RedTalks | Visibilidade de ameaças e gestão de incidentes

Oi pessoal tudo bom estão me ouvindo bem n aina ouvindo bem aquilo tá bom ouvindo bem também então gente vamos começar Primeiramente boa tarde a todos eh o Red talks de hoje é sobre aí e Deixa eu pôr aqui no outro slide o r Talk de hoje é sobre visibilidade de ameaças e gestão de incidentes para quem não me conhece eu sou a Luísa do marketing da rbt Security e quem tá aqui comigo é a Karina Machado que é especialista de segurança da informação e o Everton Nery que é o Tech Lead na red Belt

só lembrando que esse conteúdo vai est disponível no YouTube e no Linkedin após a apresentação e depois a gente vai disponibilizar um espaço para para vocês tirarem suas dúvidas então fiquem à vontade para mandar suas perguntas através do q&a que é aqui um recurso aqui do zoom para quem tá assistindo direto pelo zoom ou para quem tá assistindo pelo LinkedIn através dos comentários aqui são os nossos apresentadores e a gente começa Nossa com a nossa agenda Primeiro eles vão definir eh a gestão de incidentes e a visibilidade de ameaças depois eles vão falar fazer essa

conexão entre esses dois conceitos eh partindo daí eh eles vão falar sobre os tipos de incidentes de segurança vão trazer as ferramentas e Tecnologias para gestão de incidente depois eles vão falar um pouco sobre playbook e onebook para melhorias na contenção e por último as melhores práticas para gestão de incidentes bom Agora passo a bola paraa Karina pessoal boa tarde eh me chamo Karina como A luz já apresentou faço parte do sock do time da Red Belt eh a gente vai trazer para vocês um pouco da parte de sock também eh voltado pro pra ferramenta

que a gente utiliza dentro do ambiente e passar um pouco sobre gestão de incidentes bom da parte de ingestão de incidentes né O que a gente entende é um processo que envolve tanto a parte de identificação análise e resposta incidente e ela é categorizada para resolução e também você conseguir ter o controle dentro do ambiente né então assim quando você tem a gestão do incidente consegue ter esse controle você consegue melhorar a visibilidade também diminuir a questão dos impactos comentando aqui Boa tarde pessoal meu nome é ardo sou do time de pid e acrescentando um

ponto né que é extremamente importante você ter essa gestão de forma automática por certos softwares então vocês vão ver bastante que nossa conversa aqui de hoje questão de gestão e visibilidade vai ser um ponto bastante discutido relacionando a software porque isso aumenta a sua eficácia a sua eficiência na resolução de problemas de uma forma extremamente exponencial Sabe sim e também eh acaba ajudando tanto a parte de desenvolvimento que a área que o Neri eh trabalha que traz pra gente algumas soluções para a parte de automatização E também o soque que a gente consegue ter uma

resposta mais rápida pro cliente não ter tanto impacto bom e aqui a gente trouxe para vocês também a parte de ciclo de vida de um incidente para quem nunca eh viveu dentro de um incidente ou de uma w room ou de algum potencial incidente dentro do ambiente tem uma um um entendimento né primeiramente a gente vai pra parte de detecção e identificação que é onde tudo começa né que é onde a gente recebe as informações recebe os logs seja de um cen seja de um Soar a gente consegue ter essas informações eh e consegue ter

as informações evidências alertas e as informações também dos usuários passando disso a gente tem a parte da classificação e priorização que é onde a gente consegue determinar a criticidade do Alerta se é um alerta crítico se ele ele tem uma é uma ameaça Grave Se é algo urgente e também a gente determina isso de acordo com a a criticidade que o cliente passa pra gente tá E aí finalizando a gente tem a parte de resposta e mitigação que nada mais é a gente seguir playbooks runbooks eh fazer alguns ajustes aplicação de pet fazer isolamento de

algum equipamento eh verificar se de fato tem ou não a necessidade de entrar em contato com o cliente se é algo que vai impactar a parte de produção e aí a gente consegue fazer a correção de forma mais automática e rápida tem algo para acrescentar ner não não então passar bom e seguindo paraa parte de definição de visibilidade de ameaças que nada mais é que a organização de como a gente faz o monitoramento a parte de potencial incidente e ela eh constitui na parte também voltada muito pro soque porque aí a gente consegue verificar por

fal por IPS DS por ferramenta de jdr e também a gente une com a inteligência de ameaças que a gente coleta as informações efetua as análises e verifica a questão das vulnerabilidades como que isso ajuda dentro de um ambiente de segurança eh hoje a gente tem eh uma definição eh bem Ampla eh de ferramentas de informações que circulam diariamente então tem muita vulnerabilidade e Muita exposição ainda mais na área do Nell que ele sabe que a parte de desenvolvimento eh onde os atacantes eles tentam explorar de todas as formas códigos informações verificar vulnerabilidades para que

consigam acessar o ambiente de de uma forma mais rápida e tendo esse monitoramento a gente consegue ter um controle de poder por exemplo ah sair uma vulnerabilidade no sistema x poder avisar o desenvolvedor ou poder avisar a equipe de segurança ou avisar o time de infraestrutura então a gente consegue se preparar antes de ser atacado né que existe eh a precaução né a gente não pode ser só ativo né aconteceu a gente tá lá e responde o incidente então também tem essa parte de visibilidade que a gente consegue estorar e levar de forma mais rápida

pro time conseguir atuar É com certeza a prevenção é o melhor dos mundos em todos os cenários né Eu acredito que ninguém daqui queira acordar numa sexta-feira por exemplo e seu ambiente estar todo comprometido com os dados encriptados pedindo uma recompensa então a o monitoramento e a visibilidade da ameaça ela assim é crucial você ter o tempo inteiro e não só ter a visibilidade mas ser notificado né porque não adianta nada você ter logs de várias ferramentas e você não visualizar não conseguir agir de forma imediata e acabar mitigando esse problema então realmente a gente

ter essa autonomia e essa velocidade na realização devida a visibilidade é crucial em qualquer empresa sim fora que evita a perda de dinheiro né que é o principal das a preocupação principal das empresas hoje é o a perda de patrimônio né né então se você tem um aviso antes você consegue se antecipar consegue ter essa visibilidade a gente evita de paralisar uma empresa de perder né funcionários ou até mesmo o próprio patrimônio da empresa né Realmente e cada segundo conta né Então até não só patrimônio mas também Brand né acaba vazando aí dados de clientes

informações sensíveis expor na internet não pega mal para nenhuma não pega bem para nenhuma marca então e a ão realmente é essencial e ter uma visibilidade para eventualmente acontecer algum tipo de incidente é essencial e necessário sim acho que pode voltar Umo pode ir bom e aqui a gente trouxe para vocês também uma conexão entre os dois conceitos né que é a parte de visibilidade de ameaças versus a gestão de um incidente quando você tem uma detecção de incidente que você consegue fazer a gestão disso consegue ter um controle consegue ter uma eficiência melhor você

consegue ver melhor as suas ameaças você consegue ter um controle né porque se hoje você não tem uma gestão do que chega de incidente para você do que acontece dentro do seu ambiente das atualizações que não são feitas dos Pets que não são aplicados eh das normas de seguranças que não são seguidas eh você acaba perdendo a visibilidade do que tá acontecendo e sem essa visibilidade você fica mais propício a receber uma um ataque né Então essa essa de visibilidade junto com a gestão ela faz você ter uma resposta mais eficiente quanto melhor a visibilidade

das ameaças mais eficiente será a resposta aos incidentes então a gente consegue ter eh mais controle dentro do nosso ambiente a gente consegue saber se a organização ela tem eh Essa visão Clara eh do que que ela pode proteger do que ela tem se proteger no ambiente quais são os riscos que ela tá assumindo Então tudo isso anda lado a lado realmente e assim tem processos muito simples que bastante gente negligencia por exemplo Pets de segurança quantos de vocês estão com o seu sistema operacional 100% atualizado muitas vezes eh incidentes acontecem por negligência não é

nem por falta de softwares ou de segurança é porque o fator humano pesa muito nesse sentido também então é ente importante a gente sempre estar atualizado e sempre seguir as boas práticas indicadas pelo Complex da empresa pelo mercado e coisas do tipo sim bom em relação à prevenção proativa foi o que a gente tinha falado no início da nossa conversa né É sempre bom a gente se antecipar antes de um incidente Então como o ner até falou ninguém quer acordar numa sexta-feira e tá com o hare no equipamento tudo criptografado perder as informações dados da

empresa dados dos clientes e depois ter que agir porque muitas vezes né nesse meio tempo que você não tem a ação você começa a perder as informações você não tem a garantia que você vai receber esses dados de volta você não sabe se você testou um backup você não sabe se a empresa em si tem essas informações guardadas se os backups estão atualizados Então quando você faz uma prevenção proativa por software por controle de atualização por PET por gestão de incidentes gestão de da da própria empresa em si você consegue ter uma visibilidade muito melhor

consegue ter uma gestão e um controle dentro do ambiente Pois é e às vezes o backup ele nem sempre eh acaba servindo né porque tem muita empresa que tem política de backup mas não tem de restauração aí acontece uma situação dessa vai restaurar o sistema não funciona E aí você tem um problemão sim fora que assim o sistema fica fora do ar eh a empresa acaba perdendo dinheiro né então ela vai querer pagar o atacante para poder ter essas informações corre o risco ainda porque normalmente 99% dos casos o atacante ele não vai fornecer as

informações ele só vai pegar né o Bitcoin que ainda não é rastreável eh você vai ficar assim as informações você vai ficar um tempo Inativo sendo que você poderia ter uma estratégia um plano de negócio ter uma gestão dessas informações e ter uma proatividade então eu acredito que assim eh quanto mais você tem essa gestão tem esse controle tem essa visibilidade dentro do ambiente a probabilidade de você ser atacado não é que ela não V existir né hoje a gente tá propício a qualquer exploração só que assim você vai estar mais preparado né você vai

est com mais munição você vai conseguir ter um controle do ambiente em si e não vai ter essa dificuldade de receber a informação ou de subir uma informação que seja necessária exato e assim hoje em dia para cada eh tecnologia nova para prevenção existem 10 novas para invasão então é essencial você estar sempre atualizado buscando essa prevenção a todo instante porque eh realmente Os Invasores bolam técnicas novas a todo instante Então não queira precisar pagar para um invasor devolver seus dados porque isso pode com uma empresa até sim bom E aqui eu trouxe para vocês

também né a gente trouxe tipos de incidentes de segurança não trouxemos todos porque são diversos né isso que eu tava conversando com ner se a gente for pôr todos aqui a todos os slides a gente I falar só disso mas eu trouxe os principais para vocês terem uma noção né do que cada um faz no ambiente e qual que é a importância da gente ter uma gestão de incidentes e uma parte boa uma observação boa na parte de visibilidade tá então hoje a gente tem a questão do maer que ele pode ser um vírus pode

ser um rer pode ser um spower pode ser qualquer outro tipo de ma dentro do ambiente eh o principal acho que cai bastante e acaba impactando diversas formas do ambiente é o hfer que nada mais é a encriptação dos dados Então hoje você tem num gestão de incidente Então você vai ter uma ferramenta para fazer o monitoramento você vai ter uma ferramenta para fazer a gestão desses incidentes e você vai ser avisado então se você tem um soque né como a gente trabalha aqui dentro da Red Belt tem um soque o soque foi configurou um

cen ou um soar esse cen ele recebe informações de um edr esse edr ele tá instalado em todos os equipamentos o edr caso alguém não tem um conhecimento nada mais é do que ele é um antivírus mais eh atualizado ele tem mais ele consegue ter uma ação melhor dentro do ambiente Então esse esse edr ele vai detectar que tem um h porque ele entado constantemente com hash com informações de hosts que são maliciosos ele vai est avisando o edr né ó tem um rer no seu ambiente esse edr vai enviar informação pro cen o cen

vai trigar uma regra vai mandar pra aplicação que nosso caso é o ris E aí você vai ter a gestão do incidente antes mesmo do hare ter uma ação dentro do ambiente o seu edr ele vai ter a ação de bloquear essa informação e aí também você vai ser avisado para você começar a ter outras medidas como verificar outros equipamentos verificar backup verificar usuário Então você vai ter uma gestão mais rápida antes que isso torne algo maior a gente também tem a atack de ddos que nada mais é é de sobrecarregar um link um site

até que o mesmo ele caia eh você tendo uma aplicação que é o af normalmente que faz a proteção das aplicações a gente também consegue pegar fazer essa configuração jogar para um sock o sock joga para o cen joga a informação pro ris e lá a gente tem a gestão do incidente normalmente o af ele faz o bloqueio desse desse tipo de ataque caso não faça a gente vai receber um aviso na hora entendeu então assim você tendo uma ferramenta por trás de tudo isso para fazer a gestão dessa parte de incidentes ela facilita muito

para quem tá no soque para quem tá em infra para quem tá em qualquer área dentro da empresa porque a gente consegue ter controle aí também a gente tem a questão do Fishing e da engenharia social que é o que acontece bastante Acho que mais ou menos uns 80% dos casos de ataque são Fishing né porque são eh colaboradores acabam sendo um pouco despreparados não recebem treinamento então qualquer link que chegar ele tá clicando clica no link fornece credencial fornece informação ou acontece de entrar em alguém em contato por telefone pedir se passar por alguém

da ti ou por alguém da empresa pede informação a pessoa acaba passando nesse caso o o atacante ele já tem as credenciais E aí se ele já tem as credenciais você pensa o que que a gente vai fazer se a gente tem um sistema que ele consegue fazer o monitoramento consegue fazer o controle ter a visibilidade a gente consegue agir de forma mais rápida porque a gente consegue ter essa visibilidade da conta que tá tá sendo monitorada da conta que foi atacada quem tá fazendo escalação de Privilégio Quem que tá com acesso dentro do ambiente

então tendo essa visibilidade pela ferramenta pela gestão do incidente a gente consegue mitigar antes que V algo maior também e também tem a parte de violação de dados né que também pode ser categorizado pela parte de gpo que são que também é categorizado pela lei geral de proteção de dados que são informações que são vazadas dados que são disponibilizados na web eh ameaças internas esse casos são casos bem específicos né Eu já tinha até comentado no outro Hat talks eh já aconteceu de um cliente né que ele foi mandado embora da empresa né e ele

continuou com o acesso e continuou com os dados dentro da empresa né ele continuou monitorando dados extraindo dados extraindo informação e como ele era um usuário conhecido Então não teve nenhum alarde ninguém suspeitou de nada quando você tem uma ferramenta para gestão de incidentes um cen você consegue ter eh um monitoramento de comportamento né então assim eu consigo verificar que ó o Everton Nero foi mandado embora por que que ele está com informa Por que que ele tem o acesso dele tá habilitado ainda por que que ele tá copiando dado para fora or Por que

que ele tá fazendo essa transferência de arquivo Então você consegue ter uma visibilidade melhor consegue ter essas informações de uma forma mais rápida e assim se acontecer de ter esse vazamento de informação você consegue fazer uma contenção e é importante a empresa ter bastante maturidade em relação a isso puxando esse exemplo que você deu Ah o Everton foi mandado embora e ainda tem acesso ou tá puxando arquivos de alguma forma teve casos que eu já tenho conhecimento do funcionário ter sido mandado embora Há dois anos e o usuário dele estar ativo com acesso administrativo então

assim é importante ter esse controle ter essa visibilidade essencialmente seria assim o melhor dos mundos ser automática né E a questão do Fishing hoje você mesmo disse 80% dos ataques vem de Fishing então é extremamente importante sim você ter tecnologias de prevenção e monitoramento mas é mais importante ou tanto quanto você instruir o seu funcionário porque não adianta você ter centenas de ferramentas de segurança sendo que o seu funcionário recebe um e-mail e clica no link esse link Pede uma senha ele coloca entendeu então assim a gente até teve testes que foi foram solicitados pela

red Belt para um para um cliente específico onde a gente fez um ficha em proposital e mais de 70% das pessoas clicaram no link e uma quantidade relevante de pessoas digitaram seu e-mail e senha Então olha o problema que essa empresa teria se fosse realmente um atacante aí então instruir o seu funcionário é importantíssimo e garantir que ele está instruído mesmo não adianta ter campanhas de de conscientização e o funcionário meio que não não dar bola para isso então acho que é importante e relevante sempre estar cobrando isso e pedindo né fazendo testes de fato

sim bom eh em relação à ferramentas e Tecnologias para gestão de incidentes como eu tinha comentado com vocês a gente tem no cen cen ele coleta todos os logs são logs que vem crw de todas as ferramentas então você pode plugar no cen um edr você pode pôr um F você pode colocar e um ativo da parte de waf você pode pôr vários sistemas dentro do próprio cen dentro do cen o time de cen vai criar algumas regras que são direcionadas para poder gerar os incidentes e d ele vai para uma ferramenta de gestão de

incidentes nele a gente consegue ter mais idade a gente consegue ter mais controle e também a gente consegue ter uma visão melhor do que tá acontecendo dentro do ambiente seguindo disso a gente tem o playbook de resposta a incidentes ele nada mais é que é uma documentação que a gente consegue eh após normalmente ela é montada né após o incidente acontece nas lições aprendidas a gente verificar Quais são as os passo a passos de o que acontece dentro de um incidente e a gente montar essa documentação para que um futuro eh consultor ou algum analista

precisa essas informações ele não fique ali de mãos atadas então por exemplo no caso de um hw eh chega um um e-mail ou alguma coisa em específico o usuário vai clica na informação baixa na máquina a máquina é comprometida então aí ali tem os passos para você conseguir ter uma visibilidade melhor Qual que é o próximo passo eu tenho que verificar no edr eu tenho que verificar no cen eu tenho que acionar alguém lá dentro ten uma um escale list para me passar para algum consultor ou para algum cliente internamente Então tudo isso tá dentro

dessa documentação Fora que também tem a parte de contenção caso seja necessário restauração verificação de backup Então seria mais uma documentação de como você deveria deveria agir dentro de um incidente E aí tem o ris né que é a ferramenta que a gente hoje usa para gestão de incidente parte de vulnerabilidade ativos é algo muito importante hoje dentro do soque é o coração a gente brinca que é o coração do soque tanto cen quanto ris porque é o que deixa a gente enxergar de fato que tá acontecendo dentro dos clientes Então hoje o ris ele

não é só uma ferramenta que a gente usa para ter a gestão dos incidentes hoje a gente usa ele para poder eh ter o entendimento do que está acontecendo dentro de um cliente então a gente consegue ter visibilidade ó esse equipamento X Ele tá com tantas vulnerabilidades esse equipamento aqui ele tá gerando diversos alertas tem um certo comportamento então é uma ferramenta hoje que o ner pode explicar muito melhor do que eu que ele é desenvolvedor dela e que ajuda bastante a gente no dia a dia também então vamos lá pessoal o ris como a

gente bateu bastante na tecla de visibilidade e gestão de incidentes ele seria esse software que te dá essa visibilidade Existem muitos por aí existem muitas fontes de logs existem muitas fontes de incidentes você ter uma gestão e um controle disso em 10 12 ferramentas é quase impossível por qu Você pode ter uma equipe gigantesca só que se você não consegue acessar todas as ferramentas e ter uma visibilidade macro do que está acontecendo no seu ambiente você não consegue ter uma ação ali imediata e cada segundo conta conforme a gente já falou de repente um minuto

que você demorou para agir pode ser milhões que a sua empresa perdeu porque um hacker ou qualquer coisa aconteceu no seu ambiente então o is ele te dá uma visão totalmente macro ele te dá uma visão eh detalhada também lógico e centraliza de diferentes plataformas os incidentes para você não se preocupar tanto da onde está vindo mas sim o que você precisa fazer porque eu acho que além da importância de você detectar a você agir então o ris é uma plataforma que vai centralizar tudo isso para você te dar Insight do que você precisa fazer

classificar de forma com inteligência artificial que eu já vou falar um pouco e te dar um plano de ação que é essencial aí na tratativa do incidente e do alarme sim E fora que assim eh o ris ele é uma ferramenta não só paraa gente tratar alarme né o pessoal pensa que ah o ris Ele só chega a informação a gente pega informação fecha o alarme e acabou não lá a gente consegue ter a parte de investigação a gente consegue anexar informações a gente consegue ter evidências a gente consegue eh melhorar essa questão da leitura

dos logs porque hoje se chega só informação de log e a gente que é do S que não tem essa visibilidade tão rápida para agir de uma forma tão assertiva o riz ele já consegue separar as informações deixar de forma mais clara então ajuda a gente bastante a ter uma ação mais rápida né em vez de ficar esperando é eu acho que vale até comentar o ris surgiu de uma necessidade de um funcionário que era do soc ele teve lá atrás muitos muitos anos atrás essa proatividade de fazer uma aplicação Inicial né que foi o

coração ali o pontapé inicial para o que é hoje então a gente faz toda uma tratativa de incidentes centralizando eles mas também de vulnerabilidades tem parte de trat Intel tem parte de dashboard que centraliza e te dá a classificação do que você precisa fazer tem sites tem service desk Vixe tem um monte de coisa que aí a gente vai conseguir entrar no detalhe mais à frente e falando um pouco ali novamente da visibilidade em tempo real se cada segundo conta você precisa ser notificado a gente tem ali a centralização dos logs de todos os cens

que cai no ris Então vamos supor que você sofreu um skl injection ou uma tentativa né o af detectou criou um alarme lá na plataforma do AF o ris vai puxar isso e você em tempo real vai ser notificado que aconteceu isso na sua aplica pode ser um falso positivo pode mas aí você foi notificado você consegue ter uma tratativa o time de soque Claro faz essa toda essa análise então falsos positivos não são considerados né na notificação que você vai receber para você conseguir realmente só agir quando for necessário você não quer ficar perdendo

tempo agindo em coisas que não são de fato invasões ou que você precisa atuar né E aí esse exemplo da da imagem é uma notificação que aconteceu em tempo real no su AP ativo do celular o ris Hoje ele além de uma plataforma web ele também é mobile com a versão que está chegando que vai ficar disponível para todos muito em breve onde você vai conseguir na palma da mão de qualquer lugar que você estiver com acesso à internet um celular ter ali a visibilidade do seu ambiente e eu acho que isso num num contexto

geral é essencial né você ter ali na palma da mão e saber que está acontecendo algo Independente de você está ou não com a sua máquina se você vai poder ou não agir você ali pode não conseguir Mas você escala para alguém que que vai poder então novamente visibilidade e tomada de ação eficiente sim fora que o ris ele tem a possibilidade também da gente fazer eh a categorização por criticidade então esses alertas que o ner até comentou aqui que a gente que vocês receberiam né os clientes receberiam um uma notificação seriam alertas críticos né

então alertas que vê a nível médio ou se o cliente determinar eu quero receber tudo a gente envia todas as informações mas se for um caso de eu só quero receber coisas críticas eu só quero receber alertas que de fato estejam e colocando o meu ambiente em risco então a gente consegue fazer a classificação consegue fazer essa edição e consegue enviar enviar somente o que o cliente precisa exato eh nessa era de Inteligência Artificial Hum Com certeza você precisa utilizá-la porque os atacantes estão usando então você não utilizar algo assim sim você está ficando para

trás e abrindo brechas para ser invadido o ris Hoje ele tem uma inteligência artificial ela foi desenvolvida justamente para primeiro facilitar e automatizar A análise prévia e a triagem do incidente por qu é muito mais crucial você ter a tomada de ação que seja eh agir de fato para proteger seu ambiente do que você ficar analisando o log para ver se é ou não um incidente real então a inteligência artificial ela veio nessa parte justamente para isso para te dar eficiência na tratativa você conseguir ir muito além fora que a gente tem também a parte

que você pode conversar com a inteligência artificial para entender o que está acontecendo você teve então eu falei do exemplo do skell injection você pode entrar nesse incidente e perguntar tá Foi skell injection em qual qual site foi se isso tem no log ela vai te responder e qual ativo impactado disso qual usuário fez isso quando que foi então são informações que vem no log que a inteligência artificial consegue te responder e te D uma velocidade ali na tomada de ação Você pode tirar dúvidas como realmente classificar o o o alarme o incidente ela vai

te eu vou mostrar mais paraa frente ali no slide que vocês vão ter uma visibilidade de quão importante é você ter uma inteligência artificial na sua na sua empresa ou na sua ferramenta que você utiliza paraa que assim ela acaba sendo um braço direito dentro do soque pro pessoal do N1 porque traz a maioria das informações que são necessárias para colocar dentro de um alerta né então ela vai coletar todas as informações ela vai atuar também como Machine learn tentando entender como funciona essa parte de comportamento e nisso ela vai fazer uma estruturação para trazer

essas informações doos alertas então muitas vezes quando vim essas informações dentro do S pro ris ela não vem todas as informações corretas Então a gente tem que verificar essa parte Ah o host que veio a a o IP que tem que colocar Qual que é o usuário Qual que é a rede específica eh qual que é a criticidade fazer uma pesquisa naquela parte de Blacklist para ver se o IP de fato Ou não é malicioso então a inteligência artificial ela vai ajudar a gente a ter essa essas informações de forma mais rápida então o que

que a gente levaria 3 minutos para mandar pro cliente um alerta ele reduziria para 1 minuto e meio entendeu então ela teria essas informações de uma forma mais rápida aí pode passar mais um que é basicamente o e aqui Vocês conseguem ter um comparativo de tempo de usar uma ferramenta como risco com inteligência artificial e um soque que faz um processo manual que não tem uma ferramenta de automação nem que consegue fazer o uso de Inteligência Artificial você vê que o tempo total desde a identificação notificação e mitigação é muito discrepante são assim eh cinco

seis vezes mais tem e foi como a gente disse cada segundo conta você ser notificado Praticamente em tempo real porque uma inteligência artificial fez uma triagem pro time do soc não precisar fazer tanta sabe processo manual ele bater o olho conseguir identificar os principais pontos que a inteligência artificial colocou ali e já fazer a tomada de ação seja notificar o cliente seja fazer alguma alteração aplicar um pet é assim é muito discrepante então hoje a inteligência artificial ela é uma virada de chave em qualquer lugar e no ris não é diferente e ele acaba agregando

bastante você vê aqui que na parte de lições aprendidas é instantâneo então não levaria duas semanas ou até mesmo 24 horas que foi o tempo que ele colocou aqui pra gente ter algum retorno né ter uma documentação pronta e a parte de contenção ou a parte de detecção também que é uma das partes mais importantes dentro do de um incidente e é muito mais rápido né você levar de 10 minutos a 1 hora do que você levar de 1 a 3 minutos então a velocidade é o que conta né a rapidez a gente tem informação

rápida a gente tem a contenção rápida é o que evita eh ser atacado você vai ser atacado algum dia vai acontecer só que se você tem essa informação de uma forma mais rápida se você tem uma proatividade se você tem um sistema de monitoramento se você tem uma visibilidade melhor junto com o sistema integrado Com todas essas informações é muito mais rápido para você fazer uma contenção Então você vai est à frente né você vai est sendo proativo você não vai esperar algo acontecer ser reativo e assim depender né das informações de um backup que

talvez você não tenha de uma informação que talvez não esteja guardada de um sistema de restauração também que não funcione de um processo de uma empresa que ela não tem eh a capacidade de fazer uma subida de informação uma tomada de decisão então assim isso vai ajudar não só eh na entrega né das informações Mas também como uma melhoria contínua dentro do ambiente perfeito e aqui é uma demonstração do que que a inteligência artificial pode fazer e faz no ris quando você recebe os logs de um cen da vida ele vem em texto simples ele

vem em alguma tecnologia específica como uma estrutura de dados Jon que é muito comum né na nos sistemas web E aí a inteligência artificial interpreta ISO que veio de log e com base em algumas regras pré-definidas ela vai gerar a correção a vai gerar os detalhes vai gerar descrição e isso é extremamente importante porque era um processos manuais que levavam tempo onde a pessoa do só que poderia estar atuando já na contenção ou atuando já na mitigação e ele não tá porque ele tava olhando o log então assim é extremamente eficaz você ter uma aliada

tão forte ao seu lado aí pode passar por favor que vai mostrar a descrição e e os detalhes e isso não só aumenta a sua velocidade como D mais clareza pro cliente porque eventualmente ele pode entrar no incidente e ver com detalhes máximos possíveis o que que aconteceu Da onde veio quantidade de eventos que teve Quem que fez isso qual que foi seu ativo impactado toda essa classificação prévia que a inteligência artificial fez na triagem né E aí puxando um gancho também para runbooks né a gente falou um pouco mais cedo sobre runbooks E playbooks

e essa vai ser uma nova feature que vai chegar no ris que é justamente para você garantir que processos sejam seguidos então além da Inteligência Artificial classificar e fazer uma triagem Inicial ela também vai fazer a parte de runbooks e vai que Claro é editável e tal tal tal mas o pessoal do so vai poder seguir isso então passa mais uma imagem por favor aqui a gente já tem um exemplo claro que é a inteligência artificial atuando em mais uma área que seria na criação de runbooks runbooks nada mais é do que você ter ali

processos que talvez sejam repetitivos de acordo com o tipo de alarme acontecendo que devem ser seguidos então com a ajuda dele você envia uma informação paraa Inteligência Artificial ela com machine learning vai interpretar isso e vai te devolver todo um plano de ação que você deve seguir em cada etapa seja na preparação investigação seja na contenção e com os itens que você deve fazer em cada etapa então eventualmente você vai ser atacado quando você for atacado você tem que ter clareza do que você precisa fazer porque senão você perde tempo e tempo acaba custando dinheiro

e pode passar mais um por favor aí ela está gerando com base na no tipo de alarme que nesse caso seria o detecção de scan de portas por haku no fal a gente só passa poucas informações ela interpreta tudo isso e vai gerar todo o plano de ação do rook isso vai ajudar bastante na na parte de informação dentro do soque Porque hoje a gente tem que montar isso à mão né hoje a gente tem que Renoir as informações Tem que montar aquela parte do cber que chain que entra na parte de detecção análise Então

tudo a gente tem que fazer à mão hoje a gente tem nessas informações de uma forma mais rápida eh a gente consegue alimentar né esse wormbook ele pode vir pronto Ah ele não vai vir 100% perfeito do jeito que a gente sabe porque tem coisas que a gente vai agir durante o dia que não vai tá dentro de um passo a passo então tem determinadas coisas por exemplo eu peguei uma vez um caso que a empresa dentro de um tabletop eh ela precisava eh acionar o seguro né então assim dentro da recuperação dos dados aceita

ou não a proposta do atacante e enfim eh a gente precisou acionar o seguro isso não tem no runbook nem no playbook porque não é toda empresa que vai ter que acionar um seguro na fase de aceitar ou não a proposta do atacante ou subir ou não o backup então assim ela vai facilitar muito a nossa vida não que vai deixar da gente fazer só que assim vai melhorar muito porque a gente vai evitar de perder acabar perdendo um tempo montando documentação e a gente vai só alimentar essa documentação Então a gente vai colocar informações

que às vezes não tem ali e que são importantes mas que é específico daquela empresa é uma característica daquele cliente então a gente consegue também colocar essas informações e deixar mais agregando mais valor também é exatamente a inteligência artificial ela vai auxiliar nesse processo né mas ela é versátil a ponto de você conseguir personalizar por cliente porque realmente assim no mundo de Cyber Security existem muitas mas muitas coisas a serem feitas de acordo com o seu ambiente com o que você usa como que seus funcionários estão instruídos Então você ter um pontapé inicial que seria

ter ali pelo menos uma base que a inteligência artificial vai gerar para você você acaba canalizando seus esforços no que realmente precisa que não é documentação é muito mais produtivo e eficiente você agir diretamente no problema essa parte mais maçante ou repetitiva deixa que a inteligência artificial pelo menos na triagem ali já faz o início né sim e aí é um exemplo do que que ela pode fazer nesse processo Então ela te deu o objetivo desse runbook que é na parte de detecção de Scan te deu ali um exemplo da investigação que é a descrição

e o plano de ação que seria os checklist que você teria que fazer para essa parte de investigação ser concluída então ah para eu eu realmente eh ter certeza que isso aqui é um ataque e que tá sendo prejudicial de alguma forma Então vou garantir que esses checklists foram Já efetuados que é uma parte que vai te ajudar na contenção futuramente sim fora que o interessante ali que dá para fazer download né então dá para você pegar essa informação colocar numa documentação montar da forma que você achar que se adeque pro cliente que você tá

atuando e eu acho que vai ajudar bastante na parte do soque E aí é onde o runbook está sendo usado de fato que é toda aquela parte que a inteligência artificial gerou a gente pelo ris consegue por etapa executar o que foi definido lá então toda aquela parte que seria massante que o pessoal do soc teria que fazer manualmente já foi feito pela Inteligência Artificial e agora eles precisam agir então mudou um pouco o papel antes era fazer documentação para depois poder agir gastava muito tempo nisso agora você investe seus esforços de fato no que

precisa e é legal isso porque te dá uma eficiência muito grande então você acaba deixando de lado porque assim a parte massante às vezes eh acaba prejudicando a sua tomada de ação se você não precisa fazer isso é o melhor dos mundos sim Fora que também é a agilidade né o tempo que a gente sempre falou eh Hoje os clientes eles focam muito na parte de sla mttr mttd que nada seria do que o tempo de resposta versus o tempo de detecção então quanto mais tempo demora para detectar mais tempo demora para responder então hoje

a gente tendo a ia do nosso lado para poder fazer esse tipo de configuração e ajuste e também fornecer a documentação e também ajudar o time do do próprio N1 a ter as informações de uma forma mais rápida pro Aler hoje a gente consegue ter uma entrega mais rápida você vê ali a duração 9 segundos mas se não tivesse esse tipo de interação quanto tempo demoraria então seria mais essa questão do tempo mesmo que ajudaria bastante o time do soc é o tempo é crucial e também você conseguir auditar isso depois né E tudo que

você faz fica salvo então o cliente acaba tendo uma visibilidade que o sla tá sendo cumprido e as ações estão sendo feitas porque você precisa PR garantir na hora de salvar que você realmente fez então isso dá uma tranquilidade tanto para o time da Red Belt quanto para o cliente que sabe que realmente o ambiente dele está sendo protegido sim e aí como a gente já até tinha conversado antes né sobre o aplicativo mobile hoje a gente tá desenvolvendo já está na fase final praticamente pronto eh para ser disponibilizado a todos né que é o

ris na sua versão mobile na palma da na mão então você vai ter ali o controle de incidentes vulnerabilidades as notificações você vai conseguir fazer alguma coisa então você vai atuar no incidente de fato Ou só ser notificado e acompanhar seu ambiente porque nem sempre você está com problemas Às vezes você só quer ter uma parte analítica então Poxa eu tive problemas no mês passado Como que eu posso ver isso não tô com o meu computador aqui no celular é a solução Ah estou sendo atacado Está acontecendo alguma coisa no ambiente Eu preciso ver agora

o celular também está aqui você na palma da mão já consegue tomar ali as primeiras ações então ele veio justamente para sanar essa dor porque não é sempre Ainda mais hoje que é um o uma acho que é a Com certeza a fase mais eh mobile da história né então tudo é no celular Tudo e você ter a tomada de ação no celular também no ris é uma virada de chave aí pra gente sim fora que até pra gente mesmo que é consultor eh e tem diversos clientes e precisa ter um gerente ento 24 por7

eh no celular Acaba facilitando Porque a gente não tá com computador 24 por7 o celular é difícil acho impossível alguém não tá com o celular perto então você t essa facilidade de ter o ris no celular seja pro cliente seja pro consultor seja pro analista seja pro gerente seja para quem for ele vai melhorar muito essa parte de visibilidade Então você vai conseguir ter a visibilidade do seu ambiente do celular né eh fica mais prático fica mais fácil às vezes o cliente tá viajando Tá longe não consegue ter acesso ao equipamento consegue ter o acesso

pelo aplicativo então ele consegue ter uma visibilidade o ris também ele fornece bastante Dash então o próprio cliente consegue extrair informação consegue extrair informação da parte de gestão de incidentes gestão de vulnerabilidades consegue ter uma informação mais prática né então eu achei bem interessante é na verdade o riz ele te notifica em vários lugares né o mobile é a último que está sendo desenvolvido Mas você é notificado por e-mail por teams Slack pelo próprio ris assim você você é notificado até pelo WhatsApp então a todo momento você está acompanhando o que está acontecendo no seu

ambiente e isso na visibilidade de e gestão é absurdo né é algo que te dá uma proatividade muito boa ali e aí um exemplo da notificação push que é um alarme que estava acontecendo em tempo real chegou no celular E você já consegue ter a tomada de ação imediata um exemplo dos alarmes que estão aberto para você conseguir ter essa visibilidade na palma da mão e mostra também o acompanhamento o que já foi feito dentro do Alerta quem tá com esse Alerta a data que foi aberto Então você consegue ter um controle melhor também para

fazer Essa gestão da parte do ris exato bom e aqui a gente trouxe para vocês a das melhores práticas para gestão de incidentes e ameaças não tão todas aqui como a gente já tinha comentado eh cada ambiente tem uma particularidade tem uma um valor diferente então que para muitos ambientes a o valor ele está em um Fire ou ele está num edr ou ele está em determinados equipamentos para outro cliente também tem essa diferença mas a gente trouxe aqui alguns tópicos que seriam interessantes para estarem adotando para que tenha uma gestão de incidente melhor bom

estabelecer um plano formal de resposta incidente colocar isso num papel numa documentação levar paraa empresa levar pros funcionários ter uma conscientização porque hoje eh o maior e a gente fala não erro né mas a maior ameaça paraa área de segurança é o ser humano a máquina ela não é ela é falha mas o ser humano ele é uma arma mais forte para que você receba um ataque porque se ele tá despreparado pode ter os melhor software no mundo pode ter o melhor F do mundo o melhor edr do mundo vai passar então assim você tendo

essa informação de uma forma formal passando pra empresa Passando pro pro time em específico não só pro time de ti mas para todo time porque o ataque ele não começa só de um usuário que tem uma conta privilegiada ele começa de uma conta que não tem privilégios aí ele passa para uma conta que é privilegiada vai fazendo uma movimentação e se você não tem um c ou um software para fazer a gestão de incidente dentro do seu ambiente você perde essa visibilidade monitoramento contínuo das informações se não tem um cen é bom ter um cen

dentro do ambiente para você receber essas informações ou um sistema de monitoramento e principalmente um soque né porque hoje Se você não tem é um soque dentro da empresa e você tem uma equipe de segurança você fica cegas né É muita ferramenta para est monitorando é muita informação é muito fluxo de informação então só que ele não é só para est alertando ou para est avisando só que é a linha de frente de qualquer sistema de segurança então é interessante você ter um soc dentro da empresa priorização de incidente com base em Impacto e gravidade

porque eu tinha falado para vocês cada empresa tem uma criticidade Então o que às vezes é crítico para mim não é crítico pro ner entendeu às vezes uma máquina ela é considerada crítica e outra máquina não então tentar entender com o cliente ou com a sua empresa o que de fato é crítico e o que a gente coloca a criticidade da forma correta garantir uma boa uma boa comunicação eficiente durante o processo comunicação eh tem que ser Clara tem que ser objetiva né tem que ser uma coisa que o cliente não tenha dúvida que o

usuário não tenha dúvida porque a partir do momento que o cliente ou usuário tem dúvida ele tá suscetível a cometer algum erro que vai vai ter ocorrer um ataque tá treinos e simulações sempre interessante de ter um treinamento dentro da empresa eh simulação como mesmo o ner tinha comentado de ter essa recorrência de ter treinamento de Fishing eh de tá testando mesmo os usuários para verificar se eles vão mesmo clicar caso clique ter uma penalidade que a gente fala que é penalidade mas é apenas uma orientação direcionada ele refazer o treinamento até que ele entenda

que ele acaba sendo um risco pra empresa se ele não prestar atenção também eh utiliza inteligência de ameaças para antecipar os problemas utiliza as ferramentas da forma correta não adianta você ter a melhor ferramenta do mundo na empresa se ela não está configurada da forma correta então sempre faça uma verificação um assessment verifica se de fato essa ferramenta ela tá configurada da forma correta se foi adicionado novos equipamentos adiciona esses equipamentos no cen deixe sempre atualizado porque um equipamento que não está atualizado ele vai ser a porta de entrada de um atacante tá ã tenha

procedimentos clar de resposta e contenção que seria os playbooks e os runbooks sempre atualizado uma base de conhecimento para toda pessoa nova que entrar ou funcionário novo tenha esse conhecimento e consiga passar paraa frente essas informações analise cada incidente para melhor para melhorar continuamente é a parte de melhoria contínua sempre analise para verificar se tem algo que possa melhorar dentro do processo documentação documente audite o processo de gestão de incidentes sempre efetue uma documentação manté atualizada para mandar pro time seguir normas e regulamentos de segurança sempre seguir tem eh normas da iso tem normas de

várias outras empresas que são aplicadas dentro do da parte de segurança sempre interessante seguir essas normas para que a gente permaneça num num padrão onde que não que não seja atacado Como já tinha dito para vocês mas quando e como e como a gente vai conseguir reverter isso de uma forma mais rápida né e manter uma postura de segurança proativa que é o que eu tinha comentado com vocês eu n no início né do webinar sempre tente agir antes do atacante eh seja fazendo monitoramento contínuo das Ferramentas atualização de Pet verificação treinamento com funcionários porque

assim você consegue manter eh uma gestão de incidente melhor e a visibilidade também exatamente foque sempre na proatividade porque ninguém quer nov acordar sexta-feira com um problemão daqueles né sim pessoal agora a gente abre esse esse espaço para dúvidas Então por favor perguntem a Karina e o e o ner estão aqui disponíveis para tirar suas dúvidas e eu vou aproveitar esse momento né aproveitar que se vocês tiverem escrevendo alguma coisa né pr pra gente eh esse conteúdo vai est disponível no YouTube e no Linkedin a partir de amanhã então se vocês quiserem revisitar eh se

vocês não conseguiram eh ficar até o final ou se vocês quiserem até compartilhar com outras pessoas fiquem à vontade eh é pelo pelo nosso canal rbt Security vocês podem procurar a gente lá e queria agradecer primeiro Karina e ner pelo conteúdo apresentado Ficou bem legal eh e agradecer também a todos que participaram que estiveram presentes hoje e que estão presentes em em outros head talks deixa eu ver se tem alguma dúvida no Linkedin ó a gente tem uma quais ferramentas Vocês recebem alarme dos dos incidentes atualmente a gente quer falar não pode falar atualmente principalmente

do que radar que é um cen mas também vem do AF vem da clou flare vem de muitas outras fontes mas na maioria das vezes a gente centraliza tudo no que radar mas temos integrações com n e outras também é normalmente o que é radar né ou outro tipo de CN que também tem o Rapid 7 que a gente recebe informação mas direto também eu sei que tem o 365 né que ele faz faz uma ele tem uma integração direto com o ris e tem o imperva também tem os outros wafs também que faz essa

comunicação mas basicamente a fonte normalmente é o cen exato maravila e essa parte do 365 É legal falar porque a análise que que gera o alarme é do lado da Red Belt né então por exemplo você tem ali você logou hoje no Brasil Mas uma hora depois você logou lá nos Estados Unidos é estranho você não concorda então tem uma inteligência por detrás que gera esses alarmes de forma automática trazendo informações do 365 não só nesse ponto né esse aqui só foi um exemplo sim mas traz bastante informação de viagem impossível né que seria essa

categorização que você falou eh logou um arriscado então É bem interessante e outra pergunta aqui vocês utilizam o cen da Microsoft Microsoft aure o cen que a gente usa é o senal né oer não a gente tem integração com senal mas não não é nosso a gente assim quem quiser usar pode usar entendeu Então na verdade é igual outras ferramentas né a gente tem integração com sent que radar com nessos de babilidade tal tal tal então vai de acordo com a necessidade do cente mas a integração ela existe perfeito eu acho que a gente não

tem mais nenhuma dúvida aqui então a gente disponibiliza aqui no final o e-mail para Caso vocês tenham alguma pergunta adicional ele é a Karina e o Everton disponibilizaram esse e-mail e a gente também tem o contato @ rb.com.br se vocês quiserem também mandar alguma coisa por lá e é isso pessoal novamente muito obrigada por todos que assistiram eh esse conteúdo e agradeço vocês também pela apresentação vocês querem falar alguma coisa antes de eu finalizar aqui acho que apenas isso agradecer também pela presença do pessoal qualquer dúvida a gente pode ser acionado por e-mail também muito

obrigado pessoal por terem acompanhado e realmente qualquer dúvida só enviar um e-mail é isso obrigada gente Uma boa noite para vocês boa noite boa noite