Tradução do documento "Creating a Computer Security Incident Response Team: A Process for Getting Started" do CERT®/CC, com permissão especial do Software Engineering Institute (SEI).
Manter a segurança da informação de uma organização no ambiente computacional interconectado dos dias atuais é um grande desafio, que se torna mais difícil à medida em que são lançados novos produtos para a Internet e novas ferramentas de ataque são desenvolvidas. A maioria das organizações reconhece que não existe uma solução única, ou uma panacéia, capaz de garantir a segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de segurança composta de várias camadas. Uma das camadas que vem sendo incluída por diversas organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes de Segurança em Computadores, geralmente conhecido como CSIRT (do inglês "Computer Security Incident Response Team").
As motivações para o estabelecimento de CSIRTs incluem:
À medida em que as organizações começam a implantar o seu mecanismo de resposta a incidentes, elas tentam determinar a melhor estratégia para montar esta estrutura. Elas não só querem saber o que rendeu bons frutos em outras organizações como também buscam orientação a respeito do processo que devem seguir e quais os requisitos que devem ser atendidos para estabelecer um mecanismo de resposta a incidentes que seja eficaz.
Os CSIRTs e as organizações que os abrigam buscam respostas a diversas perguntas para auxiliar na concepção do seu mecanismo de resposta. Eles também estão interessados em saber o que outros grupos em organizações similares estão fazendo. Os questionamentos mais comuns incluem (mas não se limitam) aos seguintes:
Não existem respostas padrão para estas perguntas. Os CSIRTs são tão singulares quanto as organizações a que servem, o que significa que dois grupos dificilmente trabalharão exatamente da mesma maneira. É importante que a organização decida por que ela está montando um CSIRT e quais objetivos ela pretende que o CSIRT alcance. Depois que isto estiver determinado, as perguntas acima poderão ser respondidas.
Este documento é o primeiro de uma série de artigos que irão discutir as questões e decisões que precisam ser consideradas no planejamento e implementação de um CSIRT. Este primeiro artigo se concentra em uma visão geral, em alto nível, dos passos que devem ser seguindos pelas organizações para conceber e montar um CSIRT. O artigo foi escrito para servir como um guia para organizações que estejam pensando em assumir esta empreitada e para pessoas que façam parte de uma equipe de projeto encarregada de implantar um CSIRT.
Embora as formas de operação dos CSIRTs sejam diferentes, dependendo do pessoal, conhecimento e recursos disponíveis e das características individuais de cada organização, existem algumas práticas básicas que se aplicam a todos os CSIRTs. Nós discutiremos algumas destas práticas conforme elas estejam relacionadas com a criação de um CSIRT. (Para maiores informações sobre o que é um CSIRT, consulte o CSIRT FAQ.) Embora estas ações sejam apresentadas na forma de passos, o processo como um todo não é seqüencial; muitos desses passos podem ser executados em paralelo.
Os passos são os seguintes:
A nossa experiência mostra que sem a aprovação e o apoio da administração superior pode ser extremamente difícil e problemático criar um mecanismo eficaz de resposta a incidentes. Este apoio deve ser demonstrado de várias formas, incluindo a alocação de recursos materiais e financeiros, e de tempo para trabalhar, para a pessoa ou equipe que será responsável pela implementação do CSIRT. Isso inclui também a dedicação de parte do tempo de executivos e gerentes (e de seus subordinados) para participação no processo de planejamento; a contribuição dessas pessoas é vital durante a fase de concepção.
É importante que a administração coloque as suas expectativas e percepções da função e das responsabilidades do CSIRT. Sem essas informações, é possível que seja formado um grupo cujos serviços e autoridade não sejam adequadamente compreendidos ou utilizados pelo restante de organização.
Além do apoio para o processo de planejamento e implementação, é importante obter da administração da organização o compromisso de sustentar as operações e a autoridade do CSIRT a longo prazo. Uma vez que o grupo esteja estabelecido, quais são os recursos humanos, materiais e financeiros disponíveis para sua manutenção e ampliação? A função e a autoridade do CSIRT continuarão sendo apoiados pela administração perante os vários setores atendidos ou perante a organização mantenedora? A ausência deste apoio continuado pode ameaçar o êxito do CSIRT a longo prazo.
Neste passo deve-se pensar em como gerenciar o desenvolvimento do CSIRT. Quais questões administrativas e de gerência do projeto devem ser consideradas?
Colete informações para determinar as necessidades de sua organização em termos de serviços e resposta a incidentes. Examine os tipos de incidentes sendo reportados atualmente pela sua comunidade. Isto ajuda a determinar não apenas quais os serviços que devem ser oferecidos mas também qual o conhecimento e experiência que será exigido dos membros do CSIRT. Por exemplo, se sua organização foi vítima de uma contaminação por um vírus ou "worm", você precisará de pessoal com experiência em lidar com vírus para preparar a resposta. Você precisará também de procedimentos de busca, eliminação e recuperação de vírus, juntamente com ferramentas antivírus apropriadas. Você pode querer ter pessoas capacitadas a dar treinamentos e a produzir documentação para ajudar a desenvolver programas de conscientização dos usuários, lidando de forma pró-ativa com os vírus.
Identifique quais informações você precisa para planejar e implementar o CSIRT. Determine quem tem essas informações e qual a melhor maneira de obtê-las, se através de discussões e entrevistas ou integrando estas pessoas ao projeto.
Reúna-se com os principais interessados não apenas para discutir as suas necessidades em termos de resposta a incidentes, mas também para chegar a um consenso sobre as expectativas, direção estratégica, definições e responsabilidades do CSIRT. A sua definição do que é um CSIRT e o que ele faz pode ser bastante diferente da definição do seu gerente ou de outros membros da sua organização. Use estas discussões com os interessados para delinear e identificar como cada grupo precisará interagir com o CSIRT. As partes interessadas podem incluir, entre outras:
As partes interessadas incluem também todos os que estarão envolvidos com os processos de tratamento e/ou notificação de incidentes. Pense em quem precisará ser notificado quando ocorrerem diferentes tipos de incidentes. Existem pessoas em outras partes da organização que podem fornecer informações para o CSIRT ou com quem o CSIRT precisa compartilhar informações? Elas podem incluir outras partes dos setores de TI e/ou segurança, incluindo grupos que fazem análises de vulnerabilidades, detecção de intrusões e monitoramento de rede. Saber o que o CSIRT precisará fazer pode ajudá-lo a identificar as pessoas certas que devem ser incorporadas ao desenvolvimento de procedimentos.
Descubra se existe mais alguém realizando os serviços que o CSIRT pretende prestar. Determine se estes serviços devem ficar com o grupo atual ou migrar para o CSIRT após um período de tempo acordado entre as partes. Resolver este tipo de questão nas fases de planejamento pode ajudar a identificar quais responsabilidades precisam ser delineadas e quais informações precisam ser coletadas.
Podem haver ainda outros recursos disponíveis que irão ajudá-lo na coleta de informações. Tais recursos podem incluir:
Uma análise destes documentos serve a um duplo propósito: primeiro, identificar interessados, recursos e proprietários de sistemas; segundo, fornecer uma visão geral de políticas existentes que devam ser seguidas pelo CSIRT. De quebra, estes documentos podem conter textos que podem ser usados no desenvolvimento de políticas, procedimentos e documentos do CSIRT. Eles também podem incluir listas de pessoas na organização que devem ser contactadas durante emergências. Tais listas podem ser adaptadas para o trabalho e os processos do CSIRT.
Além disso, investigue o que organizações similares estão fazendo para prover serviços de tratamento de incidentes ou para organizar um CSIRT. Se você possui contatos nestas organizações, veja se você pode conversar com eles sobre como o seu grupo foi formado. Visite as páginas Web de outros CSIRTs e veja suas missões, estatutos, esquema de financiamento e lista de serviços prestados. Isto pode fornecer idéias para a organização do seu time. Veja livros e outras publicações sobre tratamento de incidentes ou CSIRTs. Uma lista inicial de fontes de consulta pode ser encontrada na página "CSIRT Development" do CERT/CC.
Faça cursos ou assista a conferências que incluam sessões sobre desenvolvimento de estratégias de resposta a incidentes ou criação de CSIRTs. Estes eventos podem lhe dar oportunidade de trocar idéias e interagir com outras pessoas ligadas à resposta a incidentes. A Conferência Anual do FIRST pode ser um bom lugar para começar.
Conforme a obtenção de informações traz à tona as necessidades da comunidade com relação à resposta de incidentes e conforme você constrói um entendimento das expectativas da gerência, você pode começar a identificar os componentes chave do CSIRT. Isto permite definir a visão do CSIRT e seus objetivos e funções. Você necessita que a comunidade a ser atendida e a gerência apóiem estes objetivos e funções para que o CSIRT tenha sucesso.
É importante alcançar um entendimento claro da definição e das expectativas para o CSIRT sendo formado. A opinião sobre qual será o papel do CSIRT por parte do pessoal do grupo pode ser completamente diferente da opinião da gerência e da comunidade em geral. Diversas pessoas têm a percepção de que um CSIRT é um "cyber cop" para a organização ou comunidade. Embora isto possa ser verdade para um número pequeno de times, normalmente não é este o foco principal de um CSIRT. O foco principal é prevenir e responder a incidentes. A visão do CSIRT deve incluir uma explanação clara sobre onde as funções do CSIRT entram na estrutura organizacional corrente e como o CSIRT interage com sua comunidade. A visão explica quais os benefícios que um CSIRT oferece, quais ações ele pode tomar, com quem ele se coordena e como ele desempenha suas atividades de resposta a incidentes.
Ao criar a sua visão, você deve:
Comunique a visão do CSIRT e seu plano operacional para a gerência, para sua comunidade e para outros que necessitam conhecer e entender suas operações. Faça ajustes no plano, quando apropriado, com base no retorno obtido.
Comunicar antecipadamente a visão pode ajudar a identificar, antes da implementação, problemas organizacionais ou no processo. É uma maneira de deixar as pessoas saberem o que está por vir e permitir que elas contribuam para o desenvolvimento do CSIRT. Esta é uma maneira de começar a fazer o marketing de um CSIRT para sua comunidade e de ganhar a aprovação necessária de todos os níveis organizacionais.
Você pode receber informações que foram esquecidas ou que não estavam disponíveis durante a fase de obtenção de informações. Use estas informações para fazer os ajustes finais nos processos e na estrutura organizacional do CSIRT.
Uma vez obtida a aprovação da gerência e da comunidade para a visão apresentada, inicie a implementação:
Um dos recursos principais que você deve prover para sua comunidade são as recomendações sobre como reportar incidentes. Estas recomendações definem como sua comunidade interage com o seu CSIRT, o que constitui um incidente, que tipos de incidentes devem ser reportados, quem deve reportar um incidente, por que um incidente deve ser reportado, qual o processo para reportar um incidente e qual o processo para responder a um incidente. Elas devem ser claras e facilitar a compreensão por parte da comunidade que está sendo atendida.
O processo para reportar um incidente inclui uma descrição detalhada dos mecanismos para submissão de notificações: telefone, email, formulário Web ou outros. Ele deve também incluir detalhes sobre que tipo de informação deve ser incluída na notificação.
O processo para responder a um incidente deve detalhar como o CSIRT prioriza e trata as notificações recebidas. Isto inclui como a pessoa que está reportando um incidente é informada de sua resolução, os prazos de resposta que devem ser observados e qualquer outra notificação que ocorra.
Para um exemplo de recomendações para notificações de incidentes, veja o documento "CERT/CC Incident Reporting Guidelines".
Quando o CSIRT estiver operacional, anuncie-o amplamente para a comunidade e para sua organização. É melhor se este anúncio vier da administração que está apoiando o grupo. Inclua as informações de contato e horários de operação do CSIRT no anúncio. Esta é uma excelente ocasião para tornar disponíveis as recomendações para notificação de incidentes. Você pode também desenvolver material para divulgar o CSIRT, como um simples folheto ou livreto delineando a missão e os serviços do CSIRT, que pode ser distribuído em conjunto com o anúncio. Alguns grupos abrem suas portas para a visitação ou promovem um evento especial para anunciar a implantação do CSIRT.
Uma vez que o CSIRT esteja em operação por algum tempo, a gerência desejará avaliar a eficácia do time e utilizar os resultados da avaliação para melhorar os processos do CSIRT e para ter certeza de que o time está atingindo as necessidades da comunidade atendida. O CSIRT, em conjunto com a gerência e a comunidade, deverá desenvolver um mecanismo para realizar esta avaliação.
Informações sobre a eficácia podem ser obtidas através de diversos mecanismos, incluindo:
Pode ser útil analisar informações coletadas sobre a comunidade ou organização antes da implementação do grupo. Estas informações podem ser usadas como referência para determinar o efeito do CSIRT na sua comunidade. As informações a serem coletadas para comparação podem incluir:
Consulte a seção 2.2.4 do "Handbook for Computer Security Incident Response Teams" para maiores informações sobre avaliação da qualidade dos serviços de um CSIRT.
O tempo que levará para conceber, planejar e implementar um time pode variar de acordo com a situação de cada organização. Temos visto que o tempo até que um CSIRT esteja operacional pode ir de dois meses a dois anos. É importante notar que pode levar de 12 a 18 meses para terminar as políticas e procedimentos, especialmente para uma empresa grande e distribuída. Depois que o grupo estiver operacional pode levar outros 12 a 18 meses para obter um bom nível de confiança e conforto na relação com a comunidade sendo atendida. Muitos times mostram um grande crescimento no número de incidentes reportados ao longo do primeiro ano de operações. Quanto maior o tempo de operação do grupo, mais a comunidade entenderá o trabalho que está sendo feito e é mais provável que ela notifique incidentes para o seu time.
Os componentes descritos acima são amplamente discutidos em:
Estes recursos podem prover informações adicionais:
Tradução e Revisão Técnica: Cristine Hoepers e Rafael Obelheiro
Copyright 2002 Carnegie Mellon University.
Translations of Creating a Computer Security Incident Response Team: A Process for Getting Started, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute.
Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.
®CERT and CERT Coordination Center are registered in the U.S. Patent and Trademark Office.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.
CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU intellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.
Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.
Translations of CMU/SEI copyrighted material are not official SEI-authorized translations.
NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.
This permission is granted on a non-exclusive basis for non-commercial purposes.
Disclaimers and copyright information
Última alteração: 20 de dezembro de 2004
$Date: 2022/03/16 19:17:46 $