IV_Teorico Segurança da Informação e Tratamento de Incidentes

Prévia do material em texto

Inserir Título Aqui 
Inserir Título Aqui
Segurança
da Informação
e Tratamento
de Incidentes
Passos para Resposta a Incidentes
Responsável pelo Conteúdo:
Prof. Esp. Antonio Eduardo Marques da Silva
Revisão Textual:
Prof.ª Esp. Kelciane da Rocha Campos
Nesta unidade, trabalharemos os seguintes tópicos:
• Organização de Respostas a Incidentes;
• Política de Resposta a Incidentes, Plano 
e Criação de Procedimentos;
• Organizações de Notificação de Incidentes;
• Estrutura da Equipe de Resposta a Incidentes;
• Centros de Resposta e Tratamento de Incidentes 
no Brasil (CERT.br).
Fonte: Getty Im
ages
Objetivos
• Compreender e abordar os aspectos gerais sobre os entendimentos para resposta aos 
incidentes de segurança que ocorrem no ambiente organizacional.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material 
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você 
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns 
dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões 
de materiais complementares, elementos didáticos que ampliarão sua interpretação e 
auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de 
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de 
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de 
troca de ideias e aprendizagem.
Bons Estudos!
Passos para Resposta a Incidentes
UNIDADE 
Passos para Resposta a Incidentes
Contextualização
Você sabe definir o que é segurança da informação e quais os conceitos essenciais 
que podem caracterizá-la? Saberia explicar o que é um incidente e como categorizá-
-lo? Qual a importância de uma boa política de segurança da informação para uma 
organização?
Como existem diferentes tecnologias aplicadas em segurança da informação, você 
deve estar se perguntando como é possível entender melhor o seu funcionamento. 
Embora possamos aprender várias ferramentas ou tecnologias em segurança, precisa-
mos focar em alguma(s), principalmente as mais utilizadas no mercado, para termos 
uma maior facilidade de manuseio.
Nesta unidade, vamos entender o que são respostas a incidente de segurança da 
informação, as organizações responsáveis no mundo e no Brasil, estruturas de equipes 
especializadas e falaremos um pouco sobre as atividades do CERT.br.
Não se preocupe, nesta disciplina iremos abordar alguns conceitos fundamentais 
para que você possa entender como funciona alguns recursos, técnicas e ferramentas 
que fazem parte de um sistema de gestão da segurança da informação.
Vamos começar!
6
7
Organização de Respostas a Incidentes
A organização de um recurso eficaz de resposta a incidentes de segurança de 
computadores, ou, em inglês, Computer Security Incident Response Capability 
(CSIRC), envolve várias decisões e ações importantes. Uma das primeiras considerações 
é a criação de uma definição específica da organização do termo “incidente”, de modo 
que o escopo do termo seja bem claro. A organização deve decidir quais serviços a 
equipe de resposta a incidentes deve fornecer, considerar quais estruturas e modelos de 
equipe podem fornecer esses serviços e selecionar e implementar uma ou mais equipes 
de resposta a incidentes. O plano de resposta a incidentes, a política e a criação de 
procedimentos é uma parte muito importante do estabelecimento de uma equipe desse 
tipo, de modo que a resposta ao incidente seja realizada de forma eficaz, eficiente e 
consistente e que a equipe tenha autonomia para fazer o que precisa ser feito.
O plano, as políticas e os procedimentos de respostas a incidentes devem refletir 
as interações da equipe com outras equipes dentro da organização e também com 
partes externas, como a aplicação da lei, a mídia e outras organizações de resposta a 
incidentes. Vamos conhecer algumas diretrizes e conselhos sobre manutenção e apri-
moramento de recursos existentes (NIELES, 2017).
Eventos e incidentes
Um evento é qualquer ocorrência observável em um sistema ou rede. Os eventos 
incluem um usuário que se conecta a um compartilhamento de arquivos, um servidor 
que recebe uma solicitação para uma página da Web, um usuário que envia um e-mail 
para um destinatário e um firewall que bloqueia uma tentativa de conexão de rede. 
Eventos adversos são eventos com consequências negativas, como falhas do sistema, 
inundações de pacotes, uso não autorizado de privilégios de sistema, acesso não auto-
rizado a dados confidenciais e execução de “malware” que pode destruir dados.
Um incidente de segurança de computador é uma violação ou ameaça iminente 
de violação de políticas de segurança de computadores, políticas de uso aceitáveis ou 
práticas de segurança padrão. Exemplos de incidentes são:
• Um atacante invasor comanda uma “botnet” (que designa um grupo de computa-
dores conectados à Internet, cada um deles rodando um ou mais boots e se comu-
nicando com outros dispositivos, a fim de executar determinada tarefa. O nome se 
refere à junção de robot e network, para enviar grandes volumes de solicitações de 
conexão a um servidor da Web, causando uma falha.
• Os usuários são induzidos a abrir um “relatório trimestral” enviado por um e-mail 
que é na verdade um “malware” (um código malicioso, programa malicioso, software 
nocivo, software mal-intencionado ou software malicioso. Uma abreviação de
“malicious software”). A execução da ferramenta infectou seus computadores e 
estabeleceu conexões com um host externo.
7
UNIDADE 
Passos para Resposta a Incidentes
• Um atacante invasor obtém dados confidenciais e ameaça que os detalhes sejam di-
vulgados publicamente se a organização não pagar uma soma designada de dinheiro.
• Um usuário fornece ou expõe informações confidenciais a outras pessoas por meio 
de serviços de compartilhamento de arquivos.
Necessidade de resposta a incidentes
Os ataques frequentemente comprometem os dados pessoais e corporativos, e é 
essencial responder com rapidez e eficiência quando ocorrem violações de segurança.
O conceito de resposta a incidentes de segurança de computadores tornou-se am-
plamente aceito e implementado.
Um dos benefícios de ter uma capacidade de resposta a incidentes é que ela suporta 
responder aos incidentes sistematicamente (ou seja, seguindo uma metodologia con-
sistente de tratamento de incidentes) para que as ações apropriadas sejam tomadas. 
A resposta a incidentes ajuda a equipe a minimizar a perda ou roubo de informações 
e interrupção de serviços causados por incidentes. Outro benefício da resposta a in-
cidentes é a capacidade de usar as informações obtidas durante o manuseio de inci-
dentes para preparar melhor o manuseio de incidentes futuros e fornecer proteção 
mais forte para sistemas, redes e dados. Um recurso de resposta a incidentes também 
ajuda a lidar adequadamente com questões legais que podem surgir durante incidentes 
(MILAR, 2012).
Resposta a Incidentes de Segurança da Informação em: https://youtu.be/SOm-GAqsZ8g
Além das razões comerciais para estabelecer uma capacidade de resposta a inci-
dentes, os departamentos e agências federais devem cumprir as leis, regulamentações 
e políticas que direcionam uma defesa coordenada e eficaz contra as ameaças à se-
gurança da informação. Os principais são os seguintes (consideramos leis e regras 
internacionais que foram definidas pela NIST, porém isso pode mudar ou ser imple-
mentado dependendo de cada país):
• A Circular nº 130 da OMBs, Anexo III, lançada em 2000, que determina que 
as agências federais “garantam a capacidade de fornecer ajuda aos usuários 
quando ocorrer um incidente desegurança no sistema e compartilhar informações 
sobre vulnerabilidades comuns e ameaças. Essa capacidade deve compartilhar 
informações com outras organizações e deve ajudar a agência a buscar ação legal 
apropriada, consistente com as orientações do Departamento de Justiça.
• FISMA (de 2002), que exige que as agências tenham procedimentos para detectar, 
relatar e responder incidentes de segurança e estabelece um centro federal centra-
lizado de incidentes de segurança da informação, em parte para:
8
9
 » fornecer assistência técnica oportuna aos operadores dos sistemas de informação 
da agência incluindo orientações sobre a detecção e tratamento de incidentes de 
segurança da informação;
 » compilar e analisar informações sobre incidentes que ameacem a segurança
da informação;
 » informar os operadores dos sistemas de informação da agência sobre as ameaças 
atuais e potenciais à segurança da informação e vulnerabilidades.
• Padrões federais de processamento de informações (FIPS) 200, Requisitos mínimos 
de segurança para sistemas federais de informações e informações, de março de 
2006, que especifica requisitos mínimos de segurança para sistemas federais de in-
formações e informações, incluindo resposta a incidentes. Os requisitos específicos 
são definidos no NIST Special Publication (SP) 800-53, Controles Recomendados 
de Segurança para Sistemas e Organizações de Informações Federais.
• Memorando OMB M-07-16, Protegendo Contra e Respondendo à Violação de In-
formações de Identificação Pessoal, de maio de 2007, que fornece orientação sobre 
relatórios de incidentes de segurança que envolvem o tema.
Política de Resposta a Incidentes,
Plano e Criação de Procedimentos
Aqui vamos discutir as políticas, planos e procedimentos relacionados à resposta a 
incidentes, com ênfase em interações com partes externas.
Elementos de política
A política que rege a resposta a incidentes é altamente individualizada para a or-
ganização. No entanto, a maioria das políticas inclui os mesmos elementos principais:
• Declaração de compromisso de gestão;
• Propósito e objetivos da política;
• Escopo da política (para quem e o que se aplica e sob que circunstâncias);
• Definição de incidentes de segurança de computadores e termos relacionados;
• Estrutura organizacional e definição de papéis, responsabilidades e níveis de autori-
dade; deve incluir a autoridade da equipe de resposta a incidentes para confiscar ou 
desconectar equipamentos e monitorar atividades suspeitas, os requisitos para rela-
tar certos tipos de incidentes, os requisitos e diretrizes para comunicações externas 
e compartilhamento de informações (por exemplo, o que pode ser compartilhado 
com quem e sobre quais canais) e os pontos de transferência e escalonamento no 
processo de gerenciamento de incidentes;
• Priorização ou classificações de severidade de incidentes;
• Medidas de desempenho;
• Relatórios e formulários de contato.
9
UNIDADE 
Passos para Resposta a Incidentes
Elementos do plano
As organizações devem ter uma abordagem formal, focada e coordenada para respon-
der a incidentes, incluindo um plano de resposta a incidentes que forneça o roteiro para 
implementar a capacidade de resposta a incidentes. Cada organização precisa de um pla-
no que atenda aos seus requisitos exclusivos, relacionados à missão, tamanho, estrutura 
e funções da organização. O plano deve estabelecer os recursos necessários e o apoio 
administrativo. O plano de resposta a incidentes deve incluir os seguintes elementos:
• Missão a ser alcançada;
• Estratégias e metas;
• Aprovação de gerência sênior;
• Abordagem organizacional para resposta a incidentes;
• Como a equipe de resposta a incidentes se comunicará com o restante da organi-
zação e com outras organizações;
• Métricas para medir a capacidade de resposta a incidentes e sua eficácia;
• Roteiro para amadurecer a capacidade de resposta a incidentes;
• Como o programa se encaixa na organização geral.
A missão, as estratégias e as metas da organização para resposta a incidentes de-
vem ajudar a determinar a estrutura de seu recurso de resposta a incidentes. A estru-
tura do programa de resposta a incidentes também deve ser discutida dentro do plano. 
Quando uma organização desenvolve um plano e obtém a aprovação do gerenciamen-
to, a organização deve implementar o plano e analisá-lo pelo menos anualmente para 
garantir que a organização esteja seguindo o roteiro para amadurecer a capacidade e 
cumprir suas metas de resposta a incidentes (MILAR, 2012).
Elementos de procedimento
Os procedimentos devem basear-se na política e no plano de resposta a inciden-
tes. Procedimentos operacionais padrão (SOPs –Standard Operating Procedures) são 
um delineamento dos processos técnicos específicos, técnicas, listas de verificação e 
formulários usados pela equipe de resposta a incidentes. Os SOPs devem ser razoa-
velmente abrangentes e detalhados para garantir que as prioridades da organização 
sejam refletidas nas operações de resposta. Além disso, seguir as respostas padroniza-
das deve minimizar os erros, particularmente aqueles que podem ser causados por si-
tuações estressantes de manipulação de incidentes. Os SOPs devem ser testados para 
validar sua exatidão e utilidade, depois distribuídos a todos os membros da equipe. O 
treinamento deve ser fornecido para usuários da SOP; os documentos SOP podem ser 
usados como uma ferramenta de instrução.
10
11
Compartilhando informações com terceiros
As organizações muitas vezes precisam se comunicar com terceiros a respeito de 
um incidente e devem fazê-lo sempre que for necessário, como entrar em contato 
com as autoridades policiais, esclarecer dúvidas da mídia e procurar especialistas ex-
ternos. Outro exemplo é discutir sobre incidentes com outras partes envolvidas, como 
provedores de serviços de Internet (ISPs – Internet Solution Provider), o fornecedor 
de software vulnerável ou outras equipes de resposta a incidentes. As organizações 
também podem compartilhar proativamente informações relevantes de indicadores 
de incidentes com seus pares para melhorar a detecção e a análise de incidentes. A 
equipe de resposta a incidentes deve discutir o compartilhamento de informações 
com o escritório de assuntos públicos, departamento jurídico e gerenciamento da or-
ganização antes de ocorrer um incidente para estabelecer políticas e procedimentos 
relacionados ao compartilhamento de informações. Caso contrário, informações con-
fidenciais sobre incidentes podem ser fornecidas a partes não autorizadas, o que pode 
levar a interrupções adicionais e perdas financeiras. A equipe deve documentar todos 
os contatos e comunicações com terceiros para fins de responsabilidade e evidência 
(BAARS, 2018).
Vamos verificar as orientações sobre a comunicação com vários tipos de partes 
externas (conforme figura). As setas de duas pontas indicam que qualquer das partes 
pode iniciar comunicações para uma eventual discussão de comunicações envolvendo 
terceirizados de resposta a incidentes.
Clientes,
constituintes
e mídia
Outras equipes
de resposta
a incidentes
Fornecedores
de software
e suporte
Equipe de
Resposta a
Incidentes
Agências
�scalizadoras
frouxas
Repórteres
de incidentes
Provedores
de serviços
de Internet
Figura 1 – Time de resposta a incidentes
Comunicação de mídia
A equipe de tratamento de incidentes deve estabelecer procedimentos de comunica-
ção de mídia que atendam às políticas da organização sobre interação de mídia e divul-
gação de informações. Para discutir incidentes com a mídia, as organizações geralmente 
11
UNIDADE 
Passos para Resposta a Incidentes
consideram útil designar um único ponto de contato (POC) e pelo menos um backup 
desse ponto de contato. As seguintes ações são recomendadas para preparar esses con-
tatos designados e também devem ser consideradas para preparar outras pessoas que 
possam estar se comunicando com a mídia:
• Realizar sessões de treinamento sobre como interagir com a mídia em relaçãoa in-
cidentes, que devem incluir a importância de não revelar informações confidenciais, 
como detalhes técnicos de contramedidas que possam ajudar outros agressores, e 
os aspectos positivos da comunicação de informações importantes ao público de 
maneira plena e efetiva;
• Estabelecer procedimentos para resumir os contatos da mídia sobre os problemas e 
sensibilidades referentes a um incidente em particular antes de discuti-lo com a mídia;
• Manter uma declaração do status atual do incidente para que as comunicações com 
a mídia sejam consistentes e atualizadas;
• Lembrar a todos os funcionários dos procedimentos gerais para lidar com solicita-
ções de mídia;
• Realizar entrevistas simuladas e conferências de imprensa durante exercícios de 
manipulação de incidentes. A seguir, exemplos de perguntas para fazer contato 
com a mídia: quem te atacou? Por quê? Quando isso aconteceu? Como isso acon-
teceu? Isso aconteceu por que você tem práticas de segurança insatisfatórias? Quão 
difundido é este incidente? Que medidas você está tomando para determinar o que 
aconteceu e para evitar ocorrências futuras? Qual é o impacto deste incidente? 
Alguma informação pessoalmente identificável (PII) foi exposta? Qual é o custo 
estimado deste incidente?
Aplicação da lei
Um dos motivos pelos quais muitos incidentes relacionados à segurança não resultam 
em condenações é que algumas organizações não entram em contato com a lei adequa-
damente. Vários níveis de imposição da lei estão disponíveis para investigar incidentes: 
por exemplo, dentro dos Estados Unidos, agências federais de investigação (por exem-
plo, o FBI e a CIA ou Serviço Secreto dos EUA), escritórios de promotores distritais, 
autoridades estaduais e autoridades locais (por exemplo, município) de aplicação da lei. 
Agências de aplicação da lei em outros países também podem estar envolvidas, como 
ataques lançados ou direcionados a locais fora dos EUA e Brasil. Além disso, as agências 
têm um Escritório do Inspetor Geral (OIG - Office of Inspector General) para investigar 
a violação da lei dentro de cada agência. A equipe de resposta a incidentes deve se fami-
liarizar com os vários representantes da lei antes que um incidente ocorra para discutir 
as condições sob as quais os incidentes devem ser relatados, como o relatório deve ser 
realizado, que provas devem ser coletadas e como devem ser coletadas (MILAR, 2012).
A aplicação da lei deve ser contatada através de indivíduos designados de uma ma-
neira consistente com os requisitos da lei e os procedimentos da organização. Muitas 
organizações preferem nomear um membro da equipe de resposta a incidentes como o 
primeiro POC com a aplicação da lei. Essa pessoa deve estar familiarizada com os pro-
12
13
cedimentos de notificação para todas as agências de aplicação da lei relevantes e bem 
preparada para recomendar qual agência, se houver, deve ser contatada. Observe que a 
organização normalmente não deve contatar várias agências porque isso pode resultar 
em conflitos jurisdicionais. A equipe de resposta a incidentes deve entender quais são os 
possíveis problemas jurisdicionais.
Aspectos Legais da Segurança da Informação e Respostas a Incidentes em:
https://youtu.be/Dmm9JSf3Q74
Organizações de Notificação de Incidentes
A FISMA (Federal Information Security Modernization) exige que agências federais 
reportem incidentes à Equipe de Prontidão de Emergência de Computadores dos Esta-
dos Unidos (US-CERT ou United States Computer Emergency Readiness Team), que 
é uma organização de resposta a incidentes que ajuda as agências civis federais em seus 
esforços de tratamento de incidentes. A US-CERT não substitui as equipes de resposta 
existentes da agência; em vez disso, aumenta os esforços das agências civis federais, 
servindo como um ponto focal para lidar com incidentes. O US-CERT analisa as infor-
mações fornecidas pela agência para identificar tendências e indicadores de ataques; são 
mais fáceis de discernir ao revisar dados de muitas organizações do que ao revisar os 
dados de uma única organização (MILAR, 2012).
Cada agência deve designar um POC primário e secundário com a US-CERT e re-
latar todos os incidentes de acordo com a política de resposta a incidentes da agência. 
As organizações devem criar uma política que declare quem é designado para relatar in-
cidentes e como os incidentes devem ser relatados. Requisitos, categorias e prazos para 
relatar incidentes à US-CERT estão no site da US-CERT. Todas as agências federais de-
vem garantir que seus procedimentos de resposta a incidentes cumpram os requisitos de 
relatórios da US-CERT e que os procedimentos sejam seguidos adequadamente. Todas 
as organizações são encorajadas a relatar incidentes para suas CSIRTs apropriadas. Se 
uma organização não tiver sua própria CSIRT para entrar em contato, ela poderá relatar 
incidentes a outras organizações, inclusive Centros de Compartilhamento e Análise de 
Informações (ISACs – Information Sharing and Analysis Centers). Uma das funções 
desses grupos do setor privado específicos do setor é compartilhar informações impor-
tantes relacionadas à segurança de computadores entre seus membros. Vários ISACs 
foram formados para setores da indústria como Comunicações, Setor Elétrico, Serviços 
Financeiros, Tecnologia da Informação e Pesquisa e Educação.
Outras partes externas
Uma organização pode querer discutir incidentes com outros grupos, incluindo os 
listados abaixo. Ao entrar em contato com essas partes externas, uma organização pode 
querer trabalhar com a US-CERT ou com o ISAC, como um “apresentador confiável” 
13
UNIDADE 
Passos para Resposta a Incidentes
para intermediar o relacionamento. É provável que outras pessoas estejam enfrentando 
problemas semelhantes, e o apresentador confiável pode garantir que esses padrões se-
jam identificados e levados em consideração. Uma organização pode precisar de assistên-
cia de seu ISP para bloquear um grande ataque baseado em rede ou rastrear sua origem:
• ISP da organização: uma organização pode precisar de assistência de seu ISP 
para bloquear um grande ataque baseado em rede ou rastrear sua origem.
• Proprietários de endereços atacantes: se os ataques forem originados do espa-
ço de endereço IP de uma organização externa, os manipuladores de incidentes 
poderão querer falar com os contatos de segurança designados da organização 
para alertá-los sobre a atividade ou para solicitar a coleta de provas. É altamente 
recomendável coordenar essas comunicações com a US-CERT ou com um ISAC.
• Fornecedores de software: os manipuladores de incidentes podem querer falar 
com um fornecedor de software sobre atividades suspeitas. Esse contato pode in-
cluir perguntas sobre a importância de certas entradas de log ou falsos positivos 
conhecidos para certas assinaturas de detecção de intrusão, onde informações mí-
nimas a respeito do incidente podem precisar ser reveladas. Pode ser necessário 
fornecer mais informações em alguns casos; por exemplo, se um servidor parece 
ter sido comprometido por meio de uma vulnerabilidade de software desconhecida. 
Os fornecedores de software também podem fornecer informações sobre ameaças 
conhecidas (por exemplo, novos ataques) para ajudar as organizações a entender o 
ambiente de ameaças atual.
• Outras equipes de resposta a incidentes: uma organização pode experimentar 
um incidente similar àquele tratado por outras equipes; o compartilhamento proa-
tivo de informações pode facilitar o tratamento mais eficaz e eficiente de incidentes 
(por exemplo, poder fornecer alertas antecipados, aumentar a prontidão, desenvol-
ver o conhecimento da situação). Grupos como o Fórum de Resposta a Incidentes 
e Equipes de Segurança (FIRST), o Fórum do Governo de Resposta a Incidentes e 
Equipes de Segurança (GFIRST) e o Grupo de Trabalho Antiphishing (APWG) não 
são equipes de resposta a incidentes, mas promovem compartilhamento de infor-
mações entre as equipes de resposta a incidentes.
• Partes externas afetadas: umincidente pode afetar partes externas diretamente; 
por exemplo, uma organização externa pode entrar em contato com a organização 
e reivindicar que um dos usuários da organização está fazendo um ataque. Outra 
maneira pela qual as partes externas podem ser afetadas é se um invasor obtiver 
acesso a informações confidenciais relacionadas a elas, como informações de cartão 
de crédito. Em algumas jurisdições, as organizações são obrigadas a notificar todas as 
partes afetadas por esse incidente. Independentemente das circunstâncias, é preferí-
vel que a organização notifique as partes externas afetadas de um incidente antes que 
a mídia ou outras organizações externas o façam. Os manipuladores devem ter o cui-
dado de fornecer apenas informações apropriadas - as partes afetadas podem solici-
tar detalhes sobre investigações internas que não devem ser reveladas publicamente.
14
15
Estrutura da Equipe
de Resposta a Incidentes
Uma equipe de resposta a incidentes deve estar disponível para qualquer pessoa que 
descubra ou suspeite que um incidente envolvendo a organização tenha ocorrido. Um ou 
mais membros da equipe, dependendo da magnitude do incidente e da disponibilidade 
de pessoal, lidarão com o este incidente. Os manipuladores de incidentes analisam os 
dados do incidente, determinam o impacto do incidente e agem adequadamente para 
limitar os danos e restaurar os serviços normais. O sucesso da equipe de resposta a 
incidentes depende da participação e cooperação de indivíduos em toda a organização. 
Vamos apresentar e discutir alguns modelos de equipe de resposta a incidentes e forne-
cer conselhos sobre como selecionar um modelo apropriado.
Modelos de equipe
Estruturas possíveis para uma equipe de resposta a incidentes incluem o seguinte:
• Equipe central de resposta a incidentes: uma única equipe de resposta a inciden-
tes lida com incidentes em toda a organização. Esse modelo é eficaz para pequenas 
organizações e para organizações com diversidade geográfica mínima em termos 
de recursos de computação.
• Equipes de resposta a incidentes distribuídos: a organização tem várias equipes 
de resposta a incidentes, cada uma responsável por um segmento lógico ou físico 
específico da organização. Esse modelo é eficaz para grandes organizações (por 
exemplo, uma equipe por divisão) e para organizações com recursos de computa-
ção principais em locais distantes (por exemplo, uma equipe por região geográfica 
e uma equipe por instalação principal). No entanto, as equipes devem fazer parte 
de uma única entidade coordenada para que o processo de resposta a incidentes 
seja consistente em toda a organização e as informações sejam compartilhadas 
entre as equipes. Isso é particularmente importante porque várias equipes podem 
ver componentes do mesmo incidente ou podem lidar com incidentes semelhantes.
• Equipe de coordenação: uma equipe de resposta a incidentes fornece conselhos a 
outras equipes sem ter autoridade sobre essas equipes; por exemplo, uma equipe de 
todo o departamento pode ajudar as equipes de agências individuais. Esse modelo 
pode ser considerado um CSIRT para CSIRTs.
Equipes de resposta a incidentes também podem usar qualquer um dos três modelos 
de equipe:
• Empregados: a organização realiza todo o seu trabalho de resposta a incidentes, 
com suporte técnico e administrativo limitado dos contratados.
• Parcialmente terceirizado: a organização terceiriza partes de seu trabalho de 
resposta a incidentes. Embora os deveres de resposta a incidentes possam ser 
15
UNIDADE 
Passos para Resposta a Incidentes
divididos entre a organização e uma ou mais empresas terceirizadas de várias 
maneiras, alguns arranjos se tornaram comuns:
 » O arranjo mais comum é que a organização terceirize o monitoramento de senso-
res de detecção de invasão, firewalls e outros dispositivos de segurança 24 horas 
por dia, 7 dias por semana (24/7) para um provedor de serviços de segurança 
gerenciado fora do local (MSSP – Managed Security Services Provider). O MSSP 
identifica e analisa atividades suspeitas e informa cada incidente detectado à equi-
pe de resposta a incidentes da organização.
 » Algumas organizações realizam trabalho básico de resposta a incidentes inter-
namente e convocam os contratados para auxiliar no tratamento de incidentes, 
especialmente aqueles que são mais sérios ou generalizados.
• Totalmente terceirizado: a organização terceiriza completamente seu trabalho de 
resposta a incidentes, geralmente para um contratado no local (equipe sediada na 
empresa). É mais provável que esse modelo seja usado quando a organização pre-
cisa de uma equipe de resposta a incidentes no local em tempo integral, mas não 
possui funcionários qualificados e disponíveis o suficiente. Assume-se que a organi-
zação terá funcionários supervisionando o trabalho do contratante.
Seleção do modelo de equipe
Ao selecionar modelos adequados de estrutura e de equipe para uma equipe de res-
posta a incidentes, as organizações devem considerar os seguintes fatores:
• Necessidade de disponibilidade 24/7: a maioria das organizações precisa que 
a equipe de resposta a incidentes esteja disponível 24 horas por dia, sete dias por 
semana. Isso normalmente significa que os manipuladores de incidentes podem ser 
contatados por telefone, mas também pode significar que é necessária uma presen-
ça no local. A disponibilidade em tempo real é a melhor para a resposta a inciden-
tes, porque quanto mais tempo um incidente dura, mais potencial existe para danos 
e perdas. Geralmente, o contato em tempo real é necessário quando se trabalha 
com outras organizações, por exemplo, rastreando um ataque até sua origem.
• Membros da equipe em tempo integral versus meio período: Organizações 
com necessidades limitadas de financiamento, pessoal ou resposta a incidentes 
podem ter apenas membros de equipe de resposta a incidentes em meio período, 
servindo como mais de uma equipe virtual de resposta a incidentes. Nesse caso, a 
equipe de resposta a incidentes pode ser considerada como um corpo de bombeiros 
voluntário. Quando ocorre uma emergência, os membros da equipe são contatados 
rapidamente e aqueles que podem ajudar o fazem. Um grupo existente, como o 
help desk de TI, pode atuar como um primeiro POC para relatórios de incidentes. 
Os membros do suporte técnico podem ser treinados para realizar a investigação 
inicial e a coleta de dados e, em seguida, alertar a equipe de resposta a incidentes 
se parecer que ocorreu um incidente grave.
• Moral do empregado: o trabalho de resposta a incidentes é muito estressante, 
assim como as responsabilidades de plantão da maioria dos membros da equipe.
16
17
Essa combinação torna mais fácil para os membros da equipe de resposta a inci-
dentes se tornarem excessivamente estressados. Muitas organizações também se 
esforçarão para encontrar pessoas dispostas, disponíveis, experientes e qualifica-
das para participar, particularmente no apoio 24 horas por dia. Segregar papéis, 
particularmente reduzir a quantidade de trabalho administrativo que os membros 
da equipe são responsáveis por realizar, pode ser um impulso significativo para o 
moral da equipe.
• Custo: o custo é um fator importante, especialmente se os funcionários precisarem 
estar no local 24 horas por dia, 7 dias por semana. As organizações podem não in-
cluir os custos específicos da resposta a incidentes nos orçamentos, como financia-
mento suficiente para treinamento e manutenção de habilidades. Como a equipe de 
resposta a incidentes trabalha com tantas facetas de TI, seus membros precisam de 
um conhecimento muito mais amplo do que a maioria dos membros da equipe de 
TI. Eles também devem entender como usar as ferramentas de resposta a inciden-
tes, como software forense digital. Outros custos que podem ser negligenciados são 
a segurança física das áreas de trabalho e mecanismos de comunicação da equipe.
• Expertise da equipe: o tratamento de incidentes requer conhecimento especia-
lizado e experiênciaem diversas áreas técnicas; a amplitude e a profundidade do 
conhecimento necessário variam com base na gravidade dos riscos da organização. 
Os Outsourcers (expressão em inglês normalmente traduzida para português como 
terceirização. No mundo dos negócios, o outsourcing é um processo usado por 
uma empresa no qual outra organização é contratada para desenvolver uma certa 
área da empresa) podem possuir um conhecimento mais profundo de detecção 
de intrusão, análise forense, vulnerabilidades, explorações e outros aspectos de 
segurança do que os funcionários da organização. Além disso, podem correlacio-
nar eventos entre os clientes para que eles possam identificar novas ameaças mais 
rapidamente do que qualquer cliente individual. No entanto, os membros da equipe 
técnica dentro da organização geralmente têm um conhecimento muito melhor do 
ambiente da organização do que um terceirizado, o que pode ser benéfico na identi-
ficação de falsos positivos associados ao comportamento específico da organização 
e à importância dos alvos.
Centros de Resposta e Tratamento
de Incidentes no Brasil (CERT.br)
O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet no 
Brasil, mantido pelo NIC.br (Núcleo de Informação e Coordenação do Ponto BR), do 
Comitê Gestor da Internet no Brasil ou CGI. É o responsável por tratar incidentes de 
segurança em computadores que envolvam redes conectadas à Internet brasileira, atu-
ando como um ponto central para notificações de incidentes de segurança no Brasil, 
promovendo a coordenação e o apoio no processo de resposta a incidentes e, quando 
17
UNIDADE 
Passos para Resposta a Incidentes
necessário, colocando as partes envolvidas em contato, a fim de evitar que problemas 
relacionados à segurança em nosso país ocorram ou se propaguem (CERT.br, 2019).
Além do processo de tratamento a incidentes em si, o CERT.br também tem atuação 
em relação ao trabalho de conscientização sobre os problemas de segurança, análise de 
tendências e correlação entre eventos na Internet brasileira e auxílio ao estabelecimento 
de novos CSIRTs no Brasil. Tais atividades têm como objetivo estratégico aumentar os 
níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à 
Internet em nosso país. As atividades conduzidas pelo CERT.br fazem parte das seguin-
tes atribuições do CGI.br:
• Estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Inter-
net no Brasil;
• Promover estudos e recomendar procedimentos, normas e padrões técnicos e ope-
racionais, para a segurança das redes e serviços de Internet, bem assim para a sua 
crescente e adequada utilização pela sociedade;
• Ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet.
Bem como dos objetivos do NIC.br, conforme seu Estatuto:
• Atender aos requisitos de segurança e emergências na Internet brasileira em articu-
lação e cooperação com as entidades e os órgãos responsáveis;
• Promover ou colaborar na realização de cursos, simpósios, seminários, conferên-
cias, feiras e congressos, visando contribuir para o desenvolvimento e aperfeiçoa-
mento do ensino e dos conhecimentos nas áreas de suas especialidades.
Principais atividades do CERT.br
• Tratamento de incidentes: dar suporte ao processo de recuperação e análise de 
ataques e de sistemas comprometidos; estabelecer um trabalho colaborativo com 
outras entidades, como outros CSIRTs, empresas, universidades, provedores de 
acesso e serviços Internet e backbones e manter estatísticas públicas dos incidentes 
tratados e das reclamações de spam recebidas.
• Treinamento e conscientização: oferecer treinamentos na área de tratamento de 
incidentes de segurança, especialmente para membros de CSIRTs e para institui-
ções que estejam criando seu próprio grupo; desenvolver documentação de apoio 
para administradores de redes Internet e usuários; realizar reuniões com setores 
diversos da Internet no Brasil, de modo a articular a cooperação e implantação de 
boas práticas de segurança.
• Análise de tendências de ataques: aumentar a capacidade de detecção de inciden-
tes, correlação de eventos e determinação de tendências de ataques no espaço de 
Internet brasileiro, através da manutenção de uma rede de honeypots distribuídos 
em diversas redes do país; obter, através de honeypots de baixa interatividade, dados 
sobre o abuso da infraestrutura de redes conectadas à Internet para envio de spam.
18
19
Grupos de segurança brasileiros
Como foi dito anteriormente, também no Brasil temos vários CSIRTs. Para que pos-
samos conhecê-los melhor, vamos apresentar alguns Grupos de Segurança e Resposta 
a Incidentes (CSIRTs) brasileiros (pelo menos que que permitem sua apresentação, pois 
alguns CSIRTs são de organizações públicas, militares e estratégicas e que preferem 
ficar no anonimato). O mapa apresenta as cidades onde estão sediados alguns desses 
CSIRTs (CERT.br, 2019).
Porte Alegre
CERT-RS
CSIRT SICREDI
TRI
São José dos Campos
GSR/INPE
Campinas
CAIS/RNP
CSIRT Unicamp
Belo Horizonte
CSIRT Cemig
CSIRT POP-MG
Brasília
CCTIR/EB
CSIRT BB
CSIRT CAIXA
CSIRT CETRA
CTIR.FAB
CTIR Gov
ETIR Correios
GATI
GRA/SERPRO
GRIS-CD
Natal
NARIS
Salvador
CERT.Bahia
Rio de janeiro
CEO/RedeRio
CSIRT.globo
CISRT Petrobras
CTIM
CTIR/Dataprev
EMBRATEL
Oi
Star One
São Paulo
CERT.br
Cielo CSIRT
CLRI-TRF3
CSIRT Locaweb
CSIRT PRODESP
CSIRT Santander
CSIRT Telefonica - Vivo
CSIRT TIM
CSIRT TIVIT
CSIRT UOL
CSIRT USP
CRC/Unesp
GRIS Abril
Uberlândia
CTBC Telecom
Figura 2 – Alguns CSIRTs Brasileiros do NIC.br
Fonte: Adapta de Getty Images
19
UNIDADE 
Passos para Resposta a Incidentes
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
 Sites
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
https://www.cert.br
 Livros
Implantando a governança de TI
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. 4ª ed. São 
Paulo: Brasport, 2018.
NIST - Computer Security Incident Handling Guide
MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST - Computer Security 
Incident Handling Guide. Revision 2. NIST, EUA, 2012.
20
21
Referências
CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Seguran-
ça no Brasil, NIC.br/CGI. São Paulo, 2019. Disponível em: <https://www.cert.br/>. 
Acesso em: 10 fev. 2019.
FERNANDES, A. A.; ABREU, V. F. Implantando a governança de TI. 4ª ed. São 
Paulo: Brasport, 2018.
MILAR, T.; CICHONSKI, P.; GRANCE, T.; SCARFONE, K. NIST - Computer 
Security Incident Handling Guide. Revision 2. NIST, EUA, 2012.
NIELES, M.; DEMPSEY, K.; PILLITERI, V. NIST - An Introduction to Information 
Security. Revision 1. NIST, EUA, 2017.
OLIVEIRA, B. S. Métodos ágeis e gestão de serviços de TI. 1ª ed. São Paulo: 
Brasport, 2018.
OLIVEIRA, F. B. Tecnologia da informação e comunicação. 1ª ed. São Paulo: 
Pearson, 2012.
21