Tradução do CSIRT FAQ do CERT®/CC, com permissão especial do Software Engineering Institute (SEI).
Um "Computer Security Incident Response Team (CSIRT)", ou Grupo de Resposta a Incidentes de Segurança, é uma organização responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores. Um CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a entidade que o mantém, como uma empresa, um órgão governamental ou uma organização acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como um país, uma rede de pesquisa ou clientes que pagam por seus serviços.
Um CSIRT pode ser um grupo formal ou um grupo "ad hoc". Um grupo formal tem no trabalho de resposta a incidentes a sua principal função. Um grupo "ad hoc" é reunido quando há um incidente de segurança em andamento ou para responder a um incidente quando necessário.
Cada organização deve definir o que é, em relação ao seu site, um incidente de segurança em computadores. Dois possíveis exemplos de definições gerais para um incidente de segurança em computadores são:
Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores. -ou- O ato de violar uma política de segurança, explícita ou implícita.Exemplos de incidentes incluem atividades como:
- tentativas (com ou sem sucesso) de ganhar acesso não autorizado a sistemas ou a seus dados;
- interrupção indesejada ou negação de serviço;
- uso não autorizado de um sistema para processamento ou armazenamento de dados;
- modificações nas características de hardware, firmware ou software de um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema.
Um incidente de segurança em computadores pode ser definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos sistemas computacionais.
Mesmo a melhor infra-estrutura de segurança da informação não pode garantir que intrusões ou outras ações maliciosas não ocorrerão. Quando um incidente de segurança ocorre, torna-se crítico para a organização ter uma maneira eficaz de responder a este incidente.
A rapidez com que a organização pode reconhecer, analisar e responder a um incidente limitará os danos e diminuirá o custo de recuperação. Um CSIRT pode estar fisicamente presente e apto a conduzir uma resposta rápida para conter o incidente de segurança e para recuperar-se dele. CSIRTs também podem estar familiarizados com os sistemas comprometidos, e, portanto, melhor preparados para coordenar a recuperação e propor estratégias de erradicação e resposta aos problemas.
O relacionamento entre diversos CSIRTs e organizações de segurança pode facilitar o compartilhamento de estratégias de resposta e a geração de alertas para potenciais problemas. Os CSIRTs podem trabalhar em conjunto com outras áreas da organização de maneira pró-ativa, garantindo que novos sistemas sejam desenvolvidos e colocados em produção tendo preocupação com a segurança e em conformidade com as políticas de segurança do site. Eles podem ajudar a identificar áreas vulneráveis da organização e, em alguns casos, realizar análise de vulnerabilidades e detecção de incidentes.
Eles podem focar sua atenção em segurança e prover treinamentos para a comunidade sobre a necessidade da preocupação com segurança. Os CSIRTs também podem usar sua experiência para auxiliar na redução de futuras ameaças.
Os CSIRTs possuem diferentes tamanhos e características e servem a comunidades diversas. Alguns CSIRTs dão suporte a um país inteiro, como por exemplo o JPCERT/CC (Japan Computer Emergency Response Team Coordination Center). Outros podem prover assistência a uma região em particular, como o AusCERT faz para a região da Ásia e Pacífico. Outros ainda podem prover suporte para uma universidade ou organização comercial em particular. Existem também grupos corporativos que prestam os serviços de um CSIRT para clientes, mediante o pagamento de uma taxa.
Algumas categorias gerais de CSIRTs são as que seguem:
CSIRTs internos, que provêem serviços de tratamento de incidentes para a organização que os mantêm. Este pode ser um CSIRT para um banco, uma empresa, uma universidade ou uma agência do governo.
CSIRTs nacionais, que provêem serviços de resposta a incidentes para um país. Exemplos incluem o JPCERT/CC (Japan CERT Coordination Center) e o SingCERT (Singapore Computer Emergency Response Team).
Centros de Coordenação, que coordenam e facilitam as ações de resposta a incidentes entre diversos CSIRTs. Exemplos incluem o CERT/CC (CERT Coordination Center) e o FedCIRC (Federal Computer Incident Response Center).
Centros de Análise focam seus serviços em agrupar dados de diversas fontes para determinar tendências e padrões nas atividades relacionadas com incidentes. Estas informações podem ser usadas para ajudar a prever atividades futuras ou para prover alertas antecipados quando uma atividade corresponde a um conjunto de características previamente determinadas.
Grupos de empresas fornecedoras de hardware e software processam relatos de vulnerabilidades em seus produtos. Eles podem trabalhar dentro da organização para determinar se os produtos são vulneráveis, auxiliando o desenvolvimento de correções e estratégias para resolução de problemas. Um grupo de um fornecedor pode também ser o CSIRT interno da organização.
Há também empresas que provêem tratamento de incidentes para outras organizações, mediante o pagamento dos serviços.
Existe uma grande variedade de acrônimos para os grupos de resposta a incidentes existentes no mundo. Alguns dos acrônimos mais comuns incluem:
CSIRT Computer Security Incident Response Team CIRC Computer Incident Response Capability CIRT Computer Incident Response Team IRC Incident Response Center or Incident Response Capability IRT Incident Response Team SERT Security Emergency Response Team SIRT Security Incident Response Team Nota do Tradutor: Mesmo em países em que a língua inglesa não é a língua oficial, os grupos costumam utilizar um acrônimo em inglês, com base nos acrônimos acima, para nomear seus times. Este padrão de nomes é muito importante, devido à característica internacional da Internet.
"CERT" e "CERT Coordination Center" são registradas no Escritório de Marcas e Patentes (Patent and Trademark Office) dos EUA. Organizações que tenham a intenção de usar o acrônimo "CERT" no nome de seu grupo devem solicitar permissão através de um email para cert@cert.org. Para informações adicionais a respeito do copyright do CERT/CC, por favor veja nossa seção "legal information". Para informações adicionais sobre o CERT/CC, por favor consulte o documento "CERT/CC FAQ".
Não há uma localização hierárquica padrão onde um CSIRT possa ser encontrado na estrutura organizacional. Alguns CSIRTs são parte de um grupo de Tecnologia da Informação (TI) ou de Telecomunicações já existente. Outros podem ser parte de um grupo de segurança ou podem trabalhar em conjunto com o grupo responsável pela segurança física. Os CSIRTs podem também estar no grupo de auditoria, enquanto outros são uma entidade separada. Muitas organizações estão começando a olhar para o desenvolvimento de um CSIRT como parte dos seus planos de continuidade dos negócios e de recuperação de desastres.
Independentemente da posição do CSIRT, é vital que ele tenha o apoio da administração da organização e que possua autoridade para realizar o trabalho necessário.
Um CSIRT pode exercer tanto funções reativas quanto funções pró-ativas para auxiliar na proteção e segurança dos recursos críticos de uma organização. Não existe um conjunto padronizado de funções ou serviços providos por um CSIRT. Cada time escolhe seus serviços com base nas necessidades da sua organização e da comunidade a quem ele atende. Para uma discussão sobre o conjunto de serviços que um CSIRT pode prover, consulte a página 20 do documento "Handbook for CSIRTs".
Independente dos serviços que um CSIRT decida prestar, os objetivos de um CSIRT devem ser baseados nos objetivos da comunidade a que ele atende ou da organização que o mantém. A proteção dos recursos críticos é um fator chave para o sucesso tanto de uma organização quanto de seu CSIRT. O CSIRT deve operacionalizar e dar suporte aos processos e sistemas críticos da comunidade ou organização a que atende.
Um CSIRT é similar a uma brigada contra incêndio. Assim como uma brigada contra incêndio "apaga o fogo" que foi a ela reportado, um CSIRT ajuda organizações a conter e se recuperar de ameaças e quebras de segurança em seus sistemas. O processo pelo qual o CSIRT realiza isto é chamado de tratamento de incidentes. Do mesmo modo que uma brigada contra incêndio desenvolve treinamentos sobre segurança e prevenção de incêndios como uma medida pró-ativa, um CSIRT também pode prover serviços pró-ativos. Estes tipos de serviços podem incluir treinamentos de conscientização, detecção de intrusões, "penetration testing", documentação e até desenvolvimento de programas. Estes serviços pró-ativos podem ajudar uma organização não somente a prevenir incidentes de segurança em computadores mas também a diminuir o tempo de resposta quando um incidente ocorre.
O tratamento de incidentes é composto por: notificação do incidente, análise do incidente e resposta ao incidente.
Receber notificações de incidentes habilita o CSIRT a servir como um ponto central de contato para notificação de problemas locais. Isto permite que todas as atividades e os incidentes reportados sejam coletados em um único local, onde esta informação pode ser analisada e correlacionada através da organização ou comunidade sendo atendida. Estas informações podem ser utilizadas para determinar tendências e padrões de atividades de invasores e para recomendar estratégias de prevenção adequadas para toda a sua comunidade.
Esta é uma das partes da análise de incidentes. A outra parte da análise de incidentes envolve analisar a fundo uma notificação de incidente ou uma atividade observada para determinar o escopo, prioridade e ameaça representada pelo incidente, bem como pesquisar acerca de possíveis estratégias de resposta e erradicação.
A resposta a um incidente pode assumir formas variadas. Um CSIRT pode elaborar e divulgar recomendações para recuperação, contenção e prevenção, que são enviadas para os membros da comunidade por ele atendida e para os administradores de redes e sistemas que serão responsáveis por implementar os passos referentes à resposta ao incidente. Um CSIRT pode também implementar estes passos diretamente nos sistemas afetados. A resposta pode envolver também o compartilhamento de informações e lições aprendidas com outros grupos de resposta a incidentes e com outras organizações e sites.
Estes componentes do tratamento de incidentes são os serviços reativos que um CSIRT pode prestar.
Os CSIRTs podem receber fundos da organização que os mantém, diretamente ou como parte de um departamento de TI (por exemplo, um CSIRT formado por funcionários já existentes de uma organização comercial, uma universidade, uma organização governamental ou militar). O CSIRT pode também ser financiado através de outros mecanismos como a prestação de serviços através de "membership subscription" (membros assinam um conjunto determinado de serviços prestados pelo CSIRT e pagam uma taxa por estes serviços), através de serviços para o governo, através de um provedor de serviços, através do financiamento de projetos, etc.
O custo para criar um CSIRT dependerá do número de recursos e serviços a serem providos, dos custos administrativos para a área ou organização e da estrutura do CSIRT.
Embora informações sobre os custos de criação de um CSIRT não estejam amplamente disponíveis, existem alguns recursos que podem auxiliar a determinar o custo dos incidentes de segurança e das estratégias de resposta. Estas informações podem ser usadas para ajudar a determinar os recursos necessários para se prevenir ou se recuperar de um incidente. Essas informações podem também ser utilizadas em uma análise custo/benefício para comparar o custo de um incidente com o custo de prevenir o incidente ou reduzir o tempo de recuperação devido à implementação de um CSIRT.
Developing an Effective Incident Handling Cost Analysis Mechanism, por David A. Dittrich; SecurityFocus, 12 de junho de 2002
http://online.securityfocus.com/infocus/1592Incident Cost and Analysis Model Project
http://www.cic.uiuc.edu/groups/ITSecurityWorkingGroup/archive/Report/ICAMP.shtmlComputer Crime and Security Survey, do Computer Security Institute (CSI) em parceria com o FBI
http://www.gocsi.com/forms/fbi/pdf.jhtmlInformation Security Magazine - 2003 Security Survey
http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss143_art294,00.html2004 Australian Computer Crime and Security Survey
http://www.auscert.org.au/crimesurvey
Determinar o tamanho de um CSIRT pode ser um desafio e, infelizmente, existem apenas alguns poucos dados empíricos que podem ser usados para responder a esta questão. Diferentes CSIRTs possuem diferentes perfis de pessoal, com base em seus recursos, necessidades e carga de trabalho. Um modelo que funciona para uma organização pode não funcionar para outra.
O tamanho da equipe de um CSIRT deve ser baseado nos recursos disponíveis e nos serviços que necessitam ser providos. A experiência mostra que nenhum time quer ter um único ponto de falha, portanto, ter apenas uma pessoa dedicada à resposta de incidentes pode não ser suficiente.
A nossa experiência mostra que os mais destacados membros de um CSIRT possuem uma diversidade de conhecimentos técnicos e de traços de personalidade (incluindo habilidades de comunicação e de relacionamento pessoal). Os membros de um CSIRT são dedicados, inovadores, detalhistas, flexíveis e metódicos. Eles possuem habilidade para resolver problemas, são bons comunicadores e têm capacidade para lidar com situações estressantes. Uma das características pessoais mais importantes que um membro de um CSIRT pode ter é a integridade.
As funções que os membros de um CSIRT podem assumir incluem:
- gerente ou líder do time
- gerentes assistentes, supervisores ou líderes de grupos
- pessoal para triagem de incidentes e atendentes de "hotline" e "help desk"
- encarregados de tratamento de incidentes
- encarregados de tratamento de vulnerabilidades
- pessoal de análise de artefatos
- especialistas em plataformas operacionais
- instrutores
- encarregados de acompanhamento de tecnologia
Outras funções em um CSIRT podem incluir:
- pessoal de apoio
- redatores técnicos
- administradores de redes ou sistemas, pessoal de infra-estrutura do CSIRT
- programadores ou desenvolvedores (para desenvolver ferramentas para o CSIRT)
- desenvolvedores Web
- assessoria de imprensa ou contatos na mídia
- advogados ou contatos com escritórios de advocacia
- contatos com as polícias
- auditores ou pessoal de garantia de qualidade
- pessoal de marketing
Se o seu orçamento permitir, você pode contratar pessoal que preencha os requisitos necessários para os serviços que o seu CSIRT vai prover. Se você não conseguir encontrar pessoal com o perfil necessário, você pode ter que treinar o pessoal contratado.
Considere o tipo de treinamento que os novos funcionários precisarão para que possam aprender a respeito:
- de sua organização e dos sistemas por ela utilizados
- dos procedimentos operacionais e políticas padrão
- das políticas de divulgação das informações
- das políticas de uso aceitável da rede e dos equipamentos
Você pode se utilizar de cursos ministrados por terceiros para auxiliar no treinamento do pessoal:
- Cursos da SEI sobre segurança da informação e CSIRTs
- Treinamentos do SANS Institute e o Programa de Certificações GIAC (Global Information Assurance Certification)
Nota do Tradutor: O NBSO/Brazilian CERT é um Software Engineering Institute Partner e ministra no Brasil diversos cursos do CERT®/CC.
Questões relacionadas com políticas e procedimentos aplicáveis a CSIRTs estão presentes no "Handbook for Computer Security Incident Response Teams (CSIRTs)" (Seção 2.2.3)
Outra fonte online com informações úteis sobre políticas de segurança da informação, embora não especificamente relacionadas com CSIRTs, é a página do "SANS Security Policy Project", que inclui exemplos e modelos de políticas, bem como links para outros sites contendo políticas de segurança da informação:
http://www.sans.org/resources/policies/Outras coleções com vários tipos de políticas de segurança:
"Computer Policy & Law Policies List", compilada pelo pessoal do "Computer Policy and Law Program" da Universidade de Cornell (podem ser feitas buscas por tipos de políticas e por tipos de organizações).
"Information Security Policies Made Easy, Version 8", um conjunto extenso de políticas de segurança da informação. Charles Cresson Wood, Sausalito, California: InfoSecurity Infrastructure, 2001.
Existem diversos componentes para construir um CSIRT efetivo. O processo real de construção de um time dependerá dos prazos a serem cumpridos, pessoal e recursos disponíveis, conhecimentos e as características únicas de cada organização. O que segue é um resumo em alto nível de alguns destes componentes. Alguns devem ser implementados de forma seqüencial e alguns podem ser tratados em paralelo, dependendo dos recursos e do nível de suporte obtido da organização:
- Obter suporte da administração. Sem o suporte da administração será muito difícil para o CSIRT obter o financiamento, pessoal e recursos para que tenha sucesso.
- Encontrar-se com as pessoas chaves na organização para definir os objetivos estratégicos gerais do CSIRT e para entender as necessidades da comunidade sendo atendida e os serviços que o CSIRT oferecerá.
- Projetar a estrutura do CSIRT com base nas discussões sobre:
- a comunidade e a organização a serem atendidas pelo CSIRT
- a missão e os objetivos do CSIRT
- os serviços a serem providos pelo CSIRT
- o modelo organizacional que é mais apropriado para o CSIRT e o relacionamento que ele tem com a organização que o mantém e com seus clientes
- os fundos para estabelecer o CSIRT e manter suas operações
- os recursos necessários para o CSIRT
- Comunicar a estrutura do CSIRT e o plano operacional para a administração, para a comunidade e organização a serem atendidas e para todos aqueles que necessitarem conhecer e entender suas operações.
- Obter o retorno de todos e refinar a estrutura e o plano.
- Uma vez obtido o suporte por parte da administração, implementar o CSIRT. A implementação incluirá:
- contratar e treinar o pessoal do CSIRT
- comprar equipamentos e construir a infra-estrutura do CSIRT de modo a dar suporte para o time e para as necessidades da comunidade a ser atendida
- desenvolver as políticas e procedimentos do CSIRT para dar suporte às atividades do dia-a-dia e aos objetivos a longo prazo
- desenvolver recomendações para sua comunidade sobre como reportar incidentes e assegurar que eles compreendam e tenham acesso a estas recomendações
- anunciar o CSIRT para sua comunidade assim que ele estiver operacional
- identificar um mecanismo para avaliar a eficácia do CSIRT (através do retorno da comunidade, por exemplo) e melhorar os processos do CSIRT conforme necessário
O CERT/CC oferece um curso de um dia focado em prover orientações e idéias que podem ajudar a organização a planejar e implementar seu grupo de resposta a incidentes. Adicionalmente, estão disponíveis dois documentos que apresentam uma visão geral das questões a serem consideradas quando se está implantando um CSIRT:
"Forming an Incident Response Team": Um artigo examinando o papel que um grupo de resposta a incidentes pode ter na comunidade e quais as questões que devem ser consideradas durante a sua formação e depois do início das operações. Este artigo foi escrito por um membro do AusCERT (Australian Computer Emergency Response Team).
"Handbook for Computer Security Incident Response Teams (CSIRTs)": Um handbook que provê orientações a respeito de questões genéricas a serem consideradas quando se está formando ou operando um CSIRT. Em particular, ele ajuda a organização a definir e documentar a natureza e o escopo de um serviço de resposta a incidentes em computadores, que é o serviço principal de um CSIRT, bem como a criar as políticas e os procedimentos de um CSIRT. O handbook foi escrito por três destacados membros da comunidade de grupos de resposta a incidentes e tem o objetivo de auxiliar outras organizações a formar CSIRTs.
Outras fontes de informação a respeito da interação entre CSIRTs, bem como recomendações para o desenvolvimento de políticas e procedimentos, são:
- Expectations for Computer Security Incident Response (RFC 2350)
Site Security Handbook (RFC 2196)- Avoiding the Trial-by-Fire Approach to Security Incidents
O CERT/CC também oferece outros treinamentos para aqueles que irão gerenciar um CSIRT, bem como para o pessoal técnico que necessita treinamento na área de análise e resposta a incidentes de segurança em computadores.
Você pode encontrar links para outros CSIRTs nas seguintes páginas web:
No FIRST:
No AusCERT:
No diretório de CSIRTs europeus:
Nota do Tradutor: O CERT.br mantém uma lista com diversos CSIRTs brasileiros.
O FIRST é o fórum internacional de grupos de segurança e resposta a incidentes. Estabelecido em 1990, o FIRST é uma coalizão que reúne diversos grupos de segurança e resposta a incidentes governamentais, comerciais e acadêmicos. Participar da conferência anual do FIRST pode ser uma maneira de um novo time aprender mais a respeito das técnicas e estratégias necessárias para prover um serviço de resposta, bem como uma maneira de entrar em contato com os grupos já estabelecidos.
Voce pode conhecer mais sobre o FIRST em sua página web: http://www.first.org/. Se você desejar tornar-se um membro, por favor consulte a página http://www.first.org/docs/joining.first.html
Tradução e Revisão Técnica: Cristine Hoepers e Rafael Obelheiro
Copyright 2002 Carnegie Mellon University.
Translations of Computer Security Incident Response Team FAQ, (c) 2002 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of NBSO. The SEI has not participated in this translation.
®CERT and CERT Coordination Center are registered in the U.S. Patent and Trademark Office.
NO WARRANTY. THIS CARNEGIE MELLON UNIVERSITY AND SOFTWARE ENGINEERING INSTITUTE MATERIAL IS FURNISHED ON AN "AS IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.
CMU Indemnification. NBSO hereby agrees to defend, indemnify, and hold harmless CMU, its trustees, officers, employees, and agents from all claims or demands made against them (and any related losses, expenses, or attorney's fees) arising out of, or relating to NBSO's and/or its sublicensees' negligent use or willful misuse of or negligent conduct or willful misconduct regarding CMU intellectual Property, facilities, or other rights or assistance granted by CMU under this Agreement, including, but not limited to, any claims of product liability, personal injury, death, damage to property, or violation of any laws or regulations. This indemnification will not apply to claims by third parties which allege that CMU Intellectual Property infringes on the intellectual property rights of such third parties, unless such infringement results from NBSO modifying CMU Intellectual Property or combining it with other intellectual property.
Disputes. This Agreement shall be governed by the laws of the Commonwealth of Pennsylvania. Any dispute or claim arising out of or relating to this Agreement will be settled by arbitration in Pittsburgh, Pennsylvania in accordance with the rules of the American Arbitration Association and judgment upon award rendered by the arbitrator(s) may be entered in any court having jurisdiction.
Translations of CMU/SEI copyrighted material are not official SEI-authorized translations.
NBSO agrees to assign and transfer to CMU/SEI all copyrights in the translation of any CMU/SEI document.
This permission is granted on a non-exclusive basis for non-commercial purposes.
Disclaimers and copyright information
Última alteração: 20 de dezembro de 2004
$Date: 2022/03/16 19:17:46 $