Como trabalhos futuros, podemos citar diversas aplicações e extensões de pesquisa e desenvolvimento em classificação de eventos de segurança da informação, a saber:
• Considerando a existência de uma ferramenta de mineração que viabilize testes com volume de dados mais próximos à realidade, poderíamos realizar experimentações com maior volume de amostras, como por exemplo na fase de treinamento. Consi- derando que a fase de treinamento é a que envolve maior gama de recursos, mas um bom treinamento reflete em um melhor resultado de classificação.
• Quanto à Gestão de Incidentes no CTIR Gov, seria uma importante melhoria a implantação de um sistema de rastreamento de incidentes open source como o RTIR e a integração a uma solução de categorização automática dos eventos recebidos.
• Estudo de formas alternativas de pré-processamento, representação de documentos e valoração de palavras importantes em e-mails, como por exemplo os cabeçalhos das mensagens.
• Utilização de técnicas alternativas como Latent Semantic Indexing (LSI), Keyphrase Extraction, indexação por meio de um dicionário controlado, com avaliação dos resultados no conjunto de dados utilizados nesta pesquisa.
• Soluções para amostragem de documentos que fundamentem o conceito principal de amostragem de textos o qual busca representatividade frente ao espaço amostral, sendo que foi utilizado neste trabalho um conjunto de documentos simplificado como espaço amostral.
• Aplicação de técnicas de classificação supervisionada online e incremental capaz de tratar um grande volume de textos.
• Estudo de aplicação dessas técnicas em outras áreas do conhecimento, por exemplo, na gestão de relacionamento ao cliente.
• Aplicação de Web Semântica e Sistemas Multiagentes com o objetivo de melho- rar a eficiência dos elementos propostos no modelo de classificação automática de documentos.
Apêndice A
Processos CSIRT
Os processos atuantes em um CSIRT são mostrados na Figura A.8. Segue uma descri- ção breve sobre cada uma das caixas PC (Preparar, manter e melhorar um CSIRT), PI (Proteger Infraestrutura), D (Detectar), T (Triar) e R (Responder).
A Figura A.1 mostra o processo de preparar que é definido como todo trabalho prévio que permita resposta de ameaças, riscos ou ataques. Nesse caso, faz-se necessário ter pes- soas capazes de trabalhar com incidentes, regras, políticas, procedimentos, equipamentos e infraestrutura apropriados. Também na preparação é realizada avaliação da capaci- dade de tratamento de incidentes, revisão post mortem de incidentes, vulnerabilidades e ações de resposta. Melhorias nos processos CSIRT são encaminhadas para subprocessos de planejamento e de projeto.
O processo de proteger está representado na Figura A.2, o qual está relacionado às mudanças na infraestrutura computacional para prevenir ataques ou responder à ativida- des maliciosas. As melhorias podem ser fundamentadas por meio de análises de artefatos, riscos conhecidos, melhores práticas recomendadas, mitigação de riscos. Nesse processo, são realizadas avaliações da infraestrutura computacional, que servirão para melhorar e diminuir os riscos de segurança dessa infraestrutura. Caso sejam encontradas vulnerabi- lidades, elas são passadas para processo de detecção. A resposta também interage com o processo de proteger, indicando melhorias no processo por meio de lições aprendidas.
Na detecção, apresentado na Figura A.3, o processo é disparado quando informações são recebidas acerca de uma atividade relatada como suspeita. Eventos que precisam de investigação maior são mandados para triagem, Figura A.4, que são categorizados, correlacionados, priorizados e encaminhados devidamente para uma resposta eficaz.
As Figuras A.5 e A.6 mostram como é o processo de triagem. Esse processo tem por objetivo organizar, ordenar informações de eventos e designá-la para pessoas apropria- das, dentro de prazos, documentando informações de maneira apropriada, lidando com informações dentro de um contexto de segurança [10].
Finalmente o processo de resposta a incidentes é definido pelas atividades de análise de eventos, planejamento de uma estratégia de resposta, coordenação de resposta técnica para contenção do ataque, mitigação de incidentes e ação para recuperar e reparar sistemas afetados. As saídas possíveis desse processo podem ser visualizadas na Figura A.7.
A.1
Preparar, Manter e Melhorar um CSIRT
Esse processo, conforme apresentado na Figura A.1, descreve os requisitos básicos para que a Gestão de Incidentes ocorra de forma efetiva e em tempo hábil. Basicamente são três frentes de atuação que atuam em pessoas, materiais (software, hardware) e procedimentos. Nesta seção utilizamos como referência básica o trabalho de [1].
O fator pessoas inclui questões como escolha de equipe técnica, treinamentos e con- tratações. O fator material inclui questões de ferramentas, equipamentos, infraestrutura, sistemas de comunicações e redes seguras, banco de dados de rastreamento de incidentes, formulários on-line de relato de incidentes e ferramentas de análise. A terceira frente é composta pelos procedimentos e normas que irão dirigir as operações de um CSIRT, suas interações com outras partes da organização ou de abrangência e acordo de níveis de serviço.
Uma parte do processo trata da construção inicial de um CSIRT, enquanto os passos envolvem coordenar o planejamento, desenvolvimento e implementação de tratamento de incidentes. Atividades como definição de requisitos e análise de necessidades são essenciais para definir os serviços que o CSIRT prestará. Os requisitos podem vir de diversas fontes sejam elas legais, de negócio, ou até mesmo pessoas envolvidas com o projeto.
A definição de requisitos é utilizada para estabelecer a missão, serviços, modelo or- ganizacional e recursos de um CSIRT. Um processo paralelo obtém patrocínio e custeio para o projeto.
O processo de preparação trata sobre a melhoria contínua de um CSIRT. Uma vez estabelecido o funcionamento de um CSIRT, ou se já opera normalmente, ele pode ser avaliado. Se o processo de resposta necessita de uma avaliação post mortem, ela é realizada como um processo de preparação. Os resultados de melhorias identificados vêm dessas avaliações para que sejam feitas modificações e implementações.