9º Fórum Brasileiro de CSIRTs

Programação do 9º Fórum Brasileiro de CSIRTs

Em 2020 o evento será online!
Confira os pontos principais a ficar atento:

Horários: os horários serão reduzidos, pela manhã das 09:00 às 11:00h e à tarde das 14:00h às 16:00h;
Plataforma: o evento será realizado via a plataforma Zoom Webinar;
Inscrições Abertas: https://cert.br/forum2020/inscricao/

Confira a agenda completa:

| Fórum de CSIRTs Dia 1 - 09/09/2020 | Fórum de CSIRTs Dia 2 - 10/09/2020 | Workshop MISP - 11/09/2020 |

Fórum de CSIRTs Dia 1 - 09/09/2020

Horário	Fórum de CSIRTs Dia 1 - 09/09/2020 - MANHÃ
08:45-09:00	Welcome Chat A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início do evento. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.
09:00-09:10	Abertura do Evento Boas vindas, lembretes, apresentação do palestrante convidado e dos procedimentos para interação durante o evento.
09:10-10:40	CSIRT maturity – what the heck? Or: how to measure and improve the maturity of your team. Don Stikvoort, Open CSIRT Foundation, NL Are you responsible for how your company/network/country responds to cyber security incidents? If yes, then let's call that effort "CSIRT". Do you have any idea of the maturity of your CSIRT? And is that just gut feeling, or can you classify and measure it? This talk is about the SIM3 maturity model for CSIRTs, which is used all over the world. I explain what it is and how it's being used. And also, how you can use it to measure the maturity of your team - and use that as a tool for improving your team. Making it more mature. And in the end, more effective, flexible and trusted. If that's what you want, come and join this short seminar. Esta seção contará com tradução simultânea
10:40-11:00	Perguntas, respostas e debates.

Horário	Fórum de CSIRTs Dia 1 - 09/09/2020 - TARDE
13:45-14:00	Welcome Chat A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início da seção. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.
14:00-15:00	Não era falso positivo: uma análise das sofisticadas técnicas de comunicação e evasão do malware brasileiro Astaroth Renato Rodrigues Marinho, Morphus Nesta apresentação, mostrarei o passo a passo do trabalho de resposta a incidentes que resultou na análise detalhada do malware brasileiro Astaroth/Guilda e como este utiliza canais legítimos, múltiplas camadas de evasão e criptografia para voar abaixo do radar. Os acessos do malware aos serviços YouTube, Facebook, CloudFlare e Google Cloud Platform (GCP), que pareciam falsos positivos, funcionavam, na verdade, como canais de comunicação (C2) e exfiltração dos dados capturados.
15:00-16:00	Cardholder Data Breaches – How to prepare and what we can learn from PFI Investigations Carlos Caetano, PCI Security Standards Council As electronic payments move for more innovative, frictionless and secure solutions, added to pandemic times where remote purchases are on the rise, criminals also shift their attention to attack organizations seeking data to monetize their gains and fund their operations. Cardholder data have been a target for almost two decades, and the investigations have demonstrated that the lax security requirements adherence of some organizations had caused or contributed to compromises. This session is aimed on bringing the audience valuable information on an internal PCI Security Standards Council study performed over 1000 investigation reports going back to 2016, how to prepare and avoid cardholder data breaches according to our published guidance. Palestra em Português

Fórum de CSIRTs Dia 2 - 10/09/2020

Horário	Fórum de CSIRTs Dia 2 - 10/09/2020 - MANHÃ
08:45-09:00	Welcome Chat A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início do evento. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.
09:00-10:40	Onde Investir para Reduzir o Risco: um Retrato a partir dos dados do CERT.br - [SLIDES] Cristine Hoepers e Klaus Steding-Jessen, CERT.br/NIC.br Na hora de priorizar as defesas contra ataques a sistemas conectados à Internet há sempre a tendência em focar em ataques que sejam novos, que explorem vulnerabilidades complexas ou que tenham motivações políticas, como espionagem ou guerra cibernética. Entretanto, no dia-a-dia das organizações, são problemas muito mais simples e com soluções já bem estabelecidas que causam a maioria dos ataques que alcançam sucesso. Esta palestra vai avaliar o cenário nacional e propor ações prioritárias a partir dos dados coletados pelo CERT.br, que incluem incidentes reportados voluntariamente por usuários e administradores de sistemas, dados coletados em sensores próprios e dados coletados por organizações internacionais e repassados ao CERT.br.
10:40-11:00	Perguntas, respostas e debates.

Horário	Fórum de CSIRTs Dia 2 - 10/09/2020 - TARDE
13:45-14:00	Welcome Chat A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início da seção. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.
14:00-15:00	Threat Hunting Process e o Método Investigativo Renato Cesar Fontana, ING Bank Netherlands - Security Defense Center Threat Hunting é visto como um abordagem iterativa para procura, identificação e compreensão de adversários de rede. Entretanto, buscar por novos ataques ou atividades sem rastros aparentes pode ser uma tarefa exaustiva, consumindo horas de investigação por parte dos analistas de segurança de redes. Para aumentar a eficiência do Threat Hunting, é necessário registrar os novos vetores de detecção (hunts) de forma transparente e manter um canal direto com os times de Resposta a Incidente e de Inteligência, dando foco ao desenvolvimento e priorizando detecções mais relevantes. A utilização de frameworks como o MITRE ATT&CK auxiliam a classificação das bases de dados existentes no que diz respeito a sua qualidade, visibilidade e disponibilidade, aumentando assim o nível de maturidade do processo de Threat Hunting. Nessa apresentação, abordaremos como classificar as fontes de dados para análise, como a interação entre os times ocorre, como dar foco no desenvolvimento de novos vetores de detecção, formas de retroalimentar casos investigados como base de conhecimento, como quantificar o esforço de Threat Hunting, entre outros.
15:00-16:00	Análise do Tráfego de Rede com Flows no contexto de cibersegurança, o uso do TC Nimbus Francisco J. Badaró Valente Neto, ITS BRASIL Apresentação de um estudo de caso, de uso da ferramenta do Team Cymru TC Nimbus no ambiente de um ISP para análise de tráfego com foco em cibersegurança. A análise de flows para a construção do conhecimento da natureza do tráfego do backbone, é essencial para a correta tomada de decisão e apoio em situações de resolução de problemas. Com apoio do TC Nimbus podemos conhecer nosso tráfego de rede, com o contexto de cibersegurança observando as atividades maliciosas em andamento no backbone e podendo tomar ações de mitigação e prevenção.

Workshop MISP - 11/09/2020

Horário

Workshop MISP - 11/09/2020 - MANHÃ

08:45-09:00

Welcome Chat

A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início do evento. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.

09:00-11:00

MISP Descomplicado: Instalação, Configuração e Operação Básica [SLIDES]

Marcus Lahr, CERT.br/NIC.br

Este mini-tutorial vai cobrir os passos básicos para que você possa implantar uma instância MISP, da configuração dos pacotes no Sistema Operacional (SO) à sincronização com outras instâncias. Serão cobertos os seguintes tópicos:

Configuração do SO, incluindo pacotes necessários, banco de dados, servidor Web, DNS e uso com certificado Let's Encrypt
Configuração do MISP, incluindo como criar sua organização, usuários, servidores de sincronia, entre outros
Uso do MISP via interface Web
Uso do MISP de maneira automatizada

Horário

Workshop MISP - 11/09/2020 - TARDE

13:45-14:00

Welcome Chat

A sala do evento estará aberta e com o chat habilitado 15 minutos antes do início da seção. Aproveite este tempo para bater um papo com colegas e restabelecer contatos.

14:00-16:00

TheHive4 + MISP + Cortex

Carlos Borges, Itaú-Unibanco

O TheHive é uma Plataforma para Resposta a Incidentes de Segurança escalável, de código aberto e fortemente integrada com o MISP. Neste mini-tutorial serão cobertos os seguintes tópicos:

Visão geral da plataforma em sua nova versão TheHive4, suas funcionalidades e capacidades.
Exemplos de uso para classificação e priorização de incidentes.
Exemplos de integração com o Cortex e o MISP, incluindo como criar alertas, enriquecimento de dados, respostas automatizadas e compartilhamento de incidentes.