Tratamento de Incidentes de Segurança

(1)

Tratamento

de Incidentes

de Segurança

(2)

(3)

Tratamento de

Incidentes de

Segurança

(4)

(5)

Tratamento de

Incidentes de

Segurança

Rio de Janeiro

Escola Superior de Redes

2015

(6)

22290-906 Rio de Janeiro, RJ Diretor Geral

Nelson Simões

Diretor de Serviços e Soluções

José Luiz Ribeiro Filho Escola Superior de Redes

Coordenação

Luiz Coelho

Coordenação Acadêmica de Segurança e Governança de TI

Edson Kowask

Edição

Lincoln da Mata

Revisão técnica

Jácomo Picolini

Equipe ESR (em ordem alfabética)

Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial.

Capa, projeto visual e diagramação

Tecnodesign

Versão

2.0.0

Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon-trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail info@esr.rnp.br. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material.

As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição

Escola Superior de Redes

Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br

info@esr.rnp.br

Dados Internacionais de Catalogação na Publicação (CIP) C416t Ceron, João

Tratamento de Incidentes de Segurança / João Ceron. – Rio de Janeiro: RNP/ESR, 2014 208 p. : il. ; 27,5 cm.

ISBN 978-85-63630-46-9

1. Segurança de computador. 2. Internet – medidas de segurança. 3. Centro de estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT). 4. Grupo de Resposta a Incidentes de Segurança (CSIRT). I. Título..

(7)

Sumário

Escola Superior de Redes

A metodologia da ESR ix

Sobre o curso x

A quem se destina x

Convenções utilizadas neste livro x

Permissões de uso xi

Sobre o autor xii

1.

Definições e fundamentos de CSIRTs

Introdução 1

Contextualização histórica 2

Identificando CSIRTs pelo mundo 3

Definição de CSIRT 3

Exercício de fixação 1 – Conhecendo CSIRTs 4

Abrangência operacional e missão do CSIRT 5

Serviços de CSIRTs 6

Aspectos operacionais de um CSIRT 10

Tipos 10

Modelos 11

Autonomia 11

Definição de incidente 12

Passos para criação de um CSIRT 13

(8)

Roteiro de Atividades 1 15

Atividade 1.1 – Criação de um CSIRT 15

Atividade 1.2 – Nome e sigla 15

Atividade 1.3 – Abrangência operacional 15

Atividade 1.4 – Missão 15

Atividade 1.5 – Estrutura organizacional 15

Atividade 1.6 – Serviços 16

Atividade 1.7 – Incidente de segurança 17

2.

Gerenciamento do CSIRT

Introdução 19

Código de conduta 19

Equipe 21

Treinamento e desenvolvimento da equipe 24

Terceirização de serviços 24

Contratação 25

Procedimentos de ingresso e desligamento 27

Requisitos estruturais 28

Comunicação 31

Fatores de sucesso 33 Roteiro de Atividades 2 37

Atividade 2.1 – Entrevista coletiva 37

Atividade 2.2 – Contratação 37

Atividade 2.3 – Desligamento 38

Atividade 2.4 – Entrevista de emprego 38

Atividade 2.5 – Comunicando-se com a imprensa 39

Atividade 2.6 – Avaliação de incidente 39

Atividade 2.7 – Procedimentos 40

Atividade 2.8 – Gerenciamento de CSIRT 40

3.

Riscos e ameaças

(9)

Comprometimento de sistemas 45

Phishing 46

Desfiguração 47

Ataques de força bruta 47

Varredura em redes (Scan) 48

Negação de serviço (DoS e DDoS) 48

Malwares 50

Outros riscos 53

APT 54

Roteiro de Atividades 3 57

Atividade 3.1 – Análise de riscos 57

Atividade 3.2 – Ameaças de segurança 57

Atividade 3.3 – Comprometimento de sistemas 58

Atividade 3.4 – Ataques web 58

Atividade 3.5 – Ataques de força bruta 59

Atividade 3.6 – Atuando com APTs 59

Atividade 3.7 – Ataques de negação de serviço (DoS) 60

4.

Processo de tratamento de incidentes

Introdução 61

Metodologia para resposta a incidentes 62

Preparação 63 Contenção 68 Erradicação 70 Recuperação 70 Avaliação 72 Recursos adicionais 73

Roteiro para avaliação inicial de um incidente 73

Procedimentos 74 Roteiro de atividades 4 77

Atividade 4.1 – Notificação de incidentes 77

Atividade 4.2 – Preparação 77

Atividade 4.3 – Detecção 78

(10)

Atividade 4.6 – Recuperação 79

Atividade 4.7 – Monitoração de acessos 79

5.

Aspectos operacionais da resposta a incidentes

Introdução 81

Aspectos operacionais da resposta a incidente 81

Identificação 82

Mensagens de e-mail 83

Análise de cabeçalho 84

Atividade 5.1 – Análise de cabeçalho de e-mail 87

Atividade 5.2 – Utilizando o protocolo SMTP 88

Sincronismo de tempo 90

Atividade 5.3 – Padronização do formato data e hora 92

Priorização 93

Categorização 94

Atividade 5.4 – Classificação e triagem de incidentes 95

Atribuição 96

Escalação de incidentes 97

Notificação de incidentes 98

Boas práticas para a notificação de incidentes de segurança 103 Roteiro de atividades 5 105

Atividade 5.1 – Utilizando PGP 105

Atividade 5.2 – PGP Web-of-Trust 106

Atividade 5.3 – Notificação de incidentes 106

Atividade 5.4 – Identificar informações relevantes em uma notificação recebida 106

6.

Identificação de contatos

Introdução 109

Identificação de contatos 110

Traduzir domínios de redes para endereços IP (domínio > IP) 110

Traduzir o endereço IP para domínios de redes (IP > domínio) 111

Serviço WHOIS 111

National Internet Registry 112

Domínios de rede 113

(11)

Exercício de fixação 118

Recursos adicionais 119

Ferramentas 119

Exercício de fixação – utilizando a ferramenta DIG 122

Exercício de fixação – Sistemas Autônomos 124 Roteiro de atividades 6 129

Atividade 6.1 – Dados sensíveis 129

Atividade 6.2 – Investigação de incidentes 129

Atividade 6.3 – Investigação de contatos 130

7.

Análise de Logs

Mensagens de logs 132

Sistemas de logs 135

Diversidade no formato dos logs 137

Gerenciamento de logs 139

Análise de logs 140

Filtragem 143

Normalização 144

Correlação 145

Ferramentas para o processamento de logs 147

Aspectos de segurança 149

Recomendações para sistemas de logs 150 Roteiro de atividades 7 153

Atividade 7.1 – Syslog 153

Atividade 7.2 – Infraestrutura de logs 153

Atividade 7.3 – Mensagens de logs 154

Atividade 7.4 – Sumarização de logs 156

Atividade 7.5 – Análise de logs 157

8.

Ferramentas para análise de incidentes

Preocupações de privacidade 160

(12)

Virtual Private Network (VPN) 165

Rede Tor 165

Uso da rede Tor na investigação de incidentes 166

Mecanismos de busca 167 Analisadores de malwares 167 Assinaturas de malwares 168 Ferramentas multiantivírus 169 Roteiro de atividades 8 173 Atividade 8.1 – Virustotal 173 Análise comportamental 173

Atividade 8.2 – Análise dinâmica de arquivos maliciosos 177

Considerações sobre o uso de ferramentas online 178

Analisadores de websites 178

Outros serviços online 181

Listas de bloqueio 181

Atividade 8.3 – Pesquisando por sites relacionados com fraudes 182

Repositório de websites desfigurados 182

Atividade 8.4 – Identificar servidores que já foram comprometidos utilizando a base de dados do zone-h 183

Análise de artefatos 184

Atividade 8.5 – Diferentes formas de ocultar o IP de origem 184

Atividade 8.6 – Privacidade 185

Atividade 8.7 – Uso de proxies 185

Atividade 8.8 – Deep Web 186

9.

Dinâmica de tratamento de incidentes

Contextualização 189

SIFRA 191

Tratamento de incidentes de segurança 192 Roteiro de atividades 9 193

(13)

A Escola Superior de Redes (ESR) é a unidade da Rede Nacional de Ensino e Pesquisa (RNP) responsável pela disseminação do conhecimento em Tecnologias da Informação e Comunica-ção (TIC). A ESR nasce com a proposta de ser a formadora e disseminadora de competências em TIC para o corpo técnico-administrativo das universidades federais, escolas técnicas e unidades federais de pesquisa. Sua missão fundamental é realizar a capacitação técnica do corpo funcional das organizações usuárias da RNP, para o exercício de competências aplicá-veis ao uso eficaz e eficiente das TIC.

A ESR oferece dezenas de cursos distribuídos nas áreas temáticas: Administração e Projeto de Redes, Administração de Sistemas, Segurança, Mídias de Suporte à Colaboração Digital e Governança de TI.

A ESR também participa de diversos projetos de interesse público, como a elaboração e execução de planos de capacitação para formação de multiplicadores para projetos edu-cacionais como: formação no uso da conferência web para a Universidade Aberta do Brasil (UAB), formação do suporte técnico de laboratórios do Proinfo e criação de um conjunto de cartilhas sobre redes sem fio para o programa Um Computador por Aluno (UCA).

A metodologia da ESR

A filosofia pedagógica e a metodologia que orientam os cursos da ESR são baseadas na aprendizagem como construção do conhecimento por meio da resolução de problemas típi-cos da realidade do profissional em formação. Os resultados obtidos nos cursos de natureza teórico-prática são otimizados, pois o instrutor, auxiliado pelo material didático, atua não apenas como expositor de conceitos e informações, mas principalmente como orientador do aluno na execução de atividades contextualizadas nas situações do cotidiano profissional. A aprendizagem é entendida como a resposta do aluno ao desafio de situações-problema semelhantes às encontradas na prática profissional, que são superadas por meio de análise, síntese, julgamento, pensamento crítico e construção de hipóteses para a resolução do pro-blema, em abordagem orientada ao desenvolvimento de competências.

Dessa forma, o instrutor tem participação ativa e dialógica como orientador do aluno para as atividades em laboratório. Até mesmo a apresentação da teoria no início da sessão de apren-dizagem não é considerada uma simples exposição de conceitos e informações. O instrutor busca incentivar a participação dos alunos continuamente.

(14)

As sessões de aprendizagem onde se dão a apresentação dos conteúdos e a realização das atividades práticas têm formato presencial e essencialmente prático, utilizando técnicas de estudo dirigido individual, trabalho em equipe e práticas orientadas para o contexto de atua-ção do futuro especialista que se pretende formar.

As sessões de aprendizagem desenvolvem-se em três etapas, com predominância de tempo para as atividades práticas, conforme descrição a seguir:

Primeira etapa: apresentação da teoria e esclarecimento de dúvidas (de 60 a 90 minutos).

O instrutor apresenta, de maneira sintética, os conceitos teóricos correspondentes ao tema da sessão de aprendizagem, com auxílio de slides em formato PowerPoint. O instrutor levanta questões sobre o conteúdo dos slides em vez de apenas apresentá-los, convidando a turma à reflexão e participação. Isso evita que as apresentações sejam monótonas e que o aluno se coloque em posição de passividade, o que reduziria a aprendizagem.

Segunda etapa: atividades práticas de aprendizagem (de 120 a 150 minutos).

Esta etapa é a essência dos cursos da ESR. A maioria das atividades dos cursos é assíncrona e realizada em duplas de alunos, que acompanham o ritmo do roteiro de atividades proposto no livro de apoio. Instrutor e monitor circulam entre as duplas para solucionar dúvidas e oferecer explicações complementares.

Terceira etapa: discussão das atividades realizadas (30 minutos).

O instrutor comenta cada atividade, apresentando uma das soluções possíveis para resolvê-la, devendo ater-se àquelas que geram maior dificuldade e polêmica. Os alunos são convidados a comentar as soluções encontradas e o instrutor retoma tópicos que tenham gerado dúvidas, estimulando a participação dos alunos. O instrutor sempre estimula os alunos a encontrarem soluções alternativas às sugeridas por ele e pelos colegas e, caso existam, a comentá-las.

Sobre o curso

O curso apresenta os conceitos fundamentais e descreve as fases de tratamento de inciden-tes de segurança com exercícios práticos e simulações de casos. O curso apresenta ainda as atividades necessárias para que seja estabelecida uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR, suas responsabilidades, seu modelo de atuação e estrutura. Ao final do curso o aluno estará preparado para iniciar a criação de um grupo de atendimento a incidentes de segurança (Computer Security Incident Response Team - CSIRT) e com conhecimento necessário para realizar o tratamento de incidentes na sua organização.

A quem se destina

O curso destina-se aos gestores e profissionais da área de segurança da informação e de TIC que necessitam adquirir e desenvolver competências e habilidades para iniciarem a área de Tratamento de Incidentes, implementarem e estabelecerem uma Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR de acordo com a norma complementar do DSIC e as boas práticas de mercado. Também poderão se beneficiar outros profissionais desejam adquirir o conhecimento sobre ETIR e tratamento de incidentes.

Convenções utilizadas neste livro

As seguintes convenções tipográficas são usadas neste livro:

(15)

Indica nomes de arquivos e referências bibliográficas relacionadas ao longo do texto. Largura constante

Indica comandos e suas opções, variáveis e atributos, conteúdo de arquivos e resultado da saída de comandos. Comandos que serão digitados pelo usuário são grifados em negrito e possuem o prefixo do ambiente em uso (no Linux é normalmente # ou $, enquanto no Windows é C:\). Conteúdo de slide q

Indica o conteúdo dos slides referentes ao curso apresentados em sala de aula. Símbolo w

Indica referência complementar disponível em site ou página na internet. Símbolo d

Indica um documento como referência complementar. Símbolo v

Indica um vídeo como referência complementar. Símbolo s

Indica um arquivo de aúdio como referência complementar. Símbolo !

Indica um aviso ou precaução a ser considerada. Símbolo p

Indica questionamentos que estimulam a reflexão ou apresenta conteúdo de apoio ao entendimento do tema em questão.

Símbolo l

Indica notas e informações complementares como dicas, sugestões de leitura adicional ou mesmo uma observação.

Permissões de uso

Agradecemos sempre citar esta fonte quando incluir parte deste livro em outra obra. Exemplo de citação: TORRES, Pedro et al. Administração de Sistemas Linux: Redes e Segurança. Rio de Janeiro: Escola Superior de Redes, RNP, 2013.

Comentários e perguntas

Para enviar comentários e perguntas sobre esta publicação: Escola Superior de Redes RNP

Endereço: Av. Lauro Müller 116 sala 1103 – Botafogo Rio de Janeiro – RJ – 22290-906

(16)

Sobre o autor

Jácomo Picolini é formado em Engenharia pela Universidade Federal de São Carlos, com

pós-graduações no Instituto de Computação e Instituto de Economia da UNICAMP, possui 17 anos de experiência na área de segurança, trabalhou no CAIS/RNP até 2009 e depois como Coordenador Acadêmico da área de Segurança e Governança de TI ESR/RNP até 2011, Diretor no Dragon Research Group, membro da diretoria do capítulo da ISACA de Brasília 2011-2014, membro da Comissão de Direito Eletrônico e Crimes de Alta Tecnologia da OAB SP, liasion do FIRST.org onde coordena as atividades de treinamento, professor convidado em cursos de pós-graduação nas disciplinas de análise forense, tratamento de incidentes, segurança de sistemas, criação e gerenciamento de CSIRTs. Atualmente trabalha na empresa Team Cymru NFP e faz parte da equipe que provê informações para tornar a Internet mais segura.

Edson Kowask Bezerra é profissional da área de segurança da informação e governança

há mais de quinze anos, atuando como auditor líder, pesquisador, gerente de projeto e gerente técnico, em inúmeros projetos de gestão de riscos, gestão de segurança da informa-ção, continuidade de negócios, PCI, auditoria e recuperação de desastres em empresas de grande porte do setor de telecomunicações, financeiro, energia, indústria e governo. Com vasta experiência nos temas de segurança e governança, tem atuado também como pales-trante nos principais eventos do Brasil e ainda como instrutor de treinamentos focados em segurança e governança. É professor e coordenador de cursos de pós-graduação na área de segurança da informação, gestão integrada, de inovação e tecnologias web. Hoje atua como Coordenador Acadêmico de Segurança e Governança de TI da Escola Superior de Redes.

(17)

Ca pí tu lo 1 - D efi ni çõ es e f un da m en to s d e C SI RT s

obj

et

ivo

s

co

nc

ei

to

s

1 Definições e fundamentos

de CSIRTs

Aprender conceitos e termos mais importantes de um CSIRT; Descrever os principais aspectos operacionais de um CSIRT; Iniciar o processo de criação de um CSIRT.

O CSIRT; Definições importantes na criação de um CSIRT (Computer Security Incident Response Team ou Grupo de Resposta a Incidentes de Segurança, na sigla em inglês); Conceito de “incidente de segurança”.

Introdução

q

O contínuo crescimento e a popularização da internet estão sendo acompanhados pelo aumento de novas ameaças de segurança dos sistemas computacionais. Com o passar do tempo, entretanto, as ameaças e ataques aos sistemas computacionais têm aumen-tado consideravelmente. Esse aumento é decorrente de inúmeros fatores, entre os quais o aumento no número de usuários, o aumento no número de transações financeiras e, sobretudo, o aumento do grau de dependência tecnológica da sociedade.

Boa parte dos serviços está amplamente acessível na rede, de modo a prover suas funciona-lidades aos seus usuários. Consequentemente, esses sistemas também se tornam expostos aos diferentes tipos de ameaças. Tais ameaças incluem atividades de usuários, softwares maliciosos e vulnerabilidades associadas aos serviços utilizados. Diante disso, torna-se essencial implementar mecanismos para lidar com eventos de segurança antes mesmo que danos significativos sejam causados às instituições. Além do mais, é necessário que os procedimentos tradicionais para proteção de sistemas sejam constantemente aprimorados de modo a contemplar as novas ameaças e ataques emergentes na internet.

q

Esse contexto fomentou o surgimento de equipes especializadas em lidar com incidentes de segurança. Dessa forma, a equipe pode desenvolver metodologias para proteger os sistemas e, na ocorrência de um avento arbitrário de segurança, esse grupo de pessoas pode prontamente interceder de forma efetiva.

(18)

Tra ta me nt o d e I nci de nt es d e S eg ur anç a

Contextualização histórica

q

Atualmente observam-se muitos times de segurança constituídos em diferentes insti-tuições. Nos primórdios da internet, o número de incidentes de segurança era bastante reduzido e de baixa complexidade. No entanto, com o passar do tempo, os incidentes de segurança obtiveram novas proporções, sobretudo após o incidente de segurança denominado de Internet Worm.

Esse incidente fomentou a discussão na comunidade de segurança pela necessidade de melhores meios para identificar e responder incidentes de computadores na internet de forma efetiva.

q

Como resultado, um conjunto de recomendações foi especificado tendo como principal demanda:

1 Criar um único ponto de contato na rede para comunicar problemas de segurança; 1 Atuar de forma confiável com informações de segurança.

Em resposta a essas recomendações, foi institucionalizado o primeiro grupo de resposta a incidentes, conhecido como CERT Coordination Center (CERT/CC), localizado na univer-sidade de Carnegie Mellon, nos Estados Unidos.

Na Europa, o mesmo modelo foi adotado, e em 1992 o provedor acadêmico holandês SURFnet fundou o primeiro time europeu, o qual foi denominado SURFnet-CERT. Consequentemente, outros times foram implementados em diferentes intuições e em diversos países.

q

No Brasil não foi diferente. Embora a primeira conexão da internet tenha sido oficial-mente inaugurada em 1989, a internet realoficial-mente ganhou corpo em 1995, quando foi liberada a operação da internet comercial no Brasil. No mesmo ano, o Comitê Gestor da Internet no Brasil (CGI.br) foi criado com a responsabilidade de coordenar e integrar todas as iniciativas de serviços internet no país, promovendo a qualidade técnica, a ino-vação e a disseminação dos serviços ofertados.

Entre as diversas iniciativas do CGI.br, a publicação do documento Rumo à Criação de

uma Coordenadoria de Segurança de Redes na Internet Brasil em agosto de 1996 foi um

marco para a segurança da internet brasileira.

Nesse documento, são discutidos aspectos de segurança nacional e a importância dos CSIRTs para a segurança da rede. Entre as recomendações, sugeriu-se a criação de um centro nacional de coordenação de segurança de redes.

q

Com base nas recomendações do CGI.br, em junho de 1997 foi estabelecido o primeiro grupo de responsabilidade nacional, denominado NIC BR Security Office (NBSO), que posteriormente seria renomeado para CERT.br.

No mesmo ano, outros times de diferentes instituições brasileiras foram formalizados:

q

1 1997:

2 Fundação do CAIS: CSIRT da própria Rede Nacional de Ensino e Pesquisa (RNP); 2 Fundação do NBSO (Cert.br);

2 Fundação do CERT-RS: CSIRT da rede acadêmica do Rio Grande do Sul. 1 1999:

2 Fundação do GRA: CSIRT do SERPRO (Serviço Federal de Processamento de Dados);

Internet Worm:

Em 1988, o incidente Internet Worm deixou milhares de compu-tadores inoperantes. Estima-se que seis mil sistemas foram afetados, o que repre-sentava aproximada-mente 10% da internet operante na época.

(19)

q

1 2004:

2 Fundação do CTIR Gov: CSIRT voltado para a administração pública federal. 1 2010:

2 Fundação do CDCiber: CSIRT responsável pelo setor cibernético no exército. No Brasil, atualmente, podemos encontrar diversos grupos estabelecidos em diferentes estados. No website do CERT.br são ilustrados alguns times estabelecidos e respectivas informações de contato.

Identificando CSIRTs pelo mundo

Os websites a seguir podem ser utilizados para localizar CSIRTs e suas respectivas abrangências operacionais nos mais diversos países.

1 http://www.first.org/members/teams 1 http://www.rnp.br/cais/csirts.html 1 http://www.cert.br/contato-br.html 1 http://www.cert.org/csirts/national/contact.html 1 http://www.apcert.org/about/structure/members.html 1 http://www.cert.org/csirts/csirt-map.html

Definição de CSIRT

q

Um Computer Security Incident Response Team (CSIRT) ou um Computer Security Inci-dent Response Team (CSIRT) – em português, Grupo de Resposta a InciInci-dentes de Segu-rança – é uma organização que responde a incidentes de seguSegu-rança provendo suporte necessário para resolver ou auxiliar na resolução.

O CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, tal como empresa, órgão governamental ou organização acadêmica. Independentemente de sua atuação, é fundamental que um CSIRT tenha a habilidade de ana-lisar e prover rapidamente meios efetivos para tratar um incidente. A rápida identificação e a efetiva análise de um incidente de segurança podem diminuir possíveis danos e, em última análise, diminuir os eventuais custos de uma recuperação. Como consequência, a análise de incidentes permite a implementação de medidas preventivas evitando que eventos similares aconteçam novamente.

q

Existe uma sutil diferença entre um CSIRT e uma equipe de segurança departamental. Uma equipe de segurança departamental desenvolve ações habituais relativas à moni-toração de redes e sistemas, como por exemplo: atualização de sistemas; configuração de filtro de pacotes; análise de logs; gerenciamento de redes e outras tarefas. Já um CSIRT atua com foco na resposta de incidentes, implementando um ponto central para notificação, análise e coordenação de incidentes na organização. De forma comple-mentar, um CISRT pode complementar suas atividades incorporando tarefas de uma equipe de segurança departamental; entretanto, seu foco deve estar no tratamento de incidentes de segurança.

Organizações que implementam CSIRTs valem-se dos seguintes benefícios: 1 Existência de mecanismos de resposta a incidentes de segurança;

(20)

q

1 Aumento do grau de segurança, ao desenvolver uma cultura de segurança; 1 Criação de mecanismos que visam à preservação da instituição;

1 Introdução de senso crítico em relação à visão tradicional de TI.

É comum questionar-se em relação à denominação de grupos a resposta a incidentes. Além de CSIRT, outras siglas são rotineiramente empregadas para designar grupos de resposta a incidentes de segurança. Talvez as siglas mais utilizadas sejam: CERT e ETIR.

A identidade de um grupo começa pela definição do seu nome.

q

O nome e a sigla permitem ao seu CSIRT criar uma identidade própria, que deve estar alinhada com a de sua instituição e, se possível, refletir o setor que representa (banco, indústria, governo etc.).

A seguir uma listagem de siglas e nomes de alguns times:

1 CERT/CC: Computer Emergency Response Team/Coordination Center;

1 CAIS/RNP: Centro de Atendimento a Incidentes de Segurança da Rede Nacional de Ensino e Pesquisa;

1 CENATIS: Centro de Atendimento e Tratamento de Incidentes de Segurança da Universidade Federal do Rio de Janeiro (UFRJ);

1 CERT.BR: Centro de Estudo, Resposta e Tratamento de Incidentes de Segurança no Brasil;

1 NARIS: Núcleo de Atendimento e Resposta a Incidentes de Segurança da Universi-dade Federal do Rio Grande do Norte (UFRN);

1 GRIS-CD: Grupo de Resposta a Incidentes de Segurança da Câmara dos Deputados; 1 TRI: Time de Resposta a Incidentes da Universidade Federal do Rio Grande do Sul

(UFRGS);

1 CERT-RS: Centro de Emergências em Segurança da Rede Tchê;

1 USP/CSIRT: Centro de Resposta a Incidentes de Segurança da Universidade de São Paulo (USP);

1 GRA/SERPRO: Grupo de Resposta a Ataques do Serviço Federal de Processamento de Dados (SERPRO).

Exercício de fixação 1

e

Conhecendo CSIRTs

Através de uma consulta na internet, localize dois exemplos de grupos de resposta a incidentes de segurança nas áreas listadas a seguir. Escreva a sigla, o nome do grupo e a comunidade de atuação.

CSIRT governamental: 1.

2.

A sigla CERT (Computer Emergency Response Team) é uma marca patenteada e somente pode ser usada mediante prévia autorização. Já a sigla ETIR representa Equipe de Tratamento e Resposta a Incidentes em redes de computa-dores, o que corres-ponde a uma tradução livre do termo CSIRT.

l

Leitura recomendada – definição de CSIRTs segundo o CERT/CC: http://www.cert.org/ csirts/csirt_faq.html e http://www.cert.br/ certcc/csirts/csirt_ faq-br.html e Departa-mento de Segurança da Informação e Comuni-cações: http://dsic. planalto.gov.br/

d

(21)

CSIRT de instituição financeira: 1. 2. CSIRT comercial: 1. 2. CSIRT acadêmico: 1. 2.

Abrangência operacional e missão do CSIRT

q

A abrangência operacional, também conhecida por constituency, define a comunidade atendida pelos serviços do CSIRT. A abrangência operacional de um CSIRT pode ser composta por diversos domínios administrativos, diferentes redes, ou ainda por um conjunto específico de domínios. Por exemplo: “O CSIRT exemplo atende domínios e endereços IP alocados para o AS XXXX”; ou ainda, de forma mais flexível: “Redes, ende-reços IP e domínios atendidos pela instituição”.

Com a definição da abrangência operacional torna-se possível mapear as necessidades e anseios da comunidade utilizadora, o que possibilita, em um contexto mais amplo, definir a missão do CSIRT.

A missão de um CSIRT deve fornecer uma breve descrição das metas e objetivos da equipe. A definição da missão é que permite determinar o conjunto de atividades a serem desenvolvidas pela equipe no contexto de sua abrangência operacional.

Recomenda-se que a missão de um CSIRT seja concisa e clara. Afinal, de certa forma, a missão de um CSIRT permite que entidades externas possam definir expectativas apropriadas em relação às ações a serem tomadas pela equipe. Alguns exemplos de definições da missão de CSIRT:

q

1 Missão do CAIS/RNP (http://www.rnp.br/cais/): “O CAIS – Centro de Atendimento a Incidentes de Segurança atua na detecção, resolução e prevenção de incidentes de

(22)

q

1 Missão do CERT.br (http://www.cert.br/missao.html): “O CERT.br, anteriormente denominado NBSO/Brazilian CERT, é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo Comitê Gestor da Internet no Brasil. É o grupo responsável por receber, analisar e responder a incidentes de segurança em compu-tadores, envolvendo redes conectadas à internet brasileira.”

1 Missão do CTIR.gov (http://www.ctir.gov.br/): “Operar e manter o Centro de Trata-mento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal.”

De fato, a missão posiciona o CSIRT frente à sua comunidade de atuação. Adicionalmente, a sua comunidade toma conhecimento dos serviços prestados pelo time de segurança. Sabe-se, entretanto, que o relacionamento com a comunidade de atuação deve ir além da simples definição e divulgação dos serviços prestados pelo time. Nesse contexto de segurança, mais do que nunca, ações falam mais alto do que definições escritas. Um CSIRT leva tempo para ter o seu reconhecimento na comunidade de atuação. Fatores como confiança e respeito são conquistados naturalmente com bom trabalho realizado.

Por fim, e não menos importante, é assegurar que a missão do CSRIT tenha apoio e suporte da camada de gestão da instituição (diretores ou equivalentes). Do contrário, a atuação do time pode ser seriamente comprometida.

Serviços de CSIRTs

q

Os serviços de um CSIRT definem um conjunto de atividades que serão providas para a sua comunidade de atuação (constituency). Evidentemente, algumas atividades são intrínsecas ao processo de tratamento de incidentes e, portanto, mandatórias a todos os CSIRTs: análise de eventos, resposta de incidentes e coordenação para resolução de incidentes de computadores.

Tipicamente, os CSIRTs tradicionais implementam um conjunto de serviços adicionais que complementam as atividades relativas ao processo de resposta a incidente, tal como a elaboração de alertas e anúncios relacionados à segurança. Outros CSIRTs, porém, diversi-ficam a sua base de serviços provendo atividades de auditoria de sistemas, análise de riscos, treinamento e análise forense.

q

Algumas atividades típicas de CSIRTs: 1 Análise de artefatos maliciosos; 1 Análise de vulnerabilidades; 1 Emissão de alertas e advertências;

1 Prospecção ou monitoração de novas tecnologias; 1 Avaliação de segurança;

1 Desenvolvimento de ferramentas de segurança; 1 Detecção de intrusão;

1 Disseminação de informações relacionadas à segurança.

Embora não exista um conjunto padrão de serviços que um CSIRT deva oferecer, é essencial que cada time de segurança especifique serviços tendo em vista seus recursos disponíveis, tal como equipe, expertise e infraestrutura necessária.

Segundo documen-tação do próprio CERT/ CC, em média, um CSIRT leva em torno de um ano após o início de sua operação para que a comunidade assimile o time e comece um processo regular de notificações. O aumento de notificações de segurança para um CSIRT é um indício de acolhimento pela comunidade de abrangência.

l

(23)

O CERT/CC, por sua vez, disponibiliza um repositório de boas práticas e recomendações que especificam detalhes dos serviços prestados por um CSIRT.

q

Segundo a nomenclatura adotada, os serviços de um CSIRT podem ser agrupados em: 1 Serviços reativos;

1 Serviços proativos; 1 Serviços de qualidade.

Os serviços correspondentes a cada categoria são listados na tabela 1.1 e descritos de forma mais detalhada na sequência.

Reativos Proativos Qualidade

1 Análise de Vulnerabili-dades. 1 Elaboração de alertas e avisos. 1 Gerenciamento de vulnerabilidades. 1 Análise de malwares e demais artefatos. 1 Monitoração da segu-rança na rede. 1 Alertas de ferramentas. 1 Avaliação situacional. 1 Detecção de intrusão. 1 Desenvolvimento de fer-ramentas de segurança. 1 Análise de processos e procedimentos. 1 Gerenciamento da equipe ou negócios. 1 Plano de recuperação de desastres. 1 Educação e treinamento.

Serviços reativos

q

São serviços instanciados após a identificação de um incidente de segurança. Tais ser-viços visam solucionar um incidente de segurança em execução ou prover meios para a investigação de incidentes previamente identificados.

De todo modo, os serviços reativos fazem parte das atividades essenciais implemen-tadas por CSIRTs no processo de resposta a incidentes de segurança. Os serviços podem ser instanciados por uma notificação de um incidente – máquina comprometida, por exemplo – um pedido de ajuda ou, ainda, por ferramentas de detecção do próprio time de segurança.

Serviços proativos

q

Os serviços proativos têm por objetivo evitar que incidentes de segurança ocorram e, também, reduzir o impacto quando estes ocorrerem. Para isso, buscam-se desenvolver ações seguras de maneira a aprimorar a segurança dos sistemas como um todo, bus-cando diminuir o potencial de sucesso dos ataques contra a infraestrutura das organiza-ções. Alguns serviços dessa categoria estão diretamente relacionados a:

1 Implementar defesa em camadas e garantir que as melhores práticas de segurança sejam implementadas nos sistemas computacionais, incluindo a configuração, defi-nição e implementação;

1 Realizar tarefas de auditoria, avaliação de vulnerabilidades e outras avaliações que visam identificar fraquezas nos sistemas ou vulnerabilidades antes que estas sejam exploradas;

1 Identificar riscos de novas ameaças e tendências de maneira a identificar como elas podem afetar a instituição;

1 Atualizar assinaturas de antivírus ou IDS de maneira a conter as novas ameaças identificadas. Tabela 1.1 Os diversos tipos de serviços prestados por um CSIRT.

(24)

Serviços de qualidade

q

São serviços desenvolvidos para aprimorar o processo de resposta a incidentes como um todo. Para isso, são analisados processos administrativos do CSIRT e também a efetividade dos serviços prestados. Dessa forma, podem-se identificar limitações no processo e implementar melhorias para o time, seja elas de caráter técnica (treinamento técnico para a equipe) ou organizacional (fluxo de informação entre os processos). Essas tarefas incluem:

1 Gerenciamento da equipe ou processos; 1 Educação ou treinamento;

1 Auditoria de sistemas.

Essas diferentes classificações descrevem a natureza dos serviços de um CSIRT e fica a critério de cada time incorporá-los à sua comunidade. Alguns serviços são essencialmente internos; outros; no entanto, podem ser demandados pela comunidade de atuação e também por terceiros. Para isso, deve-se ter claramente documentado as peculiaridades de cada serviço no que tange: escopo, formas de contato e funcionamento.

Por fim, é importante que os serviços prestados por um CSIRT sejam providos com qualidade tendo em foco a sua comunidade de atuação. Para isso, torna-se desejável monitorar a excelência dos serviços prestados e aprimorá-los com lições aprendidas e contribuições dos usuários. Do contrário, o CSIRT pode cair em descrédito e a sua comunidade pode parar de reportar incidentes.

Interação com os serviços

q

Além de especificar os serviços providos por um CSIRT, é essencial descrever como estes podem ser instanciados. Desse modo, um CSIRT deve estabelecer diferentes canais de comunicação para a sua comunidade, permitindo que os serviços disponíveis sejam solicitados. Existem diferentes meios de contato.

Talvez o mais utilizado o sistema de e-mail. No entanto, devem-se prever outras formas de interação com a equipe, incluindo até mesmo requisições pessoais originadas por funcioná-rios da própria empresa in loco.

q

Quando definir os canais de comunicação, o CSIRT deve considerar questões relativas à documentação das solicitações. Por exemplo:

1 Como gerenciar um incidente notificado via telefone?

1 Como atualizar a equipe referente ao status de um incidente notificado pessoalmente? 1 Incidentes não documentados farão parte das estatísticas de um CSIRT?

Sabe-se que um CSIRT pode se comunicar com a sua comunidade de diferentes formas. Na sequência, são descritos os principais canais de comunicação.

(25)

q

Formas de disseminar informações e requisitar serviços:

1 Telefone: uma das formas mais simples e diretas de comunicação com a sua comu-nidade de atuação é via contato telefônico. A conversação telefônica é uma forma direta de reportar incidentes e lidar com informações que possuem carácter de urgência. No entanto, ligações telefônicas podem gerar interpretações errôneas, sobretudo em situações de emergência. Outro ponto negativo do uso do telefone é a interrupção causada pelas ligações. Em eventos de segurança, é comum que muitas pessoas entrem em contato com o CSIRT, o que pode atrasar a resolução de um incidente em andamento. Alguns times optam por não realizar atendimento via telefone, mas disponibilizam um telefone de urgência – tal como um celular – para efetivamente receber ligações telefônicas de um grupo mais restrito (gerência e equipe técnica);

1 INOC-DBA: O INOC-DBA (Hotline Phone System) é uma infraestrutura VoIP para comu-nicação direta entre Centros de Operação de Redes (NOCs) e Grupos de Tratamento de Incidentes de Segurança (CSIRTs). Deseja-se, com isso, que todos os provedores e grandes redes conectadas na internet sejam facilmente contatados por quaisquer outros provedores do mundo. Para isso, cada participante do INOC-DBA possui um ramal – que corresponde ao número do próprio AS (Sistema Autônomo, na sigla em inglês) – e pode receber e solicitar ligações de forma gratuita. No Brasil, o Comitê Gestor da Internet no Brasil participa do projeto fornecendo gratuitamente telefones VoIP para todos os ASs e CSIRTs reconhecidos. Mais informações: http://www.ceptro. br/CEPTRO/MenuCEPTROSPInocDba;

1 E-mail: a maneira mais utilizada para comunicação entre o CSIRT e a comunidade de atuação é, sem dúvida, o e-mail. Sabemos das vantagens da comunicação via e-mail: rapidez, comodidade e fácil identificação do remetente. No contexto do CSIRT, a comunicação via e-mail é essencial. Logo, faz-se necessário que o CSIRT envie e, principalmente, receba todos os e-mails destinados ao time. Recomenda-se que nenhum tipo de filtro seja utilizado na caixa de entrada do e-mail, tal como antispam e antivírus (filtro de anexos). Afinal, a comunidade pode encaminhar um spam para a equipe analisar, e até mesmo repassar arquivos maliciosos executáveis. De forma com-plementar, recomenda-se a utilização de e-mails impessoais, ou seja, é importante a instituição ter um e-mail de contato, como por exemplo “csirt@instituicao”. De forma resumida, as boas práticas recomendam:

2 Utilizar e-mail impessoal;

2 Não usar filtragem na caixa de e-mail (antispam);

2 Cuidado com cotas e limites de e-mails recebidos ou enviados; 2 Divulgar o e-mail institucional no website;

2 Manter o sistema de WHOIS apontado para um e-mail válido;

(26)

q

1 Boletins: alguns CSIRTs costumam repassar informações de segurança para a sua comunidade por meio de listas de e-mails ou mesmo via boletins impressos. A divulgação de informações que afetam especialmente a comunidade de abran-gência – como, por exemplo, atualização de sistemas utilizados – e dicas de segurança incluindo configuração segura é uma maneira efetiva de evitar incidentes de segurança; 1 Website: é uma maneira eficaz de divulgar informações para a comunidade de

abran-gência. Além de disseminar uma variedade de informações como boletins e notícias, um site serve para disponibilizar procedimentos e formas de contato do CSIRT. Alguns times também disponibilizam ferramentas e outros softwares úteis para a comunidade. Embora seja praticamente mandatório todo CSIRT ter um website, é importante zelar por sua segurança. Afinal, um defacement no site de um CSIRT pode causar prejuízos à

imagem do time;

1 Conferências: participar de conferências ou mesmo promover conferências e semi-nários é mais uma forma de comunicar-se com a comunidade de atuação. A apresen-tação de trabalhos em conferências também é importante. Ter membros da equipe apresentando trabalhos em eventos pode aumentar a reputação do time e ajudar no processo de divulgação de informações para a comunidade;

1 Cursos: a realização de cursos para a comunidade com foco em segurança é uma prática adotada por alguns times. A realização de cursos na própria instituição também serve para intensificar e disseminar a própria política de segurança da instituição.

É importante lembrar que a comunicação entre um CSIRT e as demais partes envolvidas tipi-camente envolvem informações sigilosas. Questões relativas à segurança das informações – tráfego de dados e armazenamento das informações – devem ser consideradas pela equipe no momento em que um novo canal de comunicação é instaurado.

Aspectos operacionais de um CSIRT

q

Os aspectos operacionais de um CSIRT definem especificamente qual será a forma de atuação da equipe tanto no âmbito operacional quanto no organizacional.

As particularidades de cada CSIRT têm influência direta na estrutura e operação da equipe. Por exemplo, aspectos como a comunidade atendida, natureza das informações e modelo gerencial da equipe definirão a forma como os incidentes serão tratados internamente. Na sequência, são discutidos os principais aspectos operacionais, considerando as particu-laridades dos CSIRTs, incluindo abrangência operacional, modelos estruturais e autonomia da equipe:

q

1 Tipos; 1 Modelos; 1 Autonomia.

Tipos

q

Um CSIRT pode ser classificado segundo a sua área de atuação. A abrangência de atuação dos CSIRTs está intimamente ligada ao setor de atuação. Principais categorias de CSIRTs: 1 CSIRTs internos: são os CSIRTs que cuidam somente dos incidentes da sua instituição

Defacement:

Ataque que tem como objetivo alterar sem autorização o conteúdo de uma página web.

(27)

q

1 CSIRTs de coordenação: são times que atuam como intermediadores. Atuam repas-sando informações e medindo tendências. Tais CSIRTs, tipicamente, não possuem nenhum poder sobre os grupos com os quais interagem. Exemplo: CSIRT nacional; 1 CSIRTs de vendedores: são os CSIRTs que representam os fabricantes de hardware

ou software e que tratam das vulnerabilidades existentes nos seus produtos; 1 CSIRTs de consultoria: prestam os serviços relacionados com a resposta de

inci-dentes de forma terceirada. Esse tipo de CSIRT é utilizado por empresas que não possuem o seu próprio CSIRT;

1 CSIRTs de pesquisa: são grupos especializados em pesquisa na área de segurança, tipicamente relacionado com estudo de vulnerabilidades.

Modelos

q

Apesar de atuarem na mesma área, os CSIRTs podem possuir modelos estruturais dife-rentes. Principais estruturas organizacionais utilizadas na implantação dos CSIRTs: 1 CSIRTs centralizados: a equipe possui membros dedicados às atividades do CSIRT,

sendo estabelecida de forma centralizada no âmbito da organização;

1 CSIRTs descentralizados: a equipe fica geograficamente distribuída em diferentes cidades ou, até mesmo, países. Possui equipe dedicada às atividades de tratamento e resposta aos incidentes de rede computacionais, podendo atuar operacionalmente de forma independente, porém alinhada com as diretrizes estabelecidas pela coorde-nação central;

1 CSIRTs mistos: trata-se da junção entre modelos centralizados e descentralizados. Nessa estrutura, a equipe centralizada é responsável por criar as estratégias, geren-ciar as atividades e distribuir as tarefas entre as equipes descentralizadas;

1 CSIRTs de crise: a equipe é reunida durante a emergência de um processo de crise, sendo composta por especialistas de cada área, deixando de existir após a conclusão de solução do incidente.

Um desafio crescente para os CSIRTs está em acompanhar o que acontece na área de segurança durante as 24h do dia. Um CSIRT descentralizado ou misto possui a vantagem de possuir representantes em diversos fusos horários, permitindo, assim, cobertura mais ampla dos acontecimentos.

Autonomia

q

Outro fator crítico como aspecto fundamental de organização é a autonomia do CSIRT. A autonomia descreve o nível de responsabilidade e também o escopo de atuação da equipe sobre atividades relacionadas ao tratamento de incidentes. A classificação dos diferentes níveis de autonomia é apresentada a seguir:

1 Autonomia Completa: uma equipe tem autonomia plena para tomar as decisões e executar as medidas necessárias para solucionar um incidente de segurança. As decisões podem ser tomadas pela equipe sem a necessidade de aprovação de níveis superiores de gestão;

1 Autonomia Compartilhada: uma equipe com autonomia compartilhada deve atuar em conjunto com os outros setores da organização. Para isso, a equipe participa do

(28)

q

1 Sem Autonomia: a equipe sem autonomia só pode agir com autorização expressa de um responsável previamente designado. Nessa categoria a equipe apenas pode recomendar os procedimentos a serem executados; no entanto, não tem participação no processo final de decisão.

Definição de incidente

q

Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, que pode comprometer em algum aspecto a segurança computacional. Em geral, toda situação na qual um ativo de informação está sob risco é considerado um incidente de segurança.

A definição de um incidente de segurança é fundamental para as operações de um CSIRT. Apesar de muitas vezes ser abstrata, a definição deve ter relação com as atividades e área de atuação do próprio CSIRT. Deve-se, por exemplo, determinar que tipos de eventos serão tratados pela equipe.

q

Exemplos comuns de incidentes incluem:

1 A desfiguração do portal web de uma instituição; 1 O vazamento de informações confidenciais;

1 A propagação de um vírus por meio da lista de contatos de e-mails; 1 O envio de spam;

1 O comprometimento da rede; 1 A inacessibilidade de um website.

Na sequência são listadas algumas definições de incidentes de segurança descritos por diferentes times e especificações de segurança:

q

1 CAIS/RNP (http://rnp.br/cais/):

“Um incidente de segurança é resultante do mau uso dos recursos computacionais.”; 1 CERT/CC (http://www.cert.org/tech_tips/incident_reporting.html):

“Um ato de violação explícita ou implícita de uma política de segurança.”; 1 Terena (www.terena.nl/activities/tf-csirt/iodef/docs/i-taxonomy_terms.html):

“Um incidente de segurança é um evento que envolve uma violação de segurança.”; 1 NIST (disponível em SP 800-3: Establishing a Computer Security Incident Response

Capability): “Qualquer evento adverso em que aspectos da segurança computacional podem ser ameaçados”;

1 RFC 2350 (http://www.ietf.org/rfc/rfc2350.txt): “Qualquer evento adverso que pode comprometer algum aspecto da segurança de computadores ou da rede.”;

1 DSIC (http://dsic.planalto.gov.br/legislacaodsic/53): “Qualquer evento adverso, confir-mado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.”

Incidentes de segurança podem facilmente resultar em impacto significativo para uma insti-tuição se não manejados de forma correta. De fato, a severidade de um incidente é mensurada segundo o impacto que causa no processo de negócio de uma instituição. Por exemplo, um incidente que indisponibiliza um site de e-commerce possui alta severidade para a instituição.

(29)

q

Todo incidente deve ser tratado seguindo uma metodologia previamente definida pelo CSIRT. Essa metodologia é chamada de processo de resposta a incidente e será poste-riormente tratada em nosso curso.

Passos para criação de um CSIRT

Conforme descrito anteriormente, existem diferentes fatores que devem ser observados para a criação de um CSIRT. Além de questões políticas, como aprovação organizacional, é importante o CSIRT ser reconhecido como atuante na própria comunidade.

q

No que tange a questões organizacionais, é importante considerar as seguintes questões durante o processo de formação de um CSIRT:

1 Abrangência operacional; 1 Missão;

1 Serviços;

1 Modelo organizacional; 1 Recursos.

De forma resumida, temos nas etapas iniciais a definição do escopo de atuação, bem como as metas e objetivos do CSIRT. A identificação da comunidade a ser atendida é fundamental, pois possibilita mapear as necessidades e serviços necessários para atendê-la. Já o modelo organizacional – incluindo o tipo e estrutura – determinam a estratégia administrativa a ser implementada aos serviços. Por fim, e não menos importante: já na fase de estabelecimento de um novo CSIRT deve-se assegurar os recursos necessários para manter o time operacional, observando recursos da infraestrutura (equipamentos) e pessoal (equipe). Do contrário, as etapas anteriores não serão efetivas.

Fóruns de CSIRTS

Assim como algumas categorias de instituições, os CERTs também se organizam em fóruns e entidades que buscam a colaboração entre os times. As principais entidades que podem servir de ponto de contato para localizar times são:

q

1 FIRST: Forum of Incident Response Security Teams – http://www.first.org

1 APCERT: Asian Pacific Computer Emergency Response Teams – http://www.apcert.org

1 CSIRTs: European Trusted Introducer CSIRTs Members – http://www.ti.terena.nl

1 OIC: Organization of the Islamic Conference – http://www.oic-oci.org/

O Forum of Incident Response Security Teams (FIRST) é uma das organizações mais antigas. O FIRST é uma organização profissional, sem fins lucrativos, composta por diferentes CSIRTs. Os times de segurança que a compõem são muito heterogêneos: de times nacionais (CERTs), CSIRTs de vendedores, CSIRTs internos a CSIRTs comerciais. O FIRST promove eventos anuais para membros onde é possível estabelecer contatos com outros times e também capacitar a equipe nos diversos seminários e cursos disponibilizados. É importante notar que o FIRST é uma associação de CSIRTs, mas não atua como um CSIRT. Ou seja, o FIRST não responde a incidentes

(30)

Tra ta me nt o d e I nci de nt es d e S eg ur anç a Leitura recomendada:

1 Creating an Incident Response Team:

http://www.educause.edu/ir/library/pdf/SEC0302.pdf

1 NIST SP 800-3: Establishing a Computer Security Incident Response Capability (CSIRC): http://www.terena.nl/activities/tf-csirt/archive/800-3.pdf

1 RFC 2.350: Expectations for Computer Security Incident Response: http://www.ietf.org/rfc/rfc2350.txt

1 Forming an Incident Response Team:

http://www.auscert.org.au/render.html?it=2252

1 Departamento de Segurança da Informação e Comunicações (DSIC): Criação de equipes de tratamento e resposta a incidentes em redes computacionais – ETIR. Disponível em: http://dsic.planalto.gov.br/legislacaodsic/53

(31)

Ca pí tu lo 1 - R ot ei ro d e A tiv id ad es 1

Roteiro de Atividades 1

Atividade 1.1 – Criação de um CSIRT

Para essa atividade, serão criados grupos. O número de pessoas por grupo ficará a critério do instrutor. No entanto, recomenda-se misturar pessoas que sejam provenientes da mesma instituição. O instrutor vai alocar cada grupo em uma das diferentes categorias:

1 CSIRT do Governo Federal; 1 CSIRT bancário;

1 CSIRT de uma universidade; 1 CSIRT nacional;

1 CSIRT de uma empresa de telecomunicações.

As atividades a seguir conduzirão os alunos no processo de criação de um CSIRT, tendo em vista os conceitos apresentados neste capítulo.

Atividade 1.2 – Nome e sigla

a. Defina um nome e uma sigla para o seu grupo.

Atividade 1.3 – Abrangência operacional

a. Defina a abrangência operacional, ou seja, a comunidade a qual o seu grupo proverá serviços.

Atividade 1.4 – Missão

a. Defina a missão do seu grupo.

Atividade 1.5 – Estrutura organizacional

(32)

Atividade 1.6 – Serviços

a. Com a lista de serviços do CERT/CC, cada grupo deve escolher cinco serviços que serão oferecidos pelo CSIRT. Leve em conta a missão e abrangência operacional: http://www. cert.org/csirts/services.html

1. Processo de tratamento de incidente

2. 3. 4. 5. Quantos profissionais são necessários para cada atividade? 1. Processo de tratamento de incidente:

2. 3. 4. 5.

b. Dos serviços oferecidos, escolha quais poderiam ser utilizados para gerar recursos para o CSIRT. Quais adaptações seriam necessárias no seu time para que isso seja possível?

c. Para a lista de serviços oferecidos pelo seu CSIRT, defina: qual será o horário de aten-dimento, a forma de contato e qual pessoa da equipe está capacitada para lidar com a requisição?

Considere as seguintes questões:

1. O CSIRT atende a casos de emergência? Quais são esses casos?

2. O CSIRT lida com informações confidenciais?

3. O CSIRT lida com informações protegidas por segredo de justiça ou que estão em fase de investigação?

(33)

Ca pí tu lo 1 - R ot ei ro d e A tiv id ad es 1

4. O CSIRT recebe denúncias de pornografia infantil?

d. Como seu CSIRT abordaria a seguinte situação?

1. O sistema de e-mail do CSIRT está inoperante. Como alternativa, um colega notifica um incidente crítico – vazamento de informações – via telefone. Foi deixada uma mensagem na secretária de voz do CSIRT na data de 25 de dezembro, 2h28. Como esse incidente seria tratado pela equipe?

2. Quanto tempo o incidente demorou a ser tratado? Quem pode acessar as mensagens do telefone?

Atividade 1.7 – Incidente de segurança

a. Defina o que será considerado um “incidente de segurança” para o seu grupo. Considere que as ações futuras do seu CSIRT dependerão disso.

b. Responda se a sua definição de “incidente” abordaria a seguinte situação como sendo um “incidente”:

“Nesta última sexta-feira, com o início do processo de inscrição do vestibular via formulário eletrônico, um funcionário terceirizado da empresa de manutenção de jardins cortou o cabo de energia do Centro de Computação, resultando na indisponibilidade do serviço de inscrição até o conserto da peça, o que ocorreu somente na segunda-feira seguinte, pois a peça estava em falta no mercado.”

1. Isso constitui um incidente de segurança?

(34)

3. A partir desse exemplo, quais ajustes você faria na sua definição?

c. De forma complementar, a sua definição de “incidente” abordaria as seguintes situações como sendo um “incidente” ou se seria necessária alguma nova alteração?

1. Uma ligação telefônica para o diretor de departamento solicitando a senha de um ser-vidor crítico, pois o funcionário responsável está inacessível.

2. Uma notificação em nome da companhia de eletricidade, informando uma manutenção técnica programada, a ser executada no final de semana, com uma janela de 8h.

3. Um e-mail com ameaça de explosão de bomba no prédio que abriga a infraestrutura de rede da empresa.

4. A publicação do arquivo de senhas do servidor de e-mail no jornal interno de uma universidade.

(35)

Ca pí tu lo 2 - G er en ci am en to d o C SI RT

2 Gerenciamento do CSIRT

Discutir questões relacionadas aos requisitos estruturais de um CSIRT; Conhecer os fatores de sucesso na criação de um CSIRT; Aprender os conceitos relacionados ao gerenciamento de um CSIRT.

Gerenciamento de CSIRTs; Visão estrutural do CSIRT; Melhores práticas e condutas apropriadas.

Introdução

q

O gerenciamento de um CSIRT, assim como outras organizações, envolvem etapas téc-nicas e administrativas. Todas essas etapas possuem um único objetivo: assegurar que o CSIRT cumpra a própria missão, previamente definida.

De forma mais específica, busca-se assegurar que os serviços relacionados à resposta a inci-dentes de segurança sejam efetivamente prestados para a sua comunidade de abrangência. Neste contexto, este capítulo discutirá tópicos relacionados ao gerenciamento de um CSIRT, tal como: gerenciamento da equipe, comunicação, requisitos estruturais e fatores de sucesso.

Código de conduta

q

O código de conduta define um conjunto de premissas que balizam as ações e comporta-mentos de um time de segurança.

O mesmo código aplica-se a todos os membros da organização, estendendo-se aos serviços prestados e aos demais aspectos operacionais, tais como a comunicação e o zelo pelas informações.

q

De forma específica, o código de conduta vincula princípios e valores da própria insti-tuição com atividades desempenhadas pela equipe.

Princípios como profissionalismo, confiabilidade e liderança influenciam na forma com que o CSIRT é visto externamente.

Um bom código de conduta descreve princípios para a interação com os usuários dos serviços do CSIRT e também a maneira com que as informações são tratadas internamente

obj

et

ivo

s

co

nc

ei

to

s

(36)

A conduta profissional com que as informações são tratadas por um CSIRT é evidentemente particular a cada instituição. Sabe-se que existem alguns CSIRTs que optam por regras mais restritivas. Um CSIRT militar, por exemplo, implementa alto nível de sigilo com as informa-ções que gerencia. Por outro lado, um CSIRT acadêmico pode implementar um código de conduta mais flexibilizado no que tange ao armazenamento de informações de segurança. Observa-se, entretanto, que a grande maiorias dos CSIRTs possuem políticas e procedi-mentos que classificam as informações ao menos em duas categorias: dados públicos e dados sigilosos. Já em uma solução mais robusta, podem-se classificar as informações em uma estrutura multinível.

q

A seguir temos o exemplo de uma estrutura de classificação de informações de segurança. 1 Classificado: são informações sigilosas, onde apenas o CSIRT tem conhecimento do

incidente. Da mesma forma, a circulação das informações é restrita aos membros do time de segurança. Esse tipo de classificação é utilizado em eventos de segurança especiais – ou ainda em incidentes com escopo bem definido;

1 Parcialmente classificado: são dados que possuem certo nível de restrição. Tais informações são intercambiadas apenas com entidades com alto nível e confiança, tal como CSIRTs com bom relacionamento;

1 Não classificados: são informações que podem ser divulgadas na forma pública. Para isso, deve-se avaliar o teor das informações a serem classificadas como “Não classificado”, a fim de evitar prejuízos às partes envolvidas. Na maioria das vezes, dados inseridos nessa categoria possuem caráter informacional, como, por exemplo, divulgação de documentação ou estatísticas públicas do CSIRT.

Cada nível de classificação também especifica como as informações devem ser gerenciadas sob o ponto de vista operacional. Em níveis mais restritivos, por exemplo, todas as informa-ções devem ser cifradas, tanto na comunicação quanto no armazenamento.

Independentemente do modelo de classificação de informações adotado, é fundamental que o CSIRT mantenha-se consistente e estenda a classificação para os demais serviços e elementos relacionados ao processo de resposta a incidentes.

Um exemplo consiste na gestão das informações de contatos técnicos. Por ser um ponto de contato para incidentes de segurança, espera-se que um CSIRT tenha um bom relaciona-mento com entidades externas. Na maioria das vezes, a equipe do CSIRT conhece pessoas de outros times que podem auxiliar em uma eventual emergência. Esses contatos, que não são públicos, e sim fruto de uma boa relação com outras equipes, devem ser tratados de forma adequada segundo a conduta o seu próprio CSRIT.

q

Considere a seguinte situação:

“O seu CSIRT recebe uma ligação de um colaborador externo (entidade A), em caráter de urgência, solicitando os contatos mais específicos de uma instituição (entidade B), pois está sofrendo ataques.”

O código de conduta de sua instituição deve prever possíveis ações que contemplem esse exemplo. Nesse caso, deve-se analisar se o código de conduta permite encaminhar os seus contatos mais específicos a entidades externas.

q

Possíveis soluções:

(37)

Ca pí tu lo 2 - G er en ci am en to d o C SI RT

q

1 O CSIRT encaminha contatos mais específicos para o colaborador externo (entidade A); 1 O CSIRT atua como intermediário, repassando a informação do ataque diretamente

para a entidade B.

A divulgação de informações também faz parte do código de conduta do CSIRT. Os meios para divulgar informações serão tratados posteriormente por este curso; no entanto, cabe ao código de conduta definir uma política para a divulgação de informações. Essa política deve descrever o conjunto de informações que podem ser divulgadas no contexto de resposta a incidentes. Sem a definição dessa política, a equipe pode não ter orientação necessária para gerenciar o processo de resposta a incidentes.

Alguns times tratam todas as informações como estritamente confidencial, evitando o compartilhamento das informações fora do âmbito dos membros da equipe. No entanto, essa política estrita não pode ser garantida em todos os casos. Por exemplo, em casos onde é necessária a interação da Justiça.

q

Logo, é desejável que, independentemente da política utilizada, sejam consideradas algumas questões, como:

1 Que time de informação o CSIRT divulgará quando outro CSIRT notificar um incidente envolvendo a comunidade de sua responsabilidade?

1 Quando necessária interação com a Justiça, o seu CSIRT poderá prover informações necessárias de forma direta?

1 Que tipo de informações serão divulgadas de forma pública?

1 Todo incidente será notificado a um CSIRT de coordenação, como por exemplo, CERT.br? 1 As informações de incidentes externos serão ocultadas, como por exemplo,

saniti-zação de IPs de sua rede?

Todas essas decisões fazem parte do código de conduta de um CSIRT e devem ser consi-deradas nas etapas iniciais do estabelecimento de um CSIRT na comunidade. É importante notar que essa política de conduta é algo que pode ser alterado. Em muitos times, é comum que novas questões sejam contempladas e aprimoramentos sejam incorporados com a aquisição de experiência.

Equipe

Constituir uma equipe é uma das primeiras coisas a serem pensadas na etapa de estabe-lecimento de um CSIRT. De fato, a equipe tem papel fundamental nas atividades do CSIRT, dando suporte às políticas internas, procedimentos e código de conduta intrínseco à ope-ração de um time.

q

Sabe-se que a definição de uma equipe passa por diversos aspectos, incluindo questões técnicas, gerenciais e, essencialmente, a alocação de recursos financeiros.

Do contrário, a equipe não poderá prover de forma adequada os serviços para a comunidade e contemplar a missão do próprio CSIRT.

q

Alguns fatores também devem ser considerados no momento da definição de uma equipe: 1 Número de pessoas necessárias;

1 Habilidades necessárias; 1 Habilidades desejadas;

(38)

q

1 Carga horária; 1 Rotatividade; 1 Ética.

Estimar o número de pessoas necessárias para uma equipe, sobretudo em etapas iniciais de operação, é uma tarefa complexa. O tamanho da equipe deve considerar um número ideal de profissionais necessários para realizar as atividades de um CSIRT, incluindo equipe técnica e gerencial.

q

O tamanho da equipe deve considerar aspectos como: 1 Recursos financeiros;

1 Recursos humanos; 1 Serviços prestados; 1 Comunidade a ser atendida.

Sabe-se, no entanto, que uma vez que o time de segurança estiver estabelecido, novos serviços são demandados pela comunidade. Além disso, o conjunto de serviços oferecidos deve ser aprimorado, o que pode demandar mais trabalho que o inicialmente previsto. Portanto, definir o tamanho da equipe tem influência direta na qualidade das atividades prestadas pelo CSIRT.

Nos primeiros anos, muitos CSIRTs atuam com uma equipe minimizada e, com o passar do tempo, novos membros ingressam no time, aprimorando os serviços prestados. A fim de adequar o tamanho da equipe ao volume de trabalho demandado, recomenda-se fazer uma estimativa com base nas notificações recebidas por outros times e também no número de usuários conectados na rede, ou seja, a base de usuários que a equipe atenderá. Esse número necessário de pessoas na equipe deve considerar também o crescimento de notifi-cações – que pode chegar a 100% ao ano – e também possíveis expansões de uma empresa. Não existe relação direta entre número de pessoas atendidas versus número de pessoas na equipe. Isso pode variar muito, afinal, está relacionado com a missão do CSIRT, onde é descrita a comunidade atendida e o conjunto de serviços realizados.

A equipe deve ser composta por profissionais com diferentes tipos de habilidades. Além de habilidades técnicas necessárias para a execução das tarefas de um CSIRT, é importante que os integrantes da equipe tenham habilidades administrativas e gerenciais.

q

Uma equipe multifacetada inclui profissionais com expertises em diferentes áreas: 1 Especialistas em tecnologia de segurança;

1 Administradores de sistemas; 1 Engenheiros de redes; 1 Especialistas em suporte; 1 Gerente;

1 Conselho legal.

Evidentemente, as habilidades necessárias precisam estar alinhadas com os serviços ofe-recidos. As habilidades técnicas desejadas na operação de um CSIRT requerem o entendi-mento da tecnologia utilizada, tal como hardware e software.