Prévia do material em texto
Inserir Título Aqui Inserir Título Aqui Segurança da Informação e Tratamento de Incidentes Passos para Resposta a Incidentes Responsável pelo Conteúdo: Prof. Esp. Antonio Eduardo Marques da Silva Revisão Textual: Prof.ª Esp. Kelciane da Rocha Campos Nesta unidade, trabalharemos os seguintes tópicos: • Organização de Respostas a Incidentes; • Política de Resposta a Incidentes, Plano e Criação de Procedimentos; • Organizações de Notificação de Incidentes; • Estrutura da Equipe de Resposta a Incidentes; • Centros de Resposta e Tratamento de Incidentes no Brasil (CERT.br). Fonte: Getty Im ages Objetivos • Compreender e abordar os aspectos gerais sobre os entendimentos para resposta aos incidentes de segurança que ocorrem no ambiente organizacional. Caro Aluno(a)! Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas. Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”. No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados. Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos! Passos para Resposta a Incidentes UNIDADE Passos para Resposta a Incidentes Contextualização Você sabe definir o que é segurança da informação e quais os conceitos essenciais que podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá- -lo? Qual a importância de uma boa política de segurança da informação para uma organização? Como existem diferentes tecnologias aplicadas em segurança da informação, você deve estar se perguntando como é possível entender melhor o seu funcionamento. Embora possamos aprender várias ferramentas ou tecnologias em segurança, precisa- mos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos uma maior facilidade de manuseio. Nesta unidade, vamos entender o que são respostas a incidente de segurança da informação, as organizações responsáveis no mundo e no Brasil, estruturas de equipes especializadas e falaremos um pouco sobre as atividades do CERT.br. Não se preocupe, nesta disciplina iremos abordar alguns conceitos fundamentais para que você possa entender como funciona alguns recursos, técnicas e ferramentas que fazem parte de um sistema de gestão da segurança da informação. Vamos começar! 6 7 Organização de Respostas a Incidentes A organização de um recurso eficaz de resposta a incidentes de segurança de computadores, ou, em inglês, Computer Security Incident Response Capability (CSIRC), envolve várias decisões e ações importantes. Uma das primeiras considerações é a criação de uma definição específica da organização do termo “incidente”, de modo que o escopo do termo seja bem claro. A organização deve decidir quais serviços a equipe de resposta a incidentes deve fornecer, considerar quais estruturas e modelos de equipe podem fornecer esses serviços e selecionar e implementar uma ou mais equipes de resposta a incidentes. O plano de resposta a incidentes, a política e a criação de procedimentos é uma parte muito importante do estabelecimento de uma equipe desse tipo, de modo que a resposta ao incidente seja realizada de forma eficaz, eficiente e consistente e que a equipe tenha autonomia para fazer o que precisa ser feito. O plano, as políticas e os procedimentos de respostas a incidentes devem refletir as interações da equipe com outras equipes dentro da organização e também com partes externas, como a aplicação da lei, a mídia e outras organizações de resposta a incidentes. Vamos conhecer algumas diretrizes e conselhos sobre manutenção e apri- moramento de recursos existentes (NIELES, 2017). Eventos e incidentes Um evento é qualquer ocorrência observável em um sistema ou rede. Os eventos incluem um usuário que se conecta a um compartilhamento de arquivos, um servidor que recebe uma solicitação para uma página da Web, um usuário que envia um e-mail para um destinatário e um firewall que bloqueia uma tentativa de conexão de rede. Eventos adversos são eventos com consequências negativas, como falhas do sistema, inundações de pacotes, uso não autorizado de privilégios de sistema, acesso não auto- rizado a dados confidenciais e execução de “malware” que pode destruir dados. Um incidente de segurança de computador é uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitáveis ou práticas de segurança padrão. Exemplos de incidentes são: • Um atacante invasor comanda uma “botnet” (que designa um grupo de computa- dores conectados à Internet, cada um deles rodando um ou mais boots e se comu- nicando com outros dispositivos, a fim de executar determinada tarefa. O nome se refere à junção de robot e network, para enviar grandes volumes de solicitações de conexão a um servidor da Web, causando uma falha. • Os usuários são induzidos a abrir um “relatório trimestral” enviado por um e-mail que é na verdade um “malware” (um código malicioso, programa malicioso, software nocivo, software mal-intencionado ou software malicioso. Uma abreviação de “malicious software”). A execução da ferramenta infectou seus computadores e estabeleceu conexões com um host externo. 7 UNIDADE Passos para Resposta a Incidentes • Um atacante invasor obtém dados confidenciais e ameaça que os detalhes sejam di- vulgados publicamente se a organização não pagar uma soma designada de dinheiro. • Um usuário fornece ou expõe informações confidenciais a outras pessoas por meio de serviços de compartilhamento de arquivos. Necessidade de resposta a incidentes Os ataques frequentemente comprometem os dados pessoais e corporativos, e é essencial responder com rapidez e eficiência quando ocorrem violações de segurança. O conceito de resposta a incidentes de segurança de computadores tornou-se am- plamente aceito e implementado. Um dos benefícios de ter uma capacidade de resposta a incidentes é que ela suporta responder aos incidentes sistematicamente (ou seja, seguindo uma metodologia con- sistente de tratamento de incidentes) para que as ações apropriadas sejam tomadas. A resposta a incidentes ajuda a equipe a minimizar a perda ou roubo de informações e interrupção de serviços causados por incidentes. Outro benefício da resposta a in- cidentes é a capacidade de usar as informações obtidas durante o manuseio de inci- dentes para preparar melhor o manuseio de incidentes futuros e fornecer proteção mais forte para sistemas, redes e dados. Um recurso de resposta a incidentes também ajuda a lidar adequadamente com questões legais que podem surgir durante incidentes (MILAR, 2012). Resposta a Incidentes de Segurança da Informação em: https://youtu.be/SOm-GAqsZ8g Além das razões comerciais para estabelecer uma capacidade de resposta a inci- dentes, os departamentos e agências federais devem cumprir as leis, regulamentações e políticas que direcionam uma defesa coordenada e eficaz contra as ameaças à se- gurança da informação. Os principais são os seguintes (consideramos leis e regras internacionais que foram definidas pela NIST, porém isso pode mudar ou ser imple- mentado dependendo de cada país): • A Circular nº 130 da OMBs, Anexo III, lançada em 2000, que determina que as agências federais “garantam a capacidade de fornecer ajuda aos usuários quando ocorrer um incidente desegurança no sistema e compartilhar informações sobre vulnerabilidades comuns e ameaças. Essa capacidade deve compartilhar informações com outras organizações e deve ajudar a agência a buscar ação legal apropriada, consistente com as orientações do Departamento de Justiça. • FISMA (de 2002), que exige que as agências tenham procedimentos para detectar, relatar e responder incidentes de segurança e estabelece um centro federal centra- lizado de incidentes de segurança da informação, em parte para: 8 9 » fornecer assistência técnica oportuna aos operadores dos sistemas de informação da agência incluindo orientações sobre a detecção e tratamento de incidentes de segurança da informação; » compilar e analisar informações sobre incidentes que ameacem a segurança da informação; » informar os operadores dos sistemas de informação da agência sobre as ameaças atuais e potenciais à segurança da informação e vulnerabilidades. • Padrões federais de processamento de informações (FIPS) 200, Requisitos mínimos de segurança para sistemas federais de informações e informações, de março de 2006, que especifica requisitos mínimos de segurança para sistemas federais de in- formações e informações, incluindo resposta a incidentes. Os requisitos específicos são definidos no NIST Special Publication (SP) 800-53, Controles Recomendados de Segurança para Sistemas e Organizações de Informações Federais. • Memorando OMB M-07-16, Protegendo Contra e Respondendo à Violação de In- formações de Identificação Pessoal, de maio de 2007, que fornece orientação sobre relatórios de incidentes de segurança que envolvem o tema. Política de Resposta a Incidentes, Plano e Criação de Procedimentos Aqui vamos discutir as políticas, planos e procedimentos relacionados à resposta a incidentes, com ênfase em interações com partes externas. Elementos de política A política que rege a resposta a incidentes é altamente individualizada para a or- ganização. No entanto, a maioria das políticas inclui os mesmos elementos principais: • Declaração de compromisso de gestão; • Propósito e objetivos da política; • Escopo da política (para quem e o que se aplica e sob que circunstâncias); • Definição de incidentes de segurança de computadores e termos relacionados; • Estrutura organizacional e definição de papéis, responsabilidades e níveis de autori- dade; deve incluir a autoridade da equipe de resposta a incidentes para confiscar ou desconectar equipamentos e monitorar atividades suspeitas, os requisitos para rela- tar certos tipos de incidentes, os requisitos e diretrizes para comunicações externas e compartilhamento de informações (por exemplo, o que pode ser compartilhado com quem e sobre quais canais) e os pontos de transferência e escalonamento no processo de gerenciamento de incidentes; • Priorização ou classificações de severidade de incidentes; • Medidas de desempenho; • Relatórios e formulários de contato. 9 UNIDADE Passos para Resposta a Incidentes Elementos do plano As organizações devem ter uma abordagem formal, focada e coordenada para respon- der a incidentes, incluindo um plano de resposta a incidentes que forneça o roteiro para implementar a capacidade de resposta a incidentes. Cada organização precisa de um pla- no que atenda aos seus requisitos exclusivos, relacionados à missão, tamanho, estrutura e funções da organização. O plano deve estabelecer os recursos necessários e o apoio administrativo. O plano de resposta a incidentes deve incluir os seguintes elementos: • Missão a ser alcançada; • Estratégias e metas; • Aprovação de gerência sênior; • Abordagem organizacional para resposta a incidentes; • Como a equipe de resposta a incidentes se comunicará com o restante da organi- zação e com outras organizações; • Métricas para medir a capacidade de resposta a incidentes e sua eficácia; • Roteiro para amadurecer a capacidade de resposta a incidentes; • Como o programa se encaixa na organização geral. A missão, as estratégias e as metas da organização para resposta a incidentes de- vem ajudar a determinar a estrutura de seu recurso de resposta a incidentes. A estru- tura do programa de resposta a incidentes também deve ser discutida dentro do plano. Quando uma organização desenvolve um plano e obtém a aprovação do gerenciamen- to, a organização deve implementar o plano e analisá-lo pelo menos anualmente para garantir que a organização esteja seguindo o roteiro para amadurecer a capacidade e cumprir suas metas de resposta a incidentes (MILAR, 2012). Elementos de procedimento Os procedimentos devem basear-se na política e no plano de resposta a inciden- tes. Procedimentos operacionais padrão (SOPs –Standard Operating Procedures) são um delineamento dos processos técnicos específicos, técnicas, listas de verificação e formulários usados pela equipe de resposta a incidentes. Os SOPs devem ser razoa- velmente abrangentes e detalhados para garantir que as prioridades da organização sejam refletidas nas operações de resposta. Além disso, seguir as respostas padroniza- das deve minimizar os erros, particularmente aqueles que podem ser causados por si- tuações estressantes de manipulação de incidentes. Os SOPs devem ser testados para validar sua exatidão e utilidade, depois distribuídos a todos os membros da equipe. O treinamento deve ser fornecido para usuários da SOP; os documentos SOP podem ser usados como uma ferramenta de instrução. 10 11 Compartilhando informações com terceiros As organizações muitas vezes precisam se comunicar com terceiros a respeito de um incidente e devem fazê-lo sempre que for necessário, como entrar em contato com as autoridades policiais, esclarecer dúvidas da mídia e procurar especialistas ex- ternos. Outro exemplo é discutir sobre incidentes com outras partes envolvidas, como provedores de serviços de Internet (ISPs – Internet Solution Provider), o fornecedor de software vulnerável ou outras equipes de resposta a incidentes. As organizações também podem compartilhar proativamente informações relevantes de indicadores de incidentes com seus pares para melhorar a detecção e a análise de incidentes. A equipe de resposta a incidentes deve discutir o compartilhamento de informações com o escritório de assuntos públicos, departamento jurídico e gerenciamento da or- ganização antes de ocorrer um incidente para estabelecer políticas e procedimentos relacionados ao compartilhamento de informações. Caso contrário, informações con- fidenciais sobre incidentes podem ser fornecidas a partes não autorizadas, o que pode levar a interrupções adicionais e perdas financeiras. A equipe deve documentar todos os contatos e comunicações com terceiros para fins de responsabilidade e evidência (BAARS, 2018). Vamos verificar as orientações sobre a comunicação com vários tipos de partes externas (conforme figura). As setas de duas pontas indicam que qualquer das partes pode iniciar comunicações para uma eventual discussão de comunicações envolvendo terceirizados de resposta a incidentes. Clientes, constituintes e mídia Outras equipes de resposta a incidentes Fornecedores de software e suporte Equipe de Resposta a Incidentes Agências �scalizadoras frouxas Repórteres de incidentes Provedores de serviços de Internet Figura 1 – Time de resposta a incidentes Comunicação de mídia A equipe de tratamento de incidentes deve estabelecer procedimentos de comunica- ção de mídia que atendam às políticas da organização sobre interação de mídia e divul- gação de informações. Para discutir incidentes com a mídia, as organizações geralmente 11 UNIDADE Passos para Resposta a Incidentes consideram útil designar um único ponto de contato (POC) e pelo menos um backup desse ponto de contato. As seguintes ações são recomendadas para preparar esses con- tatos designados e também devem ser consideradas para preparar outras pessoas que possam estar se comunicando com a mídia: • Realizar sessões de treinamento sobre como interagir com a mídia em relaçãoa in- cidentes, que devem incluir a importância de não revelar informações confidenciais, como detalhes técnicos de contramedidas que possam ajudar outros agressores, e os aspectos positivos da comunicação de informações importantes ao público de maneira plena e efetiva; • Estabelecer procedimentos para resumir os contatos da mídia sobre os problemas e sensibilidades referentes a um incidente em particular antes de discuti-lo com a mídia; • Manter uma declaração do status atual do incidente para que as comunicações com a mídia sejam consistentes e atualizadas; • Lembrar a todos os funcionários dos procedimentos gerais para lidar com solicita- ções de mídia; • Realizar entrevistas simuladas e conferências de imprensa durante exercícios de manipulação de incidentes. A seguir, exemplos de perguntas para fazer contato com a mídia: quem te atacou? Por quê? Quando isso aconteceu? Como isso acon- teceu? Isso aconteceu por que você tem práticas de segurança insatisfatórias? Quão difundido é este incidente? Que medidas você está tomando para determinar o que aconteceu e para evitar ocorrências futuras? Qual é o impacto deste incidente? Alguma informação pessoalmente identificável (PII) foi exposta? Qual é o custo estimado deste incidente? Aplicação da lei Um dos motivos pelos quais muitos incidentes relacionados à segurança não resultam em condenações é que algumas organizações não entram em contato com a lei adequa- damente. Vários níveis de imposição da lei estão disponíveis para investigar incidentes: por exemplo, dentro dos Estados Unidos, agências federais de investigação (por exem- plo, o FBI e a CIA ou Serviço Secreto dos EUA), escritórios de promotores distritais, autoridades estaduais e autoridades locais (por exemplo, município) de aplicação da lei. Agências de aplicação da lei em outros países também podem estar envolvidas, como ataques lançados ou direcionados a locais fora dos EUA e Brasil. Além disso, as agências têm um Escritório do Inspetor Geral (OIG - Office of Inspector General) para investigar a violação da lei dentro de cada agência. A equipe de resposta a incidentes deve se fami- liarizar com os vários representantes da lei antes que um incidente ocorra para discutir as condições sob as quais os incidentes devem ser relatados, como o relatório deve ser realizado, que provas devem ser coletadas e como devem ser coletadas (MILAR, 2012). A aplicação da lei deve ser contatada através de indivíduos designados de uma ma- neira consistente com os requisitos da lei e os procedimentos da organização. Muitas organizações preferem nomear um membro da equipe de resposta a incidentes como o primeiro POC com a aplicação da lei. Essa pessoa deve estar familiarizada com os pro- 12 13 cedimentos de notificação para todas as agências de aplicação da lei relevantes e bem preparada para recomendar qual agência, se houver, deve ser contatada. Observe que a organização normalmente não deve contatar várias agências porque isso pode resultar em conflitos jurisdicionais. A equipe de resposta a incidentes deve entender quais são os possíveis problemas jurisdicionais. Aspectos Legais da Segurança da Informação e Respostas a Incidentes em: https://youtu.be/Dmm9JSf3Q74 Organizações de Notificação de Incidentes A FISMA (Federal Information Security Modernization) exige que agências federais reportem incidentes à Equipe de Prontidão de Emergência de Computadores dos Esta- dos Unidos (US-CERT ou United States Computer Emergency Readiness Team), que é uma organização de resposta a incidentes que ajuda as agências civis federais em seus esforços de tratamento de incidentes. A US-CERT não substitui as equipes de resposta existentes da agência; em vez disso, aumenta os esforços das agências civis federais, servindo como um ponto focal para lidar com incidentes. O US-CERT analisa as infor- mações fornecidas pela agência para identificar tendências e indicadores de ataques; são mais fáceis de discernir ao revisar dados de muitas organizações do que ao revisar os dados de uma única organização (MILAR, 2012). Cada agência deve designar um POC primário e secundário com a US-CERT e re- latar todos os incidentes de acordo com a política de resposta a incidentes da agência. As organizações devem criar uma política que declare quem é designado para relatar in- cidentes e como os incidentes devem ser relatados. Requisitos, categorias e prazos para relatar incidentes à US-CERT estão no site da US-CERT. Todas as agências federais de- vem garantir que seus procedimentos de resposta a incidentes cumpram os requisitos de relatórios da US-CERT e que os procedimentos sejam seguidos adequadamente. Todas as organizações são encorajadas a relatar incidentes para suas CSIRTs apropriadas. Se uma organização não tiver sua própria CSIRT para entrar em contato, ela poderá relatar incidentes a outras organizações, inclusive Centros de Compartilhamento e Análise de Informações (ISACs – Information Sharing and Analysis Centers). Uma das funções desses grupos do setor privado específicos do setor é compartilhar informações impor- tantes relacionadas à segurança de computadores entre seus membros. Vários ISACs foram formados para setores da indústria como Comunicações, Setor Elétrico, Serviços Financeiros, Tecnologia da Informação e Pesquisa e Educação. Outras partes externas Uma organização pode querer discutir incidentes com outros grupos, incluindo os listados abaixo. Ao entrar em contato com essas partes externas, uma organização pode querer trabalhar com a US-CERT ou com o ISAC, como um “apresentador confiável” 13 UNIDADE Passos para Resposta a Incidentes para intermediar o relacionamento. É provável que outras pessoas estejam enfrentando problemas semelhantes, e o apresentador confiável pode garantir que esses padrões se- jam identificados e levados em consideração. Uma organização pode precisar de assistên- cia de seu ISP para bloquear um grande ataque baseado em rede ou rastrear sua origem: • ISP da organização: uma organização pode precisar de assistência de seu ISP para bloquear um grande ataque baseado em rede ou rastrear sua origem. • Proprietários de endereços atacantes: se os ataques forem originados do espa- ço de endereço IP de uma organização externa, os manipuladores de incidentes poderão querer falar com os contatos de segurança designados da organização para alertá-los sobre a atividade ou para solicitar a coleta de provas. É altamente recomendável coordenar essas comunicações com a US-CERT ou com um ISAC. • Fornecedores de software: os manipuladores de incidentes podem querer falar com um fornecedor de software sobre atividades suspeitas. Esse contato pode in- cluir perguntas sobre a importância de certas entradas de log ou falsos positivos conhecidos para certas assinaturas de detecção de intrusão, onde informações mí- nimas a respeito do incidente podem precisar ser reveladas. Pode ser necessário fornecer mais informações em alguns casos; por exemplo, se um servidor parece ter sido comprometido por meio de uma vulnerabilidade de software desconhecida. Os fornecedores de software também podem fornecer informações sobre ameaças conhecidas (por exemplo, novos ataques) para ajudar as organizações a entender o ambiente de ameaças atual. • Outras equipes de resposta a incidentes: uma organização pode experimentar um incidente similar àquele tratado por outras equipes; o compartilhamento proa- tivo de informações pode facilitar o tratamento mais eficaz e eficiente de incidentes (por exemplo, poder fornecer alertas antecipados, aumentar a prontidão, desenvol- ver o conhecimento da situação). Grupos como o Fórum de Resposta a Incidentes e Equipes de Segurança (FIRST), o Fórum do Governo de Resposta a Incidentes e Equipes de Segurança (GFIRST) e o Grupo de Trabalho Antiphishing (APWG) não são equipes de resposta a incidentes, mas promovem compartilhamento de infor- mações entre as equipes de resposta a incidentes. • Partes externas afetadas: umincidente pode afetar partes externas diretamente; por exemplo, uma organização externa pode entrar em contato com a organização e reivindicar que um dos usuários da organização está fazendo um ataque. Outra maneira pela qual as partes externas podem ser afetadas é se um invasor obtiver acesso a informações confidenciais relacionadas a elas, como informações de cartão de crédito. Em algumas jurisdições, as organizações são obrigadas a notificar todas as partes afetadas por esse incidente. Independentemente das circunstâncias, é preferí- vel que a organização notifique as partes externas afetadas de um incidente antes que a mídia ou outras organizações externas o façam. Os manipuladores devem ter o cui- dado de fornecer apenas informações apropriadas - as partes afetadas podem solici- tar detalhes sobre investigações internas que não devem ser reveladas publicamente. 14 15 Estrutura da Equipe de Resposta a Incidentes Uma equipe de resposta a incidentes deve estar disponível para qualquer pessoa que descubra ou suspeite que um incidente envolvendo a organização tenha ocorrido. Um ou mais membros da equipe, dependendo da magnitude do incidente e da disponibilidade de pessoal, lidarão com o este incidente. Os manipuladores de incidentes analisam os dados do incidente, determinam o impacto do incidente e agem adequadamente para limitar os danos e restaurar os serviços normais. O sucesso da equipe de resposta a incidentes depende da participação e cooperação de indivíduos em toda a organização. Vamos apresentar e discutir alguns modelos de equipe de resposta a incidentes e forne- cer conselhos sobre como selecionar um modelo apropriado. Modelos de equipe Estruturas possíveis para uma equipe de resposta a incidentes incluem o seguinte: • Equipe central de resposta a incidentes: uma única equipe de resposta a inciden- tes lida com incidentes em toda a organização. Esse modelo é eficaz para pequenas organizações e para organizações com diversidade geográfica mínima em termos de recursos de computação. • Equipes de resposta a incidentes distribuídos: a organização tem várias equipes de resposta a incidentes, cada uma responsável por um segmento lógico ou físico específico da organização. Esse modelo é eficaz para grandes organizações (por exemplo, uma equipe por divisão) e para organizações com recursos de computa- ção principais em locais distantes (por exemplo, uma equipe por região geográfica e uma equipe por instalação principal). No entanto, as equipes devem fazer parte de uma única entidade coordenada para que o processo de resposta a incidentes seja consistente em toda a organização e as informações sejam compartilhadas entre as equipes. Isso é particularmente importante porque várias equipes podem ver componentes do mesmo incidente ou podem lidar com incidentes semelhantes. • Equipe de coordenação: uma equipe de resposta a incidentes fornece conselhos a outras equipes sem ter autoridade sobre essas equipes; por exemplo, uma equipe de todo o departamento pode ajudar as equipes de agências individuais. Esse modelo pode ser considerado um CSIRT para CSIRTs. Equipes de resposta a incidentes também podem usar qualquer um dos três modelos de equipe: • Empregados: a organização realiza todo o seu trabalho de resposta a incidentes, com suporte técnico e administrativo limitado dos contratados. • Parcialmente terceirizado: a organização terceiriza partes de seu trabalho de resposta a incidentes. Embora os deveres de resposta a incidentes possam ser 15 UNIDADE Passos para Resposta a Incidentes divididos entre a organização e uma ou mais empresas terceirizadas de várias maneiras, alguns arranjos se tornaram comuns: » O arranjo mais comum é que a organização terceirize o monitoramento de senso- res de detecção de invasão, firewalls e outros dispositivos de segurança 24 horas por dia, 7 dias por semana (24/7) para um provedor de serviços de segurança gerenciado fora do local (MSSP – Managed Security Services Provider). O MSSP identifica e analisa atividades suspeitas e informa cada incidente detectado à equi- pe de resposta a incidentes da organização. » Algumas organizações realizam trabalho básico de resposta a incidentes inter- namente e convocam os contratados para auxiliar no tratamento de incidentes, especialmente aqueles que são mais sérios ou generalizados. • Totalmente terceirizado: a organização terceiriza completamente seu trabalho de resposta a incidentes, geralmente para um contratado no local (equipe sediada na empresa). É mais provável que esse modelo seja usado quando a organização pre- cisa de uma equipe de resposta a incidentes no local em tempo integral, mas não possui funcionários qualificados e disponíveis o suficiente. Assume-se que a organi- zação terá funcionários supervisionando o trabalho do contratante. Seleção do modelo de equipe Ao selecionar modelos adequados de estrutura e de equipe para uma equipe de res- posta a incidentes, as organizações devem considerar os seguintes fatores: • Necessidade de disponibilidade 24/7: a maioria das organizações precisa que a equipe de resposta a incidentes esteja disponível 24 horas por dia, sete dias por semana. Isso normalmente significa que os manipuladores de incidentes podem ser contatados por telefone, mas também pode significar que é necessária uma presen- ça no local. A disponibilidade em tempo real é a melhor para a resposta a inciden- tes, porque quanto mais tempo um incidente dura, mais potencial existe para danos e perdas. Geralmente, o contato em tempo real é necessário quando se trabalha com outras organizações, por exemplo, rastreando um ataque até sua origem. • Membros da equipe em tempo integral versus meio período: Organizações com necessidades limitadas de financiamento, pessoal ou resposta a incidentes podem ter apenas membros de equipe de resposta a incidentes em meio período, servindo como mais de uma equipe virtual de resposta a incidentes. Nesse caso, a equipe de resposta a incidentes pode ser considerada como um corpo de bombeiros voluntário. Quando ocorre uma emergência, os membros da equipe são contatados rapidamente e aqueles que podem ajudar o fazem. Um grupo existente, como o help desk de TI, pode atuar como um primeiro POC para relatórios de incidentes. Os membros do suporte técnico podem ser treinados para realizar a investigação inicial e a coleta de dados e, em seguida, alertar a equipe de resposta a incidentes se parecer que ocorreu um incidente grave. • Moral do empregado: o trabalho de resposta a incidentes é muito estressante, assim como as responsabilidades de plantão da maioria dos membros da equipe. 16 17 Essa combinação torna mais fácil para os membros da equipe de resposta a inci- dentes se tornarem excessivamente estressados. Muitas organizações também se esforçarão para encontrar pessoas dispostas, disponíveis, experientes e qualifica- das para participar, particularmente no apoio 24 horas por dia. Segregar papéis, particularmente reduzir a quantidade de trabalho administrativo que os membros da equipe são responsáveis por realizar, pode ser um impulso significativo para o moral da equipe. • Custo: o custo é um fator importante, especialmente se os funcionários precisarem estar no local 24 horas por dia, 7 dias por semana. As organizações podem não in- cluir os custos específicos da resposta a incidentes nos orçamentos, como financia- mento suficiente para treinamento e manutenção de habilidades. Como a equipe de resposta a incidentes trabalha com tantas facetas de TI, seus membros precisam de um conhecimento muito mais amplo do que a maioria dos membros da equipe de TI. Eles também devem entender como usar as ferramentas de resposta a inciden- tes, como software forense digital. Outros custos que podem ser negligenciados são a segurança física das áreas de trabalho e mecanismos de comunicação da equipe. • Expertise da equipe: o tratamento de incidentes requer conhecimento especia- lizado e experiênciaem diversas áreas técnicas; a amplitude e a profundidade do conhecimento necessário variam com base na gravidade dos riscos da organização. Os Outsourcers (expressão em inglês normalmente traduzida para português como terceirização. No mundo dos negócios, o outsourcing é um processo usado por uma empresa no qual outra organização é contratada para desenvolver uma certa área da empresa) podem possuir um conhecimento mais profundo de detecção de intrusão, análise forense, vulnerabilidades, explorações e outros aspectos de segurança do que os funcionários da organização. Além disso, podem correlacio- nar eventos entre os clientes para que eles possam identificar novas ameaças mais rapidamente do que qualquer cliente individual. No entanto, os membros da equipe técnica dentro da organização geralmente têm um conhecimento muito melhor do ambiente da organização do que um terceirizado, o que pode ser benéfico na identi- ficação de falsos positivos associados ao comportamento específico da organização e à importância dos alvos. Centros de Resposta e Tratamento de Incidentes no Brasil (CERT.br) O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet no Brasil, mantido pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR), do Comitê Gestor da Internet no Brasil ou CGI. É o responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à Internet brasileira, atu- ando como um ponto central para notificações de incidentes de segurança no Brasil, promovendo a coordenação e o apoio no processo de resposta a incidentes e, quando 17 UNIDADE Passos para Resposta a Incidentes necessário, colocando as partes envolvidas em contato, a fim de evitar que problemas relacionados à segurança em nosso país ocorram ou se propaguem (CERT.br, 2019). Além do processo de tratamento a incidentes em si, o CERT.br também tem atuação em relação ao trabalho de conscientização sobre os problemas de segurança, análise de tendências e correlação entre eventos na Internet brasileira e auxílio ao estabelecimento de novos CSIRTs no Brasil. Tais atividades têm como objetivo estratégico aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet em nosso país. As atividades conduzidas pelo CERT.br fazem parte das seguin- tes atribuições do CGI.br: • Estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Inter- net no Brasil; • Promover estudos e recomendar procedimentos, normas e padrões técnicos e ope- racionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e adequada utilização pela sociedade; • Ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet. Bem como dos objetivos do NIC.br, conforme seu Estatuto: • Atender aos requisitos de segurança e emergências na Internet brasileira em articu- lação e cooperação com as entidades e os órgãos responsáveis; • Promover ou colaborar na realização de cursos, simpósios, seminários, conferên- cias, feiras e congressos, visando contribuir para o desenvolvimento e aperfeiçoa- mento do ensino e dos conhecimentos nas áreas de suas especialidades. Principais atividades do CERT.br • Tratamento de incidentes: dar suporte ao processo de recuperação e análise de ataques e de sistemas comprometidos; estabelecer um trabalho colaborativo com outras entidades, como outros CSIRTs, empresas, universidades, provedores de acesso e serviços Internet e backbones e manter estatísticas públicas dos incidentes tratados e das reclamações de spam recebidas. • Treinamento e conscientização: oferecer treinamentos na área de tratamento de incidentes de segurança, especialmente para membros de CSIRTs e para institui- ções que estejam criando seu próprio grupo; desenvolver documentação de apoio para administradores de redes Internet e usuários; realizar reuniões com setores diversos da Internet no Brasil, de modo a articular a cooperação e implantação de boas práticas de segurança. • Análise de tendências de ataques: aumentar a capacidade de detecção de inciden- tes, correlação de eventos e determinação de tendências de ataques no espaço de Internet brasileiro, através da manutenção de uma rede de honeypots distribuídos em diversas redes do país; obter, através de honeypots de baixa interatividade, dados sobre o abuso da infraestrutura de redes conectadas à Internet para envio de spam. 18 19 Grupos de segurança brasileiros Como foi dito anteriormente, também no Brasil temos vários CSIRTs. Para que pos- samos conhecê-los melhor, vamos apresentar alguns Grupos de Segurança e Resposta a Incidentes (CSIRTs) brasileiros (pelo menos que que permitem sua apresentação, pois alguns CSIRTs são de organizações públicas, militares e estratégicas e que preferem ficar no anonimato). O mapa apresenta as cidades onde estão sediados alguns desses CSIRTs (CERT.br, 2019). Porte Alegre CERT-RS CSIRT SICREDI TRI São José dos Campos GSR/INPE Campinas CAIS/RNP CSIRT Unicamp Belo Horizonte CSIRT Cemig CSIRT POP-MG Brasília CCTIR/EB CSIRT BB CSIRT CAIXA CSIRT CETRA CTIR.FAB CTIR Gov ETIR Correios GATI GRA/SERPRO GRIS-CD Natal NARIS Salvador CERT.Bahia Rio de janeiro CEO/RedeRio CSIRT.globo CISRT Petrobras CTIM CTIR/Dataprev EMBRATEL Oi Star One São Paulo CERT.br Cielo CSIRT CLRI-TRF3 CSIRT Locaweb CSIRT PRODESP CSIRT Santander CSIRT Telefonica - Vivo CSIRT TIM CSIRT TIVIT CSIRT UOL CSIRT USP CRC/Unesp GRIS Abril Uberlândia CTBC Telecom Figura 2 – Alguns CSIRTs Brasileiros do NIC.br Fonte: Adapta de Getty Images 19 UNIDADE Passos para Resposta a Incidentes Material Complementar Indicações para saber mais sobre os assuntos abordados nesta Unidade: Sites Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil https://www.cert.br Livros Implantando a governança de TI FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. 4ª ed. São Paulo: Brasport, 2018. NIST - Computer Security Incident Handling Guide MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST - Computer Security Incident Handling Guide. Revision 2. NIST, EUA, 2012. 20 21 Referências CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Seguran- ça no Brasil, NIC.br/CGI. São Paulo, 2019. Disponível em: <https://www.cert.br/>. Acesso em: 10 fev. 2019. FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. 4ª ed. São Paulo: Brasport, 2018. MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST - Computer Security Incident Handling Guide. Revision 2. NIST, EUA, 2012. NIELES, M.; DEMPSEY, K.; PILLITERI, V. NIST - An Introduction to Information Security. Revision 1. NIST, EUA, 2017. OLIVEIRA, B. S. Métodos ágeis e gestão de serviços de TI. 1ª ed. São Paulo: Brasport, 2018. OLIVEIRA, F. B. Tecnologia da informação e comunicação. 1ª ed. São Paulo: Pearson, 2012. 21