[ Update 27/11/2012 ]
http://www.enisa.europa.eu/activities/cert/support/exercise
- Triage & basic incident handling
- Incident handling procedure testing
- Recruitment of CERT staff
- Developing CERT infrastructure
- Vulnerability handling
- Writing security advisories
- Network forensics
- Establishing external contacts
- Large scale incident handling
- Automation in incident handling
- Incident handling in live role playing
- Cooperation with Law Enforcement agencies
- Incident handling during an attack on Critical Information Infrastructure
- Proactive incident detection
- Cost of ICT incident
- Mobile threats incident handling
- Incident handling in the cloud
- Advanced Persistent Threat incident handling
- CERT participation in incident handling related to the Article 13a obligations
- CERT participation in incident handling related to the Article 4 obligations
- Assessing and Testing Communication Channels with CERTs and all their stakeholders
- Social networks used as an attack vector for targeted attacks
- Honeypots
[ Update 25/01/2011 ]
A Forensic Focus tem uma excelente relação de material para estudo, incluindo imagens e desafios forenses:
A ENISA (European Network and Information Security Agency) publicou no final de 2010 um guia revisado chamado "Good Practice Guide for Incident Management for CERTs" (pdf).
O material possui mais de 100 páginas de instruções utilíssimas além de um conjunto de boas práticas, sugestões, referências para ferramentas, exercícios e exemplos e possui a seguinte estrutura central:
Framework: foundation of a CERT – its mission, constituency, responsibility, mandate, organisational framework – and the types of services the CERT can deliver.Roles: describes the roles that are mandatory and those that are optional in order to deliver a successful incident handling service.Workflows: CERT/CC incident handling workflow and gives some examples of the workflows of other teams, how to use them in day-to-day operations, and how the incident lifecycle works.Incident Handling Process: incident handling process in detail – from incident reporting via resolution to closing the incident. In addition, guidance is provided on information disclosure and relevant tools.Policies: basic policies a CERT needs to have in place in order to deliver its incident management service. In the second part of this chapter, the human resources aspect is highlighted.National and International Cooperation: Various communities are highlighted.Outsourcing: provides an overview of outsourcing from the perspective of the CERT, focusing on the incident management service – what you could outsource or should not outsource, and how you can reach your goals while outsourcing.Presentations to management: This chapter is all about getting your management involved and keeping them involved – an essential factor in the success of your CERT.References: an overview of the most important documents on CERTs and incident management and how to use them.Annexes: the first describes ‘extended services’, additional services that a CERT can deliver; the second annex is the ‘CSIRT Code of Practice’, a set of good behavioural rules.
Caso seu trabalho esteja - mesmo que remotamente - ligado à Resposta a Incidentes ou Triagem durante Investigações pré-Forense Computacional - recomendo que você leia o documento.
Ele é uma complementação e expansão de documentos do CERT (alguns já traduzidos pelo CERT.BR) sobre grupos de Resposta a Incidentes de Segurança (CSIRTs/ETIRs).
É um documento valiosíssimo para os órgãos e entidades da Administração Pública Federal que estão criando (NC 5) ou mantendo ETIRs (Equipes de Tratamento de Incidentes de Rede), que podem se beneficiar das melhores práticas expostas no material como apoio da implementação das Diretrizes para Gerenciamento de Incidentes em redes computacionais (Norma Complementar e 08 da Instrução Normativa 01) do DSIC/GSI/PR - Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República.
[ Update 09/01/2011 ]
Uma das perguntas mais comuns que ouvimos de estudantes e aspirantes à área de Computação Forense é: Onde eu vou encontrar material para treinar, se hoje eu não trabalho diretamente com investigação na área de Forense Computacional ou Resposta a Incidentes?
Este post que atualizo hoje já apontou alguns lugares, como os Live DVDs da ENISA, além do material do projeto HoneyNet, e outras coletâneas de pcaps (capturas de rede) e imagens forenses de disco.
Pois bem, hoje achei uma preciosidade que pode ser útil à equipes ou indivíduos buscando fontes de treinamento *gratuitas* online. O Jesse Kornblum apontou para um extenso material de treinamento de equipes de investigação publicado pelo Department of Computer Science (Naval Postgraduate School).
O material é composto por 3 data-sets, contendo inúmeras imagens de disco, capturas de rede e dumps de memória para análise dos cenários propostos:
1 - 2009-M57 "Patents" scenario (2 a 4 semanas de atividade registradas):
2 - Nitroba University Harassment Scenario (harassing emails)
3 - Material contendo imagens de disco, de memória e capturas de rede, geradas todos os dias para o cenário (1).
Vamos ao que interessa: Os dados podem ser obtidos nos seguintes endereços (total: 460Gb)
1 * http://torrent.ibiblio.org/doc/187/torents (bit torrent)
1 * http://domex.nps.edu/corp/scenarios/209-m57/ (arquivos individuais)
2 * http://domex.nps.edu/corp/scenarios/2008-nitroba/ (arquivos individuais)
Post Relacionados:
[ Update 20/12/2009 ]
A ENISA finalmente disponibilizou os links para download dos Live-DVDs citados no material de treinamento:
http://www.enisa.europa.eu/act/cert/support/exercise/live-dvd-iso-images
[ 16/03/2009 - Post Original ]
Toda empresa responde à incidentes de segurança, de uma forma ou de outra. Normalmente quem é responsável por coordenar esta tarefa não tem muito tempo para se organizar e planejar o controle e a melhoria dos processos existentes. Afinal, é necessário matar alguns leões - equanto se apaga alguns incêndios - diariamente.
O CERT define 5 principais fases do processo de "Gerenciamento de Incidentes"
Normalmente eu indico os excelentes cursos do CERT.BR, o material "Scan of The Month" do projeto HoneyNet, entre outras referências de coletâneas (de pcaps ou imagens forenses de disco ) de casos que podem ser estudados [Update: Os pcaps do ForensicContest para analise forense de rede podem ser muito interessantes tambem]
Agora há também uma referência ainda mais completa para a importantíssima e quase sempre relegada fase de PREPARAÇÃO, independentemente da maturidade do time de resposta a incidentes da empresa:
A Agência Européia de Segurança de Rede e Informações (ENISA) acaba de publicar um material muito interessante contendo exercícios de treinamento para equipes de RESPOSTA A INCIDENTES (http://www.enisa.europa.eu/act/cert/support/exercise/files).
Esta é uma excelente contribuição para times de resposta a incidentes que precisam se manter atualizados e treinados.
O Handbook é dividido em exercícios abordando os seguintes tópicos:
1: Triage and Basic Incident Handling
2: Incident Handling Procedure Testing
3: Recruitment of CERT Staff
4: Developing CERT Infrastructure
5: Vulnerability Handling
6: Writing Security Advisories
7: Network Forensics
8: Establishing External Contacts
9: Large Scale Incident Handling
10: Automation in Incident Handling
11: Incident Handling in Live Role Playing
12: Cooperation with Law Enforcement Agencies
Uma das perguntas mais comuns que ouvimos de estudantes e aspirantes à área de Computação Forense é: Onde eu vou encontrar material para treinar, se hoje eu não trabalho diretamente com investigação na área de Forense Computacional ou Resposta a Incidentes?
Este post que atualizo hoje já apontou alguns lugares, como os Live DVDs da ENISA, além do material do projeto HoneyNet, e outras coletâneas de pcaps (capturas de rede) e imagens forenses de disco.
O material é composto por 3 data-sets, contendo inúmeras imagens de disco, capturas de rede e dumps de memória para análise dos cenários propostos:
1 - 2009-M57 "Patents" scenario (2 a 4 semanas de atividade registradas):
- Exfiltration of proprietary information by an M57 employee.
- Stealing of M57's property and selling it on Craigslist.
- The possession of "kitty porn" photos by an M57 employee.
2 - Nitroba University Harassment Scenario (harassing emails)
3 - Material contendo imagens de disco, de memória e capturas de rede, geradas todos os dias para o cenário (1).
Vamos ao que interessa: Os dados podem ser obtidos nos seguintes endereços (total: 460Gb)
1 * http://torrent.ibiblio.org/doc/187/torents (bit torrent)
1 * http://domex.nps.edu/corp/scenarios/209-m57/ (arquivos individuais)
2 * http://domex.nps.edu/corp/scenarios/2008-nitroba/ (arquivos individuais)
Post Relacionados:
- Preparação de equipes na área de Cybersecurity
- Livros de Seguranca Resposta a Incidentes e Forense Computacional
- 10 Periódicos de Computação Forense
- Material de Referência para Forense de Memória
- Material de Referência para Forense de Registro
[ Update 20/12/2009 ]
A ENISA finalmente disponibilizou os links para download dos Live-DVDs citados no material de treinamento:
http://www.enisa.europa.eu/act/cert/support/exercise/live-dvd-iso-images
ISO image CSIRT Exercise Handbook
ISO image CSIRT Exercise Toolset
ISO image CSIRT Exercise Netflow
[ 16/03/2009 - Post Original ]
Toda empresa responde à incidentes de segurança, de uma forma ou de outra. Normalmente quem é responsável por coordenar esta tarefa não tem muito tempo para se organizar e planejar o controle e a melhoria dos processos existentes. Afinal, é necessário matar alguns leões - equanto se apaga alguns incêndios - diariamente.
O CERT define 5 principais fases do processo de "Gerenciamento de Incidentes"
- Preparação / Treinamento
- Proteção / Prevenção
- Detecção / Notificação
- Triagem / Priorização
- Resposta
Normalmente eu indico os excelentes cursos do CERT.BR, o material "Scan of The Month" do projeto HoneyNet, entre outras referências de coletâneas (de pcaps ou imagens forenses de disco ) de casos que podem ser estudados [Update: Os pcaps do ForensicContest para analise forense de rede podem ser muito interessantes tambem]
Agora há também uma referência ainda mais completa para a importantíssima e quase sempre relegada fase de PREPARAÇÃO, independentemente da maturidade do time de resposta a incidentes da empresa:
A Agência Européia de Segurança de Rede e Informações (ENISA) acaba de publicar um material muito interessante contendo exercícios de treinamento para equipes de RESPOSTA A INCIDENTES (http://www.enisa.europa.eu/act/cert/support/exercise/files).
Esta é uma excelente contribuição para times de resposta a incidentes que precisam se manter atualizados e treinados.
O Handbook é dividido em exercícios abordando os seguintes tópicos:
1: Triage and Basic Incident Handling
2: Incident Handling Procedure Testing
3: Recruitment of CERT Staff
4: Developing CERT Infrastructure
5: Vulnerability Handling
6: Writing Security Advisories
7: Network Forensics
8: Establishing External Contacts
9: Large Scale Incident Handling
10: Automation in Incident Handling
11: Incident Handling in Live Role Playing
12: Cooperation with Law Enforcement Agencies