CSIRT Setting Up Guide ENISA-PT

ABORDAGEM GRADUAL DE CRIAO DE UMA CSIRT
Verso W P2006/5.1(CERT-D1/D2)
ndice
1 2 3 4 Sntese ............................................................................................................................................................... 2 Advertncia ...................................................................................................................................................... 2 Agradecimentos ................................................................................................................................................ 2 Introduo ........................................................................................................................................................ 3
4.1 4.2 4.3

5
PBLICO-ALVO ............................................................................................................................ 5 COMO UTILIZAR O PRESENTE DOCUMENTO .................................................................................... 5 CONVENES UTILIZADAS NO PRESENTE DOCUMENTO .................................................................. 6 O QUE UMA CSIRT? ................................................................................................................. 7 EVENTUAIS SERVIOS QUE UMA CSIRT PODE PRESTAR ............................................................... 12 ANLISE DA COMUNIDADE UTILIZADORA E DEFINIO DA MISSO .............................................. 15 DEFINIO DO MODELO FINANCEIRO .......................................................................................... 22 DEFINIO DA ESTRUTURA ORGANIZATIVA ................................................................................ 24 CONTRATAO DO PESSOAL ADEQUADO .................................................................................... 29 UTILIZAO E EQUIPAMENTO DAS INSTALAES ........................................................................ 32 FORMULAO DE UMA POLTICA DE SEGURANA INFORMTICA .................................................. 35 BUSCA DA COOPERAO ENTRE OUTRAS CSIRT E POSSVEIS INICIATIVAS NACIONAIS .................. 36 DESCRIO DOS PLANOS DE ACTIVIDADES E DOS FACTORES DE MOTIVAO DA ADMINISTRAO . 42 AVALIAR AS INSTALAES EXISTENTES NA COMUNIDADE UTILIZADORA ...................................... 47 PRODUZIR ALERTAS, AVISOS E COMUNICAES ......................................................................... 48 PROCEDIMENTO DE GESTO DE INCIDENTES ................................................................................ 57 EXEMPLO DE UMA ESCALA HORRIA DE RESPOSTA...................................................................... 64 FERRAMENTAS CSIRT DISPONVEIS ........................................................................................... 65 TRANSITS............................................................................................................................... 67 CERT/CC ................................................................................................................................. 68
Estratgia global para planear e criar uma CSIRT ......................................................................................... 7
5.1 5.2 5.3

6
Desenvolvimento do Plano de Actividades ..................................................................................................... 22
6.1 6.2 6.3 6.4 6.5 6.6

7
Promoo do Plano de Actividades ................................................................................................................ 39
7.1
8
Exemplos de procedimentos operacionais e tcnicos (fluxos de trabalho)...................................................... 46
8.1 8.2 8.3 8.4 8.5

9
Formao CSIRT ........................................................................................................................................... 67
9.1 9.2
10 Exerccio: produo de um aviso .................................................................................................................... 70 11 Concluso ....................................................................................................................................................... 76 12 Descrio do plano de projecto....................................................................................................................... 77 ANEXO.................................................................................................................................................................. 82
A.1 A.2 A.3 A.4
OUTRAS LEITURAS ..................................................................................................................... 82 SERVIOS CSIRT ...................................................................................................................... 83 EXEMPLOS ................................................................................................................................ 96 MATERIAL DOS CURSOS PARA CSIRT ....................................................................................... 100
PT
PT
Abordagem gradual de criao de uma CSIRT
Verso WP2006/5.1 (CERT-D1/D2)
1 Sntese
O presente documento descreve o processo de criao de uma Equipa de Resposta a Incidentes de Segurana Informtica (Computer Security and Incident Response Team (CSIRT)) de todas as perspectivas pertinentes, como as de gesto empresarial, processual e tcnica. Com ele se concretizam dois dos produtos mencionados no captulo 5.1 do Programa de Trabalho 2006 da ENISA: Presente documento: Relatrio escrito sobre uma abordagem gradual de criao de uma CERT ou recursos similares, incluindo exemplos. (CERT-D1) Captulo 12 e ficheiros externos: Excerto de um roteiro discriminado por pontos para possibilitar a sua fcil aplicao na prtica. (CERT-D2)
2 Advertncia
Advertimos que a presente publicao corresponde aos pontos de vista e interpretaes dos seus autores e editores, salvo indicao em contrrio. No dever considerar-se que se trata de uma aco da ENISA nem dos seus rgos, a menos que seja aprovada nos termos do Regulamento ENISA (CE) N. 460/2004. A presente publicao no apresenta, necessariamente, a informao mais actual, podendo ser actualizada de vez em quando. As fontes de terceiros so citadas na medida do necessrio. A ENISA no responsvel pelo contedo das fontes externas, incluindo websites externos, mencionados na presente publicao. Os fins desta publicao so meramente pedaggicos e informativos. Nem a ENISA nem qualquer pessoa que haja em seu nome responsvel pelo uso que possa ser dado ao seu contedo informativo. Todos os direitos reservados. Nenhuma parte da presente publicao pode ser reproduzida, armazenada num sistema de pesquisa de informao ou transmitida de qualquer outra forma ou por qualquer meio, electrnico, mecnico, por fotocpia, gravao ou outro, sem a autorizao prvia e por escrito da ENISA, ou ainda tal como expressamente permitido por lei ou nos termos acordados com os organismos competentes em matria de direitos. A fonte deve ser sempre mencionada. Os pedidos de reproduo podem ser enviados para o endereo mencionado na presente publicao. Agncia Europeia para a Segurana das Redes e da Informao (ENISA), 2006
3 Agradecimentos
A ENISA deseja agradecer a todas as instituies e pessoas que contriburam para o presente documento, com especial meno das seguintes: A Henk Bronk, que enquanto consultor produziu a primeira verso do documento.
PT
Pgina 2
PT
Ao CERT/CC e, em especial, equipa de desenvolvimento da CSIRT, que forneceu materiais extremamente teis e o exemplo de material didctico apresentado no anexo. GovCERT.NL por fornecer o CERT-in-a-box equipa TRANSITS que forneceu o exemplo de material didctico apresentado no anexo. Aos colegas da seco Polticas de Segurana do Departamento Tcnico, que elaboraram o captulo 6.6 s inmeras pessoas que reviram o documento.
4 Introduo
As redes de comunicaes e os sistemas informticos tornaram-se um factor essencial do desenvolvimento econmico e social. A informtica e as redes esto a tornar-se servios de utilidade pblica omnipresentes, como j o so os servios de abastecimento de electricidade e gua. A segurana das redes de comunicaes e dos sistemas informticos, em particular a sua disponibilidade, ganha, por conseguinte, uma importncia crescente para a sociedade, decorrente do risco de problemas nos sistemas informticos essenciais, devido complexidade dos sistemas, aos acidentes, erros e ataques que podem ter consequncias para as infra-estruturas fsicas que prestam servios crticos para o bemestar dos cidados da Unio Europeia. Em 10 de Maro de 2004, foi criada a Agncia Europeia para a Segurana das Redes e da Informao (ENISA)1, com o objectivo de garantir um nvel de segurana das redes e da informao elevado e eficaz, dentro da Comunidade, e desenvolver uma cultura de segurana das redes e da informao em benefcio dos cidados, dos consumidores, das empresas e das organizaes do sector pblico na Unio Europeia, contribuindo, assim, para o normal funcionamento do mercado interno. H j vrios anos que vrias comunidades de segurana da Europa, como as CERT/CSIRT, Abuse Teams (equipas anti-abuso) e WARP, colaboram para melhorar a segurana da Internet. A ENISA tenciona apoiar os esforos destas comunidades fornecendo informaes sobre as medidas a tomar para garantir um nvel de qualidade de servio satisfatrio. Alm disso, a ENISA tenciona reforar a sua capacidade de aconselhamento aos Estados-Membros da UE e aos organismos da Unio no que respeita cobertura de grupos especficos de utilizadores de TI com servios de segurana adequados. Desenvolvendo as concluses do Grupo de Trabalho ad-hoc Cooperao e Apoio CERT, criado em 2005, este novo grupo de trabalho ir ocuparse, assim, de questes relacionadas com a prestao de servios de segurana adequados (servios CERT) a (categorias ou grupos de) utilizadores especficos.
Regulamento (CE) N. 460/2004 do Parlamento Europeu e do Conselho, de 10 de Maro de 2004, que cria a Agncia Europeia para a Segurana das Redes e da Informao. Uma "agncia da Comunidade Europeia" um organismo criado pela UE para realizar uma tarefa tcnica, cientfica ou de gesto muito especfica no "domnio comunitrio" ("primeiro pilar") da UE.
PT
Pgina 3
PT
A ENISA apoia a criao de novas CSIRT atravs da publicao do presente relatrio Abordagem gradual de criao de uma CSIRT, com uma lista de verificao suplementar, que auxiliar o leitor a criar a sua prpria CSIRT.
PT
Pgina 4
PT
4.1 Pblico-alvo
Os principais grupos-alvo do presente relatrio so as instituies governamentais e outras que decidam criar uma CSIRT para proteger a sua prpria infra-estrutura informtica ou a dos seus parceiros.
4.2 Como utilizar o presente documento

O presente documento inform-lo- sobre o que uma CSIRT, os servios que ela pode prestar e que passos necessrio dar para iniciar as actividades. Ele dever proporcionar-lhe uma perspectiva clara e pragmtica da abordagem, da estrutura e dos contedos relativos criao de uma CSIRT. Captulo 4 Introduo Introduo ao presente relatrio Captulo 5 Estratgia global para planear e criar uma CSIRT A primeira seco descreve o que uma CSIRT, alm de fornecer informaes sobre os diferentes ambientes em que as CSIRT podem funcionar e os servios que podem prestar. Captulo 6 Desenvolvimento do Plano de Actividades Este captulo descreve a abordagem de gesto empresarial ao processo de constituio da equipa. Captulo 7 Promoo do Plano de Actividades Este captulo trata das questes econmicas e de financiamento. Captulo 8 Exemplos de procedimentos operacionais e tcnicos Este captulo descreve o procedimento de obteno de informaes e sua traduo num boletim de segurana. Faz tambm uma descrio de um fluxo de trabalho relativo gesto de um incidente. Captulo 9 Formao CSIRT Este captulo apresenta um resumo da formao CSIRT disponvel, ilustrado com exemplos de matrias dos cursos apresentados no anexo. Captulo 10 Exerccio: produo de um aviso Este captulo inclui um exerccio sobre o modo de desempenhar um dos servios bsicos (ou essenciais) da CSIRT: a produo de um boletim de segurana (ou aviso). Captulo 12 Descrio do plano de projecto Este captulo indica o plano de projecto suplementar (lista de verificao) fornecido juntamente com o presente guia e que pretende ser uma ferramenta simples de utilizar para a aplicao do mesmo.
PT
Pgina 5
PT
4.3 Convenes utilizadas no presente documento

Para orientar o leitor, cada captulo principia com as etapas j transpostas no processo de criao de uma CSIRT. Esses resumos so apresentados em caixas como a seguinte: Demos o primeiro passo
Cada captulo terminar com um exemplo prtico das etapas analisadas. No presente documento, a CSIRT fictcia ser uma pequena CSIRT independente para uma empresa ou instituio de dimenses mdias. No anexo, poder encontrar uma sntese. CSIRT fictcia
PT
Pgina 6
PT
5 Estratgia global para planear e criar uma CSIRT

Para iniciar adequadamente o processo de criao de uma CSIRT importante ter uma viso clara dos eventuais servios que ela pode prestar aos seus clientes, geralmente denominados no mundo CSIRT por comunidade utilizadora. Importa compreender, portanto, quais so as necessidades dos utilizadores para lhes prestar os servios adequados, no momento certo e com a qualidade apropriada.
5.1 O que uma CSIRT?

A abreviatura CSIRT significa Computer Security Incident Response Team (Equipa de Resposta a Incidentes de Segurana Informtica). Trata-se de um termo predominantemente utilizado na Europa e que corresponde ao termo protegido CERT, registado nos EUA pelo CERT Coordination Center (CERT/CC) [Centro de Coordenao CERT]. Existem vrias abreviaturas para o mesmo tipo de equipas: CERT ou CERT/CC (Computer Emergency Response Team / Coordination Center Equipa de Resposta a Emergncias Informticas / Centro de Coordenao) CSIRT (Computer Security Incident Response Team - Equipa de Resposta a Incidentes de Segurana Informtica) IRT (Incident Response Team Equipa de Resposta a Incidentes) CIRT (Computer Incident Response Team Equipa de Resposta a Incidentes Informticos) SERT (Security Emergency Response Team Equipa de Resposta a Emergncias de Segurana)
O primeiro grande ataque de um verme (worm) na infra-estrutura informtica mundial verificou-se no final da dcada de 1980. O verme foi denominado Morris2 e disseminou-se rapidamente, tendo contaminado um grande nmero de sistemas informticos em todo o mundo. Este incidente funcionou como um sinal de alerta: de repente, as pessoas tomaram conscincia de que a cooperao e a coordenao entre administradores de sistemas e gestores informticos eram extremamente necessrias para resolver casos como este. Como o tempo era um factor decisivo, impunha-se criar uma abordagem mais organizada e estrutural gesto de incidentes de segurana informtica e, por isso, poucos dias aps o incidente Morris a Agncia de Projectos de Pesquisa Avanada do Departamento de Defesa (Defence Advanced Research Projects Agency (DARPA)) criou a primeira CSIRT: o Centro de Coordenao CERT (CERT/CC3), localizado na Carnegie Mellon University, em Pittsburgh (Pensilvnia). Este modelo depressa foi adoptado na Europa e, em 1992, a fornecedora acadmica holandesa SURFnet lanou a primeira CSIRT na Europa, denominada SURFnet-CERT4. Muitas outras equipas se seguiram e, presentemente, o Inventory of CERT activities in
2 3 4
Para mais informaes sobre o verme Morris, ver http://en.wikipedia.org/wiki/Morris_worm CERT-CC http://www.cert.org SURFnet-CERT: http://cert.surfnet.nl/
PT
Pgina 7
PT
Europe5 (Inventrio de actividades de CERT na Europa) da ENISA contm mais de cem equipas conhecidas localizadas na Europa. Ao longo dos anos, as CERT foram ampliando as suas capacidades e deixaram de ser uma simples fora reactiva, passando a fornecer servios de segurana completos, incluindo servios preventivos, como alertas e recomendaes de segurana, formao e servios de gesto de segurana. O termo CERT depressa foi considerado insuficiente, o que levou criao do novo termo CSIRT, no final da dcada de 1990. Actualmente, ambos os termos (CERT e CSIRT) so usados como sinnimos, sendo CSIRT o termo mais exacto.
5.1.1 O termo Comunidade utilizadora

Daqui em diante, o termo "comunidade utilizadora", solidamente implantado (nas comunidades CSIRT), ser utilizado para designar a base de clientes de uma CSIRT. Um cliente individual ser denominado utilizador e um grupo de clientes utilizadores.
5.1.2 Definio de CSIRT

Uma CSIRT uma equipa de peritos de segurana informtica que tem como principal actividade responder aos incidentes de segurana informtica. Presta os servios necessrios para os gerir e ajudar os seus utilizadores a recuperarem das violaes da segurana. A fim de atenuar os riscos e minimizar o nmero de respostas necessrias, a maioria das CSIRT tambm presta servios preventivos e pedaggicos sua comunidade utilizadora. Emite avisos sobre as vulnerabilidades dos softwares e hardwares em utilizao e informa os utilizadores acerca dos aproveitamentos e dos vrus que tiram partido destas falhas. Deste modo, os utilizadores podem proteger e actualizar rapidamente os seus sistemas. Ver no captulo 5.2 Eventuais servios uma lista completa dos servios possveis.
5.1.3 Os benefcios de possuir uma CSIRT

Dispor de uma equipa de segurana informtica dedicada ajuda as organizaes a atenuarem e prevenirem os incidentes graves, bem como a proteger os seus valiosos recursos. Outros benefcios possveis so os seguintes: Ter uma coordenao centralizada para as questes de segurana informtica na organizao (Ponto de Contacto, PoC). Gesto e resposta centralizadas e especializadas em matria de incidentes informticos. Contar com peritos disponveis para apoiarem e ajudarem os utilizadores a recuperarem rapidamente dos incidentes de segurana. Tratar das questes jurdicas e preservar as provas em caso de aco judicial. Acompanhar a evoluo no domnio da segurana.
Inventrio ENISA http://www.enisa.europa.eu/cert_inventory/
PT
Pgina 8
PT
Estimular a cooperao em matria de segurana informtica no seio da comunidade utilizadora (sensibilizao).
CSIRT fictcia (etapa 0) Compreender o que uma CSIRT: Este exemplo de CSIRT ter de servir uma instituio de dimenso mdia, com 200 efectivos. A instituio possui o seu prprio departamento de informtica e duas outras sucursais no mesmo pas. A informtica desempenha um papel fundamental para a empresa, porque utilizada na comunicao interna, numa rede de dados e num cibernegcio que funciona permanentemente. A instituio tem uma rede prpria e dispe de uma ligao suplementar Internet atravs de dois fornecedores de servios Internet diferentes.
PT
Pgina 9
PT
5.1.4 Descrio dos diferentes tipos de ambientes CSIRT

Demos o primeiro passo 1. Compreender o que uma CSIRT e que benefcios pode proporcionar. >> A prxima etapa responder pergunta: A que sector sero os servios da CSIRT prestados?
Ao lanar uma CSIRT (tal como com qualquer outra actividade) muito importante adquirir rapidamente uma perspectiva clara de quem so os seus utilizadores e do tipo de ambiente para o qual os servios da CSIRT sero desenvolvidos. Neste momento, distinguimos os seguintes sectores", enumerados por ordem alfabtica: CSIRT do Sector Acadmico CSIRT Comercial CSIRT do Sector PIC/PIIC (Proteco de informaes crticas/proteco de informaes e infra-estruturas crticas) CSIRT do Sector Governamental CSIRT Interna CSIRT do Sector Militar CSIRT Nacional CSIRT do Sector das Pequenas e Mdias Empresas (PME) CSIRT de fornecedores
CSIRT do Sector Acadmico Enfoque Uma CSIRT do sector acadmico presta servios CSIRT a instituies acadmicas e educativas, como universidades e centros de investigao, bem como aos ambientes Internet dos respectivos campii universitrios. Utilizadores Os utilizadores habituais deste tipo de CSIRT so o pessoal e os estudantes das universidades. CSIRT Comercial Enfoque Uma CSIRT comercial presta servios CSIRT comercialmente aos seus utilizadores. No caso de um fornecedor de servios Internet, a CSIRT presta sobretudo servios antiabuso aos clientes finais (Dial-in, ADSL) e servios CSIRT aos seus clientes profissionais. Utilizadores As CSIRT comerciais prestam normalmente servios a utilizadores que os pagam.
PT
Pgina 10
PT
CSIRT do Sector PIC/PIIC Enfoque As CSIRT deste sector concentram-se principalmente na Proteco de Informaes Crticas e/ ou de Informaes e Infra-estruturas Crticas. Na maioria dos casos, esta CSIRT especializada coopera intimamente com um servio governamental nesta ltima rea. Abrange todos os sectores informticos crticos do pas e protege os seus cidados. Utilizadores Governo; empresas em que a informtica desempenha um papel crtico; cidados CSIRT do Sector Governamental Enfoque Uma CSIRT governamental presta servios s agncias governamentais e, em alguns pases, aos cidados. Utilizadores Governo e agncias conexas; em alguns pases tambm so prestados servios de alerta aos cidados (por exemplo na Blgica, Hungria, Pases Baixos, Reino Unido ou Alemanha). CSIRT Interna Enfoque Uma CSIRT interna apenas presta servios organizao em que est instalada, sendo mais uma funo do que um sector propriamente dito. Muitas organizaes de telecomunicaes e bancos, por exemplo, possuem as suas prprias CSIRT internas. Normalmente no mantm um website pblico. Utilizadores Pessoal interno e departamento informtico da organizao de acolhimento. CSIRT do Sector Militar Enfoque Uma CSIRT deste sector presta servios s organizaes militares responsveis pela infra-estrutura informtica necessria para fins de defesa. Utilizadores Pessoal das instituies militares ou de entidades intimamente relacionadas com estas, por exemplo o Departamento de Defesa. CSIRT Nacional Enfoque uma CSIRT centrada no nvel nacional e considerada como um ponto de contacto de segurana para o pas. Em alguns casos, a CISRT governamental tambm funciona como ponto de contacto nacional (como a UNIRAS no Reino Unido). Utilizadores Este tipo de CSIRT normalmente no tem utilizadores directos, uma vez que a CSIRT nacional desempenha apenas um papel de intermedirio para todo o pas.
PT
Pgina 11
PT
CSIRT do Sector das Pequenas e Mdias Empresas (PME) Enfoque Trata-se de uma CSIRT auto-organizada, que presta os seus servios sua prpria sucursal ou a um grupo de utilizadores semelhante. Utilizadores Os utilizadores destas CSIRT podem ser PME e o seu pessoal, ou grupos de interesses especiais como a Associao de Cidades e Municpios de um pas. CSIRT de Fornecedores Enfoque Uma CSIRT de fornecedores concentra-se no apoio aos produtos especficos dos fornecedores. Normalmente, tem por objectivo desenvolver e apresentar solues para eliminar as vulnerabilidades e atenuar os potenciais efeitos negativos das falhas. Utilizadores Proprietrios de produtos Tal como se afirma no pargrafo sobre as CSIRT nacionais, possvel que uma equipa sirva mais de um sector. Este facto afecta, por exemplo, a anlise da comunidade utilizadora e das suas necessidades. CSIRT fictcia (etapa 1) Fase de arranque Na fase inicial, a nova CSIRT planeada como uma CSIRT Interna, prestando os seus servios empresa de acolhimento, ao departamento informtico local e ao pessoal. Tambm apoia e coordena a gesto dos incidentes de segurana informtica entre as diversas sucursais.
5.2 Eventuais servios que uma CSIRT pode prestar

Demos os primeiros dois passos 1. Compreender o que uma CSIRT e que benefcios pode proporcionar. 2. A que sector prestar a nova equipa os seus servios? >> A prxima etapa consiste em responder pergunta, que servios prestar aos utilizadores?
Uma CSIRT pode prestar muitos servios, mas at agora nenhuma CSIRT existente os presta todos. Em consequncia, a seleco do conjunto de servios adequado uma deciso crucial. Encontrar, a seguir, uma breve panormica de todos os servios
PT
Pgina 12
PT
CSIRT conhecidos, definidos no Handbook for CSIRTs [Manual das CSIRT] publicado pelo CERT/CC6.
CERT/CC CSIRT handbook http://www.cert.org/archive/pdf/csirt-handbook.pdf
PT
Pgina 13
PT
Servios reactivos Alertas e avisos Gesto de incidentes Anlise de incidentes Apoio na resposta a incidentes Coordenao da resposta a incidentes Resposta a incidentes no local Gesto das vulnerabilidades Anlise das vulnerabilidades Resposta s vulnerabilidades Coordenao da resposta s vulnerabilidades
Servios proactivos Comunicaes Vigilncia tecnolgica Auditorias ou avaliaes de segurana Configurao e manuteno da segurana Desenvolvimento de ferramentas de segurana Servios de deteco de intruso Difuso de informaes relacionadas com a segurana
Gesto de artefactos Anlise de artefactos Resposta aos artefactos Coordenao da resposta aos artefactos
Gesto de qualidade da segurana Anlise dos riscos Continuidade da actividade e recuperao de emergncias Consultoria de segurana Sensibilizao Educao/Formao Avaliao ou certificao dos produtos
Fig. 1 Lista de servios CSIRT do CERT/CC7
Servios essenciais (a negro): feita uma distino entre servios reactivos e proactivos. Os servios proactivos visam prevenir os incidentes atravs da sensibilizao e da formao, ao passo que os servios reactivos procuram gerir os incidentes e atenuar os danos deles resultantes. A gesto de artefactos inclui a anlise de qualquer ficheiro ou objecto encontrado num sistema e que possa estar envolvido em aces malvolas, como o caso dos resduos de vrus, vermes, roteiros, cavalos de Tria, etc. Tambm inclui a gesto e a distribuio das informaes resultantes a fornecedores e outras partes interessadas, a fim de evitar que o malware (software maligno) continue a disseminar-se e para mitigar os riscos. Os servios de gesto de qualidade da segurana tm objectivos a longo prazo e incluem consultoria e medidas pedaggicas. Ver no anexo uma explicao pormenorizada dos servios CSIRT. A escolha dos servios adequados para a sua comunidade utilizadora uma etapa importante e voltar a ser focada no captulo 6.1 Definio do modelo financeiro. A maioria das CSIRT comea por distribuir alertas e avisos, faz comunicaes e assegura a gesto de incidentes ao servio da sua comunidade utilizadora. Estes servios essenciais costumam proporcionar uma boa visibilidade e chamar a ateno da
Lista de servios CSIRT do CERT/CC: http://www.cert.org/csirts/services.html
PT
Pgina 14
PT
comunidade utilizadora, sendo geralmente considerados como uma verdadeira maisvalia. uma boa prtica comear com um pequeno nmero de utilizadores piloto, prestar os servios essenciais por um perodo experimental e solicitar-lhes, seguidamente, que forneam feedback. Os utilizadores-piloto interessados fornecem, normalmente, um feedback construtivo e ajudam a desenvolver servios adaptados s suas necessidades. CSIRT fictcia (etapa 2) Escolha dos servios adequados Na fase inicial, decide-se que a nova CSIRT se concentrar, sobretudo, na prestao de alguns servios essenciais aos funcionrios. decidido que, aps uma fase-piloto, se poder ponderar o alargamento da carteira de servios prestados e a adio de alguns Servios de Gesto da Segurana. Essa deciso ser tomada com base no feedback recebido dos utilizadores-piloto e em ntima colaborao com o departamento de garantia da qualidade.
5.3 Anlise da comunidade utilizadora e definio da misso

Demos os primeiros trs passos: 1. Compreender o que uma CSIRT e que benefcios pode proporcionar. 2. A que sector prestar a nova equipa os seus servios? 3. Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora? >> A prxima etapa consiste em responder pergunta, que tipo de abordagem dever ser utilizada no arranque da CSIRT?
A prxima etapa implica um exame mais profundo da comunidade utilizadora, com o objectivo principal de escolher os canais de comunicao correctos:
Definio da abordagem de comunicao com os utilizadores Definio da misso Elaborar um plano de execuo ou de projecto realista Definio dos servios CSIRT Definio da estrutura organizativa Definio da poltica de segurana da informao Contratao do pessoal adequado Utilizao das instalaes da CSIRT Busca de cooperao entre outras CSIRT e possveis iniciativas nacionais
Estas etapas sero descritas em pormenor nos pargrafos seguintes e podem ser usadas como contributos para os planos de actividades e de projecto.
PT
Pgina 15
PT
5.3.1 Abordagem de comunicao com a comunidade utilizadora

Como j foi dito, muito importante que o leitor conhea as necessidades da comunidade utilizadora, bem como a sua prpria estratgia de comunicao, incluindo os canais de comunicao mais adequados para lhe fazer chegar a informao. A teoria da gesto inclui vrias abordagens possveis a este problema da anlise de um grupo-alvo. No presente documento, descrevemos duas delas: a anlise SWOT e a anlise PEST. Anlise SWOT Uma Anlise SWOT um instrumento de planeamento estratgico utilizado para avaliar os Pontos fortes (Strengths), os Pontos fracos (Weaknesses), as Oportunidades (Opportunities) e as Ameaas (Threats) envolvidos num projecto ou numa actividade, bem como em qualquer outra situao que exija uma tomada de decises. A tcnica atribuda a Albert Humphrey, que liderou um projecto de investigao na Stanford University, nas dcadas de 1960 e 1970, utilizando dados da revista Fortune das 500 maiores empresas.8
Pontos fortes
Pontos fracos
Oportunidades
Ameaas
Fig. 2 Anlise SWOT
Anlise SWOT na Wikipedia: http://en.wikipedia.org/wiki/SWOT_analysis
PT
Pgina 16
PT
Anlise PEST A anlise PEST outro instrumento importante e muito utilizado para analisar a comunidade utilizadora com o objectivo de compreender as circunstncias Polticas, Econmicas, Socioculturais e Tecnolgicas do ambiente em que uma CSIRT opera. Ela ajudar a determinar se o planeamento ainda est em harmonia com o ambiente e, provavelmente, a evitar que as aces sejam decididas com base em pressupostos errados. Polticas
Questes ecolgicas/ambientais Legislao actual do mercado interno Legislao futura Legislao europeia/internacional Entidades e processos reguladores Polticas governamentais Mandato e alterao do governo Polticas comerciais Financiamento, subvenes e iniciativas Grupos de interesses/de presso presentes no mercado interno Grupos de presso internacionais Tendncias de estilo de vida Demografia Atitudes e opinies dos consumidores Pontos de vista da comunicao social Mudanas legislativas que afectam os factores sociais Imagem de marca, empresarial, tecnolgica Padres de compra dos consumidores Moda e modelos positivos Acontecimentos e influncias importantes Acesso e tendncias de compra Factores tnicos/religiosos Publicidade e divulgao
Econmicas
Situao econmica interna Tendncias econmicas internas Economias e tendncias internacionais Questes fiscais gerais Tributao especfica de produtos/servios Questes de sazonalidade/meteorolgicas Ciclos de mercado e comerciais Factores industriais especficos Rotas e tendncias de distribuio do mercado Motivaes dos clientes/utilizadores finais Taxas de juros e de cmbios Desenvolvimento tecnolgico concorrencial Financiamento da investigao Tecnologias associadas/dependentes Tecnologia/solues de substituio Maturidade da tecnologia Maturidade e capacidade de produo Informao e comunicaes Mecanismos de compra/tecnolgicos dos consumidores Legislao tecnolgica Potencial de inovao Acesso tecnologia, licenas, patentes Questes de propriedade intelectual
Sociais
Tecnolgicas
Fig. 3 Modelo de anlise PEST
Pode encontrar uma descrio pormenorizada da anlise PEST na Wikipedia9. Ambos os instrumentos oferecem uma perspectiva ampla e estruturada das necessidades da comunidade utilizadora. Os resultados complementaro a proposta empresarial e ajudaro, assim, a obter financiamento para a criao da CSIRT. Canais de comunicao Um tema importante a incluir na anlise o dos possveis mtodos de comunicao e distribuio de informao (Como comunicar com a comunidade utilizadora?)
Anlise PEST na Wikipedia: http://en.wikipedia.org/wiki/PEST_analysis
PT
Pgina 17
PT
Se possvel, dever ponderar-se a hiptese de realizar visitas pessoais regulares aos utilizadores. Est provado que os encontros pessoais facilitam a cooperao e, se ambas as partes estiverem dispostas a colaborar, eles permitiro estabelecer uma relao mais aberta. Normalmente, as CSIRT usam um conjunto de canais de comunicao. Os seguintes provaram a sua utilidade na prtica e vale a pena consider-los: Website pblico rea do website reservada a membros Formulrios-web para a notificao de incidentes Sistemas de lista de distribuio Correio electrnico personalizado Telefone / Fax SMS Cartas em papel moda antiga Relatrios mensais ou anuais
Para alm de utilizar o correio electrnico, formulrios-web de notificao, o telefone ou o fax para facilitar a gesto de incidentes (receber notificaes de incidentes enviadas pela comunidade utilizadora, coordenar com outras equipas ou dar feedback e apoio vtima), a maioria das CSIRT publica as suas recomendaes de segurana num website acessvel ao pblico e atravs de sistemas de lista de distribuio.
! Se possvel, as informaes devem ser distribudas de forma segura.
As mensagens de correio electrnico, por exemplo, podem ser assinadas digitalmente com uma aplicao PGP e os dados sensveis relativos a incidentes devem ser sempre enviados em linguagem cifrada. Para mais informaes, ver o captulo 8.5 Ferramentas de CSIRT disponveis. Ver tambm o captulo 2.3 do RFC235010. CSIRT fictcia (etapa 3a) Fazer uma anlise da comunidade utilizadora e dos canais de comunicao adequados Uma sesso de reflexo com alguns dos principais membros da administrao e da comunidade utilizadora produziu elementos suficientes para uma anlise SWOT. Esta permite concluir que so necessrios os seguintes servios essenciais: Alertas e avisos Gesto de incidentes (anlise, apoio resposta e coordenao da resposta) Comunicaes
Importa garantir que as informaes so distribudas de forma bem organizada para chegarem maior parcela possvel da comunidade utilizadora. Decidiu-se, por isso,
10
http://www.ietf.org/rfc/rfc2350.txt
PT
Pgina 18
PT
publicar os alertas, avisos e comunicaes sob a forma de recomendaes de segurana num website especfico e dissemin-las atravs de um sistema de lista de distribuio. A CSIRT facilita o correio electrnico, o telefone e o fax para a recepo das notificaes de incidentes. Para a prxima etapa est previsto um formulrio-web unificado. Ver, na prxima pgina, um exemplo de anlise SWOT.
PT
Pgina 19
PT
Pontos fortes A empresa dispe de alguns conhecimentos. Gostam do plano e esto dispostos a cooperar Apoio e financiamento por parte do Conselho de Administrao
Pontos fracos Comunicao insuficiente entre os diversos departamentos e sucursais. Falta de coordenao com os incidentes informticos Grande nmero de pequenos departamentos
Oportunidades Grande afluxo de informaes no estruturadas sobre as vulnerabilidades Grande necessidade de coordenao Reduo das perdas causadas por incidentes Muitos pontos em aberto em matria de segurana informtica Educar o pessoal em matria de segurana informtica
Fig. 4 Exemplo de anlise SWOT
Ameaas Poucas verbas disponveis Pessoal insuficiente Expectativas elevadas Cultura
5.3.2 Definio da misso

Depois de analisar as necessidades e os desejos da comunidade utilizadora no que respeita aos servios CSIRT, dever formular-se, na etapa seguinte, uma definio da misso. Esta definio descreve a funo bsica da organizao na sociedade, em termos dos produtos e servios que fornece aos membros da sua comunidade utilizadora, e permite comunicar claramente a existncia e a funo da nova CSIRT. uma boa prtica definir a misso de forma concisa, mas sem excessiva rigidez, porque normalmente essa definio permanecer inalterada durante alguns anos. Eis alguns exemplos de definies da misso de CSIRT que esto em actividade: <Nome da CSIRT> fornece informaes e assistncia aos seus <utilizadores (defina quem so)> na aplicao de medidas proactivas para reduzir os riscos de incidentes informticos e responder a tais incidentes, quando se verifiquem.
PT
Pgina 20
PT
"Oferecer apoio aos <utilizadores> em matria de preveno e de resposta a incidentes 11 de segurana informtica" A definio da misso uma etapa muito importante e necessria para o arranque. Consulte no captulo 2.1 do RFC235012 uma descrio mais pormenorizada das informaes que uma CSIRT dever publicar. CSIRT fictcia (etapa 3b) A gesto da CSIRT fictcia elaborou a seguinte definio da misso: A CSIRT fictcia fornece informao e assistncia ao pessoal da sua empresa de acolhimento para reduzir os riscos de incidentes de segurana informtica e responder a tais incidentes, quando se verificam. A CSIRT fictcia esclarece, assim, que se trata de uma CSIRT interna e que a sua actividade essencial tratar de questes de segurana informtica.
11 12
Definio de misso da Govcert.nl: http://www.govcert.nl

http://www.ietf.org/rfc/rfc2350.txt
PT
Pgina 21
PT
6 Desenvolvimento do Plano de Actividades

Demos os seguintes passos: 1. 2. 3. 4. 5. Compreender o que uma CSIRT e que benefcios pode proporcionar. A que sector prestar a nova equipa os seus servios? Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora. Anlise do ambiente e dos utilizadores. Definio da misso
>> A prxima etapa definir o plano de actividades
Os resultados da anlise do-lhe uma boa panormica das necessidades e dos (supostos) pontos fracos da comunidade utilizadora, por isso so usados como um contributo para a prxima etapa.
6.1 Definio do modelo financeiro

Aps a anlise, foram escolhidos alguns servios essenciais para comear. A prxima etapa consiste em pensar acerca do modelo financeiro: que parmetros de prestao de servios so simultaneamente adequados e economicamente compensadores. Num mundo perfeito, o financiamento estaria adaptado s necessidades da comunidade utilizadora, mas, na realidade, o conjunto de servios que podem ser prestados tem de se adaptar a um dado oramento. Por isso, mais realista comear por planear as questes monetrias.
6.1.1 Modelo de custos

Os dois principais factores que influenciam os custos so a determinao do horrio de servio e do nmero (e qualidade) de efectivos a empregar. Haver necessidade de fornecer resposta a incidentes e apoio tcnico 24 horas por dia, sete dias por semana, ou estes servios apenas sero prestados nas horas de expediente? Dependendo da disponibilidade desejada e dos equipamentos de escritrio (ser, por exemplo, possvel trabalhar a partir de casa?) poder ser benfico trabalhar com um sistema de piquete ou com uma escala de turnos programados. Um cenrio admissvel ser prestar servios proactivos e reactivos durante as horas de expediente e, fora desse horrio, prestar apenas servios limitados, por exemplo s em caso de grandes desastres e incidentes, por um funcionrio de piquete. Outra opo procurar a cooperao internacional existente entre outras equipas CSIRT. J h exemplos de cooperao funcional em que equipas localizadas em diferentes fusos horrios se vo revezando (cooperao Following the Sun). Por exemplo, a cooperao entre equipas europeias e americanas revelou ser benfica e
PT
Pgina 22
PT
constituir uma boa forma de partilhar as capacidades umas das outras. A CSIRT Sun Microsystems, por exemplo, que tem vrias sucursais em diversos fusos horrios de todo o mundo (mas todas includas na mesma equipa CSIRT), assegura servios permanentes graas constante rotao entre as equipas das vrias regies do mundo. Esta prtica limita muito os custos, porque todas as equipas s trabalham nas horas normais de expediente prestando tambm servios parte do mundo que est a dormir. uma boa prtica analisar, especificamente, a necessidade de servios permanentes de forma aprofundada com a comunidade utilizadora. Os alertas e avisos fornecidos durante a noite no fazem muito sentido quando o receptor apenas os l na manh seguinte. Uma linha estreita separa necessitar de um servio de querer um servio, mas o horrio de trabalho faz uma diferena particularmente grande no nmero de funcionrios e nas instalaes necessrios, afectando, por isso, fortemente o modelo de custos.
6.1.2 Modelo de receitas

Quando se conhecem os custos, convm pensar seguidamente nos possveis modelos das receitas: como financiar os servios previstos. Eis alguns cenrios a avaliar: Utilizao dos recursos existentes sempre benfico avaliar os recursos j presentes noutras seces da empresa. Esta j emprega pessoal adequado (por exemplo no departamento informtico existente), dotado da experincia e das competncias necessrias? Provavelmente, pode combinar-se com a administrao que este pessoal seja destacado para a CSIRT, na fase inicial, ou que preste apoio equipa pontualmente. Cotizao Outra possibilidade vender os seus servios comunidade utilizadora, por uma cotizao anual/trimestral. Os servios adicionais podero ser pagos consoante a sua utilizao, por exemplo, servios de consultoria ou auditorias de segurana. Outro cenrio possvel: os servios comunidade utilizadora (interna) so prestados a ttulo gratuito, mas os servios prestados a clientes externos podem ter de ser pagos. Outra ideia publicar avisos e boletins informativos no website pblico e ter uma seco Reservada a membros com informaes especficas, mais pormenorizadas ou individualizadas. Provou-se, na prtica, que a Assinatura por servio CSIRT tem pouca utilidade para obter o financiamento suficiente, sobretudo na fase de arranque. H, por exemplo, custos bsicos fixos relativos equipa e ao equipamento que tm de ser pagos antecipadamente. O financiamento destes custos com a venda de servios CSIRT difcil e exige uma anlise financeira muito pormenorizada para encontrar o equilbrio financeiro. Subsdio Outra possibilidade que vale a pena considerar poder ser a de requerer um subsdio para projectos concedido pelo governo, ou por um organismo do Estado, uma vez que,
PT
Pgina 23
PT
actualmente, a maioria dos pases tem fundos disponveis para projectos de segurana informtica. Contactar o Ministrio do Interior poder ser um bom ponto de partida. Evidentemente que ser possvel conjugar vrios modelos.
6.2 Definio da estrutura organizativa

A estrutura organizativa adequada para uma CSIRT depende muito da estrutura existente na organizao de acolhimento e na comunidade utilizadora. Depende tambm do acesso a peritos competentes que possam ser contratados permanentemente ou de forma pontual. Uma CSIRT normal define as seguintes funes dentro da equipa: Geral Director geral Pessoal Director de departamento Contabilista Consultor de comunicao Consultor jurdico Equipa tcnica operacional Chefe da equipa tcnica Tcnicos de CSIRT, que prestam os servios CSIRT Investigadores Consultores externos Contratados quando necessrio extremamente til ter um jurista na equipa, sobretudo na fase inicial da CSIRT. Ir aumentar os custos mas, no final, poupar tempo e problemas jurdicos. Em funo da diversidade de conhecimentos especializados existentes na comunidade utilizadora, e quando a CSIRT tem grande visibilidade nos meios de comunicao social, tambm se revelou muito til ter um perito de comunicao na equipa. Estes peritos podem centrar-se na traduo de questes tcnicas difceis para mensagens que os utilizadores ou os seus parceiros dos meios de comunicao social possam compreender melhor. O perito de comunicao tambm transmitir o feedback da comunidade utilizadora aos peritos tcnicos, podendo funcionar, assim, como tradutor e facilitador entre estes dois grupos. Seguem-se alguns exemplos de modelos organizativos presentemente utilizados pelas CSIRT operacionais.
PT
Pgina 24
PT
6.2.1 O modelo empresarial independente

A CSIRT estabelecida e actua como uma organizao independente, com a sua prpria gesto e os seus prprios funcionrios.
Fig. 5 Modelo empresarial independente
Director tcnico Nome Tcnico Tcnico Tcnico Nome
Director-geral Nome Director de Contabilista Departamento Nome Nome Organizao da CSIRT
Consultor Jurdico Nome
Consultor de Comunicao Nome
PT
Pgina 25
PT
6.2.2 O modelo integrado

Este modelo pode ser utilizado se uma CSIRT for criada no mbito de uma organizao existente, com base num departamento informtico j existente, por exemplo. A CSIRT chefiada por um chefe de equipa e este responsvel pelas actividades CSIRT. O chefe de equipa rene os tcnicos necessrios para resolver incidentes ou trabalhar nas ditas actividades, podendo solicitar a ajuda de especialistas pertencentes organizao. Este modelo tambm pode ser adaptado a situaes especficas, medida que estas vo surgindo. Neste caso, atribudo equipa um nmero fixo de funcionrios ou um equivalente a tempo inteiro (FTE). A assistncia anti-abusos num fornecedor de servios Internet, por exemplo, constitui certamente um emprego a tempo inteiro para um ou (na maioria dos casos) mais de um FTE.
Fig. 6 Modelo organizativo integrado
Tcnico Nome Tcnico Nome
Tcnico Nome Equipa CSIRT Nome Pgina 26
Tcnico Nome
Tcnico Nome Tcnico Nome
PT
PT
Papel de dinamizao
Equipa AntiAbusos (Prestadores Servios Internet) CSIRT Organizao integrada
Representante Pedido de Recursos da CSIRT organizativos assistncia Chefe de Director de equipa departamento Pessoal jurdico da organizao Comunicao institucional
PT
Pgina 27
PT
6.2.3 O modelo campus

O modelo campus, como o nome indica, sobretudo adoptado pelas CSIRT acadmicas e de investigao. A maioria das organizaes acadmicas e de investigao constituda por vrias universidades e centros acadmicos localizados em diversos stios, dispersos por uma regio ou at pelo pas inteiro (como no caso das NREN, National Research Networks Redes de Investigao Nacionais). Normalmente, estas organizaes so independentes umas das outras e possuem, frequentemente, a sua prpria CSIRT. Estas CSIRT esto habitualmente organizadas sob a coordenao da CSIRT me ou central, que coordena e o ponto de contacto nico para o mundo exterior. Na maior parte dos casos, a CSIRT central tambm presta os servios CSIRT essenciais, alm de distribuir informaes sobre os incidentes CSIRT do campus adequado. Algumas CSIRT fazem circular os seus servios CSIRT essenciais com as outras CSIRT do gnero, o que permite baixar as despesas gerais da CSIRT central.
PT
Pgina 28
PT
Fig. 7 Modelo campus
CSIRT Campus A Equipa CSIRT central Recursos CSIRT Director CSIRT Tcnico CSIRT Tcnico CSIRT Tcnico CSIRT Tcnico CSIRT Comunicao Jurdico
CSIRT Campus B
CSIRT Campus C CSIRT Campus D CSIRT Campus E
Equipa abusos
Anti-
(Fornecedores Servios Internet) Director de departamento
6.2.4 O modelo voluntrio

Este modelo organizativo descreve um grupo de pessoas (especialistas) que se renem para fornecer aconselhamento e apoio mtuos (e a outros) de forma voluntria. uma comunidade pouco estvel e est muito dependente da motivao dos participantes. Este modelo adoptado, por exemplo, pela comunidade WARP 13.
6.3 Contratao do pessoal adequado

Tendo decidido os servios e o nvel de apoio a prestar, e depois de escolher um modelo organizativo, a etapa seguinte consiste em encontrar a quantidade correcta de pessoas competentes para o trabalho.
13
Iniciativa WARP http://www.enisa.europa.eu/cert_inventory/pages/04_02_02.htm#12
PT
Pgina 29
PT
quase impossvel indicar um nmero concreto para o pessoal tcnico necessrio deste ponto de vista, mas os seguintes valores-chave provaram ser uma boa abordagem: Para prestar dois servios essenciais de distribuio de boletins de aviso e de gesto de incidentes: no mnimo 4 FTE. Para uma CSIRT que preste servios completos durante as horas de expediente, e assegure a manuteno dos sistemas: no mnimo, 6 a 8 FTE. Para um servio por turnos permanente com o pessoal completo (2 turnos fora das horas de expediente), so necessrios, no mnimo, cerca de 12 FTE.
Estes valores tambm incluem pessoal suplementar para substituies em caso de doena, frias, etc. igualmente necessrio verificar os contratos colectivos de trabalho locais. O facto de as pessoas trabalharem fora das horas de expediente poder implicar custos adicionais sob a forma de subsdios extraordinrios que tenham de ser pagos.
PT
Pgina 30
PT
Segue-se uma breve sntese das principais competncias exigidas aos peritos tcnicos de uma CSIRT Aspectos gerais da descrio de funes do pessoal tcnico: Competncias pessoais Flexibilidade, criatividade e bom esprito de equipa Boas capacidades analticas Aptido para explicar questes tcnicas difceis com termos fceis de entender Sensibilidade no que respeita confidencialidade e ao trabalho em questes processuais Boas competncias organizativas Resistncia ao stresse Boas competncias de comunicao e de escrita Abertura de esprito e vontade de aprender Competncias tcnicas Amplos conhecimentos da tecnologia e dos protocolos Internet Conhecimento dos sistemas Linux e Unix (dependendo dos equipamentos da comunidade utilizadora) Conhecimento dos sistemas Windows (dependendo dos equipamentos da comunidade utilizadora) Conhecimento dos equipamentos da infra-estrutura da rede (encaminhador (router), comutadores, DNS [Sistema de Nomes de Domnio], Proxy, Correio, etc.) Conhecimento das aplicaes Internet (SMTP, HTTP(s), FTP, TELNET, SSH, etc.) Conhecimento das ameaas segurana (DdoS (Distributed denials of service negaes de servio), Phishing [apropriao da identidade de algum atravs de correio electrnico], Defacing [alterao ilcita de pginas web], sniffing [Intercepo das comunicaes], etc.) Conhecimento da avaliao dos riscos e das suas aplicaes prticas Competncias suplementares Disponibilidade para trabalhar em turnos a qualquer hora do dia ou em qualquer dia da semana ou para estar de piquete (consoante o modelo de servio) Mximo de distncia de viagem (em caso de emergncia, disponibilidade no escritrio; tempo mximo de viagem) Nvel de habilitaes Experincia de trabalho no domnio da segurana informtica CSIRT fictcia (etapa 4)
Definio do Plano de Actividades

Modelo financeiro Dado que a empresa tem um cibernegcio permanente e tambm um departamento informtico que funciona 24 horas por dia e sete dias por semana, foi decidido que se prestaria um servio completo durante as horas de expediente e um servio de piquete fora desse horrio. Os servios comunidade utilizadora sero prestados a ttulo
PT
Pgina 31
PT
gratuito, mas a possibilidade de prestar servios a clientes externos ser avaliada durante a fase piloto e a fase de avaliao. Modelo de receitas Durante a fase de arranque e a fase-piloto, a CSIRT ser financiada atravs da empresa de acolhimento. Na fase-piloto e na fase de avaliao, debater-se- um financiamento adicional, incluindo a possibilidade de vender servios a clientes externos.
Modelo organizativo A organizao de acolhimento uma pequena empresa, por isso escolhido o modelo integrado. Durante as horas de expediente, os servios bsicos (distribuio de recomendaes de segurana e gesto/coordenao de incidentes) sero prestados por trs pessoas. O departamento informtico da empresa j dispe de pessoal com as competncias adequadas. celebrado um acordo com esse departamento para que a nova CSIRT possa pedir apoio pontualmente, quando for necessrio. Tambm possvel recorrer segunda linha dos seus tcnicos em servio de piquete. Haver uma equipa CSIRT de base, composta por quatro elementos a tempo inteiro e cinco elementos suplementares. Um destes tambm estar disponvel em turnos rotativos. Pessoal O chefe de equipa CSIRT tem experincia profissional no domnio da segurana e do apoio de 1 e 2 nvel, tendo trabalhado no domnio da gesto e recuperao de crises. Os outros trs membros da equipa so especialistas de segurana. Os membros da equipa CSIRT a tempo parcial provenientes do departamento informtico so especializados no seu sector da infra-estrutura da empresa.
6.4 Utilizao e equipamento das instalaes

O equipamento e a utilizao do espao de escritrios, bem como a segurana fsica, so temas muito vastos, no se podendo fazer uma descrio exaustiva dos mesmos no presente documento. Este captulo pretende dar uma breve perspectiva do tema. possvel encontrar mais informaes sobre segurana fsica nos endereos: http://en.wikipedia.org/wiki/Physical_security http://www.sans.org/reading_room/whitepapers/physcial/ http://www.infosyssec.net/infosyssec/physfac1.htm Blindar o edifcio Dado que as CSIRT gerem normalmente informaes muito sensveis, boa prtica permitir que a equipa assuma o controlo da segurana fsica do escritrio. Isto depender muito das instalaes e infra-estruturas existentes, bem como da poltica de segurana informtica da empresa de acolhimento.
PT
Pgina 32
PT
Os governos, por exemplo, trabalham com sistemas de classificao e so muito rigorosos quanto ao modo como as informaes confidenciais devem ser tratadas. Verifique com a sua prpria empresa ou instituio as regras e polticas locais. Normalmente, uma nova CSIRT est dependente da cooperao da organizao de acolhimento para conhecer as regras, as polticas e outras questes jurdicas locais. Fazer uma descrio exaustiva de todos os equipamentos e medidas de segurana necessrios est fora do mbito do presente documento. No entanto, poder encontrar seguidamente uma lista sucinta dos recursos bsicos para a sua CSIRT:
PT
Pgina 33
PT
Regras gerais para o edifcio Utilizar controlos de acesso Apenas permitir o acesso aos escritrios CSIRT, pelo menos, ao pessoal da equipa. Vigiar os gabinetes e entradas com cmaras de vdeo. Arquivar as informaes confidenciais em armrios com chave ou num cofre. Utilizar sistemas informticos seguros. Regras gerais para os equipamentos informticos Utilizar equipamentos que possam ser assistidos pelo pessoal Blindar todos os sistemas Proteger e actualizar todos os sistemas antes de os ligar Internet Utilizar software de segurana (Firewalls, mltiplos scanners anti-vrus, antispyware, etc.) Manter os canais de comunicao Website pblico rea reservada aos membros no website Formulrios-web de notificao de incidentes Correio electrnico (apoio PGP / GPG / S/MIME) Software de sistema de lista de distribuio Ter um nmero de telefone exclusivo disposio da comunidade utilizadora: - Telefone - Fax - SMS Sistema(s) de acompanhamento de registos Base de contactos com informaes dos membros da equipa, de outras equipas, etc. Ferramentas CRM (gesto de relacionamento com o cliente) Sistema de tales para a gesto de incidentes Utilizar o estilo institucional desde o incio para A estrutura normal das mensagens de correio electrnico e dos boletins de aviso As cartas " moda antiga" em papel Os relatrios mensais ou anuais Os formulrios de notificao de incidentes Outras questes Prever comunicao fora da banda em caso de ataque Prever um sistema suplementar de ligao Internet Para mais informaes sobre ferramentas CSIRT especficas, ver o captulo 8.5 Ferramentas CSIRT disponveis.
PT
Pgina 34
PT
6.5 Formulao de uma poltica de segurana informtica

A poltica de segurana da informao depender do seu tipo de CSIRT. Para alm de descrever o estado desejado dos processos e procedimentos operacionais e administrativos, essa poltica deve estar conforme com a legislao e as normas, em especial no que respeita responsabilidade da CSIRT. Esta ltima est normalmente vinculada por leis e regulamentos nacionais, que so muitas vezes aplicados no contexto de legislao europeia (normalmente directivas) e outros acordos internacionais. As normas no so necessariamente vinculativas, de forma directa, mas podem ser impostas ou recomendadas por leis e regulamentos. Segue-se uma breve lista de possveis leis e polticas: Nacionais Vrias leis sobre informtica, telecomunicaes, meios de comunicao social Leis sobre a proteco de dados e a privacidade Leis e regulamentos sobre a conservao dos dados Legislao sobre finanas, contabilidade e gesto das sociedades Cdigos de conduta para a governao das sociedades e a governao no domnio da informtica Europeias Directiva relativa s assinaturas electrnicas (1999/93/CE) Directivas relativas proteco de dados (1995/46/CE) e privacidade das comunicaes electrnicas (2002/58/CE) Directivas relativas s redes e servios de comunicao electrnicas (2002/19/CE 2002/22/CE) Directivas relativas ao direito das sociedades (por exemplo, 8 Directiva sobre direito das sociedades) Internacionais Acordo Basileia II (especialmente no que respeita gesto dos riscos operacionais) Conveno sobre Cibercriminalidade do Conselho da Europa Conveno sobre Direitos Humanos do Conselho da Europa (artigo 8. sobre privacidade) Normas internacionais de contabilidade (IAS; mandatam em alguma medida os controlos informticos) Normas Normas britnicas BS 7799 (Segurana da Informao) Normas internacionais ISO2700x (Sistema de gesto da segurana da informao) IT-Grundschutzbuch alem, EBIOS francesa e outras variaes nacionais. Para determinar se a sua CSIRT est a agir em conformidade com a legislao nacional e internacional, consulte o seu consultor jurdico.
PT
Pgina 35
PT
As perguntas mais bsicas que devem ser respondidas nas suas polticas de gesto da informao so as seguintes: Como a informao de entrada "etiquetada" ou "classificada"? Como a informao gerida, em especial no que respeita exclusividade? Que critrios so adoptados para a divulgao de informaes, nomeadamente se so transmitidas informaes relativas a incidentes a outras equipas ou sites? H consideraes jurdicas a ter em conta em relao gesto da informao? Tem uma poltica relativa ao uso de criptografia para proteger a exclusividade e a integridade nos arquivos e/ou na comunicao de dados, especialmente por correio electrnico? Esta poltica inclui eventuais condies limitativas de ordem jurdica como o depsito de chaves ou a obrigatoriedade de decifragem em caso de processo judicial?
CSIRT fictcia (etapa 5) Equipamento e localizao das instalaes Em virtude de a empresa de acolhimento j ter uma segurana fsica eficiente instalada, a nova CSIRT est bem protegida nesse aspecto. Existe uma sala de guerra para assegurar a coordenao em caso de emergncia. Foi adquirido um cofre para o material de cifragem e para os documentos sensveis. Instalou-se uma linha telefnica separada, incluindo uma central telefnica para assegurar a linha directa durante as horas de expediente e o telefone mvel de servio por chamada no perodo fora desse horrio, com o mesmo nmero de telefone. Os equipamentos existentes e o website da organizao tambm podem ser utilizados para comunicar informaes relacionadas com a CSIRT. H um sistema de lista de distribuio, de manuteno assegurada, com uma parte reservada comunicao entre os membros da equipa e com outras equipas. Todos os contactos dos membros do pessoal esto armazenados numa base de dados, guardando-se uma listagem impressa dos mesmos no cofre. Regulamentao Como a CSIRT est integrada numa empresa com polticas de segurana informtica em vigor, as polticas correspondentes aplicveis CSIRT foram estabelecidas com o auxlio do consultor jurdico da empresa.
6.6 Busca da cooperao entre outras CSIRT e possveis iniciativas nacionais

A existncia de outras iniciativas CSIRT e a forte necessidade de cooperao entre elas j foi mencionada algumas vezes no presente documento. uma boa prtica contactar outras CSIRT, o mais cedo possvel, para obter o contacto necessrio com as comunidades CISRT. Normalmente, as outras CSIRT esto muito abertas a ajudar as equipas recm-constitudas no incio da sua actividade.
PT
Pgina 36
PT
O Inventory of CERT activities in Europe14 [Inventrio das actividades CERT na Europa] da ENISA um ponto de partida muito til para procurar outras CSIRT existentes no pas, ou actividades de cooperao nacional por elas realizadas. Para obter apoio na busca de uma fonte de informaes adequada sobre as CSIRT, contacte os peritos CSIRT da ENISA: CERT-Relations@enisa.europa.eu
14
Inventrio da ENISA: http://www.enisa.europa.eu/cert_inventory/
PT
Pgina 37
PT
Apresenta-se, seguidamente, uma panormica das actividades da comunidade CSIRT. Consulte o Inventrio para obter uma descrio mais completa e informaes suplementares.
Iniciativa CSIRT Europeia
TF-CSIRT15 A Task Force TF-CSIRT promove a colaborao entre Equipas de Resposta a Incidentes de Segurana Informtica (CSIRT) na Europa. Os objectivos principais desta Task Force so oferecer um frum para o intercmbio de experincias e conhecimentos, criar servios-piloto para a comunidade de CSIRT europeias e ajudar a constituir novas CSIRT. A Task Force tem como principais objectivos: Oferecer um frum para o intercmbio de experincias e conhecimentos Criar servios-piloto para a comunidade de CSIRT europeias Promover normas e procedimentos comuns para responder aos incidentes de segurana Ajudar a constituir novas CSIRT e a dar formao ao seu pessoal. As actividades da TF-CSIRT esto centradas na Europa e nos pases vizinhos, em conformidade com o mandato aprovado pelo comit tcnico TERENA, em 15 de Setembro de 2004.
Iniciativa CSIRT Global
FIRST16 A FIRST a organizao principal e a lder mundial reconhecida no domnio da resposta a incidentes. A adeso FIRST permite que as equipas de resposta a incidentes reajam aos incidentes de segurana de forma mais eficaz tanto reactiva como pr-activa. A FIRST congrega vrias equipas de resposta a incidentes de segurana informtica pertencentes a organizaes governamentais, comerciais e educativas. Tem o intuito de fomentar a cooperao e a coordenao na preveno de incidentes, estimular uma reaco rpida a estes ltimos e promover a partilha de informaes entre os seus membros e a comunidade em geral. Para alm da rede por si constituda na comunidade mundial de resposta a incidentes, a FIRST tambm presta servios de valor acrescentado. CSIRT fictcia (etapa 6) Busca de cooperao Utilizando o Inventrio da ENISA, depressa se encontraram e contactaram algumas CSIRT do mesmo pas. Combinou-se uma visita do chefe de equipa recm-contratado s instalaes de uma delas, onde foi informado a respeito das iniciativas das CSIRT nacionais e participou numa reunio.
15 16
TF-CSIRT: http://www.enisa.europa.eu/cert_inventory/pages/04_01_02.htm#06 FIRST: http://www.enisa.europa.eu/cert_inventory/pages/05_02.htm
PT
Pgina 38
PT
Esta reunio foi extremamente til para recolher exemplos de mtodos de trabalho e obter apoio de outras equipas.
7 Promoo do Plano de Actividades

At agora, demos os seguintes passos: 1. 2. 3. 4. 5. 6. Compreender o que uma CSIRT e que benefcios pode proporcionar. A que sector prestar a nova equipa os seus servios? Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora. Anlise do ambiente e dos utilizadores. Definio da misso. Desenvolvimento do Plano de Actividades. a. Definio do modelo financeiro b. Definio da estrutura organizativa c. Incio da contratao de pessoal d. Utilizao e equipamento das instalaes e. Formulao de uma poltica de segurana informtica f. Busca de parceiros de cooperao
>> A etapa seguinte traduzir os passos anteriores num plano de projecto e comear! Uma boa forma de comear a definir o seu projecto formular uma fundamentao empresarial, que servir de base ao plano de projecto, bem como para pedir o apoio da administrao e obter recursos oramentais ou de outro tipo. conveniente manter a administrao permanentemente informada para que a sua sensibilizao para os problemas de segurana informtica no diminua e, consequentemente, continue a apoiar a prpria CSIRT. A fundamentao empresarial comea pela anlise dos problemas e oportunidades, com base num modelo de anlise descrito no captulo 5.3 Anlise da Comunidade Utilizadora, e pela busca de um estreito contacto com os potenciais utilizadores. Como j foi referido, h muitos aspectos a considerar quando se cria uma CSIRT. melhor ajustar os materiais atrs mencionados s necessidades das CSIRT, medida que estas se desenvolvem. Ao informar a administrao, aconselhvel apresentar argumentos to actualizados quanto possvel, recorrendo a artigos recentemente publicados na imprensa ou na Internet, e explicar por que razo o servio da CSIRT e a coordenao interna dos incidentes so cruciais para proteger os activos da empresa. igualmente necessrio esclarecer que, em questes de segurana informtica, s um apoio contnuo pode assegurar a estabilidade, sobretudo no caso de empresas ou instituies dependentes da informtica.
PT
Pgina 39
PT
(Uma frase notvel de Bruce Schneier sintetiza bem esta questo: A segurana no um produto, mas sim um processo17!) Um conhecido instrumento para ilustrar os problemas de segurana o grfico seguinte, fornecido pelo CERT/CC:
Fig. 8 Conhecimentos do intruso versus sofisticao do ataque (fonte CERT-CC )
18
Propagao de cdigo malvolo por correio electrnico Ataque furtivo/tcnicas de explorao avanadas Ataques generalizados utilizando o NNTP (Network News Transfer Protocol) para os distribuir Ataques generalizados na infra-estrutura DNS Ataques de cdigo executvel (contra programas de navegao) Ataques generalizados automticos Ferramentas de intruso GUI
Ataques DDOS
Elevada
Aumento vermes
dos
Sofisticao ataque
do
Comando e controlo sofisticado
Baixa
Tcnicas forenses
anti-
Utilizadores residenciais tomados como alvo Ferramentas de ataque distribudo Aumento da distribuio de cavalos de Tria em larga escala Cavalos de Tria
Sesses de pirataria
17 18
Bruce Schneier: http://www.schneier.com/ http://www.cert.org/archive/pdf/info-sec-ip.pdf
PT
Pgina 40
PT
Ataques engenharia pela Internet Sniffers (interceptores comunicaes) Elevados
de social
Sondas/exploradores automticos
de
Spoofing (adopo da identidade de outrem) por pacotes Conhecimentos do intruso
baseados no Windows e controlados remotamente Tcnicas para analisar cdigo para vulnerabilidades sem fonte Ataques generalizados de negao de servio Baixos
Este grfico permite visualizar as tendncias em matria de segurana informtica, designadamente a diminuio das competncias necessrias para levar a cabo ataques cada vez mais sofisticados. Outro aspecto a mencionar o perodo cada vez mais curto entre a disponibilizao de actualizaes do software para corrigir as vulnerabilidades e o incio dos ataques contra elas: Correco Explorao Nimda: Slammer: Nachi: Blaster: Witty: -> 11 meses 6 meses 5 meses 3 semanas 1 dia (!) Ritmo de propagao Code red: Nimda: Slammer: Dias Horas Minutos
Os dados recolhidos sobre os incidentes, as eventuais melhorias e as lies aprendidas tambm podem servir de base a uma boa apresentao.
PT
Pgina 41
PT
7.1 Descrio dos planos de actividades e dos factores de motivao da administrao

Uma apresentao que se limite a promover a CSIRT no basta como fundamentao empresarial, mas, se for realizada da forma adequada, suscitar, na maioria dos casos, o apoio da administrao CSIRT. A fundamentao empresarial, em contrapartida, no deve ser apenas encarada como um exerccio de gesto, mas sim igualmente utilizada na comunicao com a equipa e a comunidade utilizadora. O termo fundamentao empresarial pode parecer muito comercial e alheado da prtica quotidiana da CSIRT, mas permite centrar e direccionar bem os esforos no processo de constituio de uma CSIRT. As respostas s seguintes perguntas podem ser usadas para formular uma boa fundamentao empresarial (os exemplos apresentados so hipotticos e apenas usados a ttulo ilustrativo). As verdadeiras respostas dependem muito das circunstncias reais). Qual o problema? Que objectivos gostaria de atingir com a sua comunidade utilizadora? O que acontecer se no fizer nada? O que acontecer se tomar medidas? Quanto ir custar? O que se ir ganhar? Quando ir comear e quanto estar concludo?
Qual o problema? De um modo geral, a ideia de criar uma CSIRT surge quando a segurana informtica se tornou uma parte essencial da actividade principal de uma empresa ou instituio e quando os incidentes de segurana comeam a constituir um risco empresarial, tornando as actividades de segurana numa operao normal da empresa. A maioria das empresas ou instituies dispe de um departamento de apoio regular ou de um servio de assistncia, mas geralmente os incidentes de segurana so geridos de forma insuficiente e menos estruturada do que deviam. Normalmente, a rea dos incidentes de segurana exige competncias e ateno especiais. Dispor de uma abordagem mais estruturada tambm benfico e diminuir os riscos e prejuzos para a empresa. O problema, na maior parte dos casos, a falta de coordenao e a no utilizao dos conhecimentos existentes para gerir os incidentes, o que poderia impedi-los de voltar a acontecer e evitaria eventuais perdas financeiras e/ou danos para a reputao de uma instituio. Quais os objectivos a alcanar em relao comunidade utilizadora? Como j foi dito, a sua CSIRT servir a respectiva comunidade utilizadora e ajud-la- a resolver incidentes e problemas de segurana informtica. Aumentar o nvel de conhecimentos nesta matria e implantar uma cultura sensvel s questes de segurana so objectivos adicionais.
PT
Pgina 42
PT
Trata-se de uma cultura que procura adoptar medidas proactivas e preventivas desde o incio e reduzir, assim, os custos operacionais. A introduo desta cultura de cooperao e assistncia numa empresa ou instituio poder, na maioria dos casos, estimular a eficincia em geral. O que acontecer se nada se fizer? Gerir a segurana informtica de forma no estruturada pode causar maiores prejuzos, nomeadamente reputao da instituio. Perdas financeiras e consequncias legais podem ser outros resultados. O que acontecer se forem tomadas medidas? A sensibilizao para a ocorrncia de problemas de segurana aumenta, o que ajuda a resolv-los com mais eficincia e a evitar perdas futuras. Quanto ir custar? Consoante o modelo organizativo, implicar custos com as remuneraes dos membros da equipa CSIRT e com a organizao, os equipamentos, as ferramentas e as licenas de software. O que se ir ganhar? Dependendo da empresa e das perdas sofridas no passado, ganhar-se- maior transparncia nos procedimentos e nas prticas de segurana, protegendo deste modos activos essenciais da empresa. Quanto tempo demora? Ver no captulo 12. Descrio do Plano de Projecto um exemplo deste tipo de plano. Exemplos de casos e abordagens existentes Eis alguns exemplos de projectos empresariais CSIRT que merecem ser estudados: http://www.cert.org/csirts/AFI_case-study.html Criao de uma CSIRT de Instituio Financeira: Um estudo de caso Este documento pretende partilhar as lies aprendidas por uma instituio financeira (denominada AFI no documento), medida que se foi desenvolvendo e implementando um plano para solucionar as preocupaes de segurana e uma Equipa de Resposta a Incidentes de Segurana Informtica (CSIRT). http://www.terena.nl/activities/tf-csirt/meeting9/jaroszewski-assistance-csirt.pdf Resumo do caso da CERT POLSKA (apresentao de diapositivos em formato PDF). http://www.auscert.org.au/render.html?it=2252 A constituio de uma Equipa de Resposta a Incidentes, na dcada de 1990, pode ser uma tarefa arrojada, j que muitas das pessoas que a formam no tm qualquer experincia neste campo. Este documento examina o papel que uma equipa de resposta a incidentes pode desempenhar na comunidade e as questes a abordar
PT
Pgina 43
PT
quer durante a sua formao, quer depois de iniciar as operaes. Poder ser til s equipas de resposta a incidentes existentes, chamando eventualmente a ateno para questes que no tenham sido abordadas anteriormente.
PT
Pgina 44
PT
http://www.sans.org/reading_room/whitepapers/casestudies/1628.php Estudo de caso sobre segurana informtica, proteger a empresa (Case Study in Information Security, Securing the Enterprise), de Roger Benton Trata-se de um estudo de caso prtico da migrao de uma companhia de seguros para um sistema de segurana a nvel de toda a empresa. Este documento pretende indicar um caminho a seguir quando se cria ou migra para um sistema de segurana. Inicialmente, o nico mecanismo de controlo do acesso aos dados da companhia era um sistema primitivo de segurana em linha. A exposio ao risco era grave pois no existiam controlos da integridade fora do ambiente em linha. Qualquer pessoa com competncias bsicas de programao podia acrescentar, mudar e/ou apagar dados de produo.
http://www.esecurityplanet.com/trends/article.php/10751_688803 Marriott's e-security strategy: business-IT collaboration (Estratgia de segurana electrnica da Marriott: colaborao informtica empresarial) A experincia da Marriott International, Inc.'s Chris Zoladz em matria de segurana do comrcio electrnico um processo, no um projecto. Foi esta a mensagem que Zoladz transmitiu nas recentes conferncia e exposio sobre segurana electrnica realizadas em Boston com o patrocnio do Intermedia Group. Enquanto vicepresidente para a proteco da informao da Marriott, Zoladz apresenta os seus relatrios atravs do departamento jurdico, embora no seja jurista. A sua funo identificar onde esto armazenadas as informaes empresariais mais valiosas da Marriott e como entram e saem da empresa. A Marriott estabeleceu uma responsabilidade distinta em relao infra-estrutura tcnica em que a segurana assenta, confiando-a ao arquitecto de segurana informtica.
CSIRT fictcia (etapa 7) Promoo do Plano de Actividades Decidiu-se recolher factos e nmeros sobre a histria da empresa, que so extremamente teis para obter uma perspectiva estatstica do estado da segurana informtica. Esta recolha dever prosseguir quando a CSIRT estiver estabelecida e a funcionar, a fim de manter as estatsticas actualizadas. Outras CSIRT nacionais foram contactadas e entrevistadas a respeito dos seus casos, tendo dado apoio mediante a compilao de diapositivos com informaes sobre os incidentes de segurana informtica mais recentes e os respectivos custos. Neste exemplo de CSIRT fictcia, no havia uma necessidade premente de convencer a administrao da importncia da actividade informtica e, por isso, no foi difcil obter luz verde para a primeira fase. Procedeu-se elaborao da fundamentao empresarial e do plano de projecto, incluindo uma estimativa dos custos de arranque e dos custos de funcionamento.
PT
Pgina 45
PT
8 Exemplos de procedimentos operacionais e tcnicos (fluxos de trabalho)

At agora, demos os seguintes passos: 1. 2. 3. 4. 5. 6. Compreender o que uma CSIRT e que benefcios pode proporcionar. A que sector prestar a nova equipa os seus servios? Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora. Anlise do ambiente e dos utilizadores. Definio da misso. Desenvolvimento do Plano de Actividades. a. Definio do modelo financeiro. b. Definio da estrutura organizativa. c. Incio da contratao de pessoal. d. Utilizao e equipamento das instalaes. e. Formulao de uma poltica de segurana informtica. f. Busca de parceiros de cooperao. 7. Promoo do Plano de Actividades. a. Fazer aprovar a fundamentao empresarial. b. Inserir tudo num plano de projecto. >> A prxima etapa : tornar a CSIRT operacional Uma boa definio dos fluxos de trabalho ir melhorar a qualidade e o tempo necessrio para cada incidente ou caso de vulnerabilidade. Como foi descrito nas caixas de exemplos, a CSIRT fictcia prestar os servios CSIRT bsicos essenciais: Alertas e avisos Gesto de incidentes Comunicaes
O presente captulo apresenta exemplos de fluxos de trabalho que descrevem os servios essenciais de uma CSIRT. Contm tambm informaes sobre a recolha de informaes a partir de diversas fontes, a verificao da sua pertinncia e autenticidade, e a sua redistribuio para a comunidade utilizadora. Por ltimo, inclui exemplos dos procedimentos mais bsicos e das ferramentas CSIRT especficas.
PT
Pgina 46
PT
8.1 Avaliar as instalaes existentes na comunidade utilizadora

A primeira etapa consiste em fazer um inventrio dos sistemas informticos instalados na sua comunidade utilizadora. Deste modo, a CSIRT pode avaliar a pertinncia da informao que chega e filtr-la antes de a redistribuir, para que os utilizadores no fiquem submersos em informaes que lhes so basicamente inteis. conveniente comear de forma simples, por exemplo utilizando uma folha Excel como a seguinte: Categoria Aplicao Produto de Software Excel IE CISCO Linux Apache Verso SO Verso SO XP-prof XP-prof x-x-xx-x-x x-x-x Utilizador
Computador Computador Rede Servidor Servios
Office Navegador Encaminha dor Servidor Servidor Web
x-x-x x-xx-x-x x-x-x
Microsoft Microsoft CISCO L-distro Unix
A A B B B
Com a funo de filtro em Excel muito fcil escolher o software adequado e ver que tipo de software utiliza cada um dos utilizadores.
PT
Pgina 47
PT
8.2 Produzir Alertas, Avisos e Comunicaes

A produo de alertas, avisos e comunicaes segue os mesmos fluxos de trabalho: Recolha de informao Avaliao da pertinncia da informao e da sua fonte Avaliao dos riscos com base nas informaes recolhidas Distribuio da informao
Clientes Sistemas de lista de distribuio
Internet Fontes informao
Parcerias de
Processo distribuio informao
de da
Pertinncia Identificao Classificao Avaliao dos riscos
Base instalada
Anlise do impacto Produtos Website Correio electrnico Relatrio de gesto do incidente Arquivo
Figura: Fluxo processo informao
do de
Fig. 9 : Fluxo do processo de informao
Nos pargrafos seguintes, este fluxo de trabalho ser descrito em mais pormenor.
PT
Pgina 48
PT
Etapa 1: Recolha de informaes sobre as vulnerabilidades.

Normalmente, existem dois tipos principais de fontes de informao que fornecem informaes teis para os servios: Informaes relativas vulnerabilidade dos (seus) sistemas informticos Notificaes de incidentes
Dependendo do tipo de empresa e de infra-estrutura informtica, h muitas fontes pblicas e fechadas de informaes sobre as vulnerabilidades: Sistemas de lista de distribuio pblicos e fechados Informaes sobre a vulnerabilidade dos produtos provenientes das empresas que os vendem Websites Informaes publicadas na Internet (Google, etc)
PT
Pgina 49
PT
Parcerias pblicas e privadas que fornecem informaes sobre as vulnerabilidades (FIRST, TF-CSIRT, CERT-CC, US-CERT.)
Todas estas informaes aumentam o nvel de conhecimento sobre as vulnerabilidades especficas dos sistemas informticos. Como se disse, h muitas fontes de informaes de segurana teis e de fcil acesso disponveis na Internet. O grupo de trabalho ad-hoc da ENISA Servios CERT para 2006 est a elaborar, no momento da redaco do presente documento, uma lista mais completa que dever estar pronta no final de 200619.
Etapa 2: Anlise da informao e avaliao do risco

Esta etapa produzir uma anlise do impacto de uma vulnerabilidade especfica para a infra-estrutura informtica da comunidade utilizadora. Identificao As informaes sobre vulnerabilidades recebidas tm de ser sempre identificadas pela sua fonte, sendo necessrio determinar se esta fivel antes de transmitir quaisquer informaes comunidade utilizadora. De outro modo, as pessoas poderiam receber alertas falsos, que perturbariam desnecessariamente o funcionamento das empresas e acabariam por prejudicar a reputao das CSIRT.
19
GT ad-hoc Servios CERT: http://www.enisa.europa.eu/pages/ENISA_Working_group_CERT_SERVICES.htm
PT
Pgina 50
PT
Apresenta-se, seguidamente, um exemplo de identificao da autenticidade de uma mensagem: Procedimento para identificar a autenticidade de uma mensagem e a sua fonte Lista de verificao geral 1. A fonte conhecida e est registada como tal? 2. A informao chega atravs de um canal normal? 3. H algum contedo informativo estranho que soe a falso? 4. Siga a sua intuio, em caso de dvida sobre uma informao, no aja sem a verificar novamente! Correio electrnico Fontes 1. O endereo da fonte conhecido da organizao e consta da lista de fontes? 2. A assinatura PGP est correcta? 3. Em caso de dvida verifique os cabealhos completos de uma mensagem. 4. Em caso de dvida, utilize nslookup ou dig para verificar o domnio do remetente20. WWW Fontes 1. Verifique os certificados do programa de navegao quando se ligar a um website protegido (https://). 2. Verifique o contedo e a validade (tcnica) da fonte. 3. Em caso de dvida, no clique em nenhuma ligao nem descarregue qualquer software. 4. Em caso de dvida, faa lookup e dig no domnio e efectue um traceroute (localizar determinado IP). Telefone 1. Escute atentamente o nome. 2. Reconhece a voz? 3. Em caso de dvida, pea o nmero de telefone e diga pessoa que lhe telefonou que lhe ligar de volta.
Fig. 10 Exemplo de um procedimento de identificao da informao
Pertinncia O inventrio, j realizado, do hardware e do software instalados pode ser usado para filtrar a informao de vulnerabilidade recebida no que respeita pertinncia, com o objectivo de encontrar resposta para as perguntas: A comunidade utilizadora usa este software?; Esta informao ser pertinente para ela? Classificao Algumas informaes recebidas podem ser classificadas ou etiquetadas como reservadas (por exemplo, as notificaes de incidentes enviadas por outras equipas). Todas as informaes devem ser tratadas de acordo com o pedido do remetente e com
20
Ferramentas para verificar as identificaes no CHIHT:
http://www.enisa.europa.eu/cert_inventory/pages/04_02.htm#04
PT
Pgina 51
PT
a sua prpria poltica de segurana informtica. Uma boa regra bsica : No distribua informaes se no tiver a certeza de que elas devem ser distribudas; em caso de dvida, pea autorizao ao remetente para o fazer.
PT
Pgina 52
PT
Avaliao dos riscos e anlise do impacto H vrios mtodos para determinar o risco e o impacto de uma (potencial) vulnerabilidade. Entende-se por risco a possibilidade de a vulnerabilidade vir a ser explorada. H vrios factores importantes (entre outros): A vulnerabilidade muito conhecida? A vulnerabilidade generalizada? fcil explorar a vulnerabilidade? uma vulnerabilidade susceptvel de ser explorada remotamente?
Todas estas perguntas do uma boa indicao da gravidade da vulnerabilidade. Um mtodo muito simples para calcular o risco a frmula seguinte: Impacto = Risco X Dano potencial O dano potencial poder ser O acesso no autorizado aos dados A negao de servio (DOS) A obteno ou extenso de autorizaes
(Ver sistemas de classificao mais elaborados no fim do captulo). Uma vez respondidas estas perguntas, pode acrescentar-se uma classificao global ao aviso, informando acerca dos riscos e danos potenciais. So frequentemente usados termos simples como BAIXO, MDIO e ELEVADO.
PT
Pgina 53
PT
Outros sistemas de avaliao dos riscos mais exaustivos so os seguintes: Sistema de classificao da GOVCERT.NL21 A CSIRT governamental neerlandesa GOVCERT.NL, na sua fase inicial, desenvolveu uma matriz para a avaliao dos riscos que se mantm actualizada segundo as tendncias mais recentes.
RISK Is the vulnarability widely known? Is the vulnarability widely exploited? Is it easy to exploit the vulnerability? Precondition: default configuration? Precondition: physical access required? Precondition: user account required? Damage Unauthorized access to data DoS Permissions OVERALL High No, limited No No, hacker No. specific Yes Yes 1 1 1 1 1 1 Yes, public Yes Yes, script kiddie Yes, standard No No 2 2 2 2 2 2 11,12 8,9,10 6,7 High Medium Low
No No No
0 0 0
Yes, read Yes, non-critical Yes, user
2 1 4
Yes, read + write Yes, critical Yes, root
4 5 6
6 t/m 15 2 t/m 5 0,1
High Medium Low
Medium
Low
Remote root >> Imediately action needed! Local root exploit (attacker has a user account on the machine) Denial of Service Remote user exploit >> Action within a week Remote unauthorized access to data Unauthorized obtaining data Local unauthorized access to data Local unauthorized obtaining user-rights >> Include it in general process Local user exploit
Fig. 11 Sistema de classificao da GOVCERT.NL
RISCO A vulnerabilidade muito conhecida? A vulnerabilidade muito explorada? fcil explorar a vulnerabilidade? Pr-condio: configurao por defeito? Pr-condio: necessrio acesso fsico? Pr-condio: necessria conta de utilizador? DANOS Acesso no autorizado a dados Negao de servio Autorizaes GLOBAL Alto Mdio Raiz remota Explorao da raiz local (o atacante tem uma conta de utilizador na mquina) Negao de servio Explorao de utilizador remoto Acesso remoto no autorizado aos dados Obteno no autorizada de dados Acesso local no autorizado a dados Obteno local no autorizada de direitos de utilizador Explorao de utilizador local So necessrias imediatas! medidas No, pouco No No, pirata No, especfica Sim Sim Sim, pblica Sim Sim, script kiddie No, normal No No
11, 12 8, 9, 10 6,7
Elevado Mdio Baixo
No No No
Sim, ler Sim, no crtico Sim, utilizador
Sim, ler Sim, crtico Sim, raiz
Medidas dentro de uma semana
Baixo Incluir no processo geral
21
Matriz de vulnerabilidade: http://www.govcert.nl/download.html?f=33
PT
Pgina 54
PT
Descrio do Formato de Aviso Comum do EISPP (Common Advisory Format Description)22 O Programa Europeu de Promoo de Segurana Informtica (European Information Security Promotion Programme - EISPP) um projecto co-financiado pela Comunidade Europeia no mbito do Quinto Programa-Quadro. O projecto EISPP pretende desenvolver um quadro europeu, no s para partilhar conhecimentos de segurana mas tambm para definir o contedo e as formas de difundir informaes de segurana junto das PME. Se s PME europeias forem fornecidos os servios de segurana informtica necessrios, elas sentir-se-o estimuladas a desenvolver a sua confiana e a utilizar mais intensamente o comrcio electrnico, o que aumentar e melhorar as oportunidades de negcio. O EISPP pioneiro na viso da Comisso Europeia de formar uma rede europeia de peritos na Unio Europeia. Formato de aviso DAF (Deutsches Advisory Format) 23 O DAF uma iniciativa da CERT-Verbund alem e um componente essencial da infraestrutura de produo e intercmbio de recomendaes de segurana por diversas equipas. Especialmente adaptado s necessidades das CERT alems; a norma desenvolvida e mantida pela CERT-Bund, a DFN-CERT, a PRESECURE e a SiemensCERT.
22 23
EISSP: http://www.enisa.europa.eu/cert_inventory/pages/04_03.htm#03 DAF: http://www.enisa.europa.eu/cert_inventory/pages/04_03.htm#02
PT
Pgina 55
PT
Etapa 3: Distribuio da informao Uma CSIRT pode escolher entre vrios mtodos de distribuio, consoante os desejos dos utilizadores e a sua estratgia de comunicao. Website Correio electrnico Notificaes Arquivo e pesquisa
A recomendaes de segurana divulgadas por uma CSIRT devem respeitar sempre a mesma estrutura. Isto aumentar a sua legibilidade e o leitor encontrar rapidamente todas as informaes pertinentes. Um aviso dever conter, no mnimo, as seguintes informaes: Ttulo do aviso Nmero de referncia Sistemas afectados - - SO associado + verso Risco (Elevado-Mdio-Baixo) Impacto/dano potencial (Elevado-Mdio-Baixo) Identificao externa: (CVE, Identificao do boletim de vulnerabilidade)
Sntese da vulnerabilidade Impacto Soluo Descrio (detalhes) Anexo
PT
Pgina 56
PT
Fig. 12 Exemplo de esquema de aviso
Ver no captulo 10. Exerccio um exemplo completo de aviso de segurana.
8.3 Procedimento de gesto de incidentes

Como foi dito na introduo do presente captulo, o processo de gesto da informao durante a gesto de um incidente muito semelhante ao utilizado na compilao de alertas, avisos e comunicaes. Porm, a parte de recolha de informao habitualmente diferente, visto que os dados relativos a incidentes so normalmente obtidos por meio de notificaes de incidentes enviadas pela comunidade utilizadora ou por outras equipas, ou da recepo de feedback das partes envolvidas no processo de gesto do incidente. As informaes circulam geralmente por correio electrnico (cifrado); por vezes, necessrio utilizar o telefone ou o fax. Quando se recebem informaes pelo telefone, conveniente tomar imediatamente nota dos mais nfimos pormenores, recorrendo a uma ferramenta de gesto/notificao de incidentes ou elaborando um memorando. necessrio atribuir logo (antes de a chamada terminar) um nmero ao incidente (se ainda no existir nenhum para este incidente) e comunic-lo pessoa que est em linha (podendo tambm faz-lo numa mensagem de correio electrnico posterior, a resumir o incidente) como referncia para posteriores contactos. O resto do presente captulo descreve o processo bsico de gesto de incidentes. Na documentao do CERT/CC Definio de processos de gesto de incidentes para as CSIRT24 poder encontrar uma anlise muito aprofundada de todo o processo, bem como dos fluxos e subfluxos de trabalho envolvidos.
24
Defining Incident Management Processes: http://www.cert.org/archive/pdf/04tr015.pdf
PT
Pgina 57
PT
Essencialmente, a gesto de incidentes obedece ao seguinte fluxo de trabalho:
Fig. 13 Fluxo processual dos incidentes

Utilizadores Pedidos de gesto de incidentes Pertinncia Identificao Classificao Triagem Aces Iniciar talo de incidente Resolver o incidente Relatrio de gesto do incidente Arquivo Parcerias e outras CSIRT
Base de utilizadores
Processo de gesto de incidentes
Figura: Fluxo incidentes
processual
dos
PT
Pgina 58
PT
Etapa 1: Recepo de notificaes de incidentes

Como j foi dito, as notificaes de incidentes chegam a uma CSIRT atravs de vrios canais, sobretudo por correio electrnico, mas tambm por telefone ou por fax. Como foi mencionado, boa prtica tomar nota de todos os pormenores, em formato uniforme, quando recebe a notificao de um incidente, para garantir que no so esquecidas informaes cruciais. Encontrar, seguidamente, um esquema exemplificativo: FORMULRIO DE NOTIFICAO DE INCIDENTES
Preencha este formulrio e envie-o por Fax ou correio electrnico para: . As linhas assinaladas com asterisco * so de preenchimento obrigatrio. Nome e Organizao 1. Nome*: 2. Nome da Organizao*: 3. Tipo de sector: 4. Pas*: 5. Cidade: 6. Endereo de correio electrnico*: 7. Nmero de telefone*: 8. Outros: Computadores centrais afectados 9. Nmero de computadores centrais: 10. Nome e IP do computador central*: 11. Funo do computador central*: 12. Fuso horrio: 13. Hardware: 14. Sistema operativo: 15. Software afectado: 16. Ficheiros afectados: 17. Segurana: 18. Nome e IP do computador central: 19. Protocolo/porta: Incidente 20. Nmero de referncia ref #: 21. Tipo de incidente: 22. Incio do incidente: 23. Trata-se de um incidente contnuo: SIM NO 24. Hora e mtodo de deteco: 25. Vulnerabilidades conhecidas: 26. Ficheiros suspeitos: 27. Contra-medidas: 28. Descrio detalhada*: Fig. 14 Contedo de uma notificao de incidente
PT
Pgina 59
PT
Etapa 2: Avaliao do incidente

Durante esta etapa, a autenticidade e a pertinncia de um incidente notificado so verificadas e o incidente classificado. Identificao Para evitar qualquer aco desnecessria, bom hbito verificar se o autor da notificao digno de confiana e se faz parte da sua comunidade utilizadora ou da comunidade utilizadora de outras CSIRT. So aplicveis regras semelhantes s descritas no captulo 8.2 Produo de alertas. Pertinncia Nesta etapa, verifica-se se o pedido de gesto de incidente tem origem na comunidade utilizadora da CSIRT, ou se o incidente notificado envolve sistemas informticos da comunidade utilizadora. Se nenhum dos casos for aplicvel, o relatrio geralmente reencaminhado para a CISRT certa25. Classificao Nesta etapa, a triagem preparada mediante a classificao da gravidade do incidente. A descrio pormenorizada da classificao de incidentes est fora do mbito do presente documento. Um bom comeo utilizar o sistema de Classificao de Casos CSIRT (Exemplo para a CSIRT empresarial):
25
Ferramentas para verificar as identificaes no CHIHT:
http://www.enisa.europa.eu/cert_inventory/pages/04_02.htm#04
PT
Pgina 60
PT
Fig. 15 Sistema de classificao de incidentes (fonte: FIRST)
26
Categorias de Incidente Todos os incidentes geridos pela CSIRT devem ser classificados numa das categorias enumeradas no quadro seguinte. Categoria de incidente Sensibilidade* Descrio Negao de servio S3 Ataque DOS ou DDOS. Forense S1 Qualquer trabalho forense a efectuar pela CSIRT. Informao comprometida S1 Destruio, corrupo ou divulgao de informaes empresariais sensveis ou de propriedade intelectual, tentadas ou concretizadas Activo comprometido S1, S2 Computador central comprometido (conta raiz, cavalo de Tria, rootkit), dispositivo de rede, aplicao, conta de utilizador. Isto inclui computadores centrais infectados com malware em que um atacante controla activamente o computador central. Actividade ilegal S1 Roubo/ Fraude/ Segurana Humana /Pornografia infantil. Incidentes informticos de natureza criminosa, susceptveis de infringir a lei, investigaes globais ou preveno de perdas. Pirataria interna S1,S2,S3 Aco de reconhecimento ou actividade suspeita com origem no interior da rede da empresa, excluindo malware. Pirataria externa S1,S2,S3 Aco de reconhecimento ou actividade suspeita com origem no exterior da rede da empresa (rede de parceiros, Internet), excluindo malware. Malware S3 Um vrus ou verme que afecta normalmente mltiplos dispositivos empresariais. No inclui computadores centrais comprometidos alvos de controlo activo por um atacante atravs de backdoor ou cavalo de Tria (ver Activo comprometido). Correio electrnico S3 Correio electrnico com identidade alterada, SPAM e outros eventos relacionados com a segurana do correio electrnico. Consultoria S1,S2,S3 Consultoria de segurana no relacionada com nenhum incidente confirmado. Violaes de poltica S1,S2,S3 Partilha de material ofensivo, partilha/posse de material sujeito a direitos de autor. Violao deliberada da poltica Infosec. Utilizao inadequada de um activo da empresa, como um computador, uma rede ou uma aplicao. Escalada no autorizada de privilgios ou tentativa deliberada de subverter os controlos de acesso. * A sensibilidade varia em funo das circunstncias. So fornecidas orientaes.
Triagem A triagem um sistema utilizado pelo pessoal mdico ou das urgncias para racionar recursos mdicos limitados, quando o nmero de feridos necessitados de cuidados excede os recursos disponveis para prestar assistncia, de modo a tratar o maior nmero de doentes possvel27. O CERT/CC apresenta a seguinte descrio:
26 27
Classificao de Casos CSIRT http://www.first.org/resources/guides/csirt_case_classification.html Triagem na Wikipedia: http://en.wikipedia.org/wiki/Triage
PT
Pgina 61
PT
A triagem um elemento essencial de qualquer capacidade de gesto de incidentes, em especial para qualquer CSIRT estabelecida. A triagem essencial para compreender o que est a ser notificado em toda a organizao. Serve de veculo para fazer fluir todas as informaes para um ponto de contacto nico, permitindo uma viso empresarial da actividade em curso e uma correlao global de todos os dados comunicados. A triagem permite fazer a avaliao inicial de uma notificao recebida e coloca-a em lista de espera para tratamento futuro. Tambm constitui um meio para iniciar a documentao e a introduo de dados de uma notificao ou pedido, se tal no tiver j sido feito no processo de deteco. A funo triagem d uma imagem imediata do estado actual de todas as actividades notificadas que notificaes so abertas ou fechadas, que aces esto pendentes, e quantas notificaes de cada tipo foram recebidas. Este processo pode ajudar a identificar eventuais problemas de segurana e definir prioridades no volume de trabalho. As informaes reunidas durante a triagem tambm podem ser usadas para gerar tendncias em matria de vulnerabilidade e incidentes, bem como estatsticas destinadas administrao28. A triagem s dever ser feita pelos membros mais experientes da equipa, porque exige uma compreenso profunda dos potenciais impactos dos incidentes em parcelas especficas da comunidade utilizadora e a capacidade de decidir quem ser o melhor membro da equipa para resolver esse incidente.
28
Defining Incident Management Processes [Definio de processos de gesto de incidentes]:
http://www.cert.org/archive/pdf/04tr015.pdf
PT
Pgina 62
PT
Etapa 3: Aces
Depois da triagem, os incidentes vo para uma fila de espera de pedidos, numa ferramenta de gesto de incidentes usada por um ou mais gestores de incidentes, que seguem essencialmente as etapas seguintes. Iniciar o talo de incidente O nmero do talo de incidente poder j ter sido gerado numa fase anterior (por exemplo, quando o incidente foi comunicado por via telefnica). Caso contrrio, a primeira etapa consiste em criar esse nmero, que ser usado em todos os contactos posteriores respeitantes ao incidente. Ciclo de vida do incidente Gerir um incidente no corresponde a uma sucesso de medidas conducentes a uma soluo, mas a sim um crculo de medidas que so repetidamente aplicadas at o incidente ficar finalmente resolvido e todas as partes envolvidas terem todas as informaes necessrias. Este crculo, tambm denominado, frequentemente, ciclo de vida do incidente, inclui os seguintes processos: Anlise: Todos os detalhes do incidente notificado so analisados. Obter informao de contacto: Para poder transmitir outras informaes relativas ao incidente a todas as partes envolvidas, designadamente a outras CSIRT, s vtimas e, provavelmente, aos proprietrios dos sistemas eventualmente utilizados de forma abusiva para desencadear um ataque. Fornecer assistncia tcnica: Ajudar as vtimas a recuperarem rapidamente dos resultados do incidente e recolher mais informaes sobre o ataque. Coordenao: Informar as outras partes envolvidas, como a CSIRT responsvel pelo sistema informtico usado num ataque, ou outras vtimas. Esta estrutura denominada ciclo de vida, porque uma das etapas leva a outra e a ltima, a parte de coordenao, poder conduzir a uma nova anlise, recomeando o ciclo. O processo termina quando todas as partes envolvidas tiverem recebido e comunicado todas as informaes necessrias. Veja no manual CSIRT do CERT/CC uma descrio mais pormenorizada do ciclo de vida dos incidentes29. Relatrio da gesto do incidente Prepare-se para responder a perguntas da administrao sobre o incidente compilando um relatrio. sempre aconselhvel escrever um documento (apenas para uso interno) sobre as lies aprendidas para ensinar o pessoal e evitar que se cometam erros em futuros processos de gesto de incidentes.
29
Manual CSIRT: http://www.cert.org/archive/pdf/csirt-handbook.pdf
PT
Pgina 63
PT
Arquivo Consulte as normas de arquivo anteriormente descritas no captulo 6.5 Formulao de uma poltica de segurana informtica. Veja na seco A.1 Outras leituras do anexo guias exaustivos sobre a gesto de incidentes e o ciclo de vida dos incidentes.
8.4 Exemplo de uma escala horria de resposta

A definio dos tempos de resposta frequentemente negligenciada, mas deve fazer parte de qualquer Acordo de Nvel de Servio (SLA) correctamente formulado entre uma CSIRT e a sua comunidade utilizadora. Dar um feedback oportuno aos utilizadores durante a gesto de um incidente crucial, tanto para as responsabilidades dos prprios utilizadores como para a reputao da equipa. Os tempos de resposta devem ser claramente comunicados comunidade utilizadora para evitar expectativas incorrectas. A escala horria muito bsica que apresentamos a seguir pode ser usada como ponto de partida para um Acordo de Nvel de Servio mais pormenorizado com a comunidade utilizadora de uma CSIRT. Eis o exemplo de uma escala horria de resposta prtica, a partir do momento em que recebido um pedido de assistncia:
Fig. 16 Exemplo de escala horrio de resposta
Iniciar incidente hora
Resposta 3 horas
Tempo de gesto 3 horas
Actualizao Conforme o combinado ou no espao de um dia til
Tambm uma boa prtica instruir a comunidade utilizadora a respeito dos seus prprios tempos de resposta, em especial quando deve contactar a CSIRT em caso de emergncia. Na maior parte dos casos, melhor contactar a respectiva CSIRT numa fase inicial, sendo boa prtica incentivar a comunidade utilizadora a faz-lo em caso de dvida.
PT
Pgina 64
PT
8.5 Ferramentas CSIRT disponveis

Este captulo fornece algumas indicaes de ferramentas comuns usadas pelas CSIRT. D apenas alguns exemplos, podendo encontrar-se mais indicaes no Clearinghouse of Incident Handling Tools30 (CHIHT). Software de correio electrnico e cifragem de mensagens GNUPG http://www.gnupg.org/ O GnuPG a aplicao completa e gratuita da norma OpenPGP do projecto GNU, definida pelo RFC2440. O GnuPG permite-lhe cifrar e assinar os seus dados e comunicaes. PGP Variante comercial http://www.pgp.com/
Ferramenta de gesto de incidentes Administrar os incidentes e o seu acompanhamento, mantendo um registo das aces. RTIR http://www.bestpractical.com/rtir/ O RTIR um sistema de gesto de incidentes de fonte aberta, concebido para satisfazer as necessidades das equipas CERT e de outras equipas de resposta a incidentes.
Equipas CRM Quando tem muitos utilizadores diferentes e necessita de localizar todos os compromissos e informaes, til dispor de uma base de dados CRM. H muitas variantes; eis alguns exemplos: SugarCRM Sugarforce (Verso fonte aberta gratuita) http://www.sugarcrm.com/crm/ http://www.sugarforge.org/
Verificao das informaes Website watcher http://www.aignes.com/index.htm Este programa vigia as actualizaes e alteraes introduzidas nos websites. Watch that page http://www.watchthatpage.com/ O servio envia informaes sobre as alteraes introduzidas nos websites por correio electrnico (a ttulo gratuito e comercialmente).
30
CHIHT: http://www.enisa.europa.eu/cert_inventory/pages/04_02.htm#04
PT
Pgina 65
PT
Procurar informaes de contacto Encontrar o contacto correcto para notificar os incidentes no tarefa simples. possvel recorrer a algumas fontes de informao: RIPE31 IRT-object32 TI33
Alm disso, o CHIHT enumera algumas ferramentas para procurar informaes relativas a contactos34. CSIRT fictcia (etapa 8) Criar fluxos processuais e procedimentos operacionais e tcnicos A CSIRT fictcia concentra esforos na prestao de servios CSIRT essenciais: Alertas e Avisos Comunicaes Gesto de incidentes
A equipa desenvolveu procedimentos que funcionam bem e so fceis de compreender por todos os membros da equipa. A CSIRT fictcia tambm contratou um jurista para tratar das responsabilidades e da poltica de segurana da informao. A equipa adoptou algumas ferramentas eficientes e obteve informaes teis sobre as questes operacionais debatendo-as com outras CSIRT. Foi elaborado um modelo uniforme para as recomendaes de segurana e as notificaes de incidentes. A equipa utiliza o RTIR para a gesto de incidentes.
31 32 33 34
RIPE whois: http://www.ripe.net/whois IRT-object na base de dados RIPE: http://www.enisa.europa.eu/cert_inventory/pages/04_02_01.htm#08 Trusted Introducer: http://www.enisa.europa.eu/cert_inventory/pages/04_01_03.htm#07 Ferramentas para verificar as identidades no CHIHT: http://www.enisa.europa.eu/cert_inventory/pages/04_02.htm#04
PT
Pgina 66
PT
9 Formao CSIRT
At agora, demos os seguintes passos: 1. 2. 3. 4. 5. 6. Compreender o que uma CSIRT e que benefcios pode proporcionar. A que sector prestar a nova equipa os seus servios? Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora. Anlise do ambiente e dos utilizadores. Definio da misso. Desenvolvimento do Plano de Actividades. a. Definio do modelo financeiro. b. Definio da estrutura organizativa. c. Incio da contratao de pessoal. d. Utilizao e equipamento das instalaes. e. Formulao de uma poltica de segurana informtica f. Busca de parceiros de cooperao. 7. Promoo do Plano de Actividades. a. Fazer aprovar a fundamentao empresarial. b. Inserir tudo num plano de projecto. 8. Tornar a CSIRT operacional. a. Criar fluxos de trabalho b. Aplicar as ferramentas CSIRT. >> A prxima etapa : dar formao ao pessoal Este captulo descreve as duas principais fontes para a formao CSIRT especfica: os cursos TRANSITS e CERT/CC.
9.1 TRANSITS
O TRANSITS um projecto europeu destinado a promover a criao de Equipas de Resposta a Incidentes de Segurana Informtica (CSIRT) e o reforo das j existentes, atravs da resoluo do problema da falta de pessoal competente. Para isso, ofereceu cursos de formao especializados para o pessoal das (novas) CSIRT que abordam as questes organizativas, operacionais, tcnicas, comerciais e jurdicas envolvidas na prestao de servios CSIRT. Em particular, o TRANSITS desenvolveu, actualizou e reviu regularmente as matrias que compem os mdulos de formao organizou workshops de formao, em que essas matrias foram administradas permitiu que membros do pessoal das (novas) CSIRT participassem nestes workshops de formao, com especial destaque para a participao dos novos Estados-Membros da UE
PT
Pgina 67
PT
difundiu os materiais do curso de formao e assegurou a explorao dos resultados35.
A ENISA est a facilitar e a apoiar os cursos TRANSITS. Se quiser saber como se pode candidatar frequncia dos mesmos, bem como os seus requisitos e custos, contacte os peritos CSIRT da ENISA: CERT-Relations@enisa.europa.eu Consulte os exemplos de matrias dos cursos no anexo do presente documento!
9.2 CERT/CC
A complexidade das infra-estruturas informticas e de rede e o desafio colocado pela administrao dificultam a gesto adequada da segurana das redes. Os administradores de redes e sistemas no dispem de pessoal nem de prticas de segurana suficientes para se defenderem dos ataques e minimizarem os danos. Em consequncia, h um nmero crescente de incidentes de segurana informtica. Quando estes incidentes se verificarem, as organizaes devem responder de forma rpida e eficaz. Quanto mais depressa uma organizao reconhece, analisa e responde a um incidente, melhor pode limitar os danos e diminuir os custos de recuperao. Criar uma equipa de resposta a incidentes de segurana informtica (CSIRT) uma boa forma de assegurar esta capacidade de resposta rpida e ajudar a prevenir futuros incidentes. O CERT-CC oferece cursos para gestores e pessoal tcnico em reas como a criao e a gesto de equipas de resposta a incidentes de segurana informtica (CSIRT), a resposta e a anlise de incidentes de segurana, e a melhoria da segurana das redes. Salvo indicao em contrrio, todos os cursos so realizados em Pittsburgh, PA. Os membros do nosso pessoal tambm administram cursos sobre segurana na Universidade Carnegie Mellon. Cursos CERT/CC disponveis36 dedicados s CSIRT Criao de uma Equipa de Resposta a Incidentes de Segurana Informtica (CSIRT) Gesto de Equipas de Resposta a Incidentes de Segurana Informtica (CSIRT) Princpios Bsicos da Gesto de Incidentes Gesto Avanada de Incidentes para o Pessoal Tcnico Consulte os exemplos de matrias dos cursos no anexo do presente documento! CSIRT fictcia (etapa 9) Formao do pessoal
35 36
TRANSITS: http://www.enisa.europa.eu/cert_inventory/pages/04_02_02.htm#11 Cursos CERT/CC : http://www.sei.cmu.edu/products/courses
PT
Pgina 68
PT
A CSIRT fictcia decide enviar todo o seu pessoal tcnico para os prximos cursos TRANSITS disponveis. O chefe de equipa frequenta, complementarmente, o curso de Gesto de CSIRT do CERT/CC.
PT
Pgina 69
PT
10 Exerccio: produo de um aviso

At agora, demos os seguintes passos: 1. 2. 3. 4. 5. 6. Compreender o que uma CSIRT e que benefcios pode proporcionar. A que sector prestar a nova equipa os seus servios? Que tipo de servios pode uma CSIRT prestar sua comunidade utilizadora. Anlise do ambiente e dos utilizadores. Definio da misso. Desenvolvimento do Plano de Actividades. a. Definio do modelo financeiro. b. Definio da estrutura organizativa. c. Incio da contratao de pessoal. d. Utilizao e equipamento das instalaes. e. Formulao de uma poltica de segurana informtica. f. Busca de parceiros de cooperao. 7. Promoo do Plano de Actividades. a. Fazer aprovar a fundamentao empresarial. b. Inserir tudo num plano de projecto. 8. Tornar a CSIRT operacional. a. Criar fluxos de trabalho. b. Aplicar as ferramentas CSIRT. 9. Formao do seu pessoal. >> A fase seguinte consiste em exercitar-se e preparar-se para o trabalho a srio! A ttulo ilustrativo, este captulo descreve um exemplo de exerccio relativo a uma tarefa CSIRT quotidiana: criar um aviso de segurana. Na sua origem, esteve o seguinte aviso de segurana inicialmente enviado pela Microsoft:
Identificador do Boletim Ttulo do Boletim Resumo Boletim de Segurana da Microsoft MS06-042 Actualizao de Segurana Cumulativa para o Internet Explorer (918899) A presente actualizao serve para corrigir vrias vulnerabilidades existentes no Internet Explorer que poderiam permitir uma execuo de cdigo remoto. Classificao de Gravidade Mxima Impacto da Vulnerabilidade Software Afectado Windows, Internet Explorer. Para mais informaes, ver a seco Software Afectado e Locais de Descarregamento. Execuo de Cdigo Remoto Crtica
PT
Pgina 70
PT
Este boletim do fornecedor refere-se a uma vulnerabilidade recentemente detectada no Internet Explorer. O fornecedor publica mltiplas correces deste software para vrias verses do Microsoft Windows. A CSIRT fictcia, depois de receber esta informao de vulnerabilidade atravs de um sistema de lista de distribuio, d incio ao fluxo de trabalho descrito no captulo 8.2
Produzir Alertas, Avisos e Comunicaes.

Clientes Sistemas de lista de distribuio Internet Fontes informao Parcerias de
Processo distribuio informao
de da
Pertinncia Identificao Classificao Avaliao dos riscos
Base instalada
Anlise do impacto Produtos Website Correio electrnico Relatrio de gesto do incidente Arquivo
Figura: Fluxo processo informao
do de
PT
Pgina 71
PT
Etapa 1: Recolha de informaes sobre as vulnerabilidades.

A primeira etapa navegar at ao website do fornecedor. A a CSIRT fictcia verifica a autenticidade da informao e recolhe mais detalhes acerca da vulnerabilidade e dos sistemas informticos afectados.
PT
Pgina 72
PT
Etapa 2: Anlise da informao e avaliao do risco

Identificao A informao j foi verificada mediante a comparao da informao de vulnerabilidade recebida por correio electrnico com o texto publicado no website do fornecedor. Pertinncia A CSIRT fictcia verifica a lista dos sistemas afectados divulgada no website comparando-a com a lista dos sistemas usados na comunidade utilizadora. Conclui que um dos seus utilizadores, pelo menos, usa o Internet Explorer, pelo que a informao relativa vulnerabilidade efectivamente pertinente. Categoria Aplicao Produto de Software IE Verso SO Verso SO XP-prof Utilizador
Computad or
Navegador
x-x-
Microsoft
Classificao A informao pblica, por isso pode ser usada e redistribuda. Avaliao dos riscos e anlise de impacto A resposta s perguntas mostra que o risco e o impacto so elevados (classificado como crtico pela Microsoft). RISCO A vulnerabilidade muito conhecida? A vulnerabilidade generalizada? fcil explorar a vulnerabilidade? uma vulnerabilidade que pode ser explorada remotamente?
Sim Sim Sim Sim
DANOS Os impactos possveis so a acessibilidade remota e a potencial execuo de cdigo remoto. Esta vulnerabilidade contm muitos problemas, o que torna elevado o risco de danos.
PT
Pgina 73
PT
Etapa 3: Distribuio
A CSIRT fictcia uma CSIRT interna. Tem um correio electrnico, um telefone e um website interno como canais de comunicao disponveis. A CSIRT produz este aviso, derivado do modelo do captulo 8.2 Produzir Alertas, Avisos e Comunicaes. Ttulo do aviso Mltiplas vulnerabilidades detectadas no Internet Explorer Nmero de referncia 082006-1 Sistemas afectados
Todos os sistemas de computador que utilizam a Microsoft Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 e Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 e Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 for Itanium-based Systems e Microsoft Windows Server 2003 com SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition
SO associado + verso
Risco (Elevado-Mdio-Baixo) ELEVADO Impacto/dano potencial (Elevado-Mdio-Baixo) ELEVADO Identificaes externas: (CVE, Identificao do Boletim de vulnerabilidade) MS-06-42 Sntese da vulnerabilidade
A Microsoft detectou vrias vulnerabilidades crticas no Internet Explorer que podem levar execuo de cdigo remoto.
Impacto
Um atacante poder controlar completamente o sistema, instalando programas, acrescentando utilizadores e vias de acesso, alterando ou apagando dados. Um factor atenuante o facto de isso apenas ser possvel se o utilizador estiver registado com direitos de administrador. Os utilizadores registados com menos direitos podero sofrer um impacto menor.
Soluo
Proteja o seu IE imediatamente
Descrio (detalhes)
Ver mais informaes em ms06-042.mspx
Anexo
Ver mais informaes em ms06-042.mspx
PT
Pgina 74
PT
Este produto j est pronto para distribuio. Como se trata de um boletim crtico aconselhvel telefonar tambm aos utilizadores, sempre que possvel. CSIRT fictcia (etapa 10) Exerccios Nas primeiras semanas de funcionamento, a CSIRT fictcia utilizou vrios casos fictcios (facultados a ttulo de exemplo por outras CSIRT) como exerccio. Alm disso, emitiu algumas recomendaes de segurana baseadas em informaes reais sobre vulnerabilidades, distribudas por fornecedores de hardware e de software, depois de as aperfeioar e ajustar s necessidades da comunidade utilizadora.
PT
Pgina 75
PT
11 Concluso
O guia termina aqui. O presente documento visa apresentar uma panormica muito concisa dos vrios processos necessrios para criar uma CSIRT, sem pretenses de ser completo e sem entrar muito em pormenores especficos. Consulte a seco A.1 Outras leituras no anexo, onde encontrar literatura sobre esse tema que vale a pena ler. As etapas importantes seguintes para a CSIRT Fictcia sero agora: Receber feedback da comunidade utilizadora para aperfeioar os servios prestados Estabelecer uma rotina para o trabalho quotidiano Realizar exerccios de treino para situaes de emergncia Manter um contacto estreito com as diversas comunidades CSIRT, no intuito de vir a contribuir um dia para o trabalho voluntrio que elas desenvolvem.
PT
Pgina 76
PT
12 Descrio do plano de projecto

NOTA: O plano de projecto constitui uma primeira estimativa do tempo necessrio. Contudo, a durao real do projecto pode variar em funo dos recursos disponveis. O plano de projecto encontra-se disponvel em diferentes formatos em CD e no stio Web da ENISA, e cobre todos os processos descritos neste documento. O principal formato ser o Microsoft Project, pelo que pode ser directamente utilizado nesta ferramenta de gesto de projecto
Fig. 17 Plano de projecto
Designao da tarefa Fase de concepo (estratgia global) Reflexo Comunicao / abordagem de marketing Documentao de ideias Workshop de deciso (admin.) Arranque da fase de implementao Fase preparatria da implementao Desenvolvimento da fundamentao empresarial Recrutamento do pessoal adequado
Durao 17,5 dias 6,13 dias 4,5 dias 2,63 dias 12 dias 0 horas 41 dias 21 dias
Incio
Termo
PT
Pgina 77
PT
Utilizao do gabinete da CSIRT Desenvolvimento da poltica de segurana informtica Procura de parceiros no domnio de actividade da CSIRT Verificao dos membros da TF-CSIRT Verificao dos membros de FIRST Verificao do stio Web da ENISA Pesquisa efectuada Procura de clientes-piloto Solicitar elementos sobre tarefas e servios Aceitao de clientes-pilotos Preparao efectuada Fase de implementao Resposta a perguntas sobre a fundamentao empresarial Definio do plano de investimento Obteno de aprovao da fundamentao empresarial e do oramento Aprovao definitiva pela administrao Recrutamento de pessoal suplementar Execuo do plano de implementao definido Implementao de procedimentos e processos Prtica de procedimentos e processos Planificao de cursos de formao da CSIRT Entrada em funcionamento
20 dias 20 dias 3 dias 4 dias 4 dias 2 dias 0 horas 10 dias 10 dias 0 horas 0 horas 89 dias 2 dias 5 dias 10 dias 0 horas 20 dias 20 dias 20 dias 10 dias 2 dias 0 horas
PT
Pgina 78
PT
Fig. 18 Plano do projecto com todas as tarefas e uma parte do grfico de Gant
Designao da tarefa Fase de concepo (estratgia global) Reflexo Seleco dos membros do grupo de reflexo Compreender o que uma CSIRT Definir as vantagens do seu CSIRT Definir o seu ambiente Definir as necessidades dos seus utilizadores Definir os servios que pretende prestar Definir as vantagens do seu CSIRT 02 Concluso da reflexo Comunicao / abordagem de marketing Realizao de anlise SWOT Realizao de anlise PEST Escolha de canais de comunicao
Durao 17,5 dias 6,13 dias 4 dias 1 hora 2 horas 4 horas 4 horas 4 horas 2 horas 0 horas 4,5 dias 1 dia 1 dia 4 horas
Incio
Termo
PT
Pgina 79
PT
Elaborao da definio de misso Integrao dos resultados Fim da sesso de comunicao Documentao de ideias Documentao dos resultados da reflexo Documentao das sesses de comunicao Documentao dos resultados Workshop de deciso (admin.) Recolha de fundamentaes empresariais Recolha de artigos publicados recentemente Apresentao administrao Aceitao dos planos, luz verde ao desenvolvimento do plano de implementao Arranque da fase de implementao Fase de implementao preparatria Desenvolvimento da fundamentao empresarial Definio de objectivos Definio dos servios da CSIRT Definio da estrutura da organizao Definio do modelo financeiro e de receitas Objectivos definidos Recrutamento do pessoal adequado Descrio de funes Recrutamento de pessoal Processo iniciado/pessoal recrutado Utilizao do gabinete da CSIRT Equipamento Ligao Internet (ou acolhimento) Stio Web Planificao das ferramentas da CSIRT Sistemas de acompanhamento de registos CRM Sistema de registo de incidentes Acompanhamento de registos concludo Sistemas de comunicao E-mail Telefone, fax SMS Comunicao concluda Utilizao do gabinete concluda Desenvolvimento da poltica de segurana informtica Verificao da conformidade com a legislao aplicvel Verificao da conformidade com as polticas empresariais em vigor Verificao da poltica em matria de responsabilidade Verificao da conformidade e da responsabilidade concluda
1 dia 1 dia 0 horas 2,63 dias 1 dia 1 dia 0 horas 12 dias 10 dias 10 dias 2 dias 0 horas 0 horas 41 dias 21 dias 1 dia 8 dias 8 dias 4 dias 0 horas 20 dias 10 dias 10 dias 0 horas 20 dias 4 dias 5 dias 20 dias 4 dias 2 dias 1 dia 1 dia 0 horas 1 dia 1 dia 1 dia 1 dia 0 horas 0 horas 3 dias 1 dia 1 dia 1 dia 0 horas
PT
Pgina 80
PT
Procura de parceiros no domnio de actividade da CSIRT Verificao dos membros da TF-CSIRT Verificao dos membros de FIRST Verificao do stio Web da ENISA Pesquisa efectuada Procura de clientes-piloto Solicitar elementos sobre tarefas e servios Clientes-piloto aceites Preparao efectuada Fase de implementao Resposta a perguntas sobre o plano de investimento Definio do plano de actividades Obteno da aprovao do plano de actividades e do oramento Aprovao definitiva pela administrao Recrutamento de pessoal suplementar Execuo do plano de implementao definido Implementao de procedimentos e processos Prtica de procedimentos e processos Planificao de cursos de formao da CSIRT Entrada em funcionamento
4 dias 4 dias 4 dias 2 dias 0 horas 10 dias 10 dias 0 horas 0 horas 89 dias 2 dias 5 dias 10 dias 0 horas 20 dias 20 dias 20 dias 10 dias 2 dias 0 horas
O plano de projecto encontra-se igualmente disponvel nos formatos CVS e XML. Outras utilizaes podem ser solicitadas aos peritos em CSIRT da ENISA: CERT-Relations@enisa.europa.eu
PT
Pgina 81
PT
ANEXO
A.1 Outras leituras

Handbook for CSIRTs (CERT/CC) [Manual para CSIRT (CERT/CC)] Uma obra de referncia, muito exaustiva, para todos os tpicos importantes para o trabalho de uma CSIRT. Fonte: http://www.cert.org/archive/pdf/csirt-handbook.pdf Defining Incident Management Processes for CSIRTs: A Work in Progress [Definio de processos de gesto de incidentes para CSIRT: um trabalho em curso] Uma anlise aprofundada da gesto de incidentes. Fonte: http://www.cert.org/archive/pdf/04tr015.pdf State of the Practice of Computer Security Incident Response Teams (CSIRTs) [Situao actual das Equipas de Resposta a Incidentes de Segurana Informtica] Uma anlise aprofundada da situao actual das CSIRT em todo o mundo, incluindo histria, estatsticas e muito mais. Fonte: http://www.cert.org/archive/pdf/03tr001.pdf CERT-in-a-box Uma descrio exaustiva dos ensinamentos extrados da criao da GOVCERT.NL e do 'De Waarschuwingsdienst', o servio nacional de alerta neerlands. Fonte: http://www.govcert.nl/render.html?it=69 RFC 2350: Expectations for Computer Security Incident Response [RFC 2350: Expectativas em matria de Resposta a Incidentes de Segurana Informtica]. Fonte: http://www.ietf.org/rfc/rfc2350.txt NIST37 Computer Security Incident Handling Guide [Guia NIST para a Gesto dos Incidentes de Segurana Informtica] Fonte: http://www.securityunit.com/publications/sp800-61.pdf ENISA Inventory of CERT activities in Europe [Inventrio das actividades de CERT na Europa (ENISA)] Uma obra de referncia, que rene informaes sobre os CSIRT existentes na Europa e as suas diferentes actividades. Fonte: http://www.enisa.europa.eu/ENISA%20CERT/index.htm
37
NIST: Instituto Nacional de Normalizao e Tecnologias.
PT
Pgina 82
PT
A.2 Servios CSIRT

Um agradecimento especial ao CERT/CC, que forneceu esta lista. Servios reactivos Servios reactivos Gesto de incidentes Anlise de incidentes Resposta a incidentes no local Assistncia na resposta a incidentes Coordenao da resposta a incidentes Gesto da vulnerabilidade Anlise da vulnerabilidade Resposta vulnerabilidade Coordenao da resposta vulnerabilidade _Servios_proactivos Avisos Vigilncia tecnolgica Auditorias ou avaliaes de segurana Configurao e manuteno de segurana Desenvolvimento de ferramentas de segurana Servios de deteco de intruses Difuso de informaes relativas segurana Gesto de artefactos Anlise de artefactos Resposta a artefactos Coordenao de resposta a artefactos Gesto da qualidade da segurana Anlise dos riscos Planificao da continuidade da actividade e da recuperao de emergncia Consultoria de segurana Sensibilizao Educao/Formao Avaliao ou certificao dos produtos
Fig. 19 Lista de servios CSIRT do CERT/CC
Descries dos servios Servios reactivos Os servios reactivos so concebidos para responder a pedidos de assistncia, a notificaes de incidentes na comunidade utilizadora CSIRT e a quaisquer ameaas ou ataques contra os sistemas CSIRT. Alguns servios podem ser desencadeados por notificao de terceiros ou por monitorizao e visualizao ou por registos e alertas dos IDS (sistemas de deteco de intruses). Alertas e avisos Este servio envolve a divulgao de informaes que descrevem ataques de intrusos, vulnerabilidades de segurana, alertas de intruso, vrus informticos ou falsos alarmes (hoax), e a rpida divulgao de recomendaes para enfrentar os problemas. O alerta, aviso ou recomendao enviado como reaco ao problema em causa, a fim de informar os utilizadores da actividade e de os ajudar a proteger os seus sistemas ou a recuperar os sistemas eventualmente afectados. As informaes podem ser produzidas pela CSIRT e divulgadas pelos fornecedores, por outros CSIRT ou por peritos em segurana ou ainda por outras partes da comunidade utilizadora. Gesto de incidentes
PT
Pgina 83
PT
A gesto de incidentes inclui a recepo, triagem e resposta a solicitaes e notificaes, bem como a anlise de incidentes e ocorrncias. Em determinados casos, as actividades de resposta podem incluir: a tomada de medidas tendentes a proteger sistemas e redes afectados ou ameaados pela actividade de intrusos a apresentao de solues e de estratgias de atenuao a partir das recomendaes ou alertas pertinentes a busca de actividade de intrusos noutras partes da rede a filtragem do trfego da rede a reconstruo de sistemas a correco ou a reparao de sistemas o desenvolvimento de alternativas ou de estratgias de soluo provisria Dado que as actividades de gesto de incidentes so executadas de diversas formas por diferentes tipos de CSIRT, este servio classificado, principalmente, em funo do tipo de actividades desenvolvidas e do tipo de assistncia prestado, do seguinte modo: Anlise de incidentes Existem muitos nveis de anlises de incidentes e muitos subservios. Essencialmente, a anlise de um incidente consiste no exame de todas as informaes disponveis e das provas ou artefactos de apoio relacionados com um incidente ou ocorrncia. A anlise tem por objectivo identificar o mbito do incidente, a extenso dos danos causados pelo incidente, a natureza do incidente e estratgias de resposta ou solues provisrias. A CSIRT pode utilizar os resultados das anlises de vulnerabilidade e dos artefactos (descritas infra) para compreender e, em consequncia, fornecer uma anlise to completa e actualizada quanto possvel do que aconteceu num dado sistema. A CSIRT compara a actividade dos diferentes incidentes, a fim de determinar eventuais inter-relaes, tendncias, padres ou assinaturas de intrusos. Dois subservios que podem ser prestados no mbito da anlise de incidentes, em funo da misso, dos objectivos e dos processos da CSIRT, so: Recolha de provas forenses A recolha, preservao, documentao e anlise de provas num sistema informtico comprometido, a fim de determinar alteraes ao sistema e apoiar a reconstruo das ocorrncias conducentes a essa situao. Esta recolha de informaes e de provas deve ser efectuada de forma que documente uma cadeia de custdia susceptvel de ser provada de forma admissvel em tribunal de acordo com as normas de prova. As tarefas inerentes recolha de provas forenses incluem (embora no se limitem) a realizao de cpias de imagens digitais do disco duro do sistema afectado, a verificao de mudanas no sistema, como novos programas, ficheiros, servios e utilizadores, a observao de processos em curso e de portas abertas e a procura de programas e ferramentas troianos ou cavalos de Tria. O pessoal da CSIRT que executa esta funo pode igualmente ter de estar preparado para agir na qualidade de peritos ou de testemunhas em processos judiciais. Rastreio ou localizao A localizao da origem de um intruso ou a identificao de sistemas a que o intruso teve acesso. Esta actividade pode incluir o rastreio ou a localizao da forma como o
PT
Pgina 84
PT
intruso invadiu os sistemas afectados e as redes conexas, quais os sistemas utilizados para conseguir esse acesso, qual o ponto de origem do ataque e que outros sistemas e redes foram utilizados no quadro do ataque. Pode igualmente incluir a tentativa de identificao do intruso. Este trabalho pode ser realizado isoladamente, mas, normalmente, decorre em colaborao com autoridades responsveis pela execuo da lei, fornecedores de servios de Internet ou outras organizaes envolvidas.
PT
Pgina 85
PT
Resposta a incidentes no local A CSIRT assegura apoio directo, no local, para ajudar os utilizadores a recuperar do incidente. A prpria CSIRT analisa fisicamente os sistemas afectados e dirige a reparao e a recuperao dos sistemas, no se limitando a assegurar um apoio de resposta ao incidente por telefone ou por correio electrnico (ver infra). Este servio inclui todas as medidas de nvel local necessrias em caso de suspeita ou de ocorrncia de incidente. Se a CSIRT no se localizar na zona afectada, dever fazer deslocar membros da equipa e assegurar a resposta. Noutros casos, poder j encontrar-se na zona uma equipa local que assegure a resposta ao incidente no mbito do seu trabalho de rotina. Tal verifica-se especialmente quando a gesto do incidente assegurada no mbito das tarefas normais dos administradores do sistema, da rede ou da segurana e no por uma CSIRT estabelecida. Apoio na resposta a incidentes A CSIRT assiste e orienta a(s) vtima(s) do ataque na recuperao de um incidente, por telefone, e-mail, fax ou documentao. Isto pode implicar a prestao de assistncia tcnica na interpretao dos dados recolhidos, o fornecimento de contactos ou a emisso de orientaes sobre estratgias de atenuao e de recuperao. No implica aces directas, no local, de resposta a incidentes, como as acima descritas. A CSIRT limita-se a prestar orientao distncia, de modo a permitir que o pessoal no local proceda recuperao. Coordenao da resposta a incidentes A CSIRT coordena o esforo de resposta das partes envolvidas no incidente, que so, em princpio, a vtima do ataque, outros stios envolvidos no ataques e quaisquer stios que requeiram assistncia na anlise do ataque. Podem incluir igualmente as partes que prestam apoio em TI vtima, como prestadores de servios Internet, outras CSIRT e os administradores de sistema e de rede no local. O trabalho de coordenao pode implicar a recolha de contactos, a notificao de stios sobre o seu potencial envolvimento (enquanto vtima ou fonte de um ataque), a recolha de dados estatsticos sobre o nmero de stios envolvidos e a facilitao do intercmbio e da anlise de informaes. Parte do trabalho de coordenao pode implicar a notificao e a colaborao com o consultor jurdico e com os departamentos de recursos humanos e de relaes pblicas de uma organizao, bem como coordenao com entidades responsveis pela aplicao da legislao. Este servio no inclui resposta directa a incidentes, no local. Gesto das vulnerabilidades A gesto das vulnerabilidades inclui a recepo de informaes e relatrios sobre as vulnerabilidades do hardware e do software, a anlise da natureza, mecnica e efeitos das vulnerabilidades e o desenvolvimento de estratgias de resposta para deteco e reparao de vulnerabilidades. Atendendo a que as actividades de gesto das vulnerabilidades so executadas de diversas formas por diferentes tipos de CSIRT, este servio classificado, principalmente, em funo do tipo de actividade executada e do tipo de assistncia prestada, do seguinte modo: Anlise das vulnerabilidades
PT
Pgina 86
PT
A CSIRT procede a anlises tcnicas e a exames de vulnerabilidades de hardware ou de software, que incluem a verificao de suspeitas de vulnerabilidades e o exame tcnico da vulnerabilidade do hardware ou do software, com vista a determinar onde se situa e de que modo pode ser explorada. A anlise pode incluir a verificao do cdigo-fonte, com recurso a um programa de correco (debugger), a fim de determinar onde ocorre a vulnerabilidade, ou a tentativa de reproduzir o problema num sistema de teste. Resposta s vulnerabilidades Este servio consiste em determinar a resposta adequada para atenuar ou reparar a vulnerabilidade. Esta actividade pode incluir o desenvolvimento ou a pesquisa de correces, reparaes e solues provisrias. Pode ainda incluir a notificao da estratgia de atenuao a terceiros, nomeadamente atravs da formulao e difuso de recomendaes ou alertas. A resposta deste servio pode ser dada atravs da instalao de correces, reparaes ou solues provisrias. Coordenao da resposta s vulnerabilidades A CSIRT notifica as diferentes partes da empresa ou da comunidade de utilizadores acerca da vulnerabilidade e partilha informao sobre a forma de solucionar ou atenuar a vulnerabilidade. A CSIRT certifica-se de que a estratgia de resposta vulnerabilidade foi aplicada com xito. O servio pode implicar comunicao com fornecedores, outras CSIRT, peritos tcnicos, utilizadores e com os primeiros indivduos ou grupos que detectaram ou notificaram a vulnerabilidade. As actividades incluem a facilitao da anlise de uma vulnerabilidade ou do relatrio de vulnerabilidade, a coordenao dos calendrios de lanamento dos documentos e das correces ou solues provisrias correspondentes, e a sntese da anlise tcnica realizada por diferentes partes. Este servio pode ainda incluir a manuteno de um arquivo ou base de conhecimentos, pblica ou privada, de informaes sobre as vulnerabilidades e as estratgias de resposta correspondentes. Gesto de artefactos Um artefacto qualquer ficheiro ou objecto encontrado num sistema susceptvel de estar relacionado com a explorao ou o ataque de sistemas e redes, ou que esteja a ser utilizado para contornar medidas de segurana. So artefactos, entre outros, os vrus informticos, os programas cavalos de Tria, os vermes, os roteiros de explorao e os conjuntos de ferramentas. A gesto dos artefactos implica a recepo de informaes sobre os artefactos utilizados em ataques de intruso, reconhecimento e noutras actividades no autorizadas ou perturbadoras, e de cpias dos mesmos. Depois de recebidos, os artefactos so analisados. Essa anlise incide na natureza, mecnica, verso e utilizao do artefacto em causa, sendo em seguida desenvolvidas (ou sugeridas) estratgias de resposta para a deteco, remoo ou defesa contra o artefacto. Atendendo a que as actividades de gesto de artefactos so executadas de diversas formas por diferentes tipos de CSIRT, este servio classificado, principalmente, em funo do tipo de actividade executada e do tipo de assistncia prestada, do seguinte modo:
PT
Pgina 87
PT
Anlise de artefactos A CSIRT procede ao exame e anlise tcnicos de todos os artefactos encontrados num sistema. A anlise efectuada pode incluir a identificao do tipo de ficheiro e da estrutura do artefacto, a comparao de um novo artefacto com artefactos existentes ou com outras verses do mesmo artefacto, a fim de detectar a semelhanas e as diferenas, ou ainda a engenharia inversa ou a desmontagem do cdigo, para determinar a finalidade e a funo do artefacto.
PT
Pgina 88
PT
Resposta aos artefactos Este servio inclui a determinao das medidas adequadas para detectar e remover artefactos de um sistema, bem como medidas para impedir a instalao de artefactos, o que pode implicar a criao de assinaturas adicionveis ao software antivrus ou ao sistema de deteco de intruso (IDS). Coordenao da resposta aos artefactos Este servio implicar partilhar e sintetizar os resultados das anlises e as estratgias de resposta adequadas a um artefacto com outros investigadores, CSIRT, fornecedores e outros peritos em segurana. As actividades incluem a notificao de terceiros e a sntese de anlises tcnicas de diversas fontes. Podem ainda incluir a manuteno de um arquivo, pblico ou reservado aos utilizadores, de artefactos conhecidos, do seu impacto e das estratgias de resposta correspondentes. Servios proactivos Os servios proactivos so concebidos para melhorar a infra-estrutura e os processos de segurana da comunidade de utilizadores antes de se registar ou de ser detectado qualquer incidente ou ocorrncia. Os seus principais objectivos consistem em evitar incidentes e reduzir o seu impacto e extenso quando se registam. Comunicaes As comunicaes incluem, nomeadamente, alertas de intruso, avisos de vulnerabilidade e recomendaes de segurana, destinados a informar os utilizadores sobre novas evolues com impacto de mdio a longo prazo, como vulnerabilidades recm-detectadas ou novas ferramentas de intruso. As comunicaes permitem aos utilizadores proteger os seus sistemas e redes contra problemas novos, antes de serem afectados. Vigilncia tecnolgica A CSIRT acompanha e observa novos progressos tcnicos, actividades de intruso e tendncias conexas, a fim de contribuir para a identificao de ameaas futuras. Os tpicos analisados podem ser alargados de modo a ter em conta medidas legais e legislativas, ameaas sociais ou polticas e tecnologias emergentes. Este servio implica a leitura de listas de endereos securizadas, stios Web dedicados segurana, bem como notcias e artigos de imprensa nos domnios da cincia, tecnologia, poltica e governao, a fim de extrair informaes pertinentes para a segurana dos sistemas e redes dos utilizadores. Pode ainda requerer a comunicao com outras partes que sejam autoridades nestes domnios, de modo a garantir a obteno das melhores e mais rigorosas informaes e a sua correcta interpretao. Deste trabalho pode resultar algum tipo de comunicao, directrizes ou recomendaes sobre questes de segurana de mdio a longo prazo. Auditorias ou avaliaes de segurana Este servio assegura a verificao e a anlise aprofundadas da infra-estrutura de segurana de uma organizao, com base nos requisitos definidos pela mesma ou por outras normas sectoriais aplicveis. Pode ainda incluir uma avaliao das prticas de
PT
Pgina 89
PT
segurana das organizaes. Podem ser executados muitos tipos diferentes de auditorias ou avaliaes, incluindo: Verificao da infra-estrutura Verificao manual das configuraes de hardware e software, routers, firewalls, servidores e dispositivos de desktop, no intuito de garantir que estes correspondem s melhores prticas das polticas de segurana da organizao ou do sector e s configuraes-tipo. Verificao das melhores prticas Entrevista de empregados e de administradores de sistemas e redes, para determinar se as suas prticas de segurana correspondem poltica de segurana definida pela organizao ou a normas sectoriais especficas. Exame Com recurso a scanners de vulnerabilidade ou de vrus, a fim de identificar sistemas e redes vulnerveis. Testes de penetrao Testes segurana de um stio atravs de ataques intencionais aos seus sistemas e redes. necessria a aprovao prvia da administrao para a realizao de auditorias ou avaliaes deste tipo. Algumas destas abordagens podem ser proibidas pela poltica da organizao. A prestao deste servio pode incluir o desenvolvimento de um conjunto comum de prticas contra as quais os testes ou avaliaes so conduzidos, a par do desenvolvimento de um conjunto de aptides requeridas ou de requisitos de certificao para o pessoal que executa os testes, avaliaes, auditorias ou anlises. Este servio pode ser confiado a um terceiro contratante ou a um prestador de servios de segurana que possua a proficincia adequada na conduo de auditorias e avaliaes. Configurao e manuteno de ferramentas de segurana, aplicaes, infra-estruturas e servios Este servio identifica e fornece orientaes sobre a forma de configurar e manter em segurana ferramentas, aplicaes e a infra-estrutura informtica geral utilizada pela comunidade de utilizadores da CSIRT ou pela prpria CSIRT. Para alm de fornecer orientaes, as CSIRT podem proceder a actualizaes das configuraes e manuteno das ferramentas e servios de segurana, como sistemas de deteco de intruses (IDS), explorao da rede ou sistemas de acompanhamento, filtros, wrappers, firewalls, redes virtuais privadas (VPN) ou mecanismos de autentificao. As CSIRT podem tambm fornecer estes servios no mbito da sua funo principal. As CSIRT podem igualmente configurar ou assegurar a manuteno de servidores, computadores de secretria e portteis, agendas pessoais digitais (PDA) e outros dispositivos sem fios, de acordo com directrizes de segurana. Este servio inclui a colocao considerao da administrao de quaisquer questes ou problemas relacionados com configuraes ou com a utilizao de ferramentas e aplicaes que a CSIRT considere susceptveis de tornar o sistema vulnervel a ataques.
PT
Pgina 90
PT
Desenvolvimento de ferramentas de segurana Este servio inclui o desenvolvimento de ferramentas novas e destinadas exclusivamente aos utilizadores que sejam solicitadas ou desejadas pela comunidade de utilizadores ou pela prpria CSIRT. Podem, nomeadamente, ser desenvolvidas correces de segurana para software adaptado utilizado pela comunidade de utilizadores ou distribuies securizadas de software para reconstruo de sistemas centrais comprometidos. Podem igualmente desenvolver ferramentas ou roteiros que aumentem o nmero de funcionalidades das ferramentas de segurana existentes, como uma nova ligao a um scanner de vulnerabilidades ou da rede, a roteiros que facilitem a utilizao de tecnologia de cifragem ou a mecanismos automatizados de distribuio de correces.
PT
Pgina 91
PT
Servios de deteco de intruso As CSIRT que prestam este servio revem os registos IDS existentes, analisam e iniciam respostas para todas as ocorrncias que correspondam ao limiar que definiram, ou reencaminham os alertas de acordo com um acordo de nvel de servios predefinido ou com uma estratgia em escalada. A deteco de intrusos e a anlise dos registos de segurana conexos pode constituir uma tarefa desencorajadora no apenas no que se refere determinao da localizao mais adequada para os sensores, mas tambm no que respeita recolha e subsequente anlise da enorme quantidade de dados coligidos. Em muitos casos, so necessrias ferramentas ou proficincia especializadas para sintetizar e interpretar as informaes de modo a identificar alarmes falsos, ataques ou ocorrncias na rede e para executar estratgias tendentes a eliminar ou minimizar tais ocorrncias. Algumas organizaes optam por confiar esta actividade a terceiros mais preparados para assegurar estes servios, como o caso dos fornecedores de servios de segurana. Difuso de informaes relacionadas com a segurana Este servio fornece aos utilizadores uma recolha exaustiva e de fcil consulta de informaes teis para os ajudar a melhorar a segurana. Essas informaes podem incluir: directrizes de notificao e contactos da CSIRT arquivos de alerta, avisos e outras comunicaes documentao sobre as melhores prticas actuais orientaes gerais de segurana informtica polticas, procedimentos e listas de verificao desenvolvimento de proteces e informaes de distribuio ligaes a fornecedores estatsticas e tendncias actuais em matria de notificao de incidentes outras informaes susceptveis de melhorar as prticas de segurana geral. Estas informaes podem ser produzidas e publicadas pela CSIRT ou por outra parte da organizao (TI, recursos humanos ou relaes pblicas) e podem incluir informaes de recursos externos, como outras CSIRT, fornecedores e peritos em segurana. Servios de gesto da qualidade da segurana Os servios que se inserem nesta categoria no se esgotam na gesto de incidentes ou nas CSIRT. Trata-se de servios bem conhecidos e estabelecidos, que visam melhorar a segurana geral de uma organizao. Graas experincia adquirida com a prestao dos servios reactivos e proactivos acima descritos, uma CSIRT pode trazer a estes servios de gesto da qualidade perspectivas nicas que de outro modo no estariam disponveis. Estes servios visam a tomada em considerao do feedback e dos ensinamentos adquiridos com a resposta a incidentes, vulnerabilidades e ataques. A integrao destas experincias nos servios tradicionais existentes (adiante descritos), no quadro de um processo de gesto da qualidade da segurana, pode melhorar os esforos de segurana a longo prazo numa organizao. Consoante as estruturas e responsabilidades organizacionais, uma CSIRT pode prestar estes servios ou participar num esforo organizacional de equipa mais vasto.
PT
Pgina 92
PT
As descries que se seguem explicam de que forma a proficincia das CSIRT pode beneficiar cada um destes servios de gesto da qualidade.
PT
Pgina 93
PT
Anlise dos riscos Os CSIRT podem estar em condies de acrescentar valor s anlises e avaliaes dos riscos, o que pode melhorar a capacidade das organizaes para avaliar as ameaas reais, efectuar avaliaes realistas, qualitativas e quantitativas, dos riscos para os recursos de informao e para avaliar as estratgias de proteco e de resposta. As CSIRT que asseguram este servio desenvolvem ou assistem actividades de anlise dos riscos para a segurana da informao relativamente a novos sistemas e processos empresariais ou avaliam ameaas e ataques contra recursos e sistemas de utilizadores. Planificao da continuidade da actividade e da recuperao de emergncia Tendo em conta as ocorrncias do passado e as previses de incidentes emergentes ou as tendncias de segurana, crescente o nmero de incidentes com potencial para afectar gravemente as actividades empresariais. Em consequncia, a planificao dos esforos deve ter em conta a experincia e as recomendaes das CSIRT na determinao da melhor forma de responder a incidentes tendo em vista a continuidade da actividade empresarial. As CSIRT que prestam este servio participam na planificao da continuidade da actividade e da recuperao de emergncia na sequncia de ocorrncias relacionadas com ameaas e ataques segurana informtica. Consultoria de segurana As CSIRT podem ser utilizadas para prestar aconselhamento e orientao quanto s melhores prticas de segurana a observar pelos utilizadores nas suas actividades. As CSIRT que prestam este servio formulam igualmente recomendaes ou identificam requisitos a observar na aquisio, instalao ou securizao de novos sistemas, dispositivos de rede, aplicaes de software ou processos empresariais que afectem toda a actividade. Este servio inclui a prestao de orientao e assistncia no desenvolvimento de polticas de segurana escala da organizao ou da comunidade de utilizadores. Pode incluir igualmente a prestao de testemunho ou aconselhamento a rgos legislativos ou a outros rgos governamentais. Sensibilizao As CSIRT podem conseguir detectar quando os seus utilizadores necessitam de mais informao e orientao para melhor se conformarem a prticas de segurana aceites e a polticas de segurana organizacional. Cada vez mais, a sensibilizao da populao de utilizadores para as questes de segurana geral no s aumenta a sua compreenso das questes de segurana como os ajuda a executar as suas operaes quotidianas de forma mais segura. A sensibilizao pode reduzir a ocorrncia de ataques bem-sucedidos e aumentar a probabilidade de os utilizadores detectarem e notificarem ataques, diminuindo, desta forma, o tempo de recuperao e eliminando ou minimizando perdas. As CSIRT que asseguram este servio procuram aumentar a sensibilizao para a segurana atravs da criao de artigos, cartazes, boletins informativos, stios Web ou outros recursos de informao que expliquem as melhores prticas de segurana e aconselhem acerca das precaues a tomar. As actividades podem ainda incluir a organizao de reunies e seminrios destinados a manter os utilizadores actualizados
PT
Pgina 94
PT
quanto aos procedimentos de segurana e s potenciais ameaas para os sistemas organizacionais. Educao/Formao Este servio consiste no fornecimento aos utilizadores de informaes sobre questes relacionadas com a segurana informtica no mbito de seminrios, workshops, cursos e outras aces de formao. Os tpicos podem incluir directrizes de notificao de incidentes, mtodos de reposta adequados, ferramentas de resposta a incidentes, mtodos de preveno de incidentes e outras informaes necessrias para proteger, detectar, notificar e responder a incidentes de segurana informtica. Avaliao ou certificao dos produtos Para este servio, a CSIRT pode proceder a avaliaes de produto relativamente a ferramentas, aplicaes ou outros servios, a fim de se certificar da segurana dos produtos e da sua conformidade com prticas de segurana da CSIRT ou com prticas organizacionais aceitveis. As ferramentas e aplicaes avaliadas podem ser de fonte aberta ou produtos comerciais. Este servio pode ser prestado como avaliao ou no quadro de um programa de certificao, consoante as normas aplicadas pela organizao ou pela CSIRT.
PT
Pgina 95
PT
A.3 Exemplos
CSIRT fictcia Etapa 0 - Compreender o que uma CSIRT: Este exemplo de CSIRT serve uma instituio de dimenso mdia, com 200 efectivos. A instituio possui o seu prprio departamento de informtica e duas outras sucursais no mesmo pas. A informtica desempenha um papel fundamental para a empresa, porque utilizada na comunicao interna, numa rede de dados e num cibernegcio que funciona permanentemente. A instituio tem uma rede prpria e dispe de uma ligao suplementar Internet atravs de dois prestadores de servios Internet distintos. - - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - Etapa 1: Fase de arranque Na fase de arranque, a nova CSIRT planeada como uma CSIRT interna, prestando os seus servios empresa de acolhimento, ao departamento informtico local e ao pessoal. Tambm apoia e coordena a gesto dos incidentes de segurana informtica entre as diversas sucursais. - - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - Passo 2: Escolha dos servios adequados Na fase inicial, decide-se que a nova CSIRT se concentrar, sobretudo, na prestao de alguns servios essenciais aos funcionrios. decidido que, aps uma fase-piloto, se poder ponderar o alargamento da carteira de servios prestados e a adio de alguns servios de gesto da segurana. Essa deciso ser tomada com base no feedback recebido dos utilizadores-piloto e em estreita cooperao com o departamento de garantia da qualidade. - - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - Etapa 3: Anlise da comunidade utilizadora e dos canais de comunicao adequados Uma sesso de reflexo com alguns dos principais membros da administrao e da comunidade utilizadora produziu elementos suficientes para uma anlise SWOT. Esta permite concluir que so necessrios os seguintes servios essenciais: Alertas e avisos Gesto de incidentes (anlise, apoio resposta e coordenao da resposta) Comunicaes
Importa garantir que as informaes so distribudas de forma bem organizada para chegarem maior percentagem possvel da comunidade utilizadora. Decidiu-se, por isso, publicar os alertas, avisos e comunicaes sob a forma de recomendaes de segurana num website especfico e divulg-las atravs de um sistema de lista de distribuio. A CSIRT faculta o correio electrnico, o telefone e o fax para a recepo das notificaes de incidentes. Para a prxima etapa est previsto um formulrio-web unificado.
PT
Pgina 96
PT
Etapa 4: Definio da misso A gesto da CSIRT fictcia elaborou a seguinte definio de misso: A CSIRT fictcia fornece informao e assistncia ao pessoal da sua empresa de acolhimento para reduzir os riscos de incidentes de segurana informtica e responder a tais incidentes, quando se verificam. A CSIRT fictcia esclarece, assim, que se trata de uma CSIRT interna e que a sua actividade essencial tratar das questes de segurana informtica. - - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - Etapa 5: Definio do Plano de Actividades Modelo financeiro Dado que a empresa tem um cibernegcio permanente e tambm um departamento informtico que funciona 24 horas por dia e sete dias por semana, foi decidido que se prestaria um servio completo durante as horas de expediente e um servio de piquete fora desse horrio. Os servios comunidade utilizadora sero prestados a ttulo gratuito, mas a possibilidade de prestar servios a clientes externos ser avaliada durante a fase piloto e a fase de avaliao. Modelo de receitas Durante a fase de arranque e a fase piloto, a CSIRT ser financiada atravs da empresa de acolhimento. Na fase piloto e na fase de avaliao, debater-se- um financiamento adicional, incluindo a possibilidade de vender servios a clientes externos. Modelo organizativo A organizao de acolhimento uma pequena empresa, por isso escolhido o modelo integrado. Durante as horas de expediente, os servios bsicos (distribuio de recomendaes de segurana e gesto/coordenao em caso de incidentes) sero prestados por trs pessoas. O departamento informtico da empresa j dispe de pessoal com as competncias adequadas. celebrado um acordo com esse departamento para que a nova CSIRT possa pedir apoio pontualmente, quando necessrio. Tambm possvel recorrer segunda linha dos seus tcnicos de piquete. Haver uma equipa CSIRT de base, composta por quatro elementos a tempo inteiro e cinco elementos suplementares. Um destes tambm estar disponvel em turnos rotativos. Pessoal O chefe de equipa CSIRT tem experincia profissional no domnio da segurana e do apoio de 1 e 2 nvel, tendo trabalhado no domnio da gesto e da resistncia a crises. Os outros trs membros da equipa so especialistas de segurana. Os membros da equipa CSIRT a tempo parcial provenientes do departamento informtico so especializados no seu sector da infra-estrutura da empresa.
PT
Pgina 97
PT
Etapa 6: Utilizao das instalaes e poltica de segurana informtica Equipamento e localizao das instalaes Em virtude de a empresa de acolhimento j ter uma segurana fsica eficiente instalada, a nova CSIRT est bem protegida nesse aspecto. Existe uma sala de guerra para assegurar a coordenao em caso de emergncia. Foi adquirido um cofre para o material de cifragem e para os documentos sensveis. Instalou-se uma linha telefnica separada, incluindo uma central telefnica para assegurar a linha directa durante as horas de expediente e um telefone mvel de servio por chamada no perodo fora desse horrio, com o mesmo nmero de telefone. Os equipamentos existentes e o website da organizao tambm podem ser utilizados para comunicar informaes relacionadas com a CSIRT. instalado um software de lista de distribuio, cuja manuteno assegurada, com uma parte reservada comunicao entre os membros da equipa e com outras equipas. Todos os contactos dos membros do pessoal esto armazenados numa base de dados, estando uma listagem impressa dos mesmos guardada no cofre. Regulamentao Como a CSIRT est integrada numa empresa com polticas de segurana informtica em vigor, as polticas correspondentes aplicveis CSIRT foram estabelecidas com o auxlio do consultor jurdico da empresa. - - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - Etapa 7: Procurar cooperao Utilizando o Inventrio da ENISA, seria rpido encontrar e contactar algumas CSIRT do mesmo pas. Combinou-se uma visita do chefe de equipa recm-contratado s instalaes de uma delas, onde foi informado sobre as actividades das CSIRT nacionais e participou numa reunio. Esta reunio foi extremamente til para recolher exemplos de mtodos de trabalho e obter apoio de outras equipas. Etapa 8: Promoo do Plano de Actividades decidido proceder recolha de factos e nmeros da histria da empresa, de grande utilidade para uma perspectiva estatstica da situao de segurana informtica. A recolha deve ser prosseguida quando a CSIRT estiver a funcionar, de modo a manter as estatsticas actualizadas. Foram contactadas outras CSIRT nacionais, que foram entrevistadas sobre as suas fundamentaes empresariais. As CSIRT colaboraram, compilando alguns diapositivos com informao sobre a evoluo recente em matria de incidentes de segurana informtica e sobre os custos dos incidentes. Neste exemplo de CSIRT fictcia, no foi necessrio convencer a administrao da importncia da informtica, pelo que no foi difcil obter luz verde para a primeira etapa. Foram preparados planos de investimento e de projecto, incluindo uma estimativa dos custos de estabelecimento e de funcionamento. - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - -
PT
Pgina 98
PT
Etapa 9: Estabelecimento de fluxos de processos e de procedimentos operacionais e tcnicos A CSIRT fictcia concentra-se na prestao dos servios CSIRT essenciais: Alertas e avisos Comunicaes Gesto de incidentes
A equipa desenvolveu procedimentos que funcionam bem e so facilmente compreensveis por todos os membros da equipa. A CSIRT fictcia contratou ainda um jurista para se ocupar das responsabilidades e da poltica de segurana informtica da empresa. A equipa adoptou algumas ferramentas teis e encontrou informaes teis sobre questes operacionais na sequncia de debates com outras CSIRT. Foi produzido um modelo para as recomendaes de segurana e as notificaes de incidentes. A equipa utiliza RTIR para a gesto de incidentes. - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - Etapa 10: Formao do pessoal A CSIRT fictcia decide que todo o pessoal tcnico frequentar os prximos cursos TRANSITS. O chefe de equipa deve ainda frequentar o curso Managing a CSIRT [Gerir um CSIRT] do CERT/CC. - - - - - - - - - - - - - - - - - - - - - - - -- - - -- - - -- - - -- - - -- - - -- - - -- - - -- - Etapa 11: Funcionamento Durante as primeiras semanas de funcionamento, a CSIRT fictcia utilizou diversos casos fictcios (que foram cedidos como exemplos por outros CSIRT) como exerccios. Emitiu ainda algumas recomendaes de segurana com base em informaes sobre vulnerabilidades reais, distribudas por fornecedores de hardware e de software, que considera rigorosas e ajustadas s necessidades da comunidade de utilizadores.
PT
Pgina 99
PT
A.4 Material dos cursos para CSIRT

TRANSITS (gentilmente autorizados por Terena http://www.terena.nl)
Cinco mdulos Independentes, mas interligados 12-14 horas de trabalho em dois dias Os exerccios prticos incluem Anlise de incidentes Plano organizacional Plano de resposta a incidentes
Estrutura do curso Organizao
Questes jurdicas Funcionamento
Vulnerabilidades
Tcnica Panormica: estrutura do curso
PT
Pgina 100
PT
Cdigo malicioso Bots IRC maliciosos Uma rede de bots em aco Commando (servidores IRC) Incio de sesso num canal especfico por exemplo, ataque de negao de servio (DoS) vtima Do Mdulo tcnico: Descrio de uma botnet
PT
Pgina 101
PT
Cdigo malicioso Rootkits (programas de ataque raiz) Concepo bsica A substituio de binrios facilmente detectada (Tripware e outros programas) Uma abordagem mais elegante introduziria dados falsos em todos os processos -> alterao do ncleo do sistema Processo libc OS, API, ncleo do Interceptar esta sistema comunicao Dev, drivers Hardware Do Mdulo tcnico: Concepo bsica de um rootkit.
PT
Pgina 102
PT
Quem constitui a maior ameaa Os empregados? Sabia? Dados do DTI* indicam que: Hardware e software seguros? 68% foram objecto de um Firewalls? incidente malicioso Software antivrus? dois teros no dispem de poltica de segurana informtica 57% no possuem um plano de contingncia para incidentes Vrus/vermes LoveBug, CodeRed, Nimda, Slammer custam um bilio de dlares em todo o mundo necessrio que Clientes/Estudantes? os utilizadores ajudem a difundir: anexos no desejados programas desnecessrios Os utilizadores desprevenidos so Fornecedores/Parceiros?
PT
Pgina 103
PT
as vtimas * Inqurito s falhas de segurana informtica do Ministrio do Comrcio e Indstria do Reino Unido, 2004. Do Mdulo organizacional: No interno ou exterior onde est a maior ameaa?
Da pista operacional: Request Tracker for Incident Response (RTIR) [localizador de pedidos de resposta a incidentes] Exemplo de pgina RTIR Incidentes Incidente 18: Rel Comunicao de incidente aberta em .. Novo acidente Procura Apresentao de Proprietrio Rel aberta em. incidente 18 Estado Notificao de Assunto incidente Descrio Investigaes Prioridade Bloqueios Tempo de trabalho Comunidade de utilizadores Funo Classificao Investigaes Bloqueios Rel aberta em . Solicitao de bloqueio (activao pendente)
PT
Pgina 104
PT
Notificao incidente Investigaes Bloqueios
de Datas
Histria Assunto: Rel aberta em . Ol, um dos vossos utilizadores tem uma rel aberta em .... Agradeo que informem quando o problema estiver resolvido.
PT
Pgina 105
PT
Criao de CSIRT (gentilmente autorizado pelo CERT/CC, http://www.cert.org ) A ENISA agradece equipa de desenvolvimento da CSIRT do programa CERT a autorizao para utilizar contedos dos seus cursos de formao!
Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Principiantes
Fases de desenvolvimento de uma CSIRT Educao da organizao Planificao do esforo Implementao inicial Fase operacional Colaborao dos pares Melhoramento da CSIRT Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Educa Planificao Implemen- Funciona- Colabora o tao mento o Melhoramento
Peritos
Do Curso de formao do CERT/CC: Etapas da criao de CSIRT.
PT
Pgina 106
PT
Modelo de melhores prticas de gesto de incidentes PREPARAO Notificaes de incidentes e de vulnerabilidades Acompanhamento de redes Vigilncia tecnolgica e acompanhamento pblico Pedidos de informaes gerais
Deteco
Triagem
Resposta
PROTECO Do Curso de formao do CERT/CC: Melhores prticas na gesto de incidentes.
PT
Pgina 107
PT
Etapas bsicas de implementao

Recolha de informaes. Identificao da comunidade de utilizadores da CSIRT. Determinao da misso da CSIRT. Obteno de fundos para o funcionamento da CSIRT. Determinao da categoria e dos nveis de servio da CSIRT. Determinao da estrutura de notificao da CSIRT, da autoridade e do modelo organizativo. Identificao de interaces com partes importantes da comunidade de utilizadores. Definio de papis e de responsabilidades para interaces. Criao de um plano, obteno de feedback sobre o plano. Identificao e aquisio de recursos humanos, equipamento e infra-estruturas. Definio de polticas e procedimentos. Formao do pessoal da CSIRT e da comunidade de utilizadores. Divulgao da CSIRT. Comunicao da misso e dos servios Obteno de feedback Avaliao e melhoramento do quadro da CSIRT.
Do Curso de formao do CERT/CC: Etapas a seguir na criao de CSIRT.
PT
Pgina 108
PT
Gama de servios da CSIRT

Servios reactivos Alertas e avisos Gesto de incidentes - Anlise de incidentes - Resposta a incidentes no local - Apoio resposta a incidentes - Coordenao da resposta a incidentes Gesto das vulnerabilidades - Anlise da vulnerabilidade - Resposta vulnerabilidade - Coordenao da resposta vulnerabilidade Gesto de artefactos - Anlise de artefactos - Resposta a artefactos - Coordenao da resposta a artefactos Servios proactivos Recomendaes Vigilncia tecnolgica Auditorias ou avaliaes de segurana Configurao e manuteno de ferramentas de segurana, aplicaes e infra-estruturas Desenvolvimento de ferramentas de segurana Servios de deteco de intruses Divulgao de informaes relacionadas com segurana Servios de gesto da qualidade da segurana Anlise dos riscos Continuidade da actividade e planificao da recuperao de emergncia Consultoria de segurana Sensibilizao Educao/Formao Avaliao ou certificao de produtos
Do Curso de formao do CERT/CC: Os servios que uma CSIRT pode prestar
PT
Pgina 109
PT
ENTRADA
Linha directa
CLASSIFICA O
Integrao do servio GESTO INTERACE S

Gesto de vulnerabilidade
CSIRT e peritos Notificante da vulnerabilidade Fornecedores
RESULTADOS
Formao/ Workshops
E-mail Triagem Web Anlise De artefacto

CSIRT e peritos Melhores prticas
Investigao Recomendaes e alertas
Notificao do incidente
Pedidos De informao
Administrao Representante/ painis/apresentaes
Publicaes tcnicas Assistncia tcnica
Gesto de incidentes
Aplicao da legislao CSIRT e peritos Stios e contactos de segurana Comunicao social
Investigao judicial
Do Curso de formao do CERT/CC: O fluxo de trabalho da gesto de incidentes.
PT
Pgina 110
PT
A resposta a incidentes comea antes de estes ocorrerem Preparao

Criao de capacidade e processos de gesto de incidentes Formao em sensibilizao para a segurana Directrizes e formulrios para a notificao de incidentes Listas de notificao Matriz de competncia e confidencialidade Ferramentas de gesto de incidentes Sistema de acompanhamento de incidentes Suporte original e cpias de segurana Polticas e procedimentos de resposta
Deteco
Relatrios da comunidade de utilizadores Listas de distribuio pblicas ou privadas Acompanhamento de redes e deteco de intruses
Triagem
Classificao e correlacionamento Estabelecimento de prioridades Atribuio
Resposta (de gesto, tcnica

e judicial) Verificar Documentar Conter Notificar Analisar Investigar Erradicar e atenuar Recuperar Acompanhar
Proteco
Defesas internas e externas actualizadas com base nas ameaas actuais Correco, alterao e configurao dos sistemas de gesto Avaliaes das infra-estruturas Anlise dos riscos Explorao de vulnerabilidades
PT
Pgina 111
PT
Do Curso de formao do CERT/CC: Resposta a incidentes
Modelos de organizao Ao conceber uma CSIRT, necessrio pensar de que forma esta vai funcionar e interagir com a organizao e a comunidade de utilizadores. importante antever um modelo que seja exequvel. Do Curso de formao do CERT/CC: Como organizar o CSIRT
PT
Pgina 112
PT
Sofisticao dos ataques versus conhecimento necessrio em matria de intruso

Pacote de spoofing Ataques de disseminao automtica Vrus Ataques Aumento do nmero de furtivos/tcnicas DDoS vermes avanadas de explorao Ataques com cdigo Cavalos de Tria Utilizadores Tcnicas antiexecutvel (contra localizados no domsticos forenses programas de Windows como alvo navegao) controlveis distncia (back orffice)
S nif fer s
Ferramentas de intruso GUI
As datas indicam uma forte sada de ferramentas de recurso macio a um tipo de ataque
Ataques de engenharia social via Internet Sesses de pirataria
Sondagem/ explorao automatizada
Ataques macios de negao de servio
Tcnicas para analisar cdigo para vuls sem fonte Ataques macios a infra-estruturas DNS
Comando e controlo sofisticados Ataques macios com Aumento da recurso a NNTP para distribuio em distribuir o ataque grande escala de cavalos de Tria Propagao de eFerramentas de ataque mails de cdigo distribudas malicioso
Do Curso de formao do CERT/CC: Menos conhecimentos, mais danos.
PT
Pgina 113
PT

CSIRT Setting Up Guide ENISA-PT

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

CSIRT Setting Up Guide ENISA-PT

Diunggah oleh

Hak Cipta:

Format Tersedia

ABORDAGEM GRADUAL DE CRIAO DE UMA CSIRT

4.1 4.2 4.3

Estratgia global para planear e criar uma CSIRT ......................................................................................... 7

5.1 5.2 5.3

Desenvolvimento do Plano de Actividades ..................................................................................................... 22

6.1 6.2 6.3 6.4 6.5 6.6

Promoo do Plano de Actividades ................................................................................................................ 39

Exemplos de procedimentos operacionais e tcnicos (fluxos de trabalho)...................................................... 46

8.1 8.2 8.3 8.4 8.5

Formao CSIRT ........................................................................................................................................... 67

A.1 A.2 A.3 A.4

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

4.2 Como utilizar o presente documento

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

4.3 Convenes utilizadas no presente documento

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5 Estratgia global para planear e criar uma CSIRT

5.1 O que uma CSIRT?

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5.1.1 O termo Comunidade utilizadora

5.1.2 Definio de CSIRT

5.1.3 Os benefcios de possuir uma CSIRT

Inventrio ENISA http://www.enisa.europa.eu/cert_inventory/

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Estimular a cooperao em matria de segurana informtica no seio da comunidade utilizadora (sensibilizao).

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5.1.4 Descrio dos diferentes tipos de ambientes CSIRT

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5.2 Eventuais servios que uma CSIRT pode prestar

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

CERT/CC CSIRT handbook http://www.cert.org/archive/pdf/csirt-handbook.pdf

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Fig. 1 Lista de servios CSIRT do CERT/CC7

Lista de servios CSIRT do CERT/CC: http://www.cert.org/csirts/services.html

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5.3 Anlise da comunidade utilizadora e definio da misso

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

5.3.1 Abordagem de comunicao com a comunidade utilizadora

Fig. 2 Anlise SWOT

Anlise SWOT na Wikipedia: http://en.wikipedia.org/wiki/SWOT_analysis

Abordagem gradual de criao de uma CSIRT

Verso WP2006/5.1 (CERT-D1/D2)

Fig. 3 Modelo de anlise PEST

Anlise PEST na Wikipedia: http://en.wikipedia.org/wiki/PEST_analysis

Abordagem gradual de criao de uma CSIRT