Fórum Brasileiro de CSIRTs

Piotr Kijewski é CEO e Pesquisador da ShadowServer Foundation, uma organização sem fins lucrativos, cuja missão é fazer a Internet um ambiente mais seguro. Ele também gerencia os projetos de coleta e compartilhamento de dados sobre ameaças em larga escala da ShadowServer.
Piotr tem mais de 20 anos de experiência operacional em segurança cibernética e tratamento de incidentes. Ele foi head do CERT.PL (CERT Nacional da Polônia), onde desenvolveu os diversos projetos de coleta e análise de dados de segurança, bem como geriu as operações anti-malware, incluindo diversos takedowns de botnets. Piotr também é um membro do Honeynet Project (onde ele também serviu no Conselho Diretor), uma organização sem fins lucrativos focada no desenvolvimento de tecnologias de honeypots e de análises de ameaças. Ele é um palestrante renomado de diversas conferências internacionais de segurança cibernética com foco técnico e operacional.

O cenário atual, de crescente número de vulnerabilidades somado à dificuldade de aplicar correções em 100% do parque, torna urgente a implementação de mecanismos para identificar novas vulnerabilidades e priorizar quais correções devem ser aplicadas de forma emergencial. Esta apresentação vai discutir os diversos frameworks e métricas existentes, e como o uso combinado possibilita que as organizações façam escolhas mais bem informadas sobre a priorização das atividades de gestão de vulnerabilidades.

Será apresentada uma visão geral de como criar e operar um CSIRT. Será apresentado quais foram os desafios e obstáculos ultrapassados no caminho para formalização do CSIRT da TI, com uma abordagem lúdica através de um paralelo da jornada do herói. O objetivo é mostrar os atalhos e como iniciar a estruturação de um CSIRT, bem como os desafios (de acordo com o tamanho e a cultura da empresa).

Flow de Rede (netflow) é um método de gerência e monitoramento de redes, de baixo impacto sobre a infraestrutura, e que nos permite ter uma visão de nosso ambiente de rede, prever tendências de tráfego e identificar comportamentos suspeitos. Durante 7 anos temos utilizado netflows diariamente em nosso ambiente seja por meio de relatórios diários, identificação de anomalias e na investigação de incidentes. Nesta apresentação iremos compartilhar e abordar as experiências do CSIRT Unicamp na identificação e atuação nos diferentes incidentes mais recentes ocorridos em nosso ambiente.

O objetivo dessa apresentação é discutir do ponto de vista de segurança de endpoints, a necessidade de ações complementares e contínuas, e não simplesmente confiar cegamente em implementações de ferramentas de segurança como, por exemplo, o EDR, que trazem propostas de segurança avançada, que muitos entendem como definitiva e, em alguns casos, mágicas. Como subsídio da discussão, apresentaremos resultados práticos de testes, que serão realizados em dois ambientes com endpoints que possuem a mesma solução de EDR, contudo um dos ambientes não possui implementações adicionais como hardening do sistema operacional e adoção de melhores práticas. Será avaliado o êxito e facilidade que um atacante poderá ter para concluir ações maliciosas no ambiente.

O Mercado Bitcoin, exchange brasileira de criptomoedas e criptoativos digitais, utiliza automações desenvolvidas internamente para enriquecer e facilitar a triagem e o tratamento de incidentes de segurança. Trazemos os fluxos e automações que integram nosso SIEM, ITSM e Abuse, e ajudam no nosso processo de Resposta a Incidentes.

Esta apresentação abordará como as ferramentas automatizadas podem otimizar a eficiência no tratamento de incidentes de segurança. Discutirei um estudo de caso sobre a implementação em um ambiente de segurança operacional, destacando as seguintes ferramentas: Wazuh, Graylog, Cortex, MISP e Grafana. Também será mostrado um estudo de caso com objetivo de expandir as possibilidades e apresentar o desenvolvimento de melhorias durante o processo.

Esta apresentação trará uma discussão dos desafios e lições aprendidas num processo de troca do ticket system de um SOC e da implementação de um SOAR, após anos de uso de uma plataforma anterior.

Como descobrir o marco zero de um incidente? Quais hipóteses conseguimos evidenciar? Quais os artefatos que possuímos? Durante um incidente, lidamos com inúmeros questionamentos e diversas hipóteses, na qual precisamos ter respostas e descobrir causas raízes de forma ágil e assertiva durante uma investigação. Mas como encontrar clareza e assertividade em um momento que estamos sendo bombardeados por tantas perguntas, inúmeras hipóteses e uma grande necessidade de certeza? A metodologia ACH (analysis of competing hypotheses) é uma alternativa que pode ajudar na investigação e resposta a incidentes de forma mais clara e elucidativa. Em vez de depender de suposições e intuições isoladas, a ACH pode permitir que os analistas ponderem múltiplas hipóteses de maneira estruturada e lógica, evitando o viés cognitivo.

Na era digital, onde a ameaça cibernética está em constante evolução, a busca por soluções técnicas avançadas muitas vezes obscurece um fator fundamental na equação da segurança: o elemento humano. Nesta palestra, exploramos o poder transformador da gestão pessoal na proteção dos ativos digitais de uma organização, destacando sua importância em contextos específicos, como firewalls web e servidores. Examinaremos exemplos práticos de como falhas humanas podem causar incidentes no ambiente da organização, bem como estratégias para mitigar esses riscos. Ao trazer esses exemplos, ilustraremos como as falhas humanas, influenciadas por estresse, maus hábitos pessoais, ansiedade e burnout, podem representar uma ameaça significativa à segurança da informação. Mais importante ainda, exploraremos estratégias práticas para promover uma cultura de gestão pessoal e responsabilidade dentro das equipes de segurança, fortalecendo assim a resiliência das organizações contra ameaças cibernéticas.

O engajamento das pessoas no processo de prevenção e notificação de incidentes é chave para a identificação e interrupção de ataques que não são detectados pelas soluções implantadas nas organizações. Neste painel teremos a oportunidade de discutir diferentes abordagens para engajar as pessoas com o assunto segurança, bem como para explicar conceitos complexos de forma simples e lúdica.

Serão apresentadas a motivação e os resultados da análise feita pelo TCU das configurações de segurança de serviços Web, e-mail e DNS de cerca de 14 mil URLs de organizações públicas federais, estaduais, distritais e municipais. A avaliação utilizou como parâmetros os teste realizados pela ferramenta TOP.nic.br, mantida pelo NIC.br.

O Decreto 10.748/2021 instituiu a Rede Federal de Gestão de Incidentes Cibernéticos (REGIC) e definiu o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) como coordenador da rede. Neste contexto, serão apresentadas ações de prevenção a incidentes cibernéticos em redes de governo, números relacionados e casos reais de coordenação da atividade.

Esta apresentação tem como objetivo analisar alguns papéis e competências de CSIRTs (Computer Security Incident Response Teams) e LEAs (Law Enforcement Agencies), quando há a necessidade de cooperação entre CSIRTs e órgãos de aplicação da lei, destacando sinergias e possíveis interferências em suas atividades relacionadas à resposta a incidentes, quando os fatos analisados podem ser considerados crimes. Por certo que algumas leis mais recentes, a exemplo, da Lei nº13.964/19, trazem novos desafios, com os quais é possível lidar, à luz das atividades primordiais de cada um dos entes implicados na atuação de combate ao crime. A ideia principal é discutir a cooperação entre CSIRTs e LEAs, bem como a interação com o Judiciário, visando uma melhor resposta ao crime.

Em 26 de abril de 2024, a ANPD publicou a Resolução CD/ANPD nº 15/2024, para regulamentar o processo de comunicação de incidentes de segurança, previsto no artigo 48 da Lei Geral de Proteção de Dados (LGPD). O texto, que passou por consulta pública, estabelece várias regras como prazo para comunicação, insumos para classificação do que vem a ser risco ou dano relevante, medidas preventivas a serem adotadas pela ANPD no curso do processo, obrigação legal de registro de incidente, dentre outras. Esta palestra destacará os principais pontos da resolução, os temas que merecem atenção, bem como os principais impactos da resolução na atuação de um time de CSIRT.

Esta apresentação descreve todos os passos de um exercício de simulação de gestão de crise de um incidente cibernético. O simulado (tabletop) tem enfoque executivo, com objetivo de sensibilizar os profissionais de áreas técnicas sobre a complexidade da tomada de decisão de um Comitê de Crises, colocando-os nos papeis de diferentes personagens que poderão fazer parte de um comitê.

Um dos maiores desafios da gestão de vulnerabilidades é a priorização e identificação de vulnerabilidades que precisam ser tratadas de forma emergencial. Discutiremos as particularidades dos diferentes insumos disponíveis para os tomadores de decisão, como notificações de vulnerabilidades advindas de ações de Threat Intel, Threat Hunting, pentests e varreduras, e também a importância de que o conhecimento sobre o ambiente inclua automações sobre os sistemas de CMDB, ou mesmo datalakes que contenham outras informações além do catálogo de ativos, sem com isso deixar de se dar a devida importância às relações entre os diferentes times para a correta identificação da exposição. Discutiremos também como o Common Vulnerability Scoring System (CVSS) em sua quarta versão é mais confiável se adaptado a cada ambiente, bem como qual o papel do EPSS e de outras métricas de risco nesse na tomada de decisão. Finalmente, falaremos também sobre a experiência de acompanhar as tratativas junto às equipes de infraestrutura e aplicação que tratam as vulnerabilidades e a última decisão a ser tomada: quando o trabalho pode ser considerado concluído e o acompanhamento emergencial encerrado?

Em um cenário onde os ataques cibernéticos se tornam cada vez mais sofisticados, é fácil esquecer que a engenhosidade pode ser a principal arma dos cibercriminosos. Nesta palestra, desvendaremos um caso real que desafia a percepção comum sobre segurança: o uso de roteadores para pequenos negócios em ataques e fraudes direcionadas. Vamos analisar detalhadamente como os atacantes utilizaram esses dispositivos, aparentemente inofensivos, para contornar defesas e infiltrar-se em redes corporativas. Exploraremos as principais fases do tratamento do incidente, desde a detecção e acionamento até a contenção, erradicação e lições aprendidas. As descobertas da análise forense revelarão as configurações interessantes utilizadas pelos atacantes, além de como foi possível identificar o modo de operação dos fraudadores. Esses insights são fundamentais para compreender a complexidade e criatividade dos ataques e para preparar defesas mais eficazes. A palestra concluirá com recomendações práticas para fortalecer a segurança das redes contra dispositivos "estranhos" e frequentemente subestimados e desenvolver estratégias de detecção proativa (ou mesmo reativa).

A informação sobre códigos maliciosos está cada vez mais popular, como Malwares as a Service, Podcasts e Vídeos que ensinam como criar uns códigos maliciosos. As equipes de resposta a incidentes enfrentam vários desafios, dentre eles o que fazer quando as ferramentas de detecção e resposta não bastam, e os analistas precisam recorrer a ferramentas que identifiquem melhor o comportamento dos processos e das atividades de usuário. Vamos abordar a importância que a engenharia reversa do malware possui e como as informações extraídas por ela são vitais para as equipes de resposta a incidente atuarem na prevenção, contenção e erradicação de ameaças. Vamos abordar estratégias onde equipes de resposta podem interromper a killchain de ataques cibernéticos quando as ferramentas de EDR não reconhecem a ameaça. Vamos demonstrar alguns casos de malwares onde o que as sandbox revelam não é a completude de ações que o malware pode efetuar, impactando a garantia de uma resposta efetiva.

A apresentação tem o objetivo de esclarecer a natureza de um Advanced Persistent Threat (APT) e compartilhar lições aprendidas durante o combate a esse tipo avançado de ameaça. Vamos focar no caso relacionado à CVE-2023-4868 (CVSS 9.8), falha crítica no produto ESG (Email Security Gateway) da empresa Barracuda, que afetou grandes instituições em todo mundo, explicando importantes detalhes do ataque e da campanha executada por um determinado APT. Nesse contexto, vamos apresentar os desafios encontrados por uma ETIR ao lidar com essa ameaça específica, que explorou uma vulnerabilidade 0-Day (na época) e permaneceu indetectável por vários meses: como o ataque foi percebido pela organização, quais foram os indicadores de comprometimento, como a fabricante procedeu com os seus clientes, qual o impacto estimado para a instituição afetada, medidas de contenção e erradicação, surpresas durante a resposta, interação com a fabricante e representantes do produto, tempo de tratamento e outros procedimentos. Por fim, serão compartilhadas lições valiosas aprendidas ao longo do processo de resposta desse incidente causado por um APT.

Nesta sessão imersiva, os participantes serão conduzidos por uma viagem fascinante através do processo investigativo em um caso real de ataque de ransomware, que assolou uma organização de médio porte. Através de uma abordagem detalhada, guiaremos os participantes através de cada etapa do processo investigativo, desde a detecção inicial até a resolução final do incidente. Ao longo da investigação, destacamos a natureza dupla do ataque, que envolve tanto a criptografia de dados quanto a ameaça de vazamento de informações confidenciais, abordaremos também as complexidades éticas e práticas associadas à resposta a ataques de dupla extorsão, incluindo considerações sobre a conformidade regulatória, gestão de crises e tomada de decisões estratégicas. Por fim, concluiremos com insights valiosos sobre as lições aprendidas com o caso e as medidas proativas que as organizações podem adotar para fortalecer sua postura de segurança cibernética.

Do entendimento de instruções complexas à geração de código, as capacidades da IA Genrativa estão rapidamente redefinindo muitos aspectos da nossa sociedade, incluindo cibersegurança. Nesta sessão, apresentaremos uma visão de como a IA Generativa vem sendo utilizada para acelerar e aperfeiçoar ameaças cibernéticas, como podemos usufruir das capacidades da IA Generativa para equilibrar a balança e melhorar as capacidades de defesa e como a própria IA Generativa pode ser explorada por agentes maliciosos.

O GT-HackInSDN é um projeto desenvolvido pela Universidade Federal da Bahia (UFBA), em parceria com o Instituo Federal da Bahia (IFBA) e a Universidade Internacional da Flórida (FIU), que visa criar uma infraestrutura programável em testbed para ensino cibersegurança ofensiva e defensiva. A arquitetura do HackInSDN é estruturada a partir de componentes que se comunicam para prover um ambiente diversificado de cenários para experimentação e ensino em segurança da informação. Alguns dos componentes em desenvolvimento no HackInSDN incluem detecção de anomalias via Aprendizagem de Máquina Estatística, soluções de IDS, Orquestrador de Redes programável e o MISP Threat Intelligence.
Essa palestra traz um foco principal para o ambiente do MISP, onde os autores apresentarão casos de uso onde o MISP será usado, modelagem dos dados para inserção no MISP considerando diferentes taxonomias, estratégias para automação da inserção de dados com uso do PyMISP e, finalmente, práticas de ensino a partir do MISP previstas no projeto.

A palestra tem como intuito apresentar como realizar a integração no MISP com a solução EDR Crowdstrike para bloqueio e/ou detecção em resposta a incidentes. O Script encontra-se disponível no github e permite identificar no MISP todos os eventos com a tag crowdstrike e formatá-los com os dados esperados que podem alimentar a console do Crowdstrike. O arquivo é, então, enviado via API do Crowdstrike com os modos bloqueio e alerta, pois por padrão existem alguns IOCs que podem ser bloqueados e alguns alertados na console.

A apresentação terá o foco em demonstrar como é possível utilizar a ferramenta Cuckoo Sandbox para criação de um ambiente de automatização de análise de malware em uma organização, bem como demonstrar como é possível realizar a integração a diversas fontes, como MISP, ElasticSearch e outros locais visando auxiliar na privacidade da companhia, incidentes de seguranças, investigações de ameaças avançadas, compartilhamento de ameaças com a automação, possibilidades de integrações de novas fontes e criação de uma base de dados de indicadores internos (ou externos).

Apresentação de um projeto de pesquisa e desenvolvimento prático no mercado financeiro, focado na cibersegurança do Open Finance Brasil. Através de um estudo de caso, foi desenvolvida uma Arquitetura de Segurança robusta, adaptável a fintechs e grandes instituições financeiras, com a possibilidade de atender também a outros segmentos que utilizam o MISP, aproveitando o poder das análises e processamento com Grafos.
Ressaltando a aplicação prática, a validação desta Arquitetura de Segurança será demonstrada por meio das POCs (Proof of Concept), elaboradas com base no dia a dia do mercado financeiro. Devido às restrições de divulgação das instituições participantes, foram utilizados dados sintéticos que atendem a todo o arcabouço normativo de segurança da informação do Open Finance.

O compartilhamento de informações deve ser fortemente intrínseco as atividades de inteligência, como identificação, análise de ameaças e aplicações na estratégia, planejamento, monitoramento e detecção de ameaças na segurança da informação corporativa. Nesta apresentação, compartilharemos um case do Banco do Brasil de aplicação das informações oriundas do compartilhamento de ameaças MISP na identificação e avaliação de ameaças baseadas no Framework NIST de Segurança Cibernética.

O conceito de inteligência pode seguir diferentes vertentes e a ideia de inteligência acionável é a que mais se enquadra no contexto de Security Operations Centers (SOCs) devido a sua capacidade de fornecer uma abordagem proativa. A inteligência é considerada acionável quando fornece insumos tangíveis para serem implementados ou auxilia diretamente nos processos de tomada de decisão. Em paralelo, considerando a grande quantidade de dados disponíveis atualmente, é comum que times de operação de segurança fiquem sobrecarregados com alertas de detecção, o que torna o direcionamento e a priorização extremamente importantes. Nesse contexto, propõe-se uma arquitetura para integrar ferramentas de SOC com plataformas de inteligência de ameaças (focando no MISP), visando fornecer automaticamente e periodicamente inteligência acionável de ameaças cibernéticas para ser implementada em regras de detecção e processos de tratamento de incidentes.

Esta palestra apresentará os desafios encontrados pela Dataprev para o uso de indicadores de comprometimento (IoC) em suas ferramentas de segurança para proteção da infraestrutura. Bem como compartilhar a experiência inicial com o uso MISP como plataforma central dessas informações, e as automações realizadas utilizando PyMISP.

A apresentação refletirá sobre as melhorias implementadas na estrutura de MISP do Laboratório de Segurança Cibernética da Febraban, que está em operação desde 2021. Essa evolução envolveu a implantação de mais de uma instância e de dashboards com uma visão mais executiva. O objetivo da apresentação é explorar as diferentes tabelas que existem no banco de dados do MISP, compartilhar a experiência e formas de se ter uma dashboard, assim como informações que podem ser levantadas via queries SQL.

Ao longo dos últimos seis anos, a Petrobras tem implementado e refinado o uso da plataforma MISP (Malware Information Sharing Platform & Threat Sharing) como uma ferramenta central em sua estratégia de segurança cibernética. Esta apresentação detalha nossa jornada prática e estratégica com o MISP, destacando as integrações, benefícios, desafios enfrentados e as soluções adotadas. Discutiremos como o MISP foi integrado ao nosso ecossistema de segurança, apresentaremos uma visão estratégica na qual justificamos o investimento no MISP para a alta gerência/a alta administração/o nível executivo, abordaremos também as dificuldades enfrentadas ao longo desses anos e, finalmente, citaremos nossos planos futuros, incluindo projetos em +desenvolvimento e a expansão da solução.

Nesta palestra iremos apresentar duas funcionalidades recentemente incluídas no MISP: segundo fator de autenticação (TOTP/HOTP) e workflows.
Além de apresentar as funcionalidades, mostraremos o passo a passo de como habilitá-las e dar exemplos reais de uso.