CERT.br

Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
CGI.br NIC.br

10º Fórum Brasileiro de CSIRTs

Programação do 10º Fórum Brasileiro de CSIRTs

Confira a agenda completa (sujeita a alterações).

Atenção: Houve mudança nos horários da terça-feira pela manhã. Temos uma nova palestra na agenda.

|   Fórum de CSIRTs Dia 1 - 19/09/2022   |   Fórum de CSIRTs Dia 2 - 20/09/2022   |   Workshop MISP - 21/09/2022   |

  Horário   Fórum de CSIRTs - 19/09/2022
09:00-09:50
Welcome Coffee e Registro no Evento
Aproveite este tempo para rever os colegas e restabelecer contatos
09:50-10:00 Abertura do Evento
10:00-11:00
SIM3, FIRST CSIRT Services Framework e TLP 2.0: Novidades dos Padrões e Impactos para o Tratamento de Incidentes e o Compartilhamento de Ameaças
Cristine Hoepers, CERT.br/NIC.br
TLP:CLEAR (com partes TLP:AMBER+STRICT)

Esta apresentação cobrirá as principais novidades e mudanças que ocorrerão nos próximos meses em três importantes padrões para a comunidade de tratamento de incidentes: o TLP, o FIRST CSIRT Services Framework e o SIM3. Especialmente as mudanças no protocolo TLP, anunciadas na conferência anual do FIRST, poderão implicar em mudanças em documentos internos, em normas e em códigos que utilizam TLP no compartilhamento automatizado de informações.
11:00-12:00
Uso de datalake para resposta a incidentes cibernéticos
Rodrigo Andrade Pereira Rosa, Antonio Augusto Oliveira Viana Santos, Tiago do Vale Saraiva, Petrobras
TLP:GREEN

Apresentaremos nossa experiência com soluções de SIEM e adentraremos nos pontos que nos levaram à adoção de um modelo híbrido, contemplando SIEM e datalake. A apresentação terá foco em segurança cibernética, exemplificará alguns casos de aplicação no CSIRT, incluindo uma proposta de arquitetura e por fim, como estamos nos organizando para adoção de modelos preditivos.
12:00-14:00 Almoço para networking (servido no local)
14:00-15:00
Avaliação de maturidade em segurança baseado na ISO27002
Cristiane Rodrigues, Edilson Lima, CAIS/RNP
TLP:CLEAR

Essa apresentação baseia-se no caso de uso do próprio CAIS/RNP que, desde 2018, realiza uma avaliação de maturidade organizacional em segurança usando os controles da ISO27002. Serão compartilhadas algumas reflexões sobre o método, os resultados e os desafios que surgiram ao longo deste processo.
15:00-15:45 Coffee Break para networking
15:45-16:45
Trajetória do CSIRT do Banco do Nordeste para alcance e sustentação do perfil "ENISA/GCMF Basic" do Security Incident Management Maturity Model (SIM3)
Francisco José Barreto Nunes, GRIS-I.BNB
TLP:GREEN

O Banco do Nordeste do Brasil compartilha a experiência de como atuou para que o Grupo de Resposta a Incidentes de Segurança da Informação (GRIS-I.BNB) alcançasse o nível de maturidade do perfil "ENISA/GCMF Basic" do SIM3 e, em especial, mantivesse esse nível de maturidade, a partir de um processo de autoavaliação, baseado no parâmetro 'P-8: Audit/Feedback Process', do SIM3.
16:45-17:45
Tracking Bumblebee Activity
Jacomo Piccolini, Team Cymru
TLP:RED

In this presentation we will share some of Team Cymru’s findings on Bumblebee, an emergent loader malware which has replaced BazarLoader in recent months.
18:00-21:00
Confraternização
Junte-se a nós neste momento descontraído, faça novos contatos, coloque a conversa em dia com antigos colegas e troque ideias com os palestrantes.
Esse ano a confraternização será especial, pois o CERT.br está celebrando seus 25 anos!

Horário Fórum de CSIRTs - 20/09/2022
08:00 Registro no evento e retirada dos crachás disponível a partir das 08:00h
09:00-10:00
Ações de prevenção no contexto do CTIR Gov
Fernando Marques Borges, CTIR Gov/GSI/PR
TLP:RED (com partes TLP:CLEAR)

10:00-10:30 Coffee Break para networking
10:30-11:30
Detecção e Resposta a Incidentes do Malware Symbiote
Ivo de Carvalho Peixinho, Polícia Federal
TLP:RED

Esta apresentação irá tratar da ameaça Symbiote, revelada recentemente e alvo de alerta conjunto entre a Polícia Federal e o CTIR.gov. Serão tratadas questões relativas à sua detecção e resposta, com o objetivo de ajudar potenciais vítimas a buscar evidências, tratar eventual incidente e reportar para as autoridades.
11:30-12:30
Interrompendo a cadeia de um ataque de dupla extorsão
Renato Marinho, Morphus Labs e Incident Handler do SANS Internet Storm Center
TLP:GREEN

Nesta sessão, apresentarei a resposta a um dos incidentes com ransomware em que tive a oportunidade de atuar. Do vetor de entrada à exfiltração de dados, detalharei o caminho percorrido pelo atacante na rede na busca pelos dados mais sensíveis enquanto tentavam burlar as proteções. Ao longo deste caminho, darei ênfase às oportunidades de detecção e defesa desperdiçadas pelo time de defesa e como atuamos para reverter a exfiltração dos dados e interromper a cadeia do ataque.
12:30-14:00 Almoço para networking (servido no local)
14:00-15:00
Cobalt Strike Discovery - Uma ferramenta para detectar Cobalt Strike Team Server
Johnatan Camargo Zacarias, Higor Melgaço, Threat Hunting, Itaú Unibanco
TLP:GREEN

Cobalt Strike é uma das ferramentas de simulação adversarial mais utilizadas por atores maliciosos. Nessa palestra iremos apresentar e compartilhar a primeira versão de uma ferramenta desenvolvida internamente que ajudará os times de CSIRT a identificar possíveis servidores de Cobalt Strike baseando-se em comportamentos da aplicação e trafego de rede.
15:00-15:30 Coffee Break para networking
15:30-16:30
Malicious Activity in Brazil - Data, Stats and Insights
Fabricio Pessôa, Spamhaus
TLP:GREEN

Botnet command and controllers (C&Cs) continue to be an essential part of a cybercriminals' arsenal. Both to control malware-infected machines and to extract personal and valuable data from malware-infected victims.
But how has Brazil's threat landscape transformed over the past few months? What are the most prolific threats? And how does this impact you and the wider community?
Join this session to get the latest data and threat insights observed across Brazil by Spamhaus' researchers and threat hunters and to discuss what can be done as a community to stem the proliferation of botnet C&Cs.
We'll be covering: Brazilian ranking as a geolocation of botnet C&Cs, associated malware, most abused domain registrars, .br TLD comparison, newly observed botnet C&Cs, and networks hosting the most active botnet controllers.
16:30-17:30
Lightning Talks & Team Updates, e Encerramento do Evento

TLP:GREEN


Horário Workshop MISP - 21/09/2022
08:00 Registro no evento e retirada dos crachás disponível a partir das 08:00h
09:00-10:30
MISP: Boas Práticas de Instalação, Configuração e Uso
Marcus Lahr, Marcelo Chaves, Klaus Steding-Jessen, CERT.br/NIC.br
TLP:CLEAR

Neste mini-tutorial serão cobertos alguns passos para utilização e administração do MISP como:
  • Dicas sobre sizing de recursos de hardware para instâncias MISP
  • Passo a passo para a criação de eventos reais
  • Boas práticas para instalação do MISP
  • Operações básicas do MISP
  • Rodada de Q&A
Durante a manhã os participantes poderão propor temas e grupos para o trabalho no período da tarde.

10:30-11:00 Coffee Break
11:00-12:30
MISP: Boas Práticas de Instalação, Configuração e Uso
CONTINUAÇÃO
12:30-14:00 Almoço para networking (servido no local)
14:00-15:00
MISP: Sessão de Dúvidas e Hackathon
Marcus Lahr, Marcelo Chaves, Klaus Steding-Jessen, CERT.br/NIC.br
TLP:CLEAR

O período da tarde será dedicado a atividades hands-on e com possibilidade de mini-hackatons em grupos que queriam trabalhar em assuntos práticos de MISP. Os instrutores circularão entre os grupos para dar apoio e auxiliar nos trabalhos.

A sala permitirá a divisão em grupos, com os participantes podendo escolher (e alternar a participação) entre grupos com foco em diferentes temas, como por exemplo:
  • Dúvidas gerais de instalação e utilização do MISP.
  • Automação do MISP: criando eventos e realizando consultas com PyMISP, curl, etc.
  • Criação de novos objetos para compartilhamentos em grupos específicos.
Lembrando que durante a manhã os participantes poderão propor temas e grupos para o trabalho no período da tarde.

15:00-15:30 Coffee Break
15:30-17:00
MISP: Sessão de Dúvidas e Hackathon
CONTINUAÇÃO