Baixe o app para aproveitar ainda mais
Prévia do material em texto
para profissionais ligados à área de segurança da infor mação e de TIC que necessitem desenvolver competên cias e habilidades para iniciarem a área de Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR. Ao final do curso, o alunos esta rá apto a criar e gerenciar uma equipe de respostas a inci dentes de segurança, como também, a utilizar as técnicas e ferramentas para tratamento de incidentes. Este livro inclui os roteiros de atividades práticas e o con teúdo dos slides apresentados em sala de aula, apoiando profissionais na disseminação deste conhecimento em suas organizações ou localidades de origem. Tratamento de Incidentes de Segurança – Rede Nacional de Ensino e Pesquisa – é qualificada como uma Organização Social (OS), sendo ligada ao Ministério da Ciência, Tecnologia e Inovação ( M C T I ) e r e s p o n s á v e l p e l o Programa Interministerial RNP, que conta com a participação dos ministérios da Educação (MEC), da Saúde (MS) e da Cultura (MinC). Pioneira no acesso à Internet no Brasil, a RNP planeja e mantém a rede Ipê, a rede óptica nacional acadêmica de alto desempenho. Com Pontos de Presença nas 27 unidades da federação, a rede tem mais de 800 instituições conectadas. São aproximadamente 3,5 milhões de usuários usufruindo de uma infraestrutura de redes avançadas para comunicação, computação e experimentação, que contribui para a integração entre o sistema de Ciência e Tecnologia, Educação Superior, Saúde e Cultura. Tratamento de Incidentes de Segurança Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br Tratamento de Incidentes de Segurança Rio de Janeiro Escola Superior de Redes 2017 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br Copyright © 2017 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Diretor Adjunto Leandro Marcos de Oliveira Guimarães Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Edição Lincoln da Mata Revisão técnica Jácomo Picolini Equipe ESR (em ordem alfabética) Adriana Pierro, Camila Gomes, Celia Maciel, Edson Kowask, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Márcia Correa, Márcia Helena Rodrigues, Monique Souza, Renato Duarte, Thays Farias e Yve Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.3 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br info@esr.rnp.br Dados Internacionais de Catalogação na Publicação (CIP) C416t Ceron, M. João Tratamento de Incidentes de Segurança /João Marcelo Ceron. – Rio de Janeiro: RNP/ESR, 2014 168 p. : il. ; 27,5 cm. ISBN 978-85-63630-46-9 1. Segurança de computador. 2. Internet – medidas de segurança. 3. Centro de estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT). 4. Grupo de Resposta a Incidentes de Segurança (CSIRT). I. Título.. CDD 005.8 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br iii Sumário Escola Superior de Redes A metodologia da ESR ix Sobre o curso x A quem se destina x Convenções utilizadas neste livro x Permissões de uso xi Sobre o autor xii 1. Definições e fundamentos de CSIRTs Introdução 1 Contextualização histórica 2 Identificando CSIRTs pelo mundo 3 Definição de CSIRT 3 Exercício de fixação 1 Conhecendo CSIRTs 4 Abrangência operacional e missão do CSIRT 5 Serviços de CSIRTs 6 Aspectos operacionais de um CSIRT 10 Tipos 10 Modelos 10 Autonomia 11 Definição de incidente 11 Passos para criação de um CSIRT 12 Fóruns de CSIRTS 13 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br iv 2. Gerenciamento do CSIRT Introdução 15 Código de conduta 15 Equipe 17 Treinamento e desenvolvimento da equipe 20 Terceirização de serviços 20 Contratação 21 Procedimentos de ingresso e desligamento 23 Requisitos estruturais 24 Comunicação 27 Fatores de sucesso 29 3. Riscos e ameaças Introdução 33 Análise de risco 33 Ameaças associadas a segurança de sistemas 36 Comprometimento de sistemas 37 Phishing 38 Desfiguração 39 Ataques de força bruta 39 Varredura em redes (Scan) 40 Negação de serviço (DoS e DDoS) 40 Malwares 42 Outros riscos 45 APT 46 4. Processo de tratamento de incidentes Introdução 49 Metodologia para resposta a incidentes 50 Preparação 51 Contenção 56 Erradicação 58 Recuperação 58 Avaliação 60 Recursos adicionais 60 Roteiro para avaliação inicial de um incidente 61 Procedimentos 62 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br v 5. Aspectos operacionais da resposta a incidentes Introdução 65 Aspectos operacionais da resposta a incidente 65 Identificação 66 Exercício de fixação 1 Análise de cabeçalho de e-mail 70 Exercício de fixação 2 Utilizando o protocolo SMTP 71 Sincronismo de tempo 73 Exercício de fixação 3 Padronização do formato data e hora 75 Priorização 76 Categorização 77 Exercício de fixação 4 Classificação e triagem de incidentes 78 Atribuição 79 Boas práticas para a notificação de incidentes de segurança 85 6. Identificação de contatos Introdução 87 Identificação de contatos 88 Traduzir domínios de redes para endereços IP (domínio > IP) 88 Traduzir o endereço IP para domínios de redes (IP > domínio) 88 Exercício de fixação 1 94 Exercício de fixação 2 96 Recursos adicionais 97 Exercício de fixação 3 utilizando a ferramenta DIG 100 Exercício de fixação 4 Sistemas Autônomos 102 7. Análise de Logs Introdução 107 Mensagens de logs 108 Sistemas de logs 111 Gerenciamento de logs 115 Análise de logs 116 Filtragem 119 Normalização 121 Correlação 122 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br vi Ferramentas para o processamento de logs 123 Aspectos de segurança 125 Recomendações para sistemas de logs 126 8. Ferramentas para análise de incidentes Introdução 129 Preocupações de privacidade 130 Proxies 132 Web-Proxies 133 Virtual Private Network (VPN) 134 Rede Tor 135 Uso da rede Tor na investigação de incidentes 136 Mecanismos de busca 137 Analisadores de malwares 137 Assinaturas de malwares 138 Ferramentas multiantivírus 139 Exercício de fixação 1 Virustotal 141 Análise comportamental 141 Exercício de fixação 2 Análise dinâmica de arquivos maliciosos 146 Considerações sobre o uso de ferramentas online 146 Analisadores de websites 147 Outros serviços online 149 Listas de bloqueio 149 Exercício de fixação 3 Pesquisando por sites relacionados com fraudes 150 Repositório de websites desfigurados 150 Exercício de fixação 4 Identificar servidores que já foram comprometidos utilizando a base de dados do zone-h 151 Demais ferramentas para analisar artefatos 152 9. Dinâmica de tratamento de incidentes Introdução 153 Contextualização 153 SIFRA 155 Tratamento de incidentes de segurança 156 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br vii A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica- ção (TIC). A ESR nasce coma proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá- veis ao uso eficaz e eficiente das TIC. A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI. A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos edu- cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA). A metodologia da ESR A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi- cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro- blema, em abordagem orientada ao desenvolvimento de competências. Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren- dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente. Escola Superior de Redes Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br viii As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua- ção do futuro especialista que se pretende formar. As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir: Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos). O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem. Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos). Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares. Terceira etapa: discussão das atividades realizadas (30 minutos). O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las. Sobre o curso O curso apresenta os conceitos fundamentais e descreve as fases de tratamento de inciden- tes de segurança com exercícios práticos e simulações de casos. O curso apresenta ainda as atividades necessárias para que seja estabelecida uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR, suas responsabilidades, seu modelo de atuação e estrutura. Ao final do curso o aluno estará preparado para iniciar a criação de um grupo de atendimento a incidentes de segurança (Computer Security Incident Response Team - CSIRT) e com conhecimento necessário para realizar o tratamento de incidentes na sua organização. A quem se destina O curso destina-se aos gestores e profissionais da área de segurança da informação e de TIC que necessitam adquirir e desenvolver competências e habilidades para iniciarem a área de Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR de acordo com a norma complementar do DSIC e as boas práticas de mercado. Também poderão se beneficiar outros profissionais desejam adquirir o conhecimento sobre ETIR e tratamento de incidentes. Convenções utilizadas neste livro As seguintes convenções tipográficas são usadas neste livro: Itálico Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br ix Largura constante Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide q Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo w Indica referência complementar disponível em site ou página na internet. Símbolo d Indica um documento como referência complementar. Símbolo v Indica um vídeo como referência complementar. Símbolo s Indica um arquivo de aúdio como referência complementar. Símbolo ! Indica um aviso ou precaução a ser considerada. Símbolo p Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão. Símbolo l Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação. Permissões de uso Todos os direitos reservados à RNP. Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: TORRES, Pedro et al. Administração de Sistemas Linux: Redes e Segurança. Rio de Janeiro: Escola Superior de Redes, RNP, 2013. Comentários e perguntas Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906 E-mail: info@esr.rnp.br Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br x Sobre o autor Jácomo Picolini é formado em Engenharia pela Universidade Federal de São Carlos, com pós-graduações no Instituto de Computação e Instituto de Economia da UNICAMP, possui 17 anos de experiência na área de segurança, trabalhou no CAIS/RNP até 2009 e depois como Coordenador Acadêmico da área de Segurança e Governança de TI ESR/RNP até 2011, Diretor no Dragon Research Group, membro da diretoria do capítulo da ISACA de Brasília 2011-2014, membro da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB SP, liasion do FIRST.org onde coordena as atividades de treinamento, professor convidado em cursos de pós-graduação nas disciplinas de análise forense, tratamento de incidentes, segurança de sistemas,criação e gerenciamento de CSIRTs. Atualmente trabalha na empresa Team Cymru NFP e faz parte da equipe que provê informações para tornar a Internet mais segura. Edson Kowask Bezerra é profissional da área de segurança da informação e governança há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa- ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como pales- trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 1 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts o bj et iv o s conceito s 1 Definições e fundamentos de CSIRTs Aprender conceitos e termos relacionados com CSIRTs; Descrever os principais aspectos operacionais de um CSIRT; Iniciar o processo de criação de um CSIRT. O CSIRT; Definições importantes na criação de Grupo de Resposta a Incidentes de Segurança; Conceito de “incidente de segurança”. Introdução qO contínuo crescimento e a popularização da internet estão sendo acompanhados pelo aumento de novas ameaças de segurança dos sistemas computacionais. Com o passar do tempo, entretanto, as ameaças e ataques aos sistemas computacionais têm aumen- tado consideravelmente. Esse aumento é decorrente de inúmeros fatores, entre os quais o aumento no número de usuários, o aumento no número de transações financeiras e, sobretudo, o aumento do grau de dependência tecnológica da sociedade. Boa parte dos serviços está amplamente acessível na rede, de modo a prover suas funciona- lidades aos seus usuários. Consequentemente, esses sistemas também se tornam expostos aos diferentes tipos de ameaças. Tais ameaças incluem atividades de usuários, softwares maliciosos e vulnerabilidades associadas aos serviços utilizados. Diante disso, torna-se essencial implementar mecanismos para lidar com eventos de segurança antes mesmo que danos significativos sejam causados às instituições. Além do mais, é necessário que os procedimentos tradicionais para proteção de sistemas sejam constantemente aprimorados de modo a contemplar as novas ameaças e ataques emergentes na internet. qEsse contexto fomentou o surgimento de equipes especializadas em lidar com incidentes de segurança. Dessa forma, a equipe pode desenvolver metodologias para proteger os sistemas e, na ocorrência de um avento arbitrário de segurança, esse grupo de pessoas pode prontamente interceder de forma efetiva. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 2 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a Contextualização histórica qAtualmente observam-se muitos times de segurança constituídos em diferentes insti- tuições. Nos primórdios da internet, o número de incidentes de segurança era bastante reduzido e de baixa complexidade. No entanto, com o passar do tempo, os incidentes de segurança obtiveram novas proporções, sobretudo após o incidente de segurança denominado de Internet Worm. Esse incidente fomentou a discussão na comunidade de segurança pela necessidade de melhores meios para identificar e responder incidentes de computadores na internet de forma efetiva. Como resultado, um conjunto de recomendações foi especificado tendo como principal demanda: 1 Criar um único ponto de contato na rede para comunicar problemas de segurança; 1 Atuar de forma confiável com informações de segurança. Em resposta a essas recomendações, foi institucionalizado o primeiro grupo de resposta a incidentes, conhecido como CERT Coordination Center (CERT/CC), localizado na universidade de Carnegie Mellon, nos Estados Unidos. Na Europa, o mesmo modelo foi adotado, e em 1992 o provedor acadêmico holandês SURFnet fundou o primeiro time europeu, o qual foi denominado SURFnet-CERT. Consequentemente, outros times foram implementados em diferentes intuições e em diversos países. No Brasil não foi diferente. Embora a primeira conexão da internet tenha sido oficialmente inaugurada em 1989, a internet realmente ganhou corpo em 1995, quando foi liberada a operação da internet comercial no Brasil. No mesmo ano, o Comitê Gestor da Internet no Brasil (CGI.br) foi criado com a responsabilidade de coordenar e integrar todas as iniciativas de serviços internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Entre as diversas iniciativas do CGI.br, a publicação do documento Rumo à Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil em agosto de 1996 foi um marco para a segurança da internet brasileira. Nesse documento, são discutidos aspectos de segurança nacional e a importância dos CSIRTs para a segurança da rede. Entre as recomendações, sugeriu-se a criação de um centro nacional de coordenação de segurança de redes. Com base nas recomendações do CGI.br, em junho de 1997 foi estabelecido o primeiro grupo de responsabilidade nacional, denominado NIC BR Security Office (NBSO), que poste- riormente seria renomeado para CERT.br. No mesmo ano, outros times de diferentes instituições brasileiras foram formalizados: 1 1997: 2 Fundação do CAIS: CSIRT da própria Rede Nacional de Ensino e Pesquisa (RNP); 2 Fundação do NBSO (Cert.br); 2 Fundação do CERT-RS: CSIRT da rede acadêmica do Rio Grande do Sul. 1 1999: 2 Fundação do GRA: CSIRT do SERPRO (Serviço Federal de Processamento de Dados); 2 Fundação de diversos CSIRTs em universidades e operadores de telecomunicações. Internet Worm: Em 1988, o incidente Internet Worm deixou milhares de compu- tadores inoperantes. Estima-se que seis mil sistemas foram afetados, o que repre- sentava aproximada- mente 10% da internet operante na época. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 3 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts 1 2004: 2 Fundação do CTIR Gov: CSIRT voltado para a administração pública federal. 1 2010: 2 Fundação do CDCiber: CSIRT responsável pelo setor cibernético no exército. No Brasil, atualmente, podemos encontrar diversos grupos estabelecidos em diferentes estados. No website do CERT.br são ilustrados alguns times estabelecidos e respectivas informações de contato. 1 http://www.first.org/members/teams 1 http://www.rnp.br/cais/csirts.html 1 http://www.cert.br/contato-br.html 1 http://www.cert.org/csirts/national/contact.html 1 http://www.apcert.org/about/structure/members.html 1 http://www.cert.org/csirts/csirt-map.html Identificando CSIRTs pelo mundo Os websites a seguir podem ser utilizados para localizar CSIRTs e suas respectivas abrangências operacionais nos mais diversos países. Definição de CSIRT qUm Computer Security Incident Response Team (CSIRT) ou um Computer Security Inci- dent Response Team (CSIRT) – em português, Grupo de Resposta a Incidentes de Segu- rança – é uma organização que responde a incidentes de segurança provendo suporte necessário para resolver ou auxiliar na resolução. O CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, tal como empresa, órgão governamental ou organização acadêmica. Independentemente de sua atuação, é fundamental que um CSIRT tenha a habilidade de ana- lisar e prover rapidamente meios efetivos para tratar um incidente. A rápida identificaçãoe a efetiva análise de um incidente de segurança podem diminuir possíveis danos e, em última análise, diminuir os eventuais custos de uma recuperação. Como consequência, a análise de incidentes permite a implementação de medidas preventivas evitando que eventos similares aconteçam novamente. qExiste uma sutil diferença entre um CSIRT e uma equipe de segurança departamental. Uma equipe de segurança departamental desenvolve ações habituais relativas à moni- toração de redes e sistemas, como por exemplo: atualização de sistemas; configuração de filtro de pacotes; análise de logs; gerenciamento de redes e outras tarefas. Já um CSIRT atua com foco na resposta de incidentes, implementando um ponto central para notificação, análise e coordenação de incidentes na organização. De forma comple- mentar, um CISRT pode complementar suas atividades incorporando tarefas de uma equipe de segurança departamental; entretanto, seu foco deve estar no tratamento de incidentes de segurança. Organizações que implementam CSIRTs valem-se dos seguintes benefícios: 1 Existência de mecanismos de resposta a incidentes de segurança; 1 Instituição preparada para as ameaças emergentes; Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 4 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a q 1 Aumento do grau de segurança, ao desenvolver uma cultura de segurança; 1 Criação de mecanismos que visam à preservação da instituição; 1 Introdução de senso crítico em relação à visão tradicional de TI. É comum questionar-se em relação à denominação de grupos a resposta a incidentes. Além de CSIRT, outras siglas são rotineiramente empregadas para designar grupos de resposta a incidentes de segurança. Talvez as siglas mais utilizadas sejam: CERT e ETIR. A identidade de um grupo começa pela definição do seu nome. O nome e a sigla permitem ao seu CSIRT criar uma identidade própria, que deve estar alinhada com a de sua instituição e, se possível, refletir o setor que representa (banco, indústria, governo etc.). A seguir uma listagem de siglas e nomes de alguns times: 1 CERT/CC: Computer Emergency Response Team/Coordination Center; 1 CAIS/RNP: Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa; 1 CENATIS: Centro de Atendimento e Tratamento de Incidentes de Segurança da Universidade Federal do Rio de Janeiro (UFRJ); 1 CERT.BR: Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil; 1 NARIS: Núcleo de Atendimento e Resposta a Incidentes de Segurança da Universidade Federal do Rio Grande do Norte (UFRN); 1 GRIS-CD: Grupo de Resposta a Incidentes de Segurança da Câmara dos Deputados; 1 TRI: Time de Resposta a Incidentes da Universidade Federal do Rio Grande do Sul (UFRGS); 1 CERT-RS: Centro de Emergências em Segurança da Rede Tchê; 1 USP/CSIRT: Centro de Resposta a Incidentes de Segurança da Universidade de São Paulo (USP); 1 GRA/SERPRO: Grupo de Resposta a Ataques do Serviço Federal de Processamento de Dados (SERPRO). Exercício de fixação 1 e Conhecendo CSIRTs Através de uma consulta na internet, localize dois exemplos de grupos de resposta a incidentes de segurança nas áreas listadas a seguir. Escreva a sigla, o nome do grupo e a comunidade de atuação. CSIRT governamental: 1. 2. A sigla CERT (Computer Emergency Response Team) é uma marca patenteada e somente pode ser usada mediante prévia autorização. Já a sigla ETIR representa Equipe de Tratamento e Resposta a Incidentes em redes de computa- dores, o que corres- ponde a uma tradução livre do termo CSIRT. l Leitura recomendada – definição de CSIRTs segundo o CERT/CC: http://www.cert.org/ csirts/csirt_faq.html e http://www.cert.br/ certcc/csirts/csirt_ faq-br.html e Departa- mento de Segurança da Informação e Comuni- cações: http://dsic. planalto.gov.br/ d Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 5 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts CSIRT de instituição financeira: 1. 2. CSIRT comercial: 1. 2. CSIRT acadêmico: 1. 2. Abrangência operacional e missão do CSIRT qA abrangência operacional, também conhecida por constituency, define a comunidade atendida pelos serviços do CSIRT. A abrangência operacional de um CSIRT pode ser composta por diversos domínios administrativos, diferentes redes, ou ainda por um conjunto específico de domínios. Por exemplo: “O CSIRT exemplo atende domínios e endereços IP alocados para o AS XXXX”; ou ainda, de forma mais flexível: “Redes, ende- reços IP e domínios atendidos pela instituição”. Com a definição da abrangência operacional torna-se possível mapear as necessidades e anseios da comunidade utilizadora, o que possibilita, em um contexto mais amplo, definir a missão do CSIRT. A missão de um CSIRT deve fornecer uma breve descrição das metas e objetivos da equipe. A definição da missão é que permite determinar o conjunto de atividades a serem desenvolvidas pela equipe no contexto de sua abrangência operacional. Recomenda-se que a missão de um CSIRT seja concisa e clara. Afinal, de certa forma, a missão de um CSIRT permite que entidades externas possam definir expectativas apropriadas em relação às ações a serem tomadas pela equipe. Alguns exemplos de definições da missão de CSIRT: q 1 Missão do CAIS/RNP (http://www.rnp.br/cais/): “O CAIS – Centro de Atendimento a Incidentes de Segurança atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica brasileira, além de elaborar, promover e disseminar práticas de segurança em redes.” Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 6 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a q 1 Missão do CERT.br (http://www.cert.br/missao.html): “O CERT.br, anteriormente denominado NBSO/Brazilian CERT, é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo responsável por receber, analisar e responder a incidentes de segurança em compu- tadores, envolvendo redes conectadas à internet brasileira.” 1 Missão do CTIR.gov (http://www.ctir.gov.br/): “Operar e manter o Centro de Trata- mento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal.” De fato, a missão posiciona o CSIRT frente à sua comunidade de atuação. Adicionalmente, a sua comunidade toma conhecimento dos serviços prestados pelo time de segurança. Sabe- se, entretanto, que o relacionamento com a comunidade de atuação deve ir além da simples definição e divulgação dos serviços prestados pelo time. Nesse contexto de segurança, mais do que nunca, ações falam mais alto do que definições escritas. Um CSIRT leva tempo para ter o seu reconhecimento na comunidade de atuação. Fatores como confiança e respeito são conquistados naturalmente com bom trabalho realizado. Por fim, e não menos importante, é assegurar que a missão do CSRIT tenha apoio e suporteda camada de gestão da instituição (diretores ou equivalentes). Do contrário, a atuação do time pode ser seriamente comprometida. Serviços de CSIRTs qOs serviços de um CSIRT definem um conjunto de atividades que serão providas para a sua comunidade de atuação (constituency). Evidentemente, algumas atividades são intrínsecas ao processo de tratamento de incidentes e, portanto, mandatórias a todos os CSIRTs: análise de eventos, resposta de incidentes e coordenação para resolução de incidentes de computadores. Tipicamente, os CSIRTs tradicionais implementam um conjunto de serviços adicionais que complementam as atividades relativas ao processo de resposta a incidente, tal como a elaboração de alertas e anúncios relacionados à segurança. Outros CSIRTs, porém, diversi- ficam a sua base de serviços provendo atividades de auditoria de sistemas, análise de riscos, treinamento e análise forense. qAlgumas atividades típicas de CSIRTs: 1 Análise de artefatos maliciosos; 1 Análise de vulnerabilidades; 1 Emissão de alertas e advertências; 1 Prospecção ou monitoração de novas tecnologias; 1 Avaliação de segurança; 1 Desenvolvimento de ferramentas de segurança; 1 Detecção de intrusão; 1 Disseminação de informações relacionadas à segurança. Embora não exista um conjunto padrão de serviços que um CSIRT deva oferecer, é essencial que cada time de segurança especifique serviços tendo em vista seus recursos disponíveis, tal como equipe, expertise e infraestrutura necessária. Segundo documen- tação do próprio CERT/ CC, em média, um CSIRT leva em torno de um ano após o início de sua operação para que a comunidade assimile o time e comece um processo regular de notificações. l O aumento de notificações de segurança para um CSIRT é um indício de acolhimento pela comunidade de abrangência. l Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 7 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts O CERT/CC, por sua vez, disponibiliza um repositório de boas práticas e recomendações que especificam detalhes dos serviços prestados por um CSIRT. Segundo a nomenclatura adotada, os serviços de um CSIRT podem ser agrupados em: 1 Serviços reativos; 1 Serviços proativos; 1 Serviços de qualidade. Os serviços correspondentes a cada categoria são listados na tabela 1.1 e descritos de forma mais detalhada na sequência. Reativos Proativos Qualidade 1Análise de Vulnerabili- dades. 1 Elaboração de alertas e avisos. 1Gerenciamento de vulnerabilidades. 1Análise de malwares e demais artefatos. 1Monitoração da segu- rança na rede. 1Alertas de ferramentas. 1Avaliação situacional. 1Detecção de intrusão. 1Desenvolvimento de fer- ramentas de segurança. 1Análise de processos e procedimentos. 1Gerenciamento da equipe ou negócios. 1 Plano de recuperação de desastres. 1 Educação e treinamento. Serviços reativos São serviços instanciados após a identificação de um incidente de segurança. Tais serviços visam solucionar um incidente de segurança em execução ou prover meios para a investi- gação de incidentes previamente identificados. De todo modo, os serviços reativos fazem parte das atividades essenciais implementadas por CSIRTs no processo de resposta a incidentes de segurança. Os serviços podem ser ins- tanciados por uma notificação de um incidente – máquina comprometida, por exemplo – um pedido de ajuda ou, ainda, por ferramentas de detecção do próprio time de segurança. Serviços proativos Os serviços proativos têm por objetivo evitar que incidentes de segurança ocorram e, também, reduzir o impacto quando estes ocorrerem. Para isso, buscam-se desenvolver ações seguras de maneira a aprimorar a segurança dos sistemas como um todo, buscando diminuir o potencial de sucesso dos ataques contra a infraestrutura das organizações. Alguns serviços dessa categoria estão diretamente relacionados a: 1 Implementar defesa em camadas e garantir que as melhores práticas de segurança sejam implementadas nos sistemas computacionais, incluindo a configuração, definição e implementação; 1 Realizar tarefas de auditoria, avaliação de vulnerabilidades e outras avaliações que visam identificar fraquezas nos sistemas ou vulnerabilidades antes que estas sejam exploradas; 1 Identificar riscos de novas ameaças e tendências de maneira a identificar como elas podem afetar a instituição; 1 Atualizar assinaturas de antivírus ou IDS de maneira a conter as novas ameaças identificadas. Tabela 1.1 Os diversos tipos de serviços prestados por um CSIRT. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 8 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a Serviços de qualidade São serviços desenvolvidos para aprimorar o processo de resposta a incidentes como um todo. Para isso, são analisados processos administrativos do CSIRT e também a efetividade dos serviços prestados. Dessa forma, podem-se identificar limitações no processo e implementar melhorias para o time, seja elas de caráter técnica (treinamento técnico para a equipe) ou organizacional (fluxo de informação entre os processos). Essas tarefas incluem: 1 Gerenciamento da equipe ou processos; 1 Educação ou treinamento; 1 Auditoria de sistemas. Essas diferentes classificações descrevem a natureza dos serviços de um CSIRT e fica a critério de cada time incorporá-los à sua comunidade. Alguns serviços são essencialmente internos; outros; no entanto, podem ser demandados pela comunidade de atuação e também por terceiros. Para isso, deve-se ter claramente documentado as peculiaridades de cada serviço no que tange: escopo, formas de contato e funcionamento. Por fim, é importante que os serviços prestados por um CSIRT sejam providos com quali- dade tendo em foco a sua comunidade de atuação. Para isso, torna-se desejável monitorar a excelência dos serviços prestados e aprimorá-los com lições aprendidas e contribuições dos usuários. Do contrário, o CSIRT pode cair em descrédito e a sua comunidade pode parar de reportar incidentes. Interação com os serviços Além de especificar os serviços providos por um CSIRT, é essencial descrever como estes podem ser instanciados. Desse modo, um CSIRT deve estabelecer diferentes canais de comunicação para a sua comunidade, permitindo que os serviços disponíveis sejam solici- tados. Existem diferentes meios de contato. Talvez o serviço mais utilizado para interação seja o sistema de e-mail. No entanto, devem-se prever outras formas de interação com a equipe, incluindo até mesmo requisições pessoais originadas por funcionários da própria empresa in loco. Quando definir os canais de comunicação, o CSIRT deve considerar questões relativas à documentação das solicitações. Por exemplo: 1 Como gerenciar um incidente notificado via telefone? 1 Como atualizar a equipe referente ao status de um incidente notificado pessoalmente? 1 Incidentes não documentados farão parte das estatísticas de um CSIRT? Sabe-se que um CSIRT pode se comunicar com a sua comunidade de diferentes formas. Na sequência, são descritos os principais canais de comunicação. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 9 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts Formas de disseminar informações e requisitar serviços: 1 Telefone: uma das formas mais simples e diretas de comunicação com a sua comuni- dade de atuação é via contato telefônico. A conversação telefônica é uma forma direta de reportar incidentes e lidar com informações que possuem carácter de urgência. No entanto, ligações telefônicas podem gerar interpretações errôneas, sobretudo em situ- ações de emergência. Outro ponto negativo do uso do telefone é a interrupção causada pelas ligações. Em eventos de segurança, é comum que muitas pessoas entrem em contato com o CSIRT, o que pode atrasar aresolução de um incidente em andamento. Alguns times optam por não realizar atendimento via telefone, mas disponibilizam um telefone de urgência – tal como um celular – para efetivamente receber ligações telefô- nicas de um grupo mais restrito (gerência e equipe técnica); 1 INOC-DBA: O INOC-DBA (Hotline Phone System) é uma infraestrutura VoIP para comu- nicação direta entre Centros de Operação de Redes (NOCs) e Grupos de Tratamento de Incidentes de Segurança (CSIRTs). Deseja-se, com isso, que todos os provedores e grandes redes conectadas na internet sejam facilmente contatados por quaisquer outros prove- dores do mundo. Para isso, cada participante do INOC-DBA possui um ramal – que corres- ponde ao número do próprio AS (Sistema Autônomo, na sigla em inglês) – e pode receber e solicitar ligações de forma gratuita. No Brasil, o Comitê Gestor da Internet no Brasil participa do projeto fornecendo gratuitamente telefones VoIP para todos os ASes e CSIRTs reconhecidos. Mais informações: http://www.ceptro.br/CEPTRO/MenuCEPTROSPInocDba; 1 E-mail: a maneira mais utilizada para comunicação entre o CSIRT e a comunidade de atuação é, sem dúvida, o e-mail. Sabemos das vantagens da comunicação via e-mail: rapidez, comodidade e fácil identificação do remetente. No contexto do CSIRT, a comuni- cação via e-mail é essencial. Logo, faz-se necessário que o CSIRT envie e, principalmente, receba todos os e-mails destinados ao time. Recomenda-se que nenhum tipo de filtro seja utilizado na caixa de entrada do e-mail, tal como antispam e antivírus (filtro de anexos). Afinal, a comunidade pode encaminhar um spam para a equipe analisar, e até mesmo repassar arquivos maliciosos executáveis. De forma complementar, recomenda-se a utili- zação de e-mails impessoais, ou seja, é importante a instituição ter um e-mail de contato, como por exemplo “csirt@instituicao”. De forma resumida, as boas práticas recomendam: 2 Utilizar e-mail impessoal; 2 Não usar filtragem na caixa de e-mail (antispam); 2 Cuidado com cotas e limites de e-mails recebidos ou enviados; 2 Divulgar o e-mail institucional no website; 2 Manter o sistema de WHOIS apontado para um e-mail válido; 2 Direcionar os múltiplos e-mails (alias) do CSIRT para uma caixa postal única. 1 Boletins: alguns CSIRTs costumam repassar informações de segurança para a sua comu- nidade por meio de listas de e-mails ou mesmo via boletins impressos. A divulgação de informações que afetam especialmente a comunidade de abrangência – como, por exemplo, atualização de sistemas utilizados e dicas de segurança incluindo configuração segura – é uma maneira efetiva de evitar incidentes de segurança; 1 Website: é uma maneira eficaz de divulgar informações para a comunidade de abrangência. Além de disseminar uma variedade de informações como boletins e notícias, um website serve para disponibilizar procedimentos e formas de contato do CSIRT. Alguns times também disponibilizam ferramentas e outros softwares úteis para a comunidade. Embora seja praticamente mandatório todo CSIRT ter um website, é importante zelar por sua segurança. Afinal, um defacement no site de um CSIRT pode causar prejuízos à imagem do time; Defacement: Ataque que tem como objetivo alterar sem autorização o conteúdo de uma página web. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 10 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a 1 Conferências: participar de conferências ou mesmo promover conferências e seminários é mais uma forma de comunicar-se com a comunidade de atuação. A apresentação de trabalhos em conferências também é importante. Ter membros da equipe apresentando trabalhos em eventos pode aumentar a reputação do time e ajudar no processo de divul- gação de informações para a comunidade; 1 Cursos: a realização de cursos para a comunidade com foco em segurança é uma prática adotada por alguns times. A realização de cursos na própria instituição também serve para intensificar e disseminar a própria política de segurança da instituição. É importante lembrar que a comunicação entre um CSIRT e as demais partes envolvidas tipi- camente envolvem informações sigilosas. Questões relativas à segurança das informações – tráfego de dados e armazenamento das informações – devem ser consideradas pela equipe no momento em que um novo canal de comunicação é instaurado. Aspectos operacionais de um CSIRT Os aspectos operacionais de um CSIRT definem especificamente qual será a forma de atuação da equipe tanto no âmbito operacional quanto no organizacional. As particularidades de cada CSIRT têm influência direta na estrutura e operação da equipe. Por exemplo, aspectos como a comunidade atendida, natureza das informações e modelo gerencial da equipe definirão a forma como os incidentes serão tratados internamente. Na sequência, são discutidos os principais aspectos operacionais, considerando as particu- laridades dos CSIRTs, incluindo tipos, modelos estruturais e autonomia da equipe: q 1 Tipos; 1 Modelos; 1 Autonomia. Tipos Um CSIRT pode ser classificado segundo a sua área de atuação. A abrangência de atuação dos CSIRTs está intimamente ligada ao setor de atuação. Principais categorias de CSIRTs: 1 CSIRTs internos: são os CSIRTs que cuidam somente dos incidentes da sua instituição e, em alguns casos, não são publicamente divulgados. Exemplo: instituições financeiras; 1 CSIRTs de coordenação: são times que atuam como intermediadores. Atuam repas- sando informações e medindo tendências. Tais CSIRTs, tipicamente, não possuem nenhum poder sobre os grupos com os quais interagem. Exemplo: CSIRT nacional; 1 CSIRTs de vendedores: são os CSIRTs que representam os fabricantes de hardware ou software e que tratam das vulnerabilidades existentes nos seus produtos; 1 CSIRTs de consultoria: prestam os serviços relacionados com a resposta de incidentes de forma terceirada. Esse tipo de CSIRT é utilizado por empresas que não possuem o seu próprio CSIRT; 1 CSIRTs de pesquisa: são grupos especializados em pesquisa na área de segurança, tipi- camente relacionado com estudo de vulnerabilidades. Modelos Apesar de atuarem na mesma área, os CSIRTs podem possuir modelos estruturais dife- rentes. Principais estruturas organizacionais utilizadas na implantação dos CSIRTs: Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 11 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts 2 CSIRTs centralizados: a equipe possui membros dedicados às atividades do CSIRT, sendo estabelecida de forma centralizada no âmbito da organização; 2 CSIRTs descentralizados: a equipe fica geograficamente distribuída em diferentes cidades ou, até mesmo, países. Possui equipe dedicada às atividades de tratamento e resposta aos incidentes de rede computacionais, podendo atuar operacionalmente de forma independente, porém alinhada com as diretrizes estabelecidas pela coorde- nação central; 2 CSIRTs mistos: trata-se da junção entre modelos centralizados e descentralizados. Nessa estrutura, a equipe centralizada é responsável por criar as estratégias, geren- ciar as atividades e distribuir as tarefas entre as equipes descentralizadas; 2 CSIRTs de crise: a equipe é reunida durante a emergência de um processo de crise, sendo composta por especialistas de cada área, deixando de existir após a conclusão de solução do incidente. Um desafio crescente para os CSIRTs está em acompanhar o que acontece na área de segurança durante as 24h do dia. Um CSIRT descentralizado ou misto possui a vantagem de possuir representantes em diversos fusos horários, permitindo, assim, cobertura mais ampla dos acontecimentos. Autonomia Outro fator crítico como aspecto fundamental de organização é a autonomia do CSIRT. A autonomia descreve o nível de responsabilidade e também o escopo de atuação da equipe sobre atividades relacionadas ao tratamentode incidentes. A classificação dos diferentes níveis de autonomia é apresentada a seguir: 1 Autonomia Completa: uma equipe tem autonomia plena para tomar as decisões e executar as medidas necessárias para solucionar um incidente de segurança. As decisões podem ser tomadas pela equipe sem a necessidade de aprovação de níveis superiores de gestão; 1 Autonomia Compartilhada: uma equipe com autonomia compartilhada deve atuar em conjunto com os outros setores da organização. Para isso, a equipe participa do processo de tomada de decisão sobre as ações a serem implementadas com outros membros da organização; 1 Sem Autonomia: a equipe sem autonomia só pode agir com autorização expressa de um responsável previamente designado. Nessa categoria a equipe apenas pode recomendar os procedimentos a serem executados; no entanto, não tem participação no processo final de decisão. Definição de incidente qUm incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, que pode comprometer em algum aspecto a segurança computacional. Em geral, toda situação na qual um ativo de informação está sob risco é considerado um incidente de segurança. A definição de um incidente de segurança é fundamental para as operações de um CSIRT. Apesar de muitas vezes ser abstrata, a definição deve ter relação com as atividades e área de atuação do próprio CSIRT. Deve-se, por exemplo, determinar que tipos de eventos serão tratados pela equipe. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 12 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a qExemplos comuns de incidentes incluem: 1 A desfiguração do portal web de uma instituição; 1 O vazamento de informações confidenciais; 1 A propagação de um vírus por meio da lista de contatos de e-mails; 1 O envio de spam; 1 O comprometimento da rede; 1 A disponibilidade de um website. Na sequência são listadas algumas definições de incidentes de segurança descritos por diferentes times e especificações de segurança: 1 CAIS/RNP (http://rnp.br/cais/): “Um incidente de segurança é resultante do mau uso dos recursos computacionais.”; 1 CERT/CC (http://www.cert.org/tech_tips/incident_reporting.html): “Um ato de violação explícita ou implícita de uma política de segurança.”; 1 Terena (www.terena.nl/activities/tf-csirt/iodef/docs/i-taxonomy_terms.html): “Um incidente de segurança é um evento que envolve uma violação de segurança.”; 1 NIST (disponível em SP 800-3: Establishing a Computer Security Incident Response Capability): “Qualquer evento adverso em que aspectos da segurança computacional podem ser ameaçados”; 1 RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt): “Qualquer evento adverso que pode com- prometer algum aspecto da segurança de computadores ou da rede.”; 1 DSIC (http://dsic.planalto.gov.br/legislacaodsic/53): “Qualquer evento adverso, confir- mado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.” Incidentes de segurança podem facilmente resultar em impacto significativo para uma insti- tuição se não manejados de forma correta. De fato, a severidade de um incidente é mensurada segundo o impacto que causa no processo de negócio de uma instituição. Por exemplo, um incidente que indisponibiliza um site de e-commerce possui alta severidade para a instituição. qTodo incidente deve ser tratado seguindo uma metodologia previamente definida pelo CSIRT. Essa metodologia é chamada de processo de resposta a incidente e será poste- riormente tratada em nosso curso. Passos para criação de um CSIRT Conforme descrito anteriormente, existem diferentes fatores que devem ser observados para a criação de um CSIRT. Além de questões políticas, como aprovação organizacional, é importante o CSIRT ser reconhecido como atuante na própria comunidade. qNo que tange a questões organizacionais, é importante considerar as seguintes questões durante o processo de formação de um CSIRT: 1 Abrangência operacional; 1 Missão; 1 Serviços; 1 Modelo organizacional; 1 Recursos. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 13 Ca pí tu lo 1 - D efi ni çõ es e fu nd am en to s d e CS IR Ts De forma resumida, temos nas etapas iniciais a definição do escopo de atuação, bem como as metas e objetivos do CSIRT. A identificação da comunidade a ser atendida é fundamental, pois possibilita mapear as necessidades e serviços necessários para atendê-la. Já o modelo organizacional – incluindo o tipo e estrutura – determinam a estratégia administrativa a ser implementada aos serviços. Por fim, e não menos importante: já na fase de estabelecimento de um novo CSIRT deve-se assegurar os recursos necessários para manter o time operacional, observando recursos da infraestrutura (equipamentos) e pessoal (equipe). Do contrário, as etapas anteriores não serão efetivas. Fóruns de CSIRTS Assim como algumas categorias de instituições, os CERTs também se organizam em fóruns e entidades que buscam a colaboração entre os times. As principais entidades que podem servir de ponto de contato para localizar times são: q 1 FIRST: Forum of Incident Response Security Teams – http://www.first.org 1 APCERT: Asian Pacific Computer Emergency Response Teams – http://www.apcert.org 1 CSIRTs: European Trusted Introducer CSIRTs Members – http://www.ti.terena.nl 1 OIC: Organization of the Islamic Conference – http://www.oic-oci.org/ O Forum of Incident Response Security Teams (FIRST) é uma das organizações mais antigas. O FIRST é uma organização profissional, sem fins lucrativos, composta por diferentes CSIRTs. Os times de segurança que a compõem são muito heterogêneos: de times nacionais (CERTs), CSIRTs de vendedores, CSIRTs internos a CSIRTs comerciais. O FIRST promove eventos anuais para membros onde é possível estabelecer contatos com outros times e também capacitar a equipe nos diversos seminários e cursos disponibilizados. É importante notar que o FIRST é uma associação de CSIRTs, mas não atua como um CSIRT. Ou seja, o FIRST não responde a incidentes de segurança, mas pode ser útil para identificar os responsáveis por recursos de internet. Leitura recomendada: 1 Creating an Incident Response Team: http://www.educause.edu/ir/library/pdf/SEC0302.pdf 1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC): http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf 1 RFC 2.350: Expectations for Computer Security Incident Response: http://www.ietf.org/rfc/rfc2350.txt 1 Forming an Incident Response Team: http://www.auscert.org.au/render.html?it=2252 1 Departamento de Segurança da Informação e Comunicações (DSIC): Criação de equipes de tratamento e resposta a incidentes em redes computacionais – ETIR. Disponível em: http://dsic.planalto.gov.br/legislacaodsic/53 Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 14 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 15 Ca pí tu lo 2 - G er en ci am en to d o CS IR T 2 Gerenciamento do CSIRT Discutir questões relacionadas aos requisitos estruturais de um CSIRT; Conhecer os fatores de sucesso na criação de um CSIRT; Aprender os conceitos relacionados ao gerenciamento de um CSIRT. Gerenciamento de CSIRTs; Visão estrutural do CSIRT; Melhores práticas e condutas apropriadas. Introdução qO gerenciamento de um CSIRT, assim como outras organizações, envolvem etapas téc- nicas e administrativas. Todas essas etapas possuem um único objetivo: assegurar que o CSIRT cumpra a própria missão previamente definida. De forma mais específica, busca-se assegurar que os serviços relacionados à resposta a inci- dentes de segurança sejam efetivamente prestados para a sua comunidade de abrangência. Nestecontexto, este capítulo discutirá tópicos relacionados ao gerenciamento de um CSIRT, tal como: gerenciamento da equipe, comunicação, requisitos estruturais e fatores de sucesso. Código de conduta O código de conduta define um conjunto de premissas que balizam as ações e comporta- mentos de um time de segurança. O mesmo código aplica-se a todos os membros da organização, estendendo-se aos serviços prestados e aos demais aspectos operacionais, tais como a comunicação e o zelo pelas informações. qDe forma específica, o código de conduta vincula princípios e valores da própria insti- tuição com atividades desempenhadas pela equipe. Princípios como profissionalismo, confiabilidade e liderança influenciam na forma com que o CSIRT é visto externamente. Um bom código de conduta descreve princípios para a interação com os usuários dos serviços do CSIRT e também a maneira com que as informações são tratadas internamente pela equipe. Sem o devido cuidado para lidar com as informações sensíveis, é provável que as entidades parceiras possam hesitar em divulgar dados para o seu time em futuros inci- dentes de segurança. o bj et iv o s conceito s Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 16 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a A conduta profissional com que as informações são tratadas por um CSIRT é evidentemente particular a cada instituição. Sabe-se que existem alguns CSIRTs que optam por regras mais restritivas. Um CSIRT militar, por exemplo, implementa alto nível de sigilo com as informa- ções que gerencia. Por outro lado, um CSIRT acadêmico pode implementar um código de conduta mais flexibilizado no que tange ao armazenamento de informações de segurança. Observa-se, entretanto, que a grande maiorias dos CSIRTs possuem políticas e procedi- mentos que classificam as informações ao menos em duas categorias: dados públicos e dados sigilosos. Já em uma solução mais robusta, podem-se classificar as informações em uma estrutura multinível. qA seguir temos o exemplo de uma estrutura de classificação de informações de segurança. 1 Classificado: são informações sigilosas, onde apenas o CSIRT tem conhecimento do incidente. Da mesma forma, a circulação das informações é restrita aos membros do time de segurança. Esse tipo de classificação é utilizado em eventos de segurança especiais – ou ainda em incidentes com escopo bem definido; 1 Parcialmente classificado: são dados que possuem certo nível de restrição. Tais informações são intercambiadas apenas com entidades com alto nível e confiança, tal como CSIRTs com bom relacionamento; 1 Não classificados: são informações que podem ser divulgadas na forma pública. Para isso, deve-se avaliar o teor das informações a serem classificadas como “Não classificado”, a fim de evitar prejuízos às partes envolvidas. Na maioria das vezes, dados inseridos nessa categoria possuem caráter informacional, como, por exemplo, divulgação de documentação ou estatísticas públicas do CSIRT. Cada nível de classificação também especifica como as informações devem ser gerenciadas sob o ponto de vista operacional. Em níveis mais restritivos, por exemplo, todas as informa- ções devem ser cifradas, tanto na transmissão quanto no armazenamento. Independentemente do modelo de classificação de informações adotado, é fundamental que o CSIRT mantenha-se consistente e estenda a classificação para os demais serviços e elementos relacionados ao processo de resposta a incidentes. Um exemplo consiste na gestão das informações de contatos técnicos. Por ser um ponto de contato para incidentes de segurança, espera-se que um CSIRT tenha um bom relaciona- mento com entidades externas. Na maioria das vezes, a equipe do CSIRT conhece pessoas de outros times que podem auxiliar em uma eventual emergência. Esses contatos, que não são públicos, e sim fruto de uma boa relação com outras equipes, devem ser tratados de forma adequada segundo a conduta o seu próprio CSRIT. Considere a seguinte situação: “O seu CSIRT recebe uma ligação de um colaborador externo (entidade A), em caráter de urgência, solicitando os contatos mais específicos de uma instituição (entidade B), pois está sofrendo ataques.” O código de conduta de sua instituição deve prever possíveis ações que contemplem esse exemplo. Nesse caso, deve-se analisar se o código de conduta permite encaminhar os seus contatos mais específicos a entidades externas. qPossíveis soluções: 1 O CSIRT não encaminha os dados (da entidade B), pois faz parte do seu código de conduta manter contatos mais específicos de forma confidencial; Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 17 Ca pí tu lo 2 - G er en ci am en to d o CS IR T q 1 O CSIRT encaminha contatos mais específicos para o colaborador externo (entidade A); 1 O CSIRT atua como intermediário, repassando a informação do ataque diretamente para a entidade B. A divulgação de informações também faz parte do código de conduta do CSIRT. Os meios para divulgar informações serão tratados posteriormente por este curso; no entanto, cabe ao código de conduta definir uma política para a divulgação de informações. Essa política deve descrever o conjunto de informações que podem ser divulgadas no contexto de resposta a incidentes. Sem a definição dessa política, a equipe pode não ter orientação necessária para gerenciar o processo de resposta a incidentes. Alguns times tratam todas as informações como estritamente confidencial, evitando o compartilhamento das informações fora do âmbito dos membros da equipe. No entanto, essa política estrita não pode ser garantida em todos os casos. Por exemplo, em casos onde é necessária a interação da Justiça. qLogo, é desejável que, independentemente da política utilizada, sejam consideradas algumas questões, como: 1 Que time de informação o CSIRT divulgará quando outro CSIRT notificar um incidente envolvendo a comunidade de sua responsabilidade? 1 Quando necessária interação com a Justiça, o seu CSIRT poderá prover informações necessárias de forma direta? 1 Que tipo de informações serão divulgadas de forma pública? 1 Todo incidente será notificado a um CSIRT de coordenação, como por exemplo, CERT.br? 1 As informações de incidentes externos serão ocultadas, como por exemplo, saniti- zação de IPs de sua rede? Todas essas decisões fazem parte do código de conduta de um CSIRT e devem ser consi- deradas nas etapas iniciais do estabelecimento de um CSIRT na comunidade. É importante notar que essa política de conduta é algo que pode ser alterado. Em muitos times, é comum que novas questões sejam contempladas e aprimoramentos sejam incorporados com a aquisição de experiência. Equipe Constituir uma equipe é uma das primeiras coisas a serem pensadas na etapa de estabe- lecimento de um CSIRT. De fato, a equipe tem papel fundamental nas atividades do CSIRT, dando suporte às políticas internas, procedimentos e código de conduta intrínseco à ope- ração de um time. Sabe-se que a definição de uma equipe passa por diversos aspectos, incluindo questões técnicas, gerenciais e, essencialmente, a alocação de recursos financeiros. Do contrário, a equipe não poderá prover de forma adequada os serviços para a comunidade e contemplar a missão do próprio CSIRT. qAlguns fatores também devem ser considerados no momento da definição de uma equipe: 1 Número de pessoas necessárias; 1 Habilidades necessárias; 1 Habilidades desejadas; 1 Níveis hierárquicos; Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 18 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a q 1 Carga horária; 1 Rotatividade; 1 Ética. Estimar o número de pessoas necessárias para uma equipe, sobretudo em etapas iniciais de operação, é uma tarefa complexa. O tamanho da equipe deve considerar um número ideal de profissionais necessáriospara realizar as atividades de um CSIRT, incluindo equipe técnica e gerencial. qO tamanho da equipe deve considerar aspectos como: 1 Recursos financeiros; 1 Recursos humanos; 1 Serviços prestados; 1 Comunidade a ser atendida. Sabe-se, no entanto, que uma vez que o time de segurança estiver estabelecido, novos serviços são demandados pela comunidade. Além disso, o conjunto de serviços oferecidos deve ser aprimorado, o que pode demandar mais trabalho que o inicialmente previsto. Portanto, definir o tamanho da equipe tem influência direta na qualidade das atividades prestadas pelo CSIRT. Nos primeiros anos, muitos CSIRTs atuam com uma equipe minimizada e, com o passar do tempo, novos membros ingressam no time, aprimorando os serviços prestados. A fim de adequar o tamanho da equipe ao volume de trabalho demandado, recomenda-se fazer uma estimativa com base nas notificações recebidas por outros times e também no número de usuários conectados na rede, ou seja, a base de usuários que a equipe atenderá. Esse número necessário de pessoas na equipe deve considerar também o crescimento de noti- ficações – que pode chegar a 100% ao ano – e também possíveis expansões da instituição. Não existe relação direta entre número de pessoas atendidas versus número de pessoas na equipe. Isso pode variar muito, afinal, está relacionado com a missão do CSIRT, onde é descrita a comunidade atendida e o conjunto de serviços realizados. A equipe deve ser composta por profissionais com diferentes tipos de habilidades. Além de habilidades técnicas necessárias para a execução das tarefas de um CSIRT, é importante que os integrantes da equipe tenham habilidades administrativas e gerenciais. qUma equipe multifacetada inclui profissionais com expertises em diferentes áreas: 1 Especialistas em tecnologia de segurança; 1 Administradores de sistemas; 1 Engenheiros de redes; 1 Especialistas em suporte; 1 Gerente; 1 Conselho legal. Evidentemente, as habilidades necessárias precisam estar alinhadas com os serviços ofe- recidos. As habilidades técnicas desejadas na operação de um CSIRT requerem o entendi- mento da tecnologia utilizada, tal como hardware e software. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 19 Ca pí tu lo 2 - G er en ci am en to d o CS IR T qMesmo assim, existem alguns conhecimentos que são essenciais para a equipe que lida com incidentes de segurança: 1 Protocolos de redes (HTTP, MTA, DNS e FTP); 1 Sistemas Operacionais; 1 Infraestrutura de redes (roteadores e comutadores); 1 Ferramentas de segurança (IDS e firewall); 1 Criptografia; 1 Aplicações de rede; 1 Princípios básicos de segurança; 1 Programação. De fato, as habilidades técnicas fazem parte dos atributos necessários para os integrantes de uma equipe. Porém, nem todos os membros do time necessitam ter alto nível de conheci- mento em todas as áreas técnicas. É fundamental, entretanto, que a equipe consiga lidar com os incidentes reportados pela sua comunidade. Na prática, os outros departamentos da instituição só recorrerão ao CSIRT uma vez que reconheçam as competências técnicas do time para auxiliar de forma correta nas necessidades identificadas. Além das habilidades técnicas, as habilidades interpessoais são igualmente importantes. Em alguns casos, é mais fácil aprimorar as habilidades técnicas dos integrantes de uma equipe do que trabalhar as habilidades interpessoais. As habilidades interpessoais são exigidas nas mais diferentes etapas dos serviços prestados por um CSIRT e não devem ser menosprezadas. A equipe está constantemente interagindo com times de segurança e com os demais departamentos da instituição. Sabe-se da impor- tância da interação com a comunidade de atuação do CSIRT, afinal, a reputação do CSIRT depende do profissionalismo empreendido pela equipe. qA seguir, algumas características interpessoais desejadas: 1 Comunicação verbal: comunicar de maneira clara e diplomática, e também saber ouvir; 1 Comunicação não verbal: leitura, escrita e linguagem corporal (para palestras e eventos); 1 Negociação: atuar com outros integrantes a fim de encontrar um resultado mutua- mente aceitável; 1 Resolução de problemas: trabalhar em equipe para identificar, definir e solucionar problemas, mesmo com restrições de tempo e recursos; 1 Assertividade: comunicar valores e opiniões de forma clara e confiante. Os melhores profissionais são aqueles que aliam habilidades técnicas a habilidades interpessoais, muito embora não exista um conjunto único de habilidades desejadas para cada time. É necessário avaliar a comunidade e a natureza dos serviços prestados, a fim de identificar as habilidades necessárias. Alguns times optam por profissionais especialistas, outros, porém, optam por profissionais generalistas. Dependendo do tamanho da equipe, pode-se organizar o grupo por áreas, onde um responsável com bom nível técnico pode orientar os menos experientes. Adicional- mente, as habilidades técnicas podem ser aprimoradas através de cursos e treina- mentos, fazendo com que integrantes da equipe obtenham novas habilidades. l Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 20 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a Treinamento e desenvolvimento da equipe O treinamento dos profissionais do CSIRT tem como objetivo manter a equipe preparada para atuar no processo de resposta. Dessa forma, os integrantes do grupo podem apri- morar suas habilidades e adquirir novas aptidões, de modo a prestar serviços de forma mais efetiva para a comunidade de atuação. qAfinal, uma equipe com conhecimento das novas tecnologias e tendências de segurança pode identificar mais rapidamente as características de incidentes até então não identificadas. O processo de desenvolvimento das habilidades da equipe deve começar com uma ava- liação prévia das habilidades existentes no time e habilidades demandadas. Esse processo deve avaliar cada membro da equipe de forma individual e priorizar demandas mais críticas para o grupo. Como resultado, pode-se efetuar um treinamento com foco no indivíduo ou, ainda, endereçado às limitações da equipe como um todo, tal como análise de riscos e comunicação em inglês. qProcedimentos que podem ser implementados para o desenvolvimento da equipe: 1 Estudo de procedimentos internos: ler e atualizar os procedimentos internos utili- zados pelo CSIRT é uma forma de aprimorar habilidades individuais, sobretudo para os novos membros da equipe. Sabe-se que os procedimentos usados na resposta a incidentes são dinâmicos e necessitam de constantes atualizações. Logo, a constante revisão dos procedimentos internos é benéfica para o time – que mantém o material atualizado – e também para os integrantes que revisitam os procedimentos utilizados nos incidentes passados; 1 Programa de tutoria: a figura de um tutor é utilizada na maioria dos CSIRTs no treinamento de novos integrantes. Para isso, é designado um profissional da equipe com mais experiência para auxiliar um novo integrante. O processo de tutoria deve ser contínuo, até o tutor assegurar-se de que o novo integrante tenha proficiência e consiga lidar, sem cometer erros custosos, com as tarefas demandadas; 1 Estudo individual: alguns CSIRTs consideram disponibilizar horário de trabalho para que o profissional estude temas específicos – tal como análise forense – para serem aplicados no processo de tratamento de incidentes. Para isso, a instituição deve prover o material técnico necessário, tal como periódicos, revistas e livros; 1 Treinamento externo: alguns CSIRTs optam por treinar e desenvolver a equipe usando instituições externas com boa reputação no mercado. Muitas vezes, trata-se de uma questão pontual, onde novas habilidades precisam ser incorporadas à equipe em um curto espaço de tempo. Terceirização de serviçosMuitas vezes, a dificuldade de encontrar profissionais da área e estabelecer uma equipe de segurança acompanhando as mudanças da indústria tem fomentado a contratação de serviços externos, ou seja, a terceirização de serviços relacionados à segurança. Cada instituição deve tomar as decisões que julgar mais convenientes em relação à tercei- rização de serviços relacionados ao tratamento de incidentes de segurança. Alguns CSIRTs optam, por exemplo, em terceirizar etapas nas quais a equipe não tem expertise, tal como análise de malware. Por outro lado, outros times optam por terceirizar o CSIRT como um todo, atribuindo a gerência de incidentes de segurança para uma entidade externa. Alguns cenários onde esse modelo é comumente utilizado são em bancos e outras instituições Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 21 Ca pí tu lo 2 - G er en ci am en to d o CS IR T financeiras. Isso se deve, basicamente, ao grande volume de incidentes e os custos para manter um corpo técnico especializado na instituição. Antes de decidir pela terceirização de serviços, é fundamental avaliar as vantagens e desvan- tagens de cada modelo. qNesse contexto, alguns fatores devem ser considerados, tais como: 1 Custos e riscos associados; 1 Dependência tecnológica; 1 Qualidade do serviço prestado; 1 Questões legais; 1 Questões operacionais; 1 Segurança das informações; 1 Representatividade. A terceirização pode oferecer significativa redução dos custos enquanto estiver provendo serviços similares com economia de recursos humanos e de infraestrutura. Além disso, empresas terceirizadas geralmente definem um Service Level Agreement (SLA) no qual pode ser estipulado o tempo de atendimento e demais métricas-chave que podem manter a sua instituição segura com relação aos requisitos de qualidade. Adicionalmente, é possível acompanhar as atividades do serviço contratado por meio de relatórios e, até mesmo, em tempo real, tendo acesso ao sistema utilizado. Por outro lado, a terceirização de serviços implica em disponibilizar informações sensíveis a terceiros. Essas informações podem ser estratégias para segurança da instituição e também sob o ponto de vista competitivo. Portanto, faz-se necessário avaliar, em âmbito operacional e gerencial, os riscos inerentes à terceirização de serviços. É importante lembrar que a instituição que con- trata os serviços continua sendo responsável por eventos de segurança perante a lei. Para pensar O armazenamento de arquivos na “nuvem” pode ser considerado terceirização de recursos? Contratação A contratação é sempre um processo delicado, sobretudo para um CSIRT onde informações sensíveis à instituição são manejadas. Para isso, faz-se necessário que o time de segurança tenha um processo com etapas bem definidas para contratação de novos integrantes. O processo de contratação é uma atividade que envolve outros departamentos da instituição. O departamento de recursos humanos e o departamento jurídico, por exemplo, são setores com os quais o CSIRT vai interagir na maioria das etapas do processo de contratação. qJá no processo de seleção, outros departamentos podem ser envolvidos. Evidentemente, cada instituição tem os seus próprios procedimentos internos de seleção que consi- deram a própria cultura da instituição; no entanto, existem algumas etapas que devem ser consideradas, tal como: 1 Análise curricular; Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 22 Tr a ta m e n to d e I n ci d e n te s d e S e g u ra n ç a q 1 Entrevista pessoal; 1 Questões contratuais; 1 Questões éticas. Dependendo da natureza da organização e da natureza das funções a serem desempe- nhadas, outros cuidados podem ser demandados. Isso inclui a aprovação específica das altas hierarquias da instituição e, até mesmo, a verificação de antecedentes criminais. As etapas do processo de seleção devem ser aptas a identificar os pontos fortes dos candi- datos, bem como as limitações do profissional. Com isso, a equipe pode avaliar se as limita- ções do candidato podem ser endereçadas através de treinamento e, por fim, identificar se o candidato está apto a realizar as funções demandadas. Uma entrevista pessoal com o candidato sempre é recomendada. O ideal é que essa entrevista seja realizada com a presença de membros da equipe do CSIRT. Dessa forma, questões técnicas podem ser esclarecidas e habilidades interpessoais, avaliadas. Na entre- vista também devemos deixar claro as responsabilidades e benefícios demandados para a equipe. Dessa forma, ambas as partes podem ajustar as suas expectativas. qAlgumas questões que merecem ser esclarecidas: 1 Atividades a serem desenvolvidas; 1 Plano de carreira; 1 Carga horária; 1 Possibilidade de viagens. Além de questões típicas relativas ao horário de trabalho e atividade a ser desenvolvida, a entrevista de seleção também deve tratar aspectos operacionais, tal como horas extras, tra- balho em regime de sobreaviso e necessidade de viagens. Com isso, o candidato e o CSIRT podem avaliar a adequação do perfil em função ao cargo. Após a contratação, entra em ação um conjunto de tarefas que visam integrar o funcionário à equipe e inseri-lo na cultura institucional. Por fim, também é parte do processo de contra- tação treinar o funcionário com procedimentos internos e rotinas da equipe. Do ponto de vista administrativo, o CSIRT deve manter a equipe motivada e com recursos que permitam a evolução técnica e interpessoal dos integrantes do time. qAlgumas formas de aprimorar e assegurar a evolução dos integrantes da equipe compreende: 1 Garantir financiamento no plano de trabalho anual para treinamento de todos os membros da equipe, incluindo equipe técnica e equipe gerencial; 1 Ter acesso a livros e artigos relevantes para a área de tratamento de incidentes, per- mitindo que os membros do time expandam suas habilidades; 1 Assegurar que membros da equipe com pouca experiência sejam acompanhados de perto por membros mais experientes, fazendo com que o esforço de aprendizado seja efetivo; 1 Participar de eventos com outros CSIRTs, pois é uma boa maneira de trocar expe- riências práticas; 1 Encorajar membros da equipe a realizar cursos (pós-graduação, mestrado ou douto- rado) em áreas relativas ao processo de incidentes, tais como criptografia, segurança da informação, sistemas operacionais e redes de computadores. Alysson Santos Ferreira 036.919.841-77 https://esr.rnp.br 23 Ca pí tu lo 2 - G er en ci am en to d o CS IR T Para pensar Você contrataria estagiários ou bolsistas para atuar na resposta a incidentes? Procedimentos de ingresso e desligamento A formação de um time de resposta a incidentes não é o único desafio associado à resposta a incidentes. Com o passar do tempo, a equipe evolui tecnicamente e novos conhecimentos são incorporados ao CSIRT. Alguns membros do time passam para cargos gerenciais e novos ocupam as lacunas existentes na equipe. Adicionado a isso, é comum que membros da equipe se desliguem ou ainda sejam desligados do CSIRT. Nesse contexto, um CSIRT deve estar preparado para lidar com a rotatividade e com a perda de pessoas-chave na instituição. qUma forma de lidar com a rotatividade da mão de obra é implementar uma política de rotatividade de atividades na própria equipe. Assim, evita-se que uma única pessoa possua todo o conhecimento de uma determinada atividade ou processo. Por exemplo, por um período determinado o funcionário responsável por tratar incidentes de segurança troca de posto com o funcionário responsável pelas ferramentas de monito- ração. Desse modo, o conhecimento das atividades do CSIRT passa a ser homogeneizado entre os integrantes da equipe. Devido à natureza sensível das informações que passam por um CSIRT, torna-se necessário que procedimentos especiais sejam adotados no
Compartilhar