Tratamento de Incidentes de Segurança na Internet, explicado pelo NIC.br

Todos podemos concordar que a segurança na Internet e nas redes é muito importante para as empresas. A maioria delas procura se proteger criando regras e, então, implantando procedimentos, equipamentos e softwares para fazer com que sejam cumpridas. Mas, mesmo assim, algumas vezes ainda há problemas, como acessos não autorizados a sistemas, ou ataques capazes de parar algum serviço importante, e estes devem ser tratados.

É como o trabalho dos brigadistas, que realizam ações preventivas para evitar que incêndios ocorram, mas, mesmo assim, estão sempre prontos para apagá-los… Você tem uma brigada em sua empresa especializada em tratar os problemas de segurança? Se não tem ainda, deveria pensar no assunto. Este é o vídeo "Tratamento de Incidentes de Segurança na Internet", feito pelo NIC.

br. Conheça a Flávia. Ela foi contratada há pouco tempo pela ACME para montar uma equipe para o Tratamento de Incidentes de Segurança: essa nova equipe será o CSIRT, Computer Security Incident Response Team, da ACME.

A ACME tem bons times de segurança, de administração de redes e suporte técnico. Tem políticas bem definidas sobre o que os funcionários podem e não podem fazer, usa firewalls, antivírus, IDSs, mantem os sistemas atualizados. .

. Mas, mesmo assim, os problemas de segurança tem aumentado nos últimos tempos. A ACME percebeu que era inevitável que isso acontecesse.

Foi-se o tempo em que ataques na Internet eram feitos por diversão, ou simplesmente pra provar algum tipo de conhecimento técnico. A grande maioria dos ataques, atualmente, visa algum tipo de vantagem financeira e é realizada por criminosos especializados. Um CSIRT identifica os incidentes, ou seja, qualquer evento ou atividade suspeita, que potencialmente possa afetar os ativos de TI, ou as informações da empresa, ou ainda possa atrapalhar o seu dia a dia.

Por exemplo, ataques ao website, um anúncio de descoberta de uma vulnerabilidade em um software utilizado, ou até mesmo algum tipo particular de tentativa de fraude por email, direcionada aos funcionários. A ACME precisa do CSIRT para identificar rapidamente tais ameaças e tratá-las, coordenando as ações de todas as áreas envolvidas, até que o problema esteja resolvido ou pelo menos equacionado. O CSIRT ajuda a minimizar o dano e atua na recuperação e na prevenção de eventos futuros.

Flávia sabe que a função do CSIRT é bem distinta daquelas da equipe de segurança, suporte e gerenciamento de redes, mas no tratamento de um incidente, muito provavelmente, essas e outras áreas terão que agir em conjunto. O CSIRT, em grande medida, apenas coordena o processo. Um dos desafios da Flávia era o de definir o formato mais adequado para o CSIRT da ACME.

A administração lhe deu carta branca, dentro de algumas restrições orçamentárias. Se a ACME fosse um pouco maior, a opção de contratar mais funcionários e montar uma equipe exclusiva para a função seria clara. Flávia, optou, contudo, por montar uma equipe ad-hoc.

Ou seja, funcionários de outras áreas seriam treinados e convocados para tratar os incidentes apenas quando fosse necessário. Para a ACME, além da própria Flávia, ainda não havia necessidade de ter outras pessoas trabalhando em tempo integral nessa função. Flávia sabia que antes de mais nada necessitava estar atenta a tudo sobre segurança, Internet e redes, e precisaria mesmo ficar antenada nas mídias não especializadas, como jornais e revistas.

Um incidente na ACME poderia estar relacionado com informações públicas recebidas do mundo externo. De forma particular e com muita atenção, Flávia começou a monitorar sites, fóruns e listas de email especializados em problemas de segurança e dos fornecedores de hardware e software utilizados na ACME. Há muitas formas diferentes para se detectar os incidentes.

Flávia começou a planejar a utilização de sistemas já existentes de monitoramento de rede, antivírus e IDS para essa finalidade. Além disso ela monitoraria alguns logs, como o do DNS recursivo, e instalaria tão logo quanto possível sensores especializados: os honeypots, na rede da ACME, assim como um sistema para monitoramento por Flows, que ainda não existia por lá. Um ponto importante era verificar se todos os logs já estavam sincronizados via NTP, se não estivessem seriam praticamente inúteis.

Algo a ser feito assim que possível seria automatizar a geração de alguns relatórios com a análise e correlação dos principais logs por meio de scripts. Uma função importante de uma equipe de tratamento de incidentes é ser o ponto focal para as notificações, o principal ponto de contato para esse tipo de problema. Flávia definiu que o CSIRT da ACME receberia notificações internas, dos funcionários, e também externas, por exemplo de equipes de tratamento de incidentes de outras empresas, ou mesmo de usuários da Internet.

Ela atualizou as informações de contato do novo CSIRT no whois público para o ASN da ACME, seus blocos IP e seus nomes de domínio. Em seus empregos anteriores, Flávia cansou-se de encontrar informações desatualizadas ao tentar entrar em contato com muitas empresas, em relação a problemas de segurança nos sites e email, e não queria de forma alguma que o mesmo acontecesse com quem tentasse encontrar o contato correto na ACME. A ACME era um Sistema Autônomo, ou seja, tinha blocos IP alocados diretamente pelo NIC.

br e usava BGP em seus enlaces para a Internet, com uma política de roteamento própria. Flávia sabia que por isso podia participar de uma rede VoIP exclusiva para os ASs, chamada INOC-DBA. Ela entrou em contato com o NIC.

br e solicitou 2 ramais, um para o NOC da ACME, outro para o novo CSIRT. Isso facilitaria muito a comunicação com o CERT. br e com equipes de tratamento de incidentes em outros ASs.

Outra iniciativa importante foi mapear os principais contatos de equipes em outras empresas com quem o CSIRT da ACME provavelmente teria que se relacionar. Isso incluía o CERT. br, alguns fornecedores de serviços e mesmo concorrentes diretos da empresa.

Flávia estava agora definindo categorias e prioridades de tratamento para os incidentes. Ela sabia que não seria produtivo tratar tudo da mesma forma. Os incidentes seriam classificados como críticos, de alta prioridade, prioridade média e baixa.

Algumas categorias em que ela estava pensando eram furto de informação, detecção de vulnerabilidade, detecção de vírus ou outro malware, pedido de informação e incidentes gerais. Ela em breve começaria a definir os procedimentos para tratar cada um desses tipos de incidentes. De forma geral, sempre que houvesse um incidente seria necessário analisar a situação, cruzando as informações recebidas com outras, como logs e análises, e avaliando o impacto e os riscos para a ACME.

Depois disso, a equipe planejaria o que fazer e com quem falar. Coordenaria, então, o trabalho com outras equipes da empresa. E, uma vez que tudo estivesse terminado, seria necessário fazer um relatório para os envolvidos e documentar tudo.

Mas cada tipo de incidente teria particularidades na forma de ser tratado. Em breve Flávia poderia iniciar o treinamento do novo time e colocar tudo em prática. A ACME certamente estava no caminho correto para melhorar a situação da segurança em sua rede, e mesmo na Internet como um todo.

Com o CSIRT a ACME seria certamente uma "boa cidadã" na Internet, fazendo sua parte para resolver os problemas. Flávia estava muito animada. E sua empresa, seu provedor, sua universidade, órgão do governo ou entidade?

Já tem uma equipe ou ao menos procedimentos para tratar os incidentes de segurança? Acesse www. cert.

br/csirts/ e seguramente você aprenderá muito mais sobre o assunto. Assista também aos demais vídeos sobre Internet e redes do canal NICbrVideos no Youtube.