sábado, 10 de janeiro de 2009

Resposta a Incidentes para gente grande III - F-Response Enterprise

O telefone toca na sua mesa. É o Analista de Suporte, indicando um possível incidente de segurança na máquina XPTO. Você é parte de um CSIRT, e consequentemente vai teria de ir até a máquina suspeita para fazer uma verificação ou constatação. O problema é que a mesma está em:
a) Outro prédio;
b) Outro estado;
c) Outro país;

Seja letra a), b) ou c), você estará com um deslocamento que levará algum tempo, e tempo nessa hora é tudo que você não tem.

Entretanto, como já comentamos antes, um CSIRT de gente grande já deu valor para a etapa de preparação, e previu esse caso. Através de um bom documento, com estudos de caso e análises de risco e impacto, mostrou a quem paga a conta que é necessário gastar alguns tostões agora, do que muitos depois por inabilidade de se responder a um incidente a tempo. Um dos softwares escolhidos para prover essa característica para sua organização foi o F-Response Enterprise. Com ele, você consegue realizar uma resposta quase que imediata, pois você se conecta de forma read-only na máquina suspeita através da rede, e tem acesso aos seus discos e memória. O tratamento do incidente, para identificação e contenção, pode ser feito na mesma hora. Como o seu time chegou nesse ponto ?

- A versão Enterprise do F-Response foi negociada e comprada. O ponto bom foi que a negociação independe do número de máquinas. Essa versão, diferentemente da versão Field Kit, é composta por dois módulos:
  • O módulo que se instala nas máquinas da organização, que estará se conectando via iSCSI com a estação forense;
  • O módulo de autenticação NetUnikey server, instalado na estação forense, onde se usa o dongle. É um módulo anti-piratão, basicamente.


- A turma de administração do parque de TI criou um script para instalação automática do f-response-ent.exe, que é o executável que fica pré-configurado em todas as máquinas, como um serviço que, quando iniciado, vai se conectar a máquina de análise (a estação forense do CSIRT). Houve inclusive a preocupação de se liberar previamente as comunicações entre as máquinas nas portas escolhidas para os módulos de iSCSI e Autenticação.


Pois bem. Sua equipe deu valor a etapa de preparação e o seu pagamento nesta hora é a tranquilidade. Você entra em contato com a equipe de administração do parque e requisita que o serviço do F-Response Enterprise Service seja iniciado na máquina suspeita. Nesse interim você conecta o dongle na estação forense, executa o F-Response Enterprise NetUnikey Server, clica no start e aguarda a turma lá da administração levantar o serviço que você pediu.

Assim que a máquina suspeita anuncia-se na aba Monitor do NetUnikey server, você inicia a segunda etapa da conexão, indo para o iSCSI Initiator.

Os passos dessa etapa são praticamente os mesmos dos já detalhados no post anterior, que falou sobre o F-Response Field Kit. A diferença é que neste caso, tudo que deveria ser feito na máquina suspeita (configurações de porta, credenciais de acesso, IP da estação forense, etc) já foi executado previamente pelo time da administração de TI, durante a distribuição do f-response-ent pelas máquinas.

Com tudo feito antecipadamente pelo lado de lá, resta a você a etapa de conexão propriamente dita da estação forense com a máquina suspeita. No iSCSI Initiator, você vai indicar o target (máquina suspeita) dando seu IP, porta e credenciais (aba Discovery). Na aba Targets, você vai se conectar ao disco rígido através do clique em Log On, fornecendo as mesmas credenciais criadas lá pela turma da administração.

No fim das contas, o disco rígido estará prontinho e read-only, como se estivesse local, bastando que você use suas ferramentas e utilitários de averiguação e análise normalmente. Tudo isso antes que você diga pindamonhangaba três vezes ...

Enquanto isso, a equipe de CSIRT que ainda não acordou para a importância da preparação estaria em casa separando as meias, pois irão passar alguns dias trancados no datacenter da unidade XYZ, mais de 1000 Km da matriz ...

Em qual das duas você quer estar ??? Comentem, pls !

Até o próximo post !

2 comentários:

Jader Lima disse...

Muito bom esses posts de estudo de caso, principalmente os que dão para praticar em casa(labs,vm's)!!!

Tony Rodrigues disse...

Vamos ter mais desses por aí !!!