Tuesday, November 27, 2012

Material de Treinamento para equipes de Resposta a Incidentes e Forense Computacional



[ Update 27/11/2012 ]

ENISA se consolida como a principal fonte de materiais para treinamentos de CERTs/CSIRTs/ETIRs ao atualizar seu site de atividades com 23 diferentes exercícios para times de Resposta a Incidentes de Segurança, incluindo material de suporte e algumas máquinas virtuais:

http://www.enisa.europa.eu/activities/cert/support/exercise

Segue a lista de exercícios disponíveis:

  • Triage & basic incident handling
  • Incident handling procedure testing
  • Recruitment of CERT staff
  • Developing CERT infrastructure
  • Vulnerability handling
  • Writing security advisories
  • Network forensics
  • Establishing external contacts
  • Large scale incident handling
  • Automation in incident handling
  • Incident handling in live role playing
  • Cooperation with Law Enforcement agencies
  • Incident handling during an attack on Critical Information Infrastructure
  • Proactive incident detection
  • Cost of ICT incident
  • Mobile threats incident handling
  • Incident handling in the cloud
  • Advanced Persistent Threat incident handling
  • CERT participation in incident handling related to the Article 13a obligations
  • CERT participation in incident handling related to the Article 4 obligations
  • Assessing and Testing Communication Channels with CERTs and all their stakeholders
  • Social networks used as an attack vector for targeted attacks
  • Honeypots

[ Update 25/01/2011 ]

A Forensic Focus tem uma excelente relação de material para estudo, incluindo imagens e desafios forenses:


[ Update 21/01/2011 ]

A ENISA (European Network and Information Security Agency) publicou no final de 2010 um guia revisado chamado "Good Practice Guide for Incident Management for CERTs" (pdf).

O material possui mais de 100 páginas de instruções utilíssimas além de um conjunto de boas práticas, sugestões, referências para ferramentas, exercícios e exemplos e possui a seguinte estrutura central:
Framework: foundation of a CERT – its mission, constituency, responsibility, mandate, organisational framework – and the types of services the CERT can deliver.

Roles: describes the roles that are mandatory and those that are optional in order to deliver a successful incident handling service.

Workflows: CERT/CC incident handling workflow and gives some examples of the workflows of other teams, how to use them in day-to-day operations, and how the incident lifecycle works.

Incident Handling Process: incident handling process in detail – from incident reporting via resolution to closing the incident. In addition, guidance is provided on information disclosure and relevant tools.

Policies: basic policies a CERT needs to have in place in order to deliver its incident management service. In the second part of this chapter, the human resources aspect is highlighted.

National and International Cooperation: Various communities are highlighted.

Outsourcing: provides an overview of outsourcing from the perspective of the CERT, focusing on the incident management service – what you could outsource or should not outsource, and how you can reach your goals while outsourcing.

Presentations to management: This chapter is all about getting your management involved and keeping them involved – an essential factor in the success of your CERT.

References: an overview of the most important documents on CERTs and incident management and how to use them.

Annexes: the first describes ‘extended services’, additional services that a CERT can deliver; the second annex is the ‘CSIRT Code of Practice’, a set of good behavioural rules.
Caso seu trabalho esteja - mesmo que remotamente - ligado à Resposta a Incidentes ou Triagem durante Investigações pré-Forense Computacional - recomendo que você leia o documento.
Ele é uma complementação e expansão de documentos do CERT (alguns já traduzidos pelo CERT.BR) sobre grupos de Resposta a Incidentes de Segurança (CSIRTs/ETIRs).
É um documento valiosíssimo para os órgãos e entidades da Administração Pública Federal que estão criando (NC 5) ou mantendo ETIRs (Equipes de Tratamento de Incidentes de Rede), que podem se beneficiar das melhores práticas expostas no material como apoio da implementação das Diretrizes para Gerenciamento de Incidentes em redes computacionais (Norma Complementar e 08 da Instrução Normativa 01) do DSIC/GSI/PR - Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.

[ Update 09/01/2011 ]

Uma das perguntas mais comuns que ouvimos de estudantes e aspirantes à área de Computação Forense é: Onde eu vou encontrar material para treinar, se hoje eu não trabalho diretamente com investigação na área de Forense Computacional ou Resposta a Incidentes?

Este post que atualizo hoje já apontou alguns lugares, como os Live DVDs da ENISA, além do material do projeto HoneyNet, e outras coletâneas de pcaps (capturas de rede) e imagens forenses de disco.

Pois bem, hoje achei uma preciosidade que pode ser útil à equipes ou indivíduos buscando fontes de treinamento *gratuitas* online. O Jesse Kornblum apontou para um extenso material de treinamento de equipes de investigação publicado pelo Department of Computer Science (Naval Postgraduate School).

O material é composto por 3 data-sets, contendo inúmeras imagens de disco, capturas de rede e dumps de memória para análise dos cenários propostos:

1 - 2009-M57 "Patents" scenario (2 a 4 semanas de atividade registradas):
  • Exfiltration of proprietary information by an M57 employee.
  • Stealing of M57's property and selling it on Craigslist.
  • The possession of "kitty porn" photos by an M57 employee.

2 - Nitroba University Harassment Scenario (harassing emails)

3 - Material contendo imagens de disco, de memória e capturas de rede, geradas todos os dias para o cenário (1).

Vamos ao que interessa: Os dados podem ser obtidos nos seguintes endereços (total: 460Gb)

1 * http://torrent.ibiblio.org/doc/187/torents (bit torrent)
1 * http://domex.nps.edu/corp/scenarios/209-m57/ (arquivos individuais)

2 * http://domex.nps.edu/corp/scenarios/2008-nitroba/ (arquivos individuais)

Post Relacionados:



[ Update 20/12/2009 ]

A ENISA finalmente disponibilizou os links para download dos Live-DVDs citados no material de treinamento:

http://www.enisa.europa.eu/act/cert/support/exercise/live-dvd-iso-images

  • ISO image CSIRT Exercise Handbook

  • ISO image CSIRT Exercise Toolset

  • ISO image CSIRT Exercise Netflow


[ 16/03/2009 - Post Original ]

Toda empresa responde à incidentes de segurança, de uma forma ou de outra. Normalmente quem é responsável por coordenar esta tarefa não tem muito tempo para se organizar e planejar o controle e a melhoria dos processos existentes. Afinal, é necessário matar alguns leões - equanto se apaga alguns incêndios - diariamente.

O CERT define 5 principais fases do processo de "Gerenciamento de Incidentes"
  • Preparação / Treinamento
  • Proteção / Prevenção
  • Detecção / Notificação
  • Triagem / Priorização
  • Resposta
Em meu trabalho de consultoria, é muito comum que clientes ou alunos solicitem referências de casos reais de resposta a incidentes ou de análise forense, para que seu time interno possa se manter preparado para as diferentes situações que podem surgir.

Normalmente eu indico os excelentes cursos do CERT.BR, o material "Scan of The Month" do projeto HoneyNet, entre outras referências de coletâneas (de pcaps ou imagens forenses de disco ) de casos que podem ser estudados [Update: Os pcaps do ForensicContest para analise forense de rede podem ser muito interessantes tambem]

Agora há também uma referência ainda mais completa para a importantíssima e quase sempre relegada fase de PREPARAÇÃO, independentemente da maturidade do time de resposta a incidentes da empresa:

A Agência Européia de Segurança de Rede e Informações (ENISA) acaba de publicar um material muito interessante contendo exercícios de treinamento para equipes de RESPOSTA A INCIDENTES (http://www.enisa.europa.eu/act/cert/support/exercise/files).

Esta é uma excelente contribuição para times de resposta a incidentes que precisam se manter atualizados e treinados.

O Handbook é dividido em exercícios abordando os seguintes tópicos:

1: Triage and Basic Incident Handling
2: Incident Handling Procedure Testing
3: Recruitment of CERT Staff
4: Developing CERT Infrastructure
5: Vulnerability Handling
6: Writing Security Advisories
7: Network Forensics
8: Establishing External Contacts
9: Large Scale Incident Handling
10: Automation in Incident Handling
11: Incident Handling in Live Role Playing
12: Cooperation with Law Enforcement Agencies

20 comments:

  1. Excelente dica, Sandro. No fim das contas, há pouco material que ajude na formação de times de resposta. A maioria só tem atacado incidentes com virus. A turma fica mal preparada para alguns casos, por exemplo vazamento de informações privadas. Vou dar uma lida no material assim que possível.

    Abraço,

    Tony

    ReplyDelete
  2. Obrigado Tony!

    O pessoal da ENISA realmente preparou um material muito interessante, com perguntas e respostas, e dicas de como mensurar o preenchimento dos exercícios...

    Eu já havia utilizado o material deles como base para uma campanha de conscientização de segurança, e por isto estou sempre de olho.. =)

    [ ]s!

    ReplyDelete
  3. Não tem este material em português? Se a ENISA é da comunidade européia....

    ReplyDelete
  4. Olá Sandro!

    Seu artigo me ajuda em muito, pois, desenvolvi um processo de respostas á incidentes de segurança e agora preciso treinar as equipes. Eu desenvolvi um material, mas gostaria de melhorá-lo com exercícios. Esses links que você aponta no seu artigo não estão mais disponíveis, de modo que eu gostaria de saber se você os tem disponível em outro endereço?!
    Desde já parabéns e obrigada pela ajuda.

    Luana.

    ReplyDelete
  5. Olá Luana,

    A Enisa realmente mudou o endereço do material - obrigado pela correção - segue o novo link:

    http://www.enisa.europa.eu/act/cert/support/exercise/files

    [ ]s e bom trabalho,

    ReplyDelete
  6. Oi Sandro!

    Muito obrigada pela contribuição!

    []'s,
    Luana

    ReplyDelete
  7. Sandro me lembro que esse metarial tinha uns arquivos(pcap, imagens) para o treinamento junto com os pdf, e não encontro nesse link, vc sabe se esse material ñ se encontra mas para down.

    Abs

    Paulo

    ReplyDelete
  8. Sandro para responder os exercicios precisa das imagens e dos pcaps, ele faz referencia ao livedvd(LiveDVD (usr/share/exercises/07_NF/adds/), nesse caso tinha esses arquivos para down, ou tem como conseguir o LiveDVD?

    ReplyDelete
  9. Pessoal, o post foi atualizado com os links recém divulgados pela ENISA para download dos LiveDVDs, segue a URL:


    http://www.enisa.europa.eu/act/cert/support/exercise/live-dvd-iso-images

    ReplyDelete
  10. Nossa.. os 3 Live-DVDs somados tem um tamanho de 9GB!! heheh tou baixando aqui porque provavelmente vale a pena! Obrigado pelos links!

    Jean K.

    ReplyDelete
  11. Opa...agora fica bem melhor...vlw Sandro!!

    Já estou baixando!!

    ReplyDelete
  12. Valeu sandro, material muito bom!

    ReplyDelete
  13. Jean, Jader, Jarbas e Jesuíno (ou J* =) :

    Que bom que vocês gostaram... O material é realmente um ótimo começo para treinamento de equipes de R.I.

    [ ]s!

    S.S.

    ReplyDelete
  14. Amilton Rogério2/08/2010 8:34 PM

    Excelente material Sandro.
    Obrigado!!

    ReplyDelete
  15. Excelente seu post sobre o assunto

    Saudações,
    Ricardo

    ReplyDelete
  16. a todos os comentaristas do post, update a vista! =) um abraço a todos..

    ReplyDelete
  17. Sandro seu blog já é sem dúvida uma enciclopédia quando se trata de crimes digitais e computação forense.
    obrigado mesmo pela contribuição.

    ReplyDelete
  18. Sandro, esse material é de grande valia para quem está começando na área. Parabéns!
    Esse foi um belo achado!

    Abração!

    ReplyDelete
  19. Obrigado Felipe e Anderson pelos comentários!

    ReplyDelete

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (26) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) china (11) criptografia (11) ddos (11) dns (11) google (11) microsoft (11) exploit (10) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) ferramentas (7) forense corporativa (7) kaspersky (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) internet explorer (6) metasploit (6) monitoração (6) privacidade (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) memoryze (5) modelagem de ameaças (5) métricas (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança de rede (5) siem (5) skype (5) CyberCrime (4) Enscript (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) estatísticas (4) firefox (4) fud (4) mandiant (4) md5 (4) nsa (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) adobe reader (3) ameaça (3) backdoor (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) drive-by (3) engenharia social (3) enisa (3) evidence (3) exploit kit (3) fast flux (3) forense digital (3) gsi (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) java (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) segurança (3) shell (3) shodan (3) sox (3) sql injection (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) dsic (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) flash (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sorteio (2) spam (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) tools (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) worm (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) adobe flash (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) etld (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) firmware (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) fraude (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) remnux (1) renato maia (1) renault (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sony (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) spoofing (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)