COMPUTER SECURITY INCIDENT HANDLING
Seja bem-vindo caro leitor!
Hoje nosso assunto é o tratamento e resposta a incidentes de segurança em redes de computadores, um tema bastante importante em época de ataques de alto impacto como são, por exemplo, os ataques por ransomwares, vide caso das Lojas Renner noticiado recentemente.
Para nosso texto ficar mais fluido vamos continuar nossa conversa respondendo a algumas perguntas acerca do nosso tema.
Então, mas o que é um incidente de segurança em redes de computadores?
Segundo o NIST (National Institute of Standards and Technology), em seu Computer Security Incident Handling Guide – NIST-SP 800-61-R2, um incidente de segurança computacional é toda violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padronizadas. O próprio guia do NIST nos apresenta alguns exemplos de incidentes de segurança, aqui vamos resumir estes em execução de código malicioso, ambiente contaminado por botnets, ataques por phishing e sequestro e vazamento de dados. De uma forma geral um incidente de segurança costuma causar prejuízos financeiros e/ou à imagem da organização.
É importante ter em mente que um incidente de segurança é diferente de um evento que, de acordo com o NIST, é qualquer fato observável em um sistema ou estação de trabalho, o que pode incluir compartilhamento de arquivos, configuração de ativos, até um erro de senha. Podemos até arriscar um trocadilho, todo incidente de segurança é um evento, mas nem todo evento é um incidente de segurança.
O que fazer diante de um incidente de segurança?
A resposta é a mais simples possível, quando nossa organização está passando por um incidente de segurança nós precisamos buscar formas de tratar este incidente, executando medidas que busquem sua extinção ou mitigação, a fim de minimizar os prejuízos advindos de sua ocorrência. O conjunto de ações tomadas visando a extinção ou mitigação de um incidente de segurança é chamado de Tratamento e Resposta a Incidentes de Segurança.
Como é a estrutura de resposta a incidentes de segurança?
Em geral organizações com estrutura de tecnologia da informação próprias, mantém em sua estrutura organizacional equipes de tratamento e resposta a incidentes. Entre as missões dessas equipes está a de analisar o incidente e determinar seu impacto, além de executar as ações necessárias ao controle e mitigação do incidente levando a organização ao reestabelecimento das operações normais no mais curto prazo possível.
O guia NIST-SP 800-61-R2 nos apresenta três tipos de estrutura de tratamento e resposta a incidentes:
Central Incident Response Team (Equipe Centralizada de Resposta a Incidentes): nesse tipo de estrutura uma única equipe trata os incidentes da organização. Este é um modelo eficaz para organizações pequenas e com um parque computacional também pequeno.
Distributed Incident Response Team (Equipe Distribuída de Resposta a Incidentes): nesse modelo a organização possui várias equipes de resposta a incientes de segurança, estas são conhecidas como Equipe de Tratamento e Resposta a Incidentes de Rede – ETIR. Nesse modelo as tarefas e responsabilidades são divididas entre as equipes. Este é um modelo que se mostra eficiente em organizações grandes, que abragem regiões geográficas diferentes e com um grande parque computacional.
Coordinating Team (Equipe de Coordenação): no modelo distribuído as ETIRs devem ficar sob a coordenação de uma entidade coordenadora, nesse cenário surge a equipes de coordenação, também chamado Computer Security Incident Response Teams – CSIRTs. Estas equipes, têm a missão de forncer apoio e suporte necessários ao tratamento e resposta a incidentes de maior relevância ou que possam causar maior impacto ou dano a organização.
Um ponto importante é que CSIRTs de organizações diferentes se comunicam e por meio dessa comunicação surge uma rede de comparitlhamento de informações que tornam as equipes mais fortes e capazes de tratarem incidentes com mais rapidez e eficiência. Essa rede solidária é de fundamental importância haja vista que a maioria dos incidentes se repetem ao longo do tempo e a experiência de um CSIRT ou uma ETIR ajuda no tratamento de um incidente inédito para uma outra organização.
Fonte: http://www.cert.br/csirts/brasil/
No Brasil, quando falamos em tratamento e resposta incidentes de segurança é quase obrigatório falarmos do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), um Grupo de Resposta a Incidentes de Segurança (CSIRT) de responsabilidade nacional. Entre as atividades que o CERT.br desenvolve está a própria capacidade de responder a incidentes auxiliando os demais CSIRTs do país, o fomento da segurança na internet brasileira, além de promover a integração entre os CSIRTs brasileiro e internacionais. Vale a pena navegar pelo site do CERT.br e conhecer os projetos desenvolvidos.
Qual é a composição ideal para uma ETIR?
Falar em composição ideal é muito pretensioso, portanto vamos falar de boas práticas.
Ao contrário do que possa parecer, uma ETIR não deve ser composta apenas de especialistas em tecnologia da informação (TI), é importante lembrar que incidentes de grande impacto como os que atingiram a loja de departamentos citada no início do nosso artigo, têm repercursão em diversas áreas, como jurídica, marketing, a própria TI e até no recursos humanos (RH). Assim é uma boa prática termos uma equipe multidisciplinar, havendo integrantes das áreas de negócio, jurídico, RH, relações públicas, além do pessoal afeto à área, como TI e gestão de riscos. As atribuições e responsabilidades de cada área integrante da ETIR deve estar bem definidas no Plano de Gestão de Incidentes de Segurança. Outro ponto importante é que a organização deve avaliar a necessidade de manter uma ETIR dedicada, haja visto que há um custo dessa manutenção o que deve levar a avaliação do ROI (Return over Investment). Caso o ROI não seja positivo uma estratégia ineressante talvez seja manter uma ETIR ad-hoc, ou seja, essa equipe só seria acionada no momento da gestão da crise, claro, tudo isso muito bem apresentado no Plano de Gestão de Incidentes de Segurança.
Bem, entedemos como é a estrutura de tratamento e resposta a incidentes de segurança, mas como é o processo de resposta a um incidente de segurança em rede?
Sim, exatamente isso, a resposta a um incidente de segurança é um processo. Esse processo começa muito antes da ocorrência do incidente. Ele se inicia na preparação, na elaboração de planos e políticas, na capacitação técnica da ETIR e, claro, na preparação da infraestrutura de TI para isso.
É importante lembrar que a estrutura de TI deve ser capaz de prover a rastreabilidade do incidente por meio de armazenamento de logs (uma boa ferramenta de correlacionamento de eventos também ajuda muito), a infraestrutura deve prover também uma boa política de backup, além de um eficiente plando de Disaster Recovery. A rapidez e eficiência na resposta ao incidente será proporcional à qualidade de preparação da organização para respondê-lo.
O processo de resposta a um incidente é composto de fases, o conjunto dessas fases é chamado pelo NIST de Incident Response Life Cycle ou Ciclo de Vida de Resposta a Incidente. Vamos conhecer estas fases.
Fonte: NIST-SP 800-61-R2
Preparation – como já discutimos, é nessa fase que ocorre a elaboração de planos e políticas, capacitação técnica das equipes da organização e preparação da infraestrutura de TI, enfim o objetivo maior dessa fase é evitar que um incidente ocorra.
Detection & Analysis – aqui o objetivo é realmente identificar a ocorrência de um incidente, após a identifcação o incidente passa por um processo de triagem e categorização para prosseguir no curso do tratamento.
Containment Eradication & Recovery – a contenção tem o objetivo de minimizar os impactos do incidente, evitando que haja um dano maior a organização. A erradicação tem por finalidade a remoção dos vetores de ataque, geralmente correções de códigos, aplicação de patchs reconfiguração de firewall, etc. A recuperação tem o objetivo de levar a organização de volta a sua operação normal.
Post-Incident Activity – as atividaes pós incidente tem como finalidade extrair aprendizado, registrar as ações mais eficiente, revisar estratégias e traçar planos para que não haja novas ocorrências de incidentes.
Uma observação importante é que com a entrada em vigor da Lei Geral de Proteção de Dados no Brasil, cresce de importância a preparação das Equipes de Tratamento e Resposta a Incidentes de Segurança, já que o vazamento de dados pessoais traz sérias implicações legais.
Bem pessoal por hoje é isso… até a próxima.
Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.
Ew Sistemas TI.