The Community-oriented Computer Security, Advisory and Warning Team

Critical information infrastructure protection is vital for any nation. Many of a country’s critical systems are interconnected via an information infrastructure, such as the Internet. Should the information infrastructure be targeted by remote attacks, it would have a devastating effect on functioning of a country. Developing nations are no exception. As broadband penetration rates increase, and as Internet access speeds increase, developing nations have to implement safeguards to ensure that their information infrastructure is not target or abused by cyber attackers. Many nations implement CSIRT structures to aid in the protection of their information infrastructure. However these structures are expensive to set up and maintain. In this paper we introduce a Community-oriented Advisory, Security and Warning (C-SAW) Team, which aims to be a cost effective alternative to a CSIRT. C-SAW Teams aims to combine cost-effectiveness with the ability to mutate into a full-scale CSIRT structure over time

Development of Incident Response Playbooks and Runbooks for Amazon Web Services Ransomware Scenarios

In today’s digital landscape, enterprises encounter myriad cybersecurity challenges that jeopardize their critical digital assets. Modern cyber threats have evolved drastically, adapting to the proliferation of cloud technologies that drive organizations towards platforms like AWS that offer convenience, cost-reduction, and reliability. However, this transition introduces new security risks because threat actors are motivated to craft and deploy advanced malware explicitly targeting the cloud. Ransomware emerged as one of the most impactful and dangerous cyber threats, still in 2023, encrypting data and demanding payment (usually in untraceable tokens) for the decryption key. Confidentiality, integrity, and availability of cloud assets stand perpetually vulnerable, and sometimes, unprepared businesses suddenly hit by ransomware cannot find a way out. Besides financial loss and operation disruption, the breach of sensitive information compromises trust, leading to reputational damage that's hard to mend. Corporations are urged to develop robust defensive strategies to identify, contain, and recover from ransomware and other cloud threat exploitation. Traditional cybersecurity approaches must rapidly reshape to manage emerging menaces. Hence, they require new specialized and well-structured incident response plans to become the bedrock of the security tactics. This thesis dives into the complexities of designing and implementing accurate incident response Playbooks and Runbooks, focusing on handling the common danger of ransomware, especially within Amazon Web Services (AWS). This research journey is strictly connected to the real-world context, resulting from a six-month internship within Bynder, a digital asset management leader company. This experience culminated in conceptualizing the step-by-step procedures against ransomware incidents in cloud infrastructures, improving communication, and coordinating actions during high-pressure situations

Revisiting RFC2350 20 years later: a hands-on approach to security monitoring and incident response

Trabalho de projecto de mestrado em Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2018Hoje em dia, o uso de diferentes tipos de informação encontra-se fundamental-mente associado aos principais processos de negócios de uma organização. Estes proces-sos podem ser de vários tipos como por exemplo, a execução de diferentes aplicações, execução de comandos personalizados num computador remoto ou a instalação de com-plexas aplicações. Qualquer tipo de perturbação do correto comportamento destes pro-cessos pode resultar em perdas substanciais e de todo indesejadas para uma organização, sendo por isso que estas têm vindo a investir cada vez mais na segurança da sua informa-ção. Este tópico pode ser definido como a preservação da confidencialidade, integri-dade e disponibilidade da informação, sendo o seu principal objetivo, além de proteger essa informação de qualquer pessoa com intenções maliciosas, o de garantir que todos os incidentes de segurança que afetaram uma determinada organização no passado não vol-tem a acontecer no presente ou no futuro. Mais ainda, se por algum motivo estes aconte-cerem de novo, pelo menos devem ter um impacto muito menor na infraestrutura do que no passado. Estas premissas são normalmente atingidas através da implementação e mo-nitorização de diversificados controlos de segurança, de uma forma geral posicionados em locais estratégicos da infraestrutura da organização, por forma a dar á equipa de se-gurança uma visão global daquilo que está a acontecer na infraestrutura a qualquer mo-mento. É comum quando se fala num Centro de Operações de Segurança (SOC), de se imaginar uma sala espaçosa e de última geração, composta por equipamentos topo de gama e repleta de engenheiros especializados, apesar de isso não constituir, naturalmente, um requisito. Um SOC é basicamente definido por aquilo que faz, podendo fornecer uma variedade de serviços a um vasto conjunto de clientes, desde a deteção e resposta a inci-dentes de segurança, a ações de sensibilização por forma a alertar para alguns dos riscos a que os utilizadores podem estar expostos diariamente, a identificação, quantificação e priorização de vulnerabilidades, entre outros. No âmbito deste trabalho, e primeiro que tudo, foram identificados diversos pro-blemas/desafios que existem atualmente no mundo da segurança da informação e que emergiram durante a fase de pesquisa e investigação que foi levada a cabo. Seguidamente, são apresentados e discutidos os pontos teóricos principais que devem servir de base á construção e posterior manutenção de um qualquer Centro de Operações de Segurança (SOC). Começando pela constituição da equipa responsável por levar a cabo as operações, são apresentados dois possíveis modelos de divisão de responsabilidades. De seguida, são enumeradas as diferentes fases de maturidade de um SOC, passando posteriormente pelos conceitos de Logging, onde são discutidos os conceitos de Logging proactivo e reativo, Eventos, Alertas - sendo explicadas as 4 categorias de alertas com que a equipa de segu-rança irá ter de lidar, SIEMs e Log Management – onde é explicado no que consistem estas duas tecnologias e quais os seus propósitos, sendo depois feita uma comparação entre si. Seguidamente, é abordado o tema de resposta a incidentes de segurança, pas-sando pela sua definição e respetivo ciclo de vida. Neste, são enumeradas e respetiva-mente explicadas todas as fases que o constituem, dando ênfase ás tarefas que o respetivo analista de segurança deve levar a cabo em cada delas. Outro ponto central deste trabalho, é a revisão do RFC2350. Este documento es-pecifica as boas práticas da comunidade, sendo o seu principal objetivo o de expressar as expectativas gerais da comunidade acerca das equipas de resposta a incidentes de segu-rança (CSIRT’s). Uma vez que não é possível delinear um conjunto de requisitos que se possam aplicar a todas as equipas de segurança, é fornecida uma descrição de alguns tópicos e questões centrais, por forma a fornecer algum tipo de orientação. Todas as partes integrantes da CSIRT precisam e têm o direito de conhecer e compreender por completo todas as políticas e procedimentos que esta possui. Por forma a conseguir fazê-lo, a CSIRT deve fornecer um modelo de formulário formal e detalhado que contenha toda essa infor-mação, e que possa ser consultado por toda a sua comunidade de clientes. Por fim, e ainda naquilo que diz respeito aos pontos teóricos, são apresentados dois documentos de duas entidades de referência (SANS e MITRE), ambos relacionados com a construção e manutenção de Centros de Operações de Segurança. Finda a parte teórica, é então apresentada a contribuição deste trabalho, sendo esta constituída por um detalhado e completo guia que tem como principal propósito demons-trar como montar de forma correta e eficiente um Centro de Operações de Segurança, sendo primeiro enumeradas as diferentes tecnologias consideradas essenciais para o seu correto funcionamento (SIEM, Log Management, Ticketing e CSIRT), assim como onde estas e a CSIRT devem ser posicionadas dentro da infraestrutura da organização. Posto isto, são devidamente explicadas as diversas fases que constituem o seu processo de cons-trução (Identificação de data sources, normalização de logs, identificação de eventos re-levantes e implementação). De seguida, e após o centro estar montado e funcional, são enumeradas e debatidas diferentes formas de realizar uma cuidada e atenta monitorização da infraestrutura, através da definição de alarmes, da construção de dashboards e da apli-cação de técnicas de threat intelligence. Por fim, é abordado o tema de resposta a incidentes de segurança, sendo fornecido e devidamente explicado um workflow genérico de resposta a incidentes, o qual clara-mente explicita as diferentes interações que devem existir entre os diferentes membros da CSIRT, para cada uma das fases previamente identificadas aquando da definição do ciclo de vida de um incidente. São ainda enumeradas as diferentes categorias de incidente co-mumente utilizadas pela comunidade, assim como é apresentada e propriamente expli-cada uma plataforma de ticketing especialmente desenhada para o contexto de resposta a incidentes de segurança (Request Tracker for Incident Response - RTIR), sendo ainda explicado, de uma forma geral, a forma como esta funciona, sendo ainda fornecidos al-guns screenshots da mesma. Após a apresentação da solução, a mesma foi colocada em prática através da apli-cação dos conceitos aqui apresentados a um caso de estudo para a construção de um Cen-tro de Operações de Segurança para uma grande empresa nacional, por forma a produzir evidências práticas que permitissem demonstrar a eficiência da solução proposta. Após a sua montagem, foram então levadas a cabo diversas tarefas de monitorização, nomeada-mente a especificação de diferentes alarmes e a definição e criação de diferentes dashbo-ards que permitissem á equipa de segurança conseguir visualizar aquilo que se encontra a acontecer na infraestrutura da empresa a qualquer momento. Por fim, é abordado o conceito de resposta a incidentes de segurança, sendo apre-sentada e acompanhada de forma minuciosa a resposta a um incidente de segurança (In-jeção de Cross-Site-Scripting - XSS), sendo evidenciadas todas as interações que o ana-lista de segurança deve ter com a plataforma de ticketing aquando da passagem pelas diversas fases do ciclo de vida do incidente. Em jeito de conclusão, é referido de que forma é que este trabalho vem resolver os problemas/ desafios que haviam sido identificados durante a fase de pesquisa e inves-tigação, sendo inclusive especificada a parte da solução que vem resolver cada um dos diferentes pontos. Após algumas considerações finais, é levado a cabo um apanhado geral de todo o trabalho que foi desenvolvido, sendo posteriormente apresentadas algumas su-gestões daquilo que poderá advir como trabalho futuro relativamente a este tema.Nowadays, with the amount of information being produced and exchanged at any given moment, data security has become a central discussion topic, with companies spending more money than ever trying to protect their own resources. Also, with the rise of Cyber Criminality, new ways of infiltrating or simply disturbing businesses through their Information Technology (IT) systems (for example, by exhausting their resources) are discovered almost on a daily basis. This requires a sophisticated defense strategy from these companies, which is based on the aggregation of several dedicated operational security functions into a single security department - a Security Operation Center (SOC). A SOC’s main goal is to detect, analyze, respond to, report on and prevent any sort of security incident. In order to do that, they need not only to be properly assembled and configured, but they need to have a vast array of sophisticated detection and prevention technologies, a virtual sea of Cyber Intelligence reporting information and immediate access to a set of talented IT professionals ready to mitigate any incoming security incident. In order to achieve this, this work will first identify the different problems/challenges that were identified during the research phase, and then give a detailed background on some of the major theoretical concepts behind SOCs as well as revisit the RFC2350’s main concepts, which is the standard for Computer Security Incident Response Teams (CSIRTs), it will also provide a detailed guide on how to properly assemble and maintain a Security Operations Center, and then show how to perform a variety of security monitoring and incident response tasks. After this, the proposed solution will be put into practice and will be used to build a brand new SOC for a major Portuguese company. Once the assembling process has finished, some security monitoring tasks will then be performed (definition of different alarms and creation of several dashboards). Then, the incident response lifecycle will be meticulously reviewed, in a response to a real security incident (Cross-Site-Scripting - XSS Injection). A special emphasis will be put in the different interactions the security analyst should engage with the ticketing platform in use. Lastly, some considerations on how this work solves the problems/ issues that were previously identified is given, and some considerations on possible future work are provided

A national cybersecurity management framework for developing countries

Abstract : Please refer to full text to view abstract.D.Phil. (Computer Science

Barriers to implementation of the (SA) National Cybersecurity Policy Framework

Thesis (M.M. (Security))--University of the Witwatersrand, Faculty of Commerce, Law and Management, Graduate School of Public and Development Management, 2016Technological advancement have seen South African government departments, state owned entities and private companies using cyberspace as a platform of interaction and the storage of information. Technological advancements have a positive impact due to the compression of space, time and thereby ensuring fastpaced interaction across borders. These technological advancements have, however resulted in most organisations, both private and public, becoming prone to cybercrimes and related incidents. In an initiative aimed at countering these threats, the South African government has passed various laws. The National Cybersecurity Policy Framework (NCPF) is a South African Policy framework aimed at countering an increase in the occurrence of cybercrimes and related incidents. This research analyses the status in the implementation of the NCPF objectives allocated to the Department of Telecommunications and Postal Services (DTPS). Then the barriers in the Implementation are unpacked guided by the literature reviewed and finally recommendations on how to counter the identified barriers are provided post the data collection. The report firstly provides an outline of the global perspectives on cybersecurity which is followed by the regional cybersecurity measures, and then the national cybersecurity measures proposed by the South African Government department are outlined. The latter parts of the report focuses on the NCPF in terms of its scope, goals, objectives and stakeholders. Finally, focus is shifted to the DTPS as a chosen area of research wherein data was collected in a form of one-on-one, semi-structured interviews with relevant parties. The results of this research are presented as a narrative description that is synthesised to develop the theoretical conjecture and empirical generalisation of the entire research. This research uncovered that there are numerous barriers in the implementation of the NCPF both within the DTPS as well as between the DTPS and various stakeholders entrusted with the implementation responsibility. The last chapter consists of general conclusions made by the researcher based on the research conducted which is then followed by recommended countermeasures which will be communicated to the DTPS as well as all stakeholders who will be affected by the proposed recommendations.GR201

Management of information security in organizations

Treball Final de Grau en Administració d'Empreses. Codi: AE1049. Curs 2017-201

Cybersecurity: Are we Ready in Latin America and the Caribbean?

This study aims to deepen our understanding of the cybersecurity risks, challenges and opportunities in Latin America and the Caribbean. Utilizing surveys and other data provided by experts and officials from 32 OAS Member States, the report examines each country’s cyber maturity in five dimensions: i) Cybersecurity policy and strategy; ii) Cyber culture and society; iii) Cybersecurity education, training and skills; iv) Legal and regulatory frameworks; and v) Standards, organizations, and technologies. It should also be noted that the OAS Cybersecurity Program received generous assistance from Microsoft, which helped identify key areas to be presented in the project’s inception phase. The report’s country-by-country approach should help us to develop a more nuanced understanding of each of our States’ cybersecurity regimes and assist policymakers and technicians to strategically improve existing cybersecurity efforts, and to design and implement new initiatives going forward. It must be acknowledged that these findings merely represent a snapshot in time of an ever changing landscape. Further studies will be necessary to continue to keep abreast of the state of cybersecurity in the Americas and the Caribbean. Nevertheless, we hope that by improving our collective understanding of the cybersecurity challenges and opportunities presently confronting our region, the information and analysis contained in this report will assist stakeholders in all sectors government, private sector, academia, and civil society to better work together to build a more secure, resilient and productive cyberspace in our hemisphere. We look forward to continuing to play a role in this vital mission

Informal Learning in Security Incident Response Teams

Information security incident response is a critical security process for organisations aiming to provide an effective capability to recover from information security attacks. A critical component of security incident response methodologies is the ability to learn from security incidents on how to improve the incident response process in particular and security management in general. Best-practice methodologies and existing research in this area view the incident response process as highly formal and structured while providing recommendations on learning in formal feedback sessions at the conclusion of the incident investigation. This contrasts with more general organizational learning literature that suggests learning in organizations is frequently informal, incidental and ongoing. This research-in-progress paper describes the first phase of a project. Results from a focus group of experts indicates that response to incidents is largely informal suggesting a new Incident Response model is needed that incorporates informal learning practices