Tratamento de Incidentes de Segurança

Prévia do material em texto

Tratamento 
de Incidentes 
de Segurança
Tratamento de 
Incidentes de 
Segurança
 
Tratamento de 
Incidentes de 
Segurança
 
Rio de Janeiro
Escola Superior de Redes
2015
Copyright © 2015 – Rede Nacional de Ensino e Pesquisa – RNP 
Rua Lauro Müller, 116 sala 1103 
22290-906 Rio de Janeiro, RJ
Diretor Geral 
Nelson Simões
Diretor de Serviços e Soluções 
José Luiz Ribeiro Filho
Escola Superior de Redes
Coordenação 
Luiz Coelho
Coordenação Acadêmica de Segurança e Governança de TI 
Edson Kowask
Edição 
Lincoln da Mata
Revisão técnica 
Jácomo Picolini
Equipe ESR (em ordem alfabética) 
Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, 
Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, 
Renato Duarte e Yve Abel Marcial.
Capa, projeto visual e diagramação 
Tecnodesign
Versão 
2.0.0
Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-
trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de 
conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e 
Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a 
pessoas ou bens, originados do uso deste material. 
As marcas registradas mencionadas neste material pertencem aos respectivos titulares.
Distribuição 
Escola Superior de Redes 
Rua Lauro Müller, 116 – sala 1103 
22290-906 Rio de Janeiro, RJ 
http://esr.rnp.br 
info@esr.rnp.br
Dados Internacionais de Catalogação na Publicação (CIP)
C416t Ceron, João 
 Tratamento de Incidentes de Segurança / João Ceron. – Rio de Janeiro: RNP/ESR, 2014 
 208 p. : il. ; 27,5 cm.
 ISBN 978-85-63630-46-9
 1. Segurança de computador. 2. Internet – medidas de segurança. 3. Centro de estudos, 
 Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT). 4. Grupo de Resposta a 
 Incidentes de Segurança (CSIRT). I. Título..
 CDD 005.8
iii
Sumário
Escola Superior de Redes
A metodologia da ESR ix
Sobre o curso  x
A quem se destina x
Convenções utilizadas neste livro x
Permissões de uso xi
Sobre o autor xii
1. Definições e fundamentos de CSIRTs
Introdução 1
Contextualização histórica  2
Identificando CSIRTs pelo mundo 3
Definição de CSIRT 3
Exercício de fixação 1 – Conhecendo CSIRTs 4
Abrangência operacional e missão do CSIRT 5
Serviços de CSIRTs 6
Aspectos operacionais de um CSIRT 10
Tipos 10
Modelos 11
Autonomia  11
Definição de incidente 12
Passos para criação de um CSIRT 13
Fóruns de CSIRTS  13
iv
Roteiro de Atividades 1 15
Atividade 1.1 – Criação de um CSIRT 15
Atividade 1.2 – Nome e sigla 15
Atividade 1.3 – Abrangência operacional 15
Atividade 1.4 – Missão 15
Atividade 1.5 – Estrutura organizacional  15
Atividade 1.6 – Serviços  16
Atividade 1.7 – Incidente de segurança  17
2. Gerenciamento do CSIRT
Introdução 19
Código de conduta 19
Equipe 21
Treinamento e desenvolvimento da equipe 24
Terceirização de serviços  24
Contratação  25
Procedimentos de ingresso e desligamento 27
Requisitos estruturais 28
Comunicação  31
Fatores de sucesso  33
Roteiro de Atividades 2 37
Atividade 2.1 – Entrevista coletiva 37
Atividade 2.2 – Contratação  37
Atividade 2.3 – Desligamento  38
Atividade 2.4 – Entrevista de emprego 38
Atividade 2.5 – Comunicando-se com a imprensa 39
Atividade 2.6 – Avaliação de incidente 39
Atividade 2.7 – Procedimentos 40
Atividade 2.8 – Gerenciamento de CSIRT 40
3. Riscos e ameaças
Introdução 41
Análise de risco 41
Ameaças associadas a segurança de sistemas  44
v
Comprometimento de sistemas 45
Phishing 46
Desfiguração 47
Ataques de força bruta 47
Varredura em redes (Scan) 48
Negação de serviço (DoS e DDoS) 48
Malwares 50
Outros riscos 53
APT 54
Roteiro de Atividades 3 57
Atividade 3.1 – Análise de riscos  57
Atividade 3.2 – Ameaças de segurança 57
Atividade 3.3 – Comprometimento de sistemas 58
Atividade 3.4 – Ataques web 58
Atividade 3.5 – Ataques de força bruta 59
Atividade 3.6 – Atuando com APTs 59
Atividade 3.7 – Ataques de negação de serviço (DoS) 60
4. Processo de tratamento de incidentes
Introdução 61
Metodologia para resposta a incidentes 62
Preparação  63
Contenção  68
Erradicação 70
Recuperação 70
Avaliação 72
Recursos adicionais  73
Roteiro para avaliação inicial de um incidente 73
Procedimentos  74
Roteiro de atividades 4 77
Atividade 4.1 – Notificação de incidentes 77
Atividade 4.2 – Preparação 77
Atividade 4.3 – Detecção  78
Atividade 4.4 – Contenção 78
Atividade 4.5 – Erradicação 79
vi
Atividade 4.6 – Recuperação  79
Atividade 4.7 – Monitoração de acessos  79
5. Aspectos operacionais da resposta a incidentes
Introdução 81
Aspectos operacionais da resposta a incidente 81
Identificação 82
Mensagens de e-mail  83
Análise de cabeçalho 84
Atividade 5.1 – Análise de cabeçalho de e-mail 87
Atividade 5.2 – Utilizando o protocolo SMTP 88
Sincronismo de tempo 90
Atividade 5.3 – Padronização do formato data e hora 92
Priorização  93
Categorização  94
Atividade 5.4 – Classificação e triagem de incidentes 95
Atribuição  96
Escalação de incidentes  97
Notificação de incidentes 98
Boas práticas para a notificação de incidentes de segurança 103
Roteiro de atividades 5 105
Atividade 5.1 – Utilizando PGP 105
Atividade 5.2 – PGP Web-of-Trust 106
Atividade 5.3 – Notificação de incidentes 106
Atividade 5.4 – Identificar informações relevantes em uma notificação recebida 106
6. Identificação de contatos
Introdução 109
Identificação de contatos 110
Traduzir domínios de redes para endereços IP (domínio > IP) 110
Traduzir o endereço IP para domínios de redes (IP > domínio) 111
Serviço WHOIS 111
National Internet Registry 112
Domínios de rede 113
Exercício de fixação 116
Endereçamento IP 116
vii
Exercício de fixação 118
Recursos adicionais 119
Ferramentas 119
Exercício de fixação – utilizando a ferramenta DIG 122
Exercício de fixação – Sistemas Autônomos 124
Roteiro de atividades 6 129
Atividade 6.1 – Dados sensíveis 129
Atividade 6.2 – Investigação de incidentes 129
Atividade 6.3 – Investigação de contatos 130
7. Análise de Logs 
Introdução 131
Mensagens de logs 132
Sistemas de logs 135
Diversidade no formato dos logs 137
Gerenciamento de logs 139
Análise de logs 140
Filtragem 143
Normalização 144
Correlação  145
Ferramentas para o processamento de logs 147
Aspectos de segurança  149
Recomendações para sistemas de logs 150
Roteiro de atividades 7 153
Atividade 7.1 – Syslog 153
Atividade 7.2 – Infraestrutura de logs 153
Atividade 7.3 – Mensagens de logs 154
Atividade 7.4 – Sumarização de logs 156
Atividade 7.5 – Análise de logs 157
8. Ferramentas para análise de incidentes
Introdução 159
Preocupações de privacidade  160
Proxies  162
Web-Proxies  163
viii
Virtual Private Network (VPN) 165
Rede Tor 165
Uso da rede Tor na investigação de incidentes 166
Mecanismos de busca 167
Analisadores de malwares 167
Assinaturas de malwares  168
Ferramentas multiantivírus 169
Roteiro de atividades 8 173
Atividade 8.1 – Virustotal 173
Análise comportamental 173
Atividade 8.2 – Análise dinâmica de arquivos maliciosos 177
Considerações sobre o uso de ferramentas online 178
Analisadores de websites 178
Outros serviços online  181
Listas de bloqueio  181
Atividade 8.3 – Pesquisando por sites relacionados com fraudes 182
Repositório de websites desfigurados 182
Atividade 8.4 – Identificar servidores que já foram comprometidosutilizando a base de 
dados do zone-h 183
Análise de artefatos 184
Atividade 8.5 – Diferentes formas de ocultar o IP de origem 184
Atividade 8.6 – Privacidade 185
Atividade 8.7 – Uso de proxies 185
Atividade 8.8 – Deep Web 186
9. Dinâmica de tratamento de incidentes 
Introdução 189
Contextualização 189
SIFRA 191
Tratamento de incidentes de segurança  192
Roteiro de atividades 9 193
Atividade 9.1 – Reunião 193
ix
A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) 
responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-
ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências 
em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e 
unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do 
corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-
veis ao uso eficaz e eficiente das TIC. 
A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto 
de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e 
Governança de TI.
A ESR também participa de diversos projetos de interesse público, como a elaboração e 
execução de planos de capacitação para formação de multiplicadores para projetos edu-
cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil 
(UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de 
cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).
A metodologia da ESR
A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na 
aprendizagem como construção do conhecimento por meio da resolução de problemas típi-
cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza 
teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não 
apenas como expositor de conceitos e informações, mas principalmente como orientador do 
aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. 
A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema 
semelhantes às encontradas na prática profissional, que são superadas por meio de análise, 
síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-
blema, em abordagem orientada ao desenvolvimento de competências. 
Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as 
atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-
dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor 
busca incentivar a participação dos alunos continuamente. 
Escola Superior de Redes
x
As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das 
atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de 
estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-
ção do futuro especialista que se pretende formar. 
As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo 
para as atividades práticas, conforme descrição a seguir:
Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). 
O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema 
da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta 
questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma 
à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se 
coloque em posição de passividade, o que reduziria a aprendizagem. 
Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). 
Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e 
realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no 
livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer 
explicações complementares. 
Terceira etapa: discussão das atividades realizadas (30 minutos). 
O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, 
devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a 
comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, 
estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem 
soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.
Sobre o curso 
O curso apresenta os conceitos fundamentais e descreve as fases de tratamento de inciden-
tes de segurança com exercícios práticos e simulações de casos. O curso apresenta ainda as 
atividades necessárias para que seja estabelecida uma Equipe de Tratamento e Resposta a 
Incidentes em Redes Computacionais – ETIR, suas responsabilidades, seu modelo de atuação 
e estrutura. Ao final do curso o aluno estará preparado para iniciar a criação de um grupo de 
atendimento a incidentes de segurança (Computer Security Incident Response Team - CSIRT) 
e com conhecimento necessário para realizar o tratamento de incidentes na sua organização.
A quem se destina
O curso destina-se aos gestores e profissionais da área de segurança da informação e de TIC 
que necessitam adquirir e desenvolver competências e habilidades para iniciarem a área de 
Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e 
Resposta a Incidentes em Redes Computacionais – ETIR de acordo com a norma complementar 
do DSIC e as boas práticas de mercado. Também poderão se beneficiar outros profissionais 
desejam adquirir o conhecimento sobre ETIR e tratamento de incidentes.
Convenções utilizadas neste livro
As seguintes convenções tipográficas são usadas neste livro:
Itálico 
xi
Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. 
Largura constante
 
Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída 
de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem 
o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\).
Conteúdo de slide q 
Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. 
Símbolo w 
Indica referência complementar disponível em site ou página na internet.
Símbolo d 
Indica um documento como referência complementar.
Símbolo v 
Indica um vídeo como referência complementar. 
Símbolo s 
Indica um arquivo de aúdio como referência complementar.
Símbolo ! 
Indica um aviso ou precaução a ser considerada.
Símbolo p 
Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao 
entendimento do tema em questão.
Símbolo l 
Indica notas e informações complementares como dicas, sugestões de leitura adicional ou 
mesmo uma observação.
Permissões de uso
Todos os direitos reservados à RNP. 
Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. 
Exemplo de citação: TORRES, Pedro et al. Administração de Sistemas Linux: Redes e Segurança. 
Rio de Janeiro: Escola Superior de Redes, RNP, 2013.
Comentários e perguntas
Para enviar comentários e perguntas sobre esta publicação: 
Escola Superior de Redes RNP 
Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo 
Rio de Janeiro – RJ – 22290-906 
E-mail: info@esr.rnp.br
xii
Sobre o autor
Jácomo Picolini é formadoem Engenharia pela Universidade Federal de São Carlos, com 
pós-graduações no Instituto de Computação e Instituto de Economia da UNICAMP, possui 
17 anos de experiência na área de segurança, trabalhou no CAIS/RNP até 2009 e depois 
como Coordenador Acadêmico da área de Segurança e Governança de TI ESR/RNP até 
2011, Diretor no Dragon Research Group, membro da diretoria do capítulo da ISACA de 
Brasília 2011-2014, membro da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia 
da OAB SP, liasion do FIRST.org onde coordena as atividades de treinamento, professor 
convidado em cursos de pós-graduação nas disciplinas de análise forense, tratamento de 
incidentes, segurança de sistemas, criação e gerenciamento de CSIRTs. Atualmente trabalha 
na empresa Team Cymru NFP e faz parte da equipe que provê informações para tornar a 
Internet mais segura.
Edson Kowask Bezerra é profissional da área de segurança da informação e governança 
há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e 
gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-
ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de 
grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com 
vasta experiência nos temas de segurança e governança, tem atuado também como pales-
trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em 
segurança e governança. É professor e coordenador de cursos de pós-graduação na área de 
segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como 
Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.
1
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
ob
je
tiv
os
conceitos
1
Definições e fundamentos 
de CSIRTs
Aprender conceitos e termos mais importantes de um CSIRT; Descrever os principais 
aspectos operacionais de um CSIRT; Iniciar o processo de criação de um CSIRT.
 
O CSIRT; Definições importantes na criação de um CSIRT (Computer Security 
Incident Response Team ou Grupo de Resposta a Incidentes de Segurança, na sigla 
em inglês); Conceito de “incidente de segurança”.
 
 
Introdução
qO contínuo crescimento e a popularização da internet estão sendo acompanhados pelo 
aumento de novas ameaças de segurança dos sistemas computacionais. Com o passar 
do tempo, entretanto, as ameaças e ataques aos sistemas computacionais têm aumen-
tado consideravelmente. Esse aumento é decorrente de inúmeros fatores, entre os quais 
o aumento no número de usuários, o aumento no número de transações financeiras e, 
sobretudo, o aumento do grau de dependência tecnológica da sociedade.
Boa parte dos serviços está amplamente acessível na rede, de modo a prover suas funciona-
lidades aos seus usuários. Consequentemente, esses sistemas também se tornam expostos 
aos diferentes tipos de ameaças. Tais ameaças incluem atividades de usuários, softwares 
maliciosos e vulnerabilidades associadas aos serviços utilizados. Diante disso, torna-se 
essencial implementar mecanismos para lidar com eventos de segurança antes mesmo 
que danos significativos sejam causados às instituições. Além do mais, é necessário que os 
procedimentos tradicionais para proteção de sistemas sejam constantemente aprimorados 
de modo a contemplar as novas ameaças e ataques emergentes na internet.
qEsse contexto fomentou o surgimento de equipes especializadas em lidar com incidentes 
de segurança. Dessa forma, a equipe pode desenvolver metodologias para proteger os 
sistemas e, na ocorrência de um avento arbitrário de segurança, esse grupo de pessoas 
pode prontamente interceder de forma efetiva. 
2
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
Contextualização histórica 
qAtualmente observam-se muitos times de segurança constituídos em diferentes insti-
tuições. Nos primórdios da internet, o número de incidentes de segurança era bastante 
reduzido e de baixa complexidade. No entanto, com o passar do tempo, os incidentes 
de segurança obtiveram novas proporções, sobretudo após o incidente de segurança 
denominado de Internet Worm.
Esse incidente fomentou a discussão na comunidade de segurança pela necessidade de 
melhores meios para identificar e responder incidentes de computadores na internet de 
forma efetiva. 
qComo resultado, um conjunto de recomendações foi especificado tendo como 
principal demanda: 
 1 Criar um único ponto de contato na rede para comunicar problemas de segurança; 
 1 Atuar de forma confiável com informações de segurança. 
Em resposta a essas recomendações, foi institucionalizado o primeiro grupo de resposta 
a incidentes, conhecido como CERT Coordination Center (CERT/CC), localizado na univer-
sidade de Carnegie Mellon, nos Estados Unidos. 
Na Europa, o mesmo modelo foi adotado, e em 1992 o provedor acadêmico holandês SURFnet 
fundou o primeiro time europeu, o qual foi denominado SURFnet-CERT. Consequentemente, 
outros times foram implementados em diferentes intuições e em diversos países.
qNo Brasil não foi diferente. Embora a primeira conexão da internet tenha sido oficial-
mente inaugurada em 1989, a internet realmente ganhou corpo em 1995, quando foi 
liberada a operação da internet comercial no Brasil. No mesmo ano, o Comitê Gestor 
da Internet no Brasil (CGI.br) foi criado com a responsabilidade de coordenar e integrar 
todas as iniciativas de serviços internet no país, promovendo a qualidade técnica, a ino-
vação e a disseminação dos serviços ofertados.
Entre as diversas iniciativas do CGI.br, a publicação do documento Rumo à Criação de 
uma Coordenadoria de Segurança de Redes na Internet Brasil em agosto de 1996 foi um 
marco para a segurança da internet brasileira. 
Nesse documento, são discutidos aspectos de segurança nacional e a importância dos 
CSIRTs para a segurança da rede. Entre as recomendações, sugeriu-se a criação de um 
centro nacional de coordenação de segurança de redes.
qCom base nas recomendações do CGI.br, em junho de 1997 foi estabelecido o primeiro 
grupo de responsabilidade nacional, denominado NIC BR Security Office (NBSO), que 
posteriormente seria renomeado para CERT.br. 
No mesmo ano, outros times de diferentes instituições brasileiras foram formalizados:
q 1 1997:
 2 Fundação do CAIS: CSIRT da própria Rede Nacional de Ensino e Pesquisa (RNP);
 2 Fundação do NBSO (Cert.br);
 2 Fundação do CERT-RS: CSIRT da rede acadêmica do Rio Grande do Sul.
 1 1999:
 2 Fundação do GRA: CSIRT do SERPRO (Serviço Federal de Processamento de Dados);
 2 Fundação de diversos CSIRTs em universidades e operadores de telecomunicações.
Internet Worm: 
Em 1988, o incidente 
Internet Worm deixou 
milhares de compu-
tadores inoperantes. 
Estima-se que seis 
mil sistemas foram 
afetados, o que repre-
sentava aproximada-
mente 10% da internet 
operante na época. 
3
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
q 1 2004:
 2 Fundação do CTIR Gov: CSIRT voltado para a administração pública federal.
 1 2010:
 2 Fundação do CDCiber: CSIRT responsável pelo setor cibernético no exército.
No Brasil, atualmente, podemos encontrar diversos grupos estabelecidos em diferentes 
estados. No website do CERT.br são ilustrados alguns times estabelecidos e respectivas 
informações de contato. 
Identificando CSIRTs pelo mundo
Os websites a seguir podem ser utilizados para localizar CSIRTs e suas respectivas abrangências 
operacionais nos mais diversos países.
 1 http://www.first.org/members/teams
 1 http://www.rnp.br/cais/csirts.html1 http://www.cert.br/contato-br.html
 1 http://www.cert.org/csirts/national/contact.html
 1 http://www.apcert.org/about/structure/members.html
 1 http://www.cert.org/csirts/csirt-map.html
Definição de CSIRT
qUm Computer Security Incident Response Team (CSIRT) ou um Computer Security Inci-
dent Response Team (CSIRT) – em português, Grupo de Resposta a Incidentes de Segu-
rança – é uma organização que responde a incidentes de segurança provendo suporte 
necessário para resolver ou auxiliar na resolução.
O CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a 
entidade que o mantém, tal como empresa, órgão governamental ou organização acadêmica. 
Independentemente de sua atuação, é fundamental que um CSIRT tenha a habilidade de ana-
lisar e prover rapidamente meios efetivos para tratar um incidente. A rápida identificação e 
a efetiva análise de um incidente de segurança podem diminuir possíveis danos e, em última 
análise, diminuir os eventuais custos de uma recuperação. Como consequência, a análise de 
incidentes permite a implementação de medidas preventivas evitando que eventos similares 
aconteçam novamente.
qExiste uma sutil diferença entre um CSIRT e uma equipe de segurança departamental. 
Uma equipe de segurança departamental desenvolve ações habituais relativas à moni-
toração de redes e sistemas, como por exemplo: atualização de sistemas; configuração 
de filtro de pacotes; análise de logs; gerenciamento de redes e outras tarefas. Já um 
CSIRT atua com foco na resposta de incidentes, implementando um ponto central para 
notificação, análise e coordenação de incidentes na organização. De forma comple-
mentar, um CISRT pode complementar suas atividades incorporando tarefas de uma 
equipe de segurança departamental; entretanto, seu foco deve estar no tratamento de 
incidentes de segurança.
Organizações que implementam CSIRTs valem-se dos seguintes benefícios:
 1 Existência de mecanismos de resposta a incidentes de segurança;
 1 Instituição preparada para as ameaças emergentes;
4
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
q 1 Aumento do grau de segurança, ao desenvolver uma cultura de segurança;
 1 Criação de mecanismos que visam à preservação da instituição;
 1 Introdução de senso crítico em relação à visão tradicional de TI.
É comum questionar-se em relação à denominação de grupos a resposta a incidentes. Além 
de CSIRT, outras siglas são rotineiramente empregadas para designar grupos de resposta a 
incidentes de segurança. Talvez as siglas mais utilizadas sejam: CERT e ETIR. 
A identidade de um grupo começa pela definição do seu nome. 
qO nome e a sigla permitem ao seu CSIRT criar uma identidade própria, que deve estar 
alinhada com a de sua instituição e, se possível, refletir o setor que representa (banco, 
indústria, governo etc.).
A seguir uma listagem de siglas e nomes de alguns times:
 1 CERT/CC: Computer Emergency Response Team/Coordination Center;
 1 CAIS/RNP: Centro de Atendimento a Incidentes de Segurança da Rede Nacional de 
Ensino e Pesquisa;
 1 CENATIS: Centro de Atendimento e Tratamento de Incidentes de Segurança da 
Universidade Federal do Rio de Janeiro (UFRJ);
 1 CERT.BR: Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança 
no Brasil;
 1 NARIS: Núcleo de Atendimento e Resposta a Incidentes de Segurança da Universi-
dade Federal do Rio Grande do Norte (UFRN);
 1 GRIS-CD: Grupo de Resposta a Incidentes de Segurança da Câmara dos Deputados;
 1 TRI: Time de Resposta a Incidentes da Universidade Federal do Rio Grande do Sul 
(UFRGS);
 1 CERT-RS: Centro de Emergências em Segurança da Rede Tchê;
 1 USP/CSIRT: Centro de Resposta a Incidentes de Segurança da Universidade de São 
Paulo (USP);
 1 GRA/SERPRO: Grupo de Resposta a Ataques do Serviço Federal de Processamento de 
Dados (SERPRO).
Exercício de fixação 1 e 
Conhecendo CSIRTs
Através de uma consulta na internet, localize dois exemplos de grupos de resposta a 
incidentes de segurança nas áreas listadas a seguir. Escreva a sigla, o nome do grupo e a 
comunidade de atuação.
CSIRT governamental:
1. 
2. 
 
A sigla CERT (Computer 
Emergency Response 
Team) é uma marca 
patenteada e somente 
pode ser usada 
mediante prévia 
autorização. Já a sigla 
ETIR representa Equipe 
de Tratamento e 
Resposta a Incidentes 
em redes de computa-
dores, o que corres-
ponde a uma tradução 
livre do termo CSIRT.
l
Leitura recomendada 
– definição de CSIRTs 
segundo o CERT/CC: 
http://www.cert.org/
csirts/csirt_faq.html e 
http://www.cert.br/
certcc/csirts/csirt_
faq-br.html e Departa-
mento de Segurança da 
Informação e Comuni-
cações: http://dsic.
planalto.gov.br/
d
5
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
CSIRT de instituição financeira:
1. 
2. 
 
CSIRT comercial:
1. 
2. 
 
CSIRT acadêmico: 
1. 
2. 
 
Abrangência operacional e missão do CSIRT
qA abrangência operacional, também conhecida por constituency, define a comunidade 
atendida pelos serviços do CSIRT. A abrangência operacional de um CSIRT pode ser 
composta por diversos domínios administrativos, diferentes redes, ou ainda por um 
conjunto específico de domínios. Por exemplo: “O CSIRT exemplo atende domínios e 
endereços IP alocados para o AS XXXX”; ou ainda, de forma mais flexível: “Redes, ende-
reços IP e domínios atendidos pela instituição”.
Com a definição da abrangência operacional torna-se possível mapear as necessidades 
e anseios da comunidade utilizadora, o que possibilita, em um contexto mais amplo, 
definir a missão do CSIRT. 
A missão de um CSIRT deve fornecer uma breve descrição das metas e objetivos da 
equipe. A definição da missão é que permite determinar o conjunto de atividades a 
serem desenvolvidas pela equipe no contexto de sua abrangência operacional. 
Recomenda-se que a missão de um CSIRT seja concisa e clara. Afinal, de certa forma, a missão de 
um CSIRT permite que entidades externas possam definir expectativas apropriadas em relação 
às ações a serem tomadas pela equipe. Alguns exemplos de definições da missão de CSIRT:
q 1 Missão do CAIS/RNP (http://www.rnp.br/cais/): “O CAIS – Centro de Atendimento a 
Incidentes de Segurança atua na detecção, resolução e prevenção de incidentes de 
segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar 
práticas de segurança em redes.”
6
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
q 1 Missão do CERT.br (http://www.cert.br/missao.html): “O CERT.br, anteriormente 
denominado NBSO/Brazilian CERT, é o Grupo de Resposta a Incidentes de Segurança 
para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo 
responsável por receber, analisar e responder a incidentesde segurança em compu-
tadores, envolvendo redes conectadas à internet brasileira.”
 1 Missão do CTIR.gov (http://www.ctir.gov.br/): “Operar e manter o Centro de Trata-
mento de Incidentes de Segurança de Redes de Computadores da Administração 
Pública Federal.”
De fato, a missão posiciona o CSIRT frente à sua comunidade de atuação. Adicionalmente, a 
sua comunidade toma conhecimento dos serviços prestados pelo time de segurança. Sabe-
se, entretanto, que o relacionamento com a comunidade de atuação deve ir além da simples 
definição e divulgação dos serviços prestados pelo time. Nesse contexto de segurança, mais 
do que nunca, ações falam mais alto do que definições escritas. Um CSIRT leva tempo para 
ter o seu reconhecimento na comunidade de atuação. Fatores como confiança e respeito são 
conquistados naturalmente com bom trabalho realizado. 
Por fim, e não menos importante, é assegurar que a missão do CSRIT tenha apoio e suporte 
da camada de gestão da instituição (diretores ou equivalentes). Do contrário, a atuação do 
time pode ser seriamente comprometida.
Serviços de CSIRTs
qOs serviços de um CSIRT definem um conjunto de atividades que serão providas para 
a sua comunidade de atuação (constituency). Evidentemente, algumas atividades são 
intrínsecas ao processo de tratamento de incidentes e, portanto, mandatórias a todos 
os CSIRTs: análise de eventos, resposta de incidentes e coordenação para resolução de 
incidentes de computadores.
Tipicamente, os CSIRTs tradicionais implementam um conjunto de serviços adicionais que 
complementam as atividades relativas ao processo de resposta a incidente, tal como a 
elaboração de alertas e anúncios relacionados à segurança. Outros CSIRTs, porém, diversi-
ficam a sua base de serviços provendo atividades de auditoria de sistemas, análise de riscos, 
treinamento e análise forense. 
qAlgumas atividades típicas de CSIRTs:
 1 Análise de artefatos maliciosos;
 1 Análise de vulnerabilidades;
 1 Emissão de alertas e advertências;
 1 Prospecção ou monitoração de novas tecnologias;
 1 Avaliação de segurança;
 1 Desenvolvimento de ferramentas de segurança;
 1 Detecção de intrusão;
 1 Disseminação de informações relacionadas à segurança.
Embora não exista um conjunto padrão de serviços que um CSIRT deva oferecer, é 
essencial que cada time de segurança especifique serviços tendo em vista seus recursos 
disponíveis, tal como equipe, expertise e infraestrutura necessária.
Segundo documen-
tação do próprio CERT/
CC, em média, um 
CSIRT leva em torno de 
um ano após o início 
de sua operação para 
que a comunidade 
assimile o time e 
comece um processo 
regular de notificações. 
O aumento de 
notificações de 
segurança para um 
CSIRT é um indício de 
acolhimento pela 
comunidade de 
abrangência.
l
7
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
O CERT/CC, por sua vez, disponibiliza um repositório de boas práticas e recomendações que 
especificam detalhes dos serviços prestados por um CSIRT. 
qSegundo a nomenclatura adotada, os serviços de um CSIRT podem ser agrupados em:
 1 Serviços reativos;
 1 Serviços proativos;
 1 Serviços de qualidade.
Os serviços correspondentes a cada categoria são listados na tabela 1.1 e descritos de 
forma mais detalhada na sequência.
Reativos Proativos Qualidade
 1Análise de Vulnerabili-
dades.
 1 Elaboração de alertas e 
avisos.
 1Gerenciamento de 
vulnerabilidades.
 1Análise de malwares e 
demais artefatos.
 1Monitoração da segu-
rança na rede.
 1Alertas de ferramentas.
 1Avaliação situacional.
 1Detecção de intrusão.
 1Desenvolvimento de fer-
ramentas de segurança.
 1Análise de processos e 
procedimentos.
 1Gerenciamento da 
equipe ou negócios.
 1 Plano de recuperação de 
desastres.
 1 Educação e treinamento.
Serviços reativos 
qSão serviços instanciados após a identificação de um incidente de segurança. Tais ser-
viços visam solucionar um incidente de segurança em execução ou prover meios para a 
investigação de incidentes previamente identificados.
De todo modo, os serviços reativos fazem parte das atividades essenciais implemen-
tadas por CSIRTs no processo de resposta a incidentes de segurança. Os serviços podem 
ser instanciados por uma notificação de um incidente – máquina comprometida, por 
exemplo – um pedido de ajuda ou, ainda, por ferramentas de detecção do próprio time 
de segurança. 
Serviços proativos
qOs serviços proativos têm por objetivo evitar que incidentes de segurança ocorram e, 
também, reduzir o impacto quando estes ocorrerem. Para isso, buscam-se desenvolver 
ações seguras de maneira a aprimorar a segurança dos sistemas como um todo, bus-
cando diminuir o potencial de sucesso dos ataques contra a infraestrutura das organiza-
ções. Alguns serviços dessa categoria estão diretamente relacionados a: 
 1 Implementar defesa em camadas e garantir que as melhores práticas de segurança 
sejam implementadas nos sistemas computacionais, incluindo a configuração, defi-
nição e implementação;
 1 Realizar tarefas de auditoria, avaliação de vulnerabilidades e outras avaliações 
que visam identificar fraquezas nos sistemas ou vulnerabilidades antes que estas 
sejam exploradas;
 1 Identificar riscos de novas ameaças e tendências de maneira a identificar como elas 
podem afetar a instituição;
 1 Atualizar assinaturas de antivírus ou IDS de maneira a conter as novas 
ameaças identificadas.
Tabela 1.1 
Os diversos 
tipos de serviços 
prestados por 
um CSIRT.
8
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
Serviços de qualidade
qSão serviços desenvolvidos para aprimorar o processo de resposta a incidentes como 
um todo. Para isso, são analisados processos administrativos do CSIRT e também a 
efetividade dos serviços prestados. Dessa forma, podem-se identificar limitações no 
processo e implementar melhorias para o time, seja elas de caráter técnica (treinamento 
técnico para a equipe) ou organizacional (fluxo de informação entre os processos). Essas 
tarefas incluem:
 1 Gerenciamento da equipe ou processos;
 1 Educação ou treinamento;
 1 Auditoria de sistemas.
Essas diferentes classificações descrevem a natureza dos serviços de um CSIRT e fica a 
critério de cada time incorporá-los à sua comunidade. Alguns serviços são essencialmente 
internos; outros; no entanto, podem ser demandados pela comunidade de atuação e 
também por terceiros. Para isso, deve-se ter claramente documentado as peculiaridades de 
cada serviço no que tange: escopo, formas de contato e funcionamento. 
Por fim, é importante que os serviços prestados por um CSIRT sejam providos com qualidade 
tendo em foco a sua comunidade de atuação. Para isso, torna-se desejável monitorar a excelência 
dos serviços prestados e aprimorá-los com lições aprendidas e contribuições dos usuários. Do 
contrário, o CSIRT pode cair em descrédito e a sua comunidade pode parar de reportar incidentes.
Interação com os serviços 
qAlém de especificar os serviços providos por um CSIRT, é essencial descrever como estes 
podem ser instanciados. Desse modo, um CSIRT deve estabelecer diferentes canais de 
comunicação para a sua comunidade, permitindo que os serviços disponíveis sejam 
solicitados. Existem diferentes meios de contato. 
Talvez o mais utilizado o sistema de e-mail. No entanto, devem-se prever outras formas de 
interação com a equipe, incluindo até mesmo requisições pessoais originadas por funcioná-
rios da própria empresa in loco. 
qQuando definir os canais de comunicação, o CSIRT deve considerar questões relativas à 
documentação das solicitações. Por exemplo:
 1 Como gerenciar um incidente notificado via telefone?1 Como atualizar a equipe referente ao status de um incidente notificado pessoalmente? 
 1 Incidentes não documentados farão parte das estatísticas de um CSIRT?
Sabe-se que um CSIRT pode se comunicar com a sua comunidade de diferentes formas. 
Na sequência, são descritos os principais canais de comunicação.
9
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
qFormas de disseminar informações e requisitar serviços: 
 1 Telefone: uma das formas mais simples e diretas de comunicação com a sua comu-
nidade de atuação é via contato telefônico. A conversação telefônica é uma forma 
direta de reportar incidentes e lidar com informações que possuem carácter de 
urgência. No entanto, ligações telefônicas podem gerar interpretações errôneas, 
sobretudo em situações de emergência. Outro ponto negativo do uso do telefone 
é a interrupção causada pelas ligações. Em eventos de segurança, é comum que 
muitas pessoas entrem em contato com o CSIRT, o que pode atrasar a resolução de 
um incidente em andamento. Alguns times optam por não realizar atendimento via 
telefone, mas disponibilizam um telefone de urgência – tal como um celular – para 
efetivamente receber ligações telefônicas de um grupo mais restrito (gerência e 
equipe técnica);
 1 INOC-DBA: O INOC-DBA (Hotline Phone System) é uma infraestrutura VoIP para comu-
nicação direta entre Centros de Operação de Redes (NOCs) e Grupos de Tratamento 
de Incidentes de Segurança (CSIRTs). Deseja-se, com isso, que todos os provedores 
e grandes redes conectadas na internet sejam facilmente contatados por quaisquer 
outros provedores do mundo. Para isso, cada participante do INOC-DBA possui um 
ramal – que corresponde ao número do próprio AS (Sistema Autônomo, na sigla em 
inglês) – e pode receber e solicitar ligações de forma gratuita. No Brasil, o Comitê 
Gestor da Internet no Brasil participa do projeto fornecendo gratuitamente telefones 
VoIP para todos os ASs e CSIRTs reconhecidos. Mais informações: http://www.ceptro.
br/CEPTRO/MenuCEPTROSPInocDba;
 1 E-mail: a maneira mais utilizada para comunicação entre o CSIRT e a comunidade 
de atuação é, sem dúvida, o e-mail. Sabemos das vantagens da comunicação via 
e-mail: rapidez, comodidade e fácil identificação do remetente. No contexto do CSIRT, 
a comunicação via e-mail é essencial. Logo, faz-se necessário que o CSIRT envie 
e, principalmente, receba todos os e-mails destinados ao time. Recomenda-se que 
nenhum tipo de filtro seja utilizado na caixa de entrada do e-mail, tal como antispam 
e antivírus (filtro de anexos). Afinal, a comunidade pode encaminhar um spam para a 
equipe analisar, e até mesmo repassar arquivos maliciosos executáveis. De forma com-
plementar, recomenda-se a utilização de e-mails impessoais, ou seja, é importante a 
instituição ter um e-mail de contato, como por exemplo “csirt@instituicao”. De forma 
resumida, as boas práticas recomendam:
 2 Utilizar e-mail impessoal;
 2 Não usar filtragem na caixa de e-mail (antispam);
 2 Cuidado com cotas e limites de e-mails recebidos ou enviados;
 2 Divulgar o e-mail institucional no website; 
 2 Manter o sistema de WHOIS apontado para um e-mail válido; 
 2 Direcionar os múltiplos e-mails (alias) do CSIRT para uma caixa postal única. 
10
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
q 1 Boletins: alguns CSIRTs costumam repassar informações de segurança para a sua 
comunidade por meio de listas de e-mails ou mesmo via boletins impressos. 
A divulgação de informações que afetam especialmente a comunidade de abran-
gência – como, por exemplo, atualização de sistemas utilizados – e dicas de segurança 
incluindo configuração segura é uma maneira efetiva de evitar incidentes de segurança;
 1 Website: é uma maneira eficaz de divulgar informações para a comunidade de abran-
gência. Além de disseminar uma variedade de informações como boletins e notícias, 
um site serve para disponibilizar procedimentos e formas de contato do CSIRT. Alguns 
times também disponibilizam ferramentas e outros softwares úteis para a comunidade. 
Embora seja praticamente mandatório todo CSIRT ter um website, é importante zelar por 
sua segurança. Afinal, um defacement no site de um CSIRT pode causar prejuízos à 
imagem do time;
 1 Conferências: participar de conferências ou mesmo promover conferências e semi-
nários é mais uma forma de comunicar-se com a comunidade de atuação. A apresen-
tação de trabalhos em conferências também é importante. Ter membros da equipe 
apresentando trabalhos em eventos pode aumentar a reputação do time e ajudar no 
processo de divulgação de informações para a comunidade;
 1 Cursos: a realização de cursos para a comunidade com foco em segurança é uma 
prática adotada por alguns times. A realização de cursos na própria instituição também 
serve para intensificar e disseminar a própria política de segurança da instituição.
É importante lembrar que a comunicação entre um CSIRT e as demais partes envolvidas tipi-
camente envolvem informações sigilosas. Questões relativas à segurança das informações – 
tráfego de dados e armazenamento das informações – devem ser consideradas pela equipe 
no momento em que um novo canal de comunicação é instaurado.
Aspectos operacionais de um CSIRT
qOs aspectos operacionais de um CSIRT definem especificamente qual será a forma de 
atuação da equipe tanto no âmbito operacional quanto no organizacional. 
As particularidades de cada CSIRT têm influência direta na estrutura e operação da equipe. 
Por exemplo, aspectos como a comunidade atendida, natureza das informações e modelo 
gerencial da equipe definirão a forma como os incidentes serão tratados internamente.
Na sequência, são discutidos os principais aspectos operacionais, considerando as particu-
laridades dos CSIRTs, incluindo abrangência operacional, modelos estruturais e autonomia 
da equipe:
q 1 Tipos;
 1 Modelos;
 1 Autonomia.
Tipos
qUm CSIRT pode ser classificado segundo a sua área de atuação. A abrangência de atuação 
dos CSIRTs está intimamente ligada ao setor de atuação. Principais categorias de CSIRTs:
 1 CSIRTs internos: são os CSIRTs que cuidam somente dos incidentes da sua instituição 
e, em alguns casos, não são publicamente divulgados. Exemplo: instituições financeiras;
Defacement:
Ataque que tem como 
objetivo alterar sem 
autorização o conteúdo 
de uma página web.
11
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
q 1 CSIRTs de coordenação: são times que atuam como intermediadores. Atuam repas-
sando informações e medindo tendências. Tais CSIRTs, tipicamente, não possuem 
nenhum poder sobre os grupos com os quais interagem. Exemplo: CSIRT nacional;
 1 CSIRTs de vendedores: são os CSIRTs que representam os fabricantes de hardware 
ou software e que tratam das vulnerabilidades existentes nos seus produtos; 
 1 CSIRTs de consultoria: prestam os serviços relacionados com a resposta de inci-
dentes de forma terceirada. Esse tipo de CSIRT é utilizado por empresas que não 
possuem o seu próprio CSIRT;
 1 CSIRTs de pesquisa: são grupos especializados em pesquisa na área de segurança, 
tipicamente relacionado com estudo de vulnerabilidades. 
Modelos
qApesar de atuarem na mesma área, os CSIRTs podem possuir modelos estruturais dife-
rentes. Principais estruturas organizacionais utilizadas na implantação dos CSIRTs:
 1 CSIRTs centralizados: a equipe possui membros dedicados às atividades do CSIRT, 
sendo estabelecida de forma centralizada no âmbito da organização;
 1 CSIRTs descentralizados: a equipe fica geograficamente distribuída em diferentes 
cidades ou, até mesmo, países. Possuiequipe dedicada às atividades de tratamento 
e resposta aos incidentes de rede computacionais, podendo atuar operacionalmente 
de forma independente, porém alinhada com as diretrizes estabelecidas pela coorde-
nação central;
 1 CSIRTs mistos: trata-se da junção entre modelos centralizados e descentralizados. 
Nessa estrutura, a equipe centralizada é responsável por criar as estratégias, geren-
ciar as atividades e distribuir as tarefas entre as equipes descentralizadas;
 1 CSIRTs de crise: a equipe é reunida durante a emergência de um processo de crise, 
sendo composta por especialistas de cada área, deixando de existir após a conclusão 
de solução do incidente.
Um desafio crescente para os CSIRTs está em acompanhar o que acontece na área de 
segurança durante as 24h do dia. Um CSIRT descentralizado ou misto possui a vantagem 
de possuir representantes em diversos fusos horários, permitindo, assim, cobertura 
mais ampla dos acontecimentos.
Autonomia 
qOutro fator crítico como aspecto fundamental de organização é a autonomia do CSIRT. 
A autonomia descreve o nível de responsabilidade e também o escopo de atuação da 
equipe sobre atividades relacionadas ao tratamento de incidentes. A classificação dos 
diferentes níveis de autonomia é apresentada a seguir:
 1 Autonomia Completa: uma equipe tem autonomia plena para tomar as decisões 
e executar as medidas necessárias para solucionar um incidente de segurança. 
As decisões podem ser tomadas pela equipe sem a necessidade de aprovação de 
níveis superiores de gestão;
 1 Autonomia Compartilhada: uma equipe com autonomia compartilhada deve atuar 
em conjunto com os outros setores da organização. Para isso, a equipe participa do 
processo de tomada de decisão sobre as ações a serem implementadas com outros 
membros da organização;
12
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
q 1 Sem Autonomia: a equipe sem autonomia só pode agir com autorização expressa 
de um responsável previamente designado. Nessa categoria a equipe apenas pode 
recomendar os procedimentos a serem executados; no entanto, não tem participação 
no processo final de decisão.
Definição de incidente
qUm incidente de segurança pode ser definido como qualquer evento adverso, confirmado 
ou sob suspeita, que pode comprometer em algum aspecto a segurança computacional. 
Em geral, toda situação na qual um ativo de informação está sob risco é considerado um 
incidente de segurança. 
A definição de um incidente de segurança é fundamental para as operações de um CSIRT. 
Apesar de muitas vezes ser abstrata, a definição deve ter relação com as atividades e área 
de atuação do próprio CSIRT. Deve-se, por exemplo, determinar que tipos de eventos serão 
tratados pela equipe. 
qExemplos comuns de incidentes incluem:
 1 A desfiguração do portal web de uma instituição;
 1 O vazamento de informações confidenciais;
 1 A propagação de um vírus por meio da lista de contatos de e-mails;
 1 O envio de spam;
 1 O comprometimento da rede;
 1 A inacessibilidade de um website.
Na sequência são listadas algumas definições de incidentes de segurança descritos por 
diferentes times e especificações de segurança:
q 1 CAIS/RNP (http://rnp.br/cais/): 
“Um incidente de segurança é resultante do mau uso dos recursos computacionais.”;
 1 CERT/CC (http://www.cert.org/tech_tips/incident_reporting.html): 
“Um ato de violação explícita ou implícita de uma política de segurança.”;
 1 Terena (www.terena.nl/activities/tf-csirt/iodef/docs/i-taxonomy_terms.html): 
“Um incidente de segurança é um evento que envolve uma violação de segurança.”;
 1 NIST (disponível em SP 800-3: Establishing a Computer Security Incident Response 
Capability): “Qualquer evento adverso em que aspectos da segurança computacional 
podem ser ameaçados”;
 1 RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt): “Qualquer evento adverso que pode 
comprometer algum aspecto da segurança de computadores ou da rede.”;
 1 DSIC (http://dsic.planalto.gov.br/legislacaodsic/53): “Qualquer evento adverso, confir-
mado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das 
redes de computadores.”
Incidentes de segurança podem facilmente resultar em impacto significativo para uma insti-
tuição se não manejados de forma correta. De fato, a severidade de um incidente é mensurada 
segundo o impacto que causa no processo de negócio de uma instituição. Por exemplo, um 
incidente que indisponibiliza um site de e-commerce possui alta severidade para a instituição.
13
 
C
ap
ítu
lo
 1
 - 
D
efi
ni
çõ
es
 e
 fu
nd
am
en
to
s 
 d
e 
C
SI
R
Ts
qTodo incidente deve ser tratado seguindo uma metodologia previamente definida pelo 
CSIRT. Essa metodologia é chamada de processo de resposta a incidente e será poste-
riormente tratada em nosso curso.
Passos para criação de um CSIRT
Conforme descrito anteriormente, existem diferentes fatores que devem ser observados 
para a criação de um CSIRT. Além de questões políticas, como aprovação organizacional, é 
importante o CSIRT ser reconhecido como atuante na própria comunidade.
qNo que tange a questões organizacionais, é importante considerar as seguintes questões 
durante o processo de formação de um CSIRT:
 1 Abrangência operacional;
 1 Missão;
 1 Serviços;
 1 Modelo organizacional;
 1 Recursos.
De forma resumida, temos nas etapas iniciais a definição do escopo de atuação, bem como 
as metas e objetivos do CSIRT. A identificação da comunidade a ser atendida é fundamental, 
pois possibilita mapear as necessidades e serviços necessários para atendê-la. Já o modelo 
organizacional – incluindo o tipo e estrutura – determinam a estratégia administrativa a ser 
implementada aos serviços. Por fim, e não menos importante: já na fase de estabelecimento 
de um novo CSIRT deve-se assegurar os recursos necessários para manter o time operacional, 
observando recursos da infraestrutura (equipamentos) e pessoal (equipe). Do contrário, as 
etapas anteriores não serão efetivas.
Fóruns de CSIRTS 
Assim como algumas categorias de instituições, os CERTs também se organizam em fóruns 
e entidades que buscam a colaboração entre os times. As principais entidades que podem 
servir de ponto de contato para localizar times são: 
q 1 FIRST: Forum of Incident Response Security Teams – 
http://www.first.org
 1 APCERT: Asian Pacific Computer Emergency Response Teams – 
http://www.apcert.org
 1 CSIRTs: European Trusted Introducer CSIRTs Members – 
http://www.ti.terena.nl 
 1 OIC: Organization of the Islamic Conference – 
http://www.oic-oci.org/
O Forum of Incident Response Security Teams (FIRST) é uma das organizações mais antigas. 
O FIRST é uma organização profissional, sem fins lucrativos, composta por diferentes CSIRTs. 
Os times de segurança que a compõem são muito heterogêneos: de times nacionais (CERTs), 
CSIRTs de vendedores, CSIRTs internos a CSIRTs comerciais. O FIRST promove eventos anuais 
para membros onde é possível estabelecer contatos com outros times e também capacitar a 
equipe nos diversos seminários e cursos disponibilizados. É importante notar que o FIRST é uma 
associação de CSIRTs, mas não atua como um CSIRT. Ou seja, o FIRST não responde a incidentes 
de segurança, mas pode ser útil para identificar os responsáveis por recursos de internet.
14
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
Leitura recomendada:
 1 Creating an Incident Response Team: 
http://www.educause.edu/ir/library/pdf/SEC0302.pdf
 1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC): 
http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf
 1RFC 2.350: Expectations for Computer Security Incident Response: 
http://www.ietf.org/rfc/rfc2350.txt
 1 Forming an Incident Response Team: 
http://www.auscert.org.au/render.html?it=2252
 1 Departamento de Segurança da Informação e Comunicações (DSIC): Criação de equipes 
de tratamento e resposta a incidentes em redes computacionais – ETIR. Disponível em: 
http://dsic.planalto.gov.br/legislacaodsic/53
15
 
C
ap
ítu
lo
 1
 - 
Ro
te
ir
o 
de
 A
ti
vi
da
de
s 
1
Roteiro de Atividades 1
Atividade 1.1 – Criação de um CSIRT
Para essa atividade, serão criados grupos. O número de pessoas por grupo ficará a critério do 
instrutor. No entanto, recomenda-se misturar pessoas que sejam provenientes da mesma 
instituição. O instrutor vai alocar cada grupo em uma das diferentes categorias: 
 1 CSIRT do Governo Federal;
 1 CSIRT bancário;
 1 CSIRT de uma universidade;
 1 CSIRT nacional;
 1 CSIRT de uma empresa de telecomunicações.
As atividades a seguir conduzirão os alunos no processo de criação de um CSIRT, tendo em 
vista os conceitos apresentados neste capítulo.
Atividade 1.2 – Nome e sigla
a. Defina um nome e uma sigla para o seu grupo.
Atividade 1.3 – Abrangência operacional
a. Defina a abrangência operacional, ou seja, a comunidade a qual o seu grupo proverá serviços.
Atividade 1.4 – Missão
a. Defina a missão do seu grupo. 
Atividade 1.5 – Estrutura organizacional 
a. Defina a estrutura organização do seu grupo incluindo tipo, modelo e escopo de atuação.
16
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
Atividade 1.6 – Serviços 
a. Com a lista de serviços do CERT/CC, cada grupo deve escolher cinco serviços que serão 
oferecidos pelo CSIRT. Leve em conta a missão e abrangência operacional: http://www.
cert.org/csirts/services.html
1. Processo de tratamento de incidente
2. 
3. 
4. 
5. 
Quantos profissionais são necessários para cada atividade?
1. Processo de tratamento de incidente: 
2. 
3. 
4. 
5. 
b. Dos serviços oferecidos, escolha quais poderiam ser utilizados para gerar recursos para o 
CSIRT. Quais adaptações seriam necessárias no seu time para que isso seja possível?
c. Para a lista de serviços oferecidos pelo seu CSIRT, defina: qual será o horário de aten-
dimento, a forma de contato e qual pessoa da equipe está capacitada para lidar com a 
requisição?
Considere as seguintes questões:
1. O CSIRT atende a casos de emergência? Quais são esses casos?
2. O CSIRT lida com informações confidenciais?
3. O CSIRT lida com informações protegidas por segredo de justiça ou que estão em fase 
de investigação?
17
 
C
ap
ítu
lo
 1
 - 
Ro
te
ir
o 
de
 A
ti
vi
da
de
s 
1
4. O CSIRT recebe denúncias de pornografia infantil?
d. Como seu CSIRT abordaria a seguinte situação?
1. O sistema de e-mail do CSIRT está inoperante. Como alternativa, um colega notifica um 
incidente crítico – vazamento de informações – via telefone. Foi deixada uma mensagem 
na secretária de voz do CSIRT na data de 25 de dezembro, 2h28. Como esse incidente 
seria tratado pela equipe?
2. Quanto tempo o incidente demorou a ser tratado? 
Quem pode acessar as mensagens do telefone?
Atividade 1.7 – Incidente de segurança 
a. Defina o que será considerado um “incidente de segurança” para o seu grupo. 
Considere que as ações futuras do seu CSIRT dependerão disso.
b. Responda se a sua definição de “incidente” abordaria a seguinte situação como sendo 
um “incidente”:
“Nesta última sexta-feira, com o início do processo de inscrição do vestibular via formulário 
eletrônico, um funcionário terceirizado da empresa de manutenção de jardins cortou o 
cabo de energia do Centro de Computação, resultando na indisponibilidade do serviço de 
inscrição até o conserto da peça, o que ocorreu somente na segunda-feira seguinte, pois a 
peça estava em falta no mercado.” 
1. Isso constitui um incidente de segurança?
2. Esse incidente estava previsto na elaboração de sua definição?
18
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
3. A partir desse exemplo, quais ajustes você faria na sua definição?
c. De forma complementar, a sua definição de “incidente” abordaria as seguintes situações 
como sendo um “incidente” ou se seria necessária alguma nova alteração?
1. Uma ligação telefônica para o diretor de departamento solicitando a senha de um ser-
vidor crítico, pois o funcionário responsável está inacessível.
2. Uma notificação em nome da companhia de eletricidade, informando uma manutenção 
técnica programada, a ser executada no final de semana, com uma janela de 8h. 
3. Um e-mail com ameaça de explosão de bomba no prédio que abriga a infraestrutura de 
rede da empresa.
4. A publicação do arquivo de senhas do servidor de e-mail no jornal interno de 
uma universidade.
5. O envio de fotos pornográficas para a lista interna de contatos da empresa.
19
 
C
ap
ítu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
C
SI
R
T
2
Gerenciamento do CSIRT
Discutir questões relacionadas aos requisitos estruturais de um CSIRT; Conhecer os 
fatores de sucesso na criação de um CSIRT; Aprender os conceitos relacionados ao 
gerenciamento de um CSIRT.
 
Gerenciamento de CSIRTs; Visão estrutural do CSIRT; Melhores práticas e condutas 
apropriadas.
 
 
Introdução
qO gerenciamento de um CSIRT, assim como outras organizações, envolvem etapas téc-
nicas e administrativas. Todas essas etapas possuem um único objetivo: assegurar que o 
CSIRT cumpra a própria missão, previamente definida. 
De forma mais específica, busca-se assegurar que os serviços relacionados à resposta a inci-
dentes de segurança sejam efetivamente prestados para a sua comunidade de abrangência.
Neste contexto, este capítulo discutirá tópicos relacionados ao gerenciamento de um CSIRT, 
tal como: gerenciamento da equipe, comunicação, requisitos estruturais e fatores de sucesso.
Código de conduta
qO código de conduta define um conjunto de premissas que balizam as ações e comporta-
mentos de um time de segurança. 
O mesmo código aplica-se a todos os membros da organização, estendendo-se aos serviços 
prestados e aos demais aspectos operacionais, tais como a comunicação e o zelo pelas 
informações. 
qDe forma específica, o código de conduta vincula princípios e valores da própria insti-
tuição com atividades desempenhadas pela equipe.
Princípios como profissionalismo, confiabilidade e liderança influenciam na forma com que o 
CSIRT é visto externamente.
Um bom código de conduta descreve princípios para a interação com os usuários dos 
serviços do CSIRT e também a maneira com que as informações são tratadas internamente 
pela equipe. Sem o devido cuidado para lidar com as informações sensíveis,é provável que 
as entidades parceiras possam hesitar em divulgar dados para o seu time em futuros inci-
dentes de segurança.
ob
je
tiv
os
conceitos
20
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
A conduta profissional com que as informações são tratadas por um CSIRT é evidentemente 
particular a cada instituição. Sabe-se que existem alguns CSIRTs que optam por regras mais 
restritivas. Um CSIRT militar, por exemplo, implementa alto nível de sigilo com as informa-
ções que gerencia. Por outro lado, um CSIRT acadêmico pode implementar um código de 
conduta mais flexibilizado no que tange ao armazenamento de informações de segurança. 
Observa-se, entretanto, que a grande maiorias dos CSIRTs possuem políticas e procedi-
mentos que classificam as informações ao menos em duas categorias: dados públicos e 
dados sigilosos. Já em uma solução mais robusta, podem-se classificar as informações em 
uma estrutura multinível. 
qA seguir temos o exemplo de uma estrutura de classificação de informações de segurança.
 1 Classificado: são informações sigilosas, onde apenas o CSIRT tem conhecimento do 
incidente. Da mesma forma, a circulação das informações é restrita aos membros do 
time de segurança. Esse tipo de classificação é utilizado em eventos de segurança 
especiais – ou ainda em incidentes com escopo bem definido;
 1 Parcialmente classificado: são dados que possuem certo nível de restrição. Tais 
informações são intercambiadas apenas com entidades com alto nível e confiança, tal 
como CSIRTs com bom relacionamento;
 1 Não classificados: são informações que podem ser divulgadas na forma pública. 
Para isso, deve-se avaliar o teor das informações a serem classificadas como “Não 
classificado”, a fim de evitar prejuízos às partes envolvidas. Na maioria das vezes, 
dados inseridos nessa categoria possuem caráter informacional, como, por exemplo, 
divulgação de documentação ou estatísticas públicas do CSIRT.
Cada nível de classificação também especifica como as informações devem ser gerenciadas 
sob o ponto de vista operacional. Em níveis mais restritivos, por exemplo, todas as informa-
ções devem ser cifradas, tanto na comunicação quanto no armazenamento.
Independentemente do modelo de classificação de informações adotado, é fundamental 
que o CSIRT mantenha-se consistente e estenda a classificação para os demais serviços e 
elementos relacionados ao processo de resposta a incidentes. 
Um exemplo consiste na gestão das informações de contatos técnicos. Por ser um ponto de 
contato para incidentes de segurança, espera-se que um CSIRT tenha um bom relaciona-
mento com entidades externas. Na maioria das vezes, a equipe do CSIRT conhece pessoas 
de outros times que podem auxiliar em uma eventual emergência. Esses contatos, que não 
são públicos, e sim fruto de uma boa relação com outras equipes, devem ser tratados de 
forma adequada segundo a conduta o seu próprio CSRIT. 
qConsidere a seguinte situação:
“O seu CSIRT recebe uma ligação de um colaborador externo (entidade A), em caráter de 
urgência, solicitando os contatos mais específicos de uma instituição (entidade B), pois 
está sofrendo ataques.”
O código de conduta de sua instituição deve prever possíveis ações que contemplem esse 
exemplo. Nesse caso, deve-se analisar se o código de conduta permite encaminhar os seus 
contatos mais específicos a entidades externas. 
qPossíveis soluções:
 1 O CSIRT não encaminha os dados (da entidade B), pois faz parte do seu código de 
conduta manter contatos mais específicos de forma confidencial;
21
 
C
ap
ítu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
C
SI
R
T
q 1 O CSIRT encaminha contatos mais específicos para o colaborador externo (entidade A);
 1 O CSIRT atua como intermediário, repassando a informação do ataque diretamente 
para a entidade B.
A divulgação de informações também faz parte do código de conduta do CSIRT. Os meios 
para divulgar informações serão tratados posteriormente por este curso; no entanto, 
cabe ao código de conduta definir uma política para a divulgação de informações. Essa 
política deve descrever o conjunto de informações que podem ser divulgadas no contexto 
de resposta a incidentes. Sem a definição dessa política, a equipe pode não ter orientação 
necessária para gerenciar o processo de resposta a incidentes.
Alguns times tratam todas as informações como estritamente confidencial, evitando o 
compartilhamento das informações fora do âmbito dos membros da equipe. No entanto, 
essa política estrita não pode ser garantida em todos os casos. Por exemplo, em casos onde 
é necessária a interação da Justiça. 
qLogo, é desejável que, independentemente da política utilizada, sejam consideradas 
algumas questões, como:
 1 Que time de informação o CSIRT divulgará quando outro CSIRT notificar um incidente 
envolvendo a comunidade de sua responsabilidade?
 1 Quando necessária interação com a Justiça, o seu CSIRT poderá prover informações 
necessárias de forma direta?
 1 Que tipo de informações serão divulgadas de forma pública?
 1 Todo incidente será notificado a um CSIRT de coordenação, como por exemplo, CERT.br?
 1 As informações de incidentes externos serão ocultadas, como por exemplo, saniti-
zação de IPs de sua rede?
Todas essas decisões fazem parte do código de conduta de um CSIRT e devem ser consi-
deradas nas etapas iniciais do estabelecimento de um CSIRT na comunidade. É importante 
notar que essa política de conduta é algo que pode ser alterado. Em muitos times, é comum 
que novas questões sejam contempladas e aprimoramentos sejam incorporados com a 
aquisição de experiência.
Equipe
Constituir uma equipe é uma das primeiras coisas a serem pensadas na etapa de estabe-
lecimento de um CSIRT. De fato, a equipe tem papel fundamental nas atividades do CSIRT, 
dando suporte às políticas internas, procedimentos e código de conduta intrínseco à ope-
ração de um time.
qSabe-se que a definição de uma equipe passa por diversos aspectos, incluindo questões 
técnicas, gerenciais e, essencialmente, a alocação de recursos financeiros. 
Do contrário, a equipe não poderá prover de forma adequada os serviços para a comunidade 
e contemplar a missão do próprio CSIRT. 
qAlguns fatores também devem ser considerados no momento da definição de uma equipe:
 1 Número de pessoas necessárias;
 1 Habilidades necessárias;
 1 Habilidades desejadas;
 1 Níveis hierárquicos;
22
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
q 1 Carga horária;
 1 Rotatividade;
 1 Ética.
Estimar o número de pessoas necessárias para uma equipe, sobretudo em etapas iniciais 
de operação, é uma tarefa complexa. O tamanho da equipe deve considerar um número 
ideal de profissionais necessários para realizar as atividades de um CSIRT, incluindo equipe 
técnica e gerencial. 
qO tamanho da equipe deve considerar aspectos como:
 1 Recursos financeiros; 
 1 Recursos humanos;
 1 Serviços prestados;
 1 Comunidade a ser atendida.
Sabe-se, no entanto, que uma vez que o time de segurança estiver estabelecido, novos 
serviços são demandados pela comunidade. Além disso, o conjunto de serviços oferecidos 
deve ser aprimorado, o que pode demandar mais trabalho que o inicialmente previsto. 
Portanto, definir o tamanho da equipe tem influência direta na qualidade das atividades 
prestadas pelo CSIRT.
Nos primeiros anos, muitos CSIRTs atuam com uma equipe minimizada e, com o passar 
do tempo, novos membros ingressam no time, aprimorando os serviços prestados. A fim 
de adequar o tamanho da equipe ao volume de trabalho demandado, recomenda-se fazer 
uma estimativa com base nas notificações recebidas por outrostimes e também no número 
de usuários conectados na rede, ou seja, a base de usuários que a equipe atenderá. Esse 
número necessário de pessoas na equipe deve considerar também o crescimento de notifi-
cações – que pode chegar a 100% ao ano – e também possíveis expansões de uma empresa. 
Não existe relação direta entre número de pessoas atendidas versus número de pessoas 
na equipe. Isso pode variar muito, afinal, está relacionado com a missão do CSIRT, onde é 
descrita a comunidade atendida e o conjunto de serviços realizados.
A equipe deve ser composta por profissionais com diferentes tipos de habilidades. Além de 
habilidades técnicas necessárias para a execução das tarefas de um CSIRT, é importante que 
os integrantes da equipe tenham habilidades administrativas e gerenciais. 
qUma equipe multifacetada inclui profissionais com expertises em diferentes áreas:
 1 Especialistas em tecnologia de segurança;
 1 Administradores de sistemas;
 1 Engenheiros de redes;
 1 Especialistas em suporte;
 1 Gerente;
 1 Conselho legal.
Evidentemente, as habilidades necessárias precisam estar alinhadas com os serviços ofe-
recidos. As habilidades técnicas desejadas na operação de um CSIRT requerem o entendi-
mento da tecnologia utilizada, tal como hardware e software. 
23
 
C
ap
ítu
lo
 2
 - 
G
er
en
ci
am
en
to
 d
o 
C
SI
R
T
qMesmo assim, existem alguns conhecimentos que são essenciais para a equipe que lida 
com incidentes de segurança:
 1 Protocolos de redes (HTTP, MTA, DNS e FTP);
 1 Sistemas Operacionais;
 1 Infraestrutura de redes (roteadores e comutadores);
 1 Ferramentas de segurança (IDS e firewall);
 1 Criptografia;
 1 Aplicações de rede;
 1 Princípios básicos de segurança;
 1 Programação.
De fato, as habilidades técnicas fazem parte dos atributos necessários para os integrantes 
de uma equipe. Porém, nem todos os membros do time necessitam ter alto nível de conheci-
mento em todas as áreas técnicas. 
É fundamental, entretanto, que a equipe consiga lidar com os incidentes reportados pela 
sua comunidade. Na prática, os outros departamentos da instituição só recorrerão ao CSIRT 
uma vez que reconheçam as competências técnicas do time para auxiliar de forma correta 
nas necessidades identificadas.
Além das habilidades técnicas, as habilidades interpessoais são igualmente importantes. 
Em alguns casos, é mais fácil aprimorar as habilidades técnicas dos integrantes de uma 
equipe do que trabalhar as habilidades interpessoais. 
As habilidades interpessoais são exigidas nas mais diferentes etapas dos serviços prestados 
por um CSIRT e não devem ser menosprezadas. A equipe está constantemente interagindo 
com times de segurança e com os demais departamentos da instituição. Sabe-se da impor-
tância da interação com a comunidade de atuação do CSIRT, afinal, a reputação do CSIRT 
depende do profissionalismo empreendido pela equipe. 
qA seguir, algumas características interpessoais desejadas:
 1 Comunicação verbal: comunicar de maneira clara e diplomática, e também saber ouvir;
 1 Comunicação não verbal: leitura, escrita e linguagem corporal (para palestras e eventos);
 1 Negociação: atuar com outros integrantes a fim de encontrar um resultado mutua-
mente aceitável;
 1 Resolução de problemas: trabalhar em equipe para identificar, definir e solucionar 
problemas, mesmo com restrições de tempo e recursos;
 1 Assertividade: comunicar valores e opiniões de forma clara e confiante.
Os melhores profissionais são aqueles que aliam habilidades técnicas a habilidades 
interpessoais, muito embora não exista um conjunto único de habilidades desejadas 
para cada time. 
É necessário avaliar a comunidade e a natureza dos serviços prestados, a fim de identificar 
as habilidades necessárias. Alguns times optam por profissionais especialistas, outros, 
porém, optam por profissionais generalistas.
Dependendo do 
tamanho da equipe, 
pode-se organizar o 
grupo por áreas, onde 
um responsável com 
bom nível técnico pode 
orientar os menos 
experientes. Adicional-
mente, as habilidades 
técnicas podem ser 
aprimoradas através 
de cursos e treina-
mentos, fazendo 
com que integrantes 
da equipe ganhem 
novas habilidades.
l
24
 
Tr
at
am
en
to
 d
e 
In
ci
de
nt
es
 d
e 
Se
gu
ra
nç
a
Treinamento e desenvolvimento da equipe
O treinamento dos profissionais do CSIRT tem como objetivo manter a equipe preparada 
para atuar no processo de resposta. Dessa forma, os integrantes do grupo podem apri-
morar suas habilidades e adquirir novas aptidões, de modo a prestar serviços de forma mais 
efetiva para a comunidade de atuação. 
qAfinal, uma equipe com conhecimento das novas tecnologias e tendências de segurança pode 
identificar mais rapidamente as características de incidentes até então não identificadas.
O processo de desenvolvimento das habilidades da equipe deve começar com uma ava-
liação prévia das habilidades existentes no time e habilidades demandadas. Esse processo 
deve avaliar cada membro da equipe de forma individual e priorizar demandas mais críticas 
para o grupo. Como resultado, pode-se efetuar um treinamento com foco no indivíduo 
ou, ainda, endereçado às limitações da equipe como um todo, tal como análise de riscos e 
comunicação em inglês.
qProcedimentos que podem ser implementados para o desenvolvimento da equipe:
 1 Estudo de procedimentos internos: ler e atualizar os procedimentos internos utili-
zados pelo CSIRT é uma forma de aprimorar habilidades individuais, sobretudo para 
os novos membros da equipe. Sabe-se que os procedimentos usados na resposta a 
incidentes são dinâmicos e necessitam de constantes atualizações. Logo, a constante 
revisão dos procedimentos internos é benéfica para o time – que mantém o material 
atualizado – e também para os integrantes, que revisitam os procedimentos utilizados 
nos incidentes passados;
 1 Programa de tutoria: a figura de um tutor é utilizada na maioria dos CSIRTs no 
treinamento de novos membros. Para isso, é designado um profissional da equipe 
com mais experiência para auxiliar um novo integrante. O processo de tutoria deve 
ser contínuo, até o tutor assegurar-se de que o novo integrante tenha proficiência e 
consiga lidar, sem cometer erros custosos, com as tarefas demandadas;
 1 Estudo individual: alguns CSIRTs consideram disponibilizar horário de trabalho para 
que o profissional estude temas específicos – tal como análise forense – para serem 
aplicados no processo de tratamento de incidentes. Para isso, a instituição deve 
prover o material técnico necessário, tal como periódicos, revistas e livros;
 1 Treinamento externo: alguns CSIRTs optam por treinar e desenvolver a equipe 
usando instituições externas com boa reputação no mercado. Muitas vezes, trata-se 
de uma questão pontual, onde novas habilidades precisam ser incorporadas à equipe 
em um curto espaço de tempo.
Terceirização de serviços 
Muitas vezes, a dificuldade de encontrar profissionais da área e estabelecer uma equipe 
de segurança acompanhando as mudanças da indústria tem fomentado a contratação de 
serviços externos, ou seja, a terceirização de serviços relacionados à segurança.
Cada instituição deve tomar as decisões que julgar mais convenientes em relação à tercei-
rização de serviços relacionados ao tratamento de incidentes de segurança. Alguns CSIRTs 
optam, por exemplo, em terceirizar etapas nas quais a equipe não tem expertise, tal como 
análise de malware. Por outro lado, outros times optam por terceirizar o CSIRT como um 
todo, atribuindo a gerência de incidentes de segurança para uma entidade externa. Alguns 
cenários onde esse modelo é comumente utilizado são em bancos e outras instituições 
25