenham um suporte anual para 50 agentes e um gerente Eles cobram aproximadamente US$ 4.400 e eles também têm seus serviços de nuvem quer dizer que não só nós pode digamos instalar em nossos servidores no começo, mas também tem um serviço de nuvem que é bom para então não temos infraestrutura eles mesmos editando regras dizendo regras desculpe Eu lhes digo que eles também têm boas médio [Música] bem, nós fomos totalmente autodidata e vamos para o curso Vamos analisar no final mas foi bom realmente relativamente simples curva de aprendizado e bom de qualquer maneira como o software livre é suportado gerentes através dos serviços lá Eu disse a eles que é por isso que nós não temos nada a ver com isso mas hey, ele também deixou o contato ai do alberto que é um vendedor que para qualquer pergunta pode entrar em contato com bom como problema de regras e como você pode trabalhar isso tem uma edição de regras para muitos ataques ou seja, já vem com padrões de regras está chegando implementou muitos ataques e pode ser atualização com algum trabalho para regras novo e pode-se gerar regras personalizado específico com base em nosso tráfego e experimente a edição é feito diretamente na web modificando o arquivo ou modificando o arquivo local de ruiz que está em um arquivo xml Agora, uma ideia é definida como você pode ver lá um número que identifica a regra então se eu sei se depende do que outra regra é acionada, então aí está o meu regra depende da interrupção de outra regra feno usou a folha s e o final e então campos como porto e seus combinações para saber se existem conexões estabelecidas, por exemplo agora certos tipos de endereços ip encontrado em um arquivo preparar então, no mecanismo de pesquisa washoe, podemos procure por ruth ponto haiti o número regras e ver detecções específicas deste evento podemos criar uma regra com certo nível de civilidade que está em níveis pareceria vai de 0 a 15 por exemplo no controle de eventos arquivos neste caso eu mostro como mudanças podem ser controladas específico para um banco de dados senhas de equipe como visto lá a partir deste evento o que que podemos obter é que, quando dispara vemos no siem que o arquivo em problema foi alterado para ser demitido a regra com a ideia e o nível definidos e criar este tipo de regras é muito fácil e especialmente com eu quero dizer o que você teste de bloco que é uma ferramenta testes onde um registro é colado e ele é verificado e verifica se ele é parcial ou corretamente e se forem acionados as regras definidas, ou seja, os tecs os testes nos permitem verificar as regras que você personaliza estamos desenvolvendo agora ok também usando esta configuração podemos saber qual usuário era o único modificou o arquivo funciona em ambos linux como no windows e basicamente é place play está definido como 10 no arquivo xml o que podemos ver aqui a partir da configuração das pessoas então isso vai destaque o nome de usuário lá vemos como por exemplo root é o usuário dinheiro fazendo a mudança de um usuário que elevou privilégios lá vemos como o usuário era jp material para para isso funcionar nos links devemos usar audit audit em cada host para isso vai nos permitir justamente o identificação dos usuários e quem privilégio elevado existia era o lugar dinheiro caso contrário, se não tivermos auditoria vai ser muito complicado para nós obter esta informação vemos o mesmo no windows um processo bloco de notas modifica o arquivo nessa localidade com o usuário admin lá fora vemos as mudanças de ruas e outros evidências também na ferramenta 100 para o que está configurado e através esta ferramenta tem lápis elástico iguazú e tem digamos com isso pode ser feito em ambas as ações é conhecido como no próprio banco de dados dados indexados elásticos e é por que podemos obter informações filha rápida para falar apenas neste caso para ver o estado dos serviços gerente, estou mostrando a você o que é um acesso com kurt mas o acesso de apis nos permitiu integrá-lo apenas para afrouxar, mas também desenvolver um aplicativo em python ou qualquer coisa obviamente que queremos e faça através deste acesso ao app e nós da data sex desenvolvemos um script python para conectar e executar várias inteligências com o para detectar e relatar eficientemente as ameaças deste maneira também é possível executar ações diretas sobre os dados e registros indexados pelos tiques então sim então se tivermos registros a serem descartados para exemplo ou porque eles são falsos ou porque nós eles enchem o tórax consumindo toras pode otimize-o removendo o through o aplicativo e como podemos ver lá embaixo apenas uma ondulação também que faz um bike e guaiquerí demoram e aí eles estou repassando o post do que quero apagar nada pode acontecer com isso quais quaisquer dados, obviamente, isso Totalmente deixe-me falar lá estou eu usando dados em jason e não vai funcionar para mim apague o que eu quero eu posso ter obviamente outras funções do apie que são totalmente públicos e acessível apenas um dos primeiros desafios e tudo e acima de tudo para começar a gravar tudo de tudo o lado caiu facilmente no registro coisas que não funcionam e essas coisas podem gasta muito tempo armazenando recursos é por isso que sempre recomendamos lá também sempre que possível, planeje registros como será o registro e por exemplo um calculadora online chamada 100 calculadora para determinar o nível de crescimento de armazenamento no nível do elástico temos a função definir índices de informação que podem ser limpar em fases, por exemplo, se os dados É de acesso e atividade recentes sai da fase quente e o registro não é necessário acessá-lo pelo tempo definido, em seguida, vai para a palavra e coletores que os índices são menos prioritários e então eles são eliminados para o todo A otimização deve ser levada em consideração quando devemos quanto tempo devemos armazenar eventos para passar esses diferentes tipos de fases que teremos que levar em conta justamente pelo ciclo de Informação de vida e morte basicamente em informações que usamos século que surge como um concentrador de toras e lá definimos filtros de registro que nós queríamos lá você pode ver a frente de uso end neste caso se no syslog tivéssemos um concentrador do século e lá poderíamos definir diferentes tipos de filtros informações de auditorias queríamos ter e de recordes antes de removê-lo obviamente no elástico tiraram nós apagamos antes de chegar ao nosso ao nosso servidor apenas para evitar down desempenho da rede nestas horas, etc. então quanto mais cedo o mínimo l obviamente mais desempenho lá o que você pode ver está no calculadora de armazenamento que eu estava falando sobre você para sempre onde nos mostra diferentes tipos de ativos execute o cálculo e bom para obter apenas isso e poderia avaliar o melhor porque isso foi realmente desafiador para nós e fará isso por qualquer choque tem outra coisa que chama o valor de bp s que vêm a ser digamos quantos eventos por segundo pode ser gerado até vou fazer um valor que é considerado muitas vezes a eficiência de um ação da ferramenta e na quantidade de eventos por segundo que pode gerar e transmitir pessoas para o gerente ou para é colocado em implementos com um buffer 5000 eventos locais por padrão onde existem limiares de uso de que o A fuga de dados é dada a 500 eventos por segundo por padrão esses valores são configurável e acima de tudo é importante local lutz e sem inundações porque pode gerar atividades suspeitas e é preciso evitar a contaminação com muitos registros ser gerente isso ou azul ou leva em conta o que é repetição de ações e tenta justamente não alagada e também nos informa se houver uma enxurrada de registros É importante neste momento também. tenha em mente os bilhetes dourados que pode gerar e desviar a atenção dos analistas da equipa azul e por isso devemos continuar vigilantes mesmo que tenhamos, digamos, incidentes isso parece super super sério tal é Também é muito importante levar isso em consideração. automação hoje é uma desafio que pode ser alcançado instrumento com aprendizado de máquina inteligência artificial através inter-relação dos diferentes processos de operação que é uma ferramenta essencial para a triagem e felizmente estamos chegando mais perto nas plataformas nastic e outras automação do trabalho leva seu tempo de definição por exemplo ajuda a calcular os custos de realização triagem de ‘falsos positivos’ e nos ajuda assistência prioritária e remediação para coordenar ações do show além das ferramentas de iguazú de 100 precisamos de informações sobre contexto da organização como Estou dizendo aqueles em que trabalhamos então uma ferramenta que nós usamos importante para manter em mente conta de sucesso é um software gratuito escrito em php e sql base que é usado para o registro de identificação de ativos de contatos e a inter-relação em cada deles esta ferramenta permite a log de alteração de configuração janelas de manutenção ou pode basear procedimentos de gestão de mudanças em tecnologias como a tecnologia itil em gestão de mudança muito tecnológica útil que é um compêndio dos melhores práticas de gestão tecnológica e permite a integração de vários módulos para o gestão de agendas e outros, embora já com básico e comunidade é mais do que o suficiente, você pode colocar um portal público também para que o nosso os clientes inserem casos ou incidentes e outros como ter um canal de comunicação eficaz com eles isso é muito importante também ter comunicação eficaz para comunicar os incidentes para que nos comuniquem nós e bom ter uma comunicação diretamente com o cliente e com quem estar lá o tempo todo trabalhando na organização como você pode ver, há muita informação também gráficos podem nos dar a incidentes que foram gerados e top é um ferramenta que funciona em todos os níveis em incidentes de direção de problemas de mudanças de serviços para nível de help desk é a verdade importante e também nos ajuda saber como o impacto de diferentes ativos, ou seja, se houver queda serviço em um bom roteador, como o inter-relação desse roteador com outros e se vamos ter um servidor inativo o que servidores esse banco de dados que eu guerreio é que tudo basicamente nos serve muito esta ferramenta tem em mente conta para o show e é um que eu devo que funciona para todos os casos basicamente registros para testar a eficiência de 100 e choque em geral é necessário experimentá-lo também existem simuladores para isso o retentor pode ativar com o sem conhecimento do time azul então tanto com o apt simulator ou o atp mesmo criar ataques reais e avançados no redes internas e veja se continua 1100 quilos detectados também são temos outros sistemas de autoavaliação Trata-se de uma série de documentos que permitem que você avalie as capacidades do choque ajude-nos ajude-nos a visualizar métricas e permitir que elas amadureçam em aspectos diferentes, vamos ver que um das ferramentas que basicamente É um formulário que vou mostrar para vocês depois de usá-los, vou compartilhá-los e nos permite entender exatamente como é os 100 como o choque está funcionando todo nível e bom nos permite entender em que nível de maturidade estamos e como podemos continuar a otimizar e crescer neste ciclo de melhoria contínua então quanto aos domínios de também funciona em vários domínios como estávamos olhando para o nível de negócios de pessoas de processo de tecnologia serviços vamos ver que há uma queda também qual é o escopo onde o choque tem que estar funcionando e então funcionará para cada um eles Acho que estou chegando ao fim agora eles sabem o que fazer e esta linguagem seu editor e comece a jogar a roda descobrir monitorar suas ações maliciosos e de lá se comunicar ou resolver e otimizar as regras de prevenção e verificação e comentário muito obrigado a jaime e tudo isso equipe trabalhar foi uma honra participe também deixo os códigos qr é a documentação de 100 e loja que Eles vão torná-los super úteis e em que Este link para a unidade que eu lhe dou é benigno lá e também as perguntas que pode dar as boas-vindas william se ouvirmos spector as pessoas são realmente muito entusiasmado com a sua palestra tem muitas perguntas fico feliz se de fato o telefone está tocando vermelho com as perguntas e tudo o que é eles já estão fazendo, ele te manda então o primeiro você pensa que essa opção de 100 e soft open source não tem nada a soluções de inveja como vale a pena archi trunk que é um plugin para mencionar alguns totalmente não têm nada a inveja deles na verdade eu conheço alienvault alguem bom tem uma solucao premissa e também um na nuvem testado ambos, digamos, no nível local é um pouco complicado às vezes o nível de dimensionamento desta ferramenta porque Já começamos com a parte de custo. teve algumas dificuldades com ela no nível de configuração sou eu Essas ferramentas dificultam um pouco muito mais para falar e escalável sem sombra de dúvida e a ferramenta de, por exemplo, alguém parafuso na nuvem sim é muito interessante Digamos que compete quase parar no que aquele washington na nuvem então naquele me senti muito bem e já digo a eles que por exemplo em um lugar e estamos trabalhando para fazê-lo competir com a ibm currar que bom é um dos 100 líderes mundiais e bons estamos fazendo competir em nível governo em grandes projetos e basicamente está funcionando muito bem e está sendo considerado cada vez mais assim que a verdade é que está competindo Muito forte, olha nós da Bolívia perguntam no tam um SME não sei podia pagar era uma pessoa 6% 11 mas mesmo se você estiver menos desde esta crise barato, mas quantas pessoas mínimo necessário para hoje montar algo semelhante bom se eu o que Eu recomendo um mínimo de três pessoas Digamos que nas organizações de hoje dia em que eles podem estar apenas nestes mínimos desigualdade eu acho que uma das três pessoas é um mínimo realmente aceitável em boas organizações de hoje Claro que vai depender dos casos do quantidade de informações de registro bens que alguém tem etc. mas eu Acho que três é um bom começo – Eu diria que seria um praticamente impraticável ou impraticável bem, outra pergunta nos faz vai gerar tx diz já estar com o unificação das equipes como o mais trabalho eficiente no nível abrangente totalmente totalmente sim me parece diferenciar bem as especialidades de cada um menos ele mesmo quando estamos organizações de trabalho é É essencial que estejam completamente unidos. relacionado trabalhando em sincronia justamente por essas coisas que eu disse quando estamos fazendo um digitalização ou qualquer atividade de rede boa equipe que o último também conhece isso obviamente e também quando há alguma mudança para verificar se é bom também ambas as equipes sabem disso Eu acho que mesmo que existam esses especializações particulares eu acho que em certos momentos eles têm que estar juntos e trabalhar muito bem juntos que torna as equipes muito boas e muito bom para organizações em geral prepare as ferramentas para o choque que tão eficientes eles estão sendo de código aberto Bem, nenhuma entidade de atualizações sobre o mais recente malware e código malicioso o que Você acha que ok se você está fazendo o suficiente atualizou o conjunto de regras com frequência e está em um nível muito bom Digamos que não testei em profundidade esse ponto específico para dizer bem, é no último, mas com o integrações que têm por exemplo nível de lápis eu acho que você pode turbinar muito então é se isolar muito mais forte e muito mais em tempo real com ameaças no tempo real de qualquer maneira, como eu disse atualizar a regra bem definida tem sido um pouco de trabalho para nós com esta ferramenta basicamente quando podemos ter que ser bom vai ser carregar um arquivo às vezes bom também tivemos que atualizar todos os sistema e reinstale-o novamente, mas em Em geral digamos que está sendo muito útil É uma ferramenta muito boa e hoje eu a conheço eu recomendo em geral ótimo, temos outras perguntas aqui fato temos muitas perguntas e nós Eles dizem que se é possível integrar watts subcomitê de limpeza de informações de malware plataforma de inteligência ameaças se eu entender que se eu vi algum documento por aí que o integre para minhas tias caranguejo e se dissermos que é super integrável não sei não deu certo diretamente com isso hoje em dia, mas Eu entendo que é integrável e bem, tem a API pública para integrado diretamente se fosse necessário, mas provavelmente há algum módulo de integração também mostro isso também porque é interessante que você acha que os módulos de canto washoe que podemos ter sistemas de defesa cada dia mais resistente e boa obviamente, como o software livre em orçamento e o que gostamos Os latino-americanos decidiram fazer isso falar e, obviamente, é por isso que temos muitas perguntas também vá em frente com o próximo do show não sei se você sabia sobre nós também temos uma implementação semelhante ao que você comenta e eu Eu pessoalmente tirei uma mesa que fala sobre o assunto e mostra muitos ferramentas que é basicamente como ser do time azul com carteira está em vermelho e é isso que acontece em muitos dos As empresas latino-americanas basicamente não há muito orçamento para segurança mas eles querem ter esse tipo de soluções se você quiser ter um visibilidade maior do que é acontecendo na sua empresa e é o caminho que eu achei mais simples para mostre a eles o que eles podem fazer temos espaço para duas outras perguntas Eles me perguntam e se ele integra essas soluções com aquela com o ferramenta de segurança como para alto ou fortinet bem, nós somos de fato estamos usando essas ferramentas e estamos registrando o como integrar totalmente bem, digamos que eles já tenham decodificadores de log fortinet e bem, tivemos que criar alguns regras particulares acima daquelas para um bilhete nesta pandemia para detectar as condições do app não são boas nos trouxe a conhecer o que é o usuário que horas eles estão se conectando usuários tivemos que fazer um decodificador e algumas regras, mas foi fácil de integrá-lo por syslog, digamos é super fácil integrá-los também diga a eles que não apenas tem para dispositivos de rede não tem apenas um agente, mas também tem um modo que lhes permite apenas para equipes onde você pode não foi possível instalar o agente também incorporar algumas ações como detectar quais são os comandos sendo executados naquele sistema alguma integridade de arquivo também em dispositivos de rede e bons lá também podemos obter registros desse equipamento de rede através do blog dele bom mais tarde para encapsular esse ciclo bem, haverá métodos se fizermos isso para através da internet Da mesma forma, se usarmos o agente de Huaso tenha em mente que isso conexão é criptografada e boas são totalmente incorporado pode ser incorporado todos os dispositivos de qualquer lugar dúvidas neste se definitivamente há o trabalho mais pesado seria ver como ele vai obtenha as informações parciais para mim Imagino que em preto vi todo esse tipo das coisas e ele vai começar a mostrar isso no eu ca trabalhando com washoe quanto custa da proteção dos blogs quanto custa os recibos os logs o custo em que sentido Eu acho que não especifica, mas eu Imagino que em tamanho que seria como capacidade de armazenamento recomendado para armazenar os blogs de esta solução bem bem isso vai depender muito a calculadora que você é usando e também como eles têm otimizado como dizemos tínhamos um desafio para começar a alcançar tudo e nos encheu e tivemos que comece a aumentar o disco, mas se otimizar digamos que você pode começar Digamos com discos que não conheço de unter a dependendo como eu digo depende muito do número de registros dos quais ser o ativo que também é otimizado e bom tanto quanto queremos manter esses registros, mas eu odeio vamos equilibrar isso e o ferramenta whatsapp, digamos, suporta muito até horas e não podia dizer quantos, mas é muito escalável em esse sentido então vai depender Guillermo há muitas outras perguntas que eles vão passá-los internamente para que você pode de repente em um tempo em redes de poder responde-lhes continuamos aqui com o Guillermo programando muitos Obrigado pela sua participação bem, muito obrigado jaime deixou um pequena mensagem por último uma mensagem pessoal que eles valorizam a ciência mais do que nunca esses dias de facebook a cara ciência, eu ouço ciência do mal, você tem que cuidem-se e mantenham a ciência prevalência de evidência evidência de viés duplo, etc. desconfiar do cientistas porque o método científico na comunidade eles fazem muito mais ótimo e bom eu permito que você habilite seus microfones para os muitos aplausos obrigado
Excelente video! saludos.
Podría no leer todo el rato? Es casi imposible enterarse de algo
Quiero empezar a trabajar en el área
Un muy interesante video que lamentablemente recién acabo de verlo, después de muchos meses.