RESUMO

Este trabalho apresenta as melhores prticas para o processo de tratamento de

incidentes de segurana em sistemas computacionais e tem por objetivo avaliar sua
aplicabilidade em uma empresa pblica brasileira, o SERPRO (Servio Federal de
Processamento de Dados). Esto expostas diversas informaes acerca do
tratamento de incidentes, dos grupos de tratamento e da forense computacional.
O levantamento dos pontos relevantes ao tema foi realizado atravs de ampla
pesquisa bibliogrfica, consultando, principalmente, as referncias das principais
entidades que especificam normas e processos para a Segurana da nformao. A
partir deste levantamento e da investigao da organizao, realizou-se o estudo de
caso. A investigao deu-se por meio do exame de documentos corporativos e da
obteno de informaes relacionadas de membros da organizao. Por fim, com os
resultados obtidos na anlise, foram identificados os processos que esto aderentes
aos padres propostos pelo mercado, alm de melhorias que podem ser agregadas
ao processo de tratamento de incidentes atualmente implantado na organizao.
Palavras-chave: segurana da informao; incidentes de segurana; tratamento de
incidentes; Grupo de Resposta a ncidentes; forense computacional; estudo de caso.
ABSTRACT
This work shows the best practices for the process of computer security incidents
handling and has for objective to evaluate their applicability in a Brazilian public
company, the SERR! "#ederal Service of $ata rocessing%& 're e(posed here
several information concerning the handling of incidents, the )omputer Security
*ncident Response Teams and the computer forensic&
The study of the theme+s relevant points was accomplished through wide
bibliographical research, consulting, mainly, the references of the main entities that
specify norms and processes of the *nformation Security& Starting from this study and
the investigation of the organization, the case study was e(ecuted& The investigation
was made through the e(am of corporate documents and of the obtaining of related
information from the members of the organization& #inally, with the results ac,uired in
the analysis, the processes that are appropriate to the patterns proposed by the
market was identified, in addition of improvements that can be aggregated to the
process of incidents treatment now implanted in the organization&
Keywords- information security. security incidents. incident handling. )omputer
Security *ncident Response Teams. computer forensic. case study&
SUMRIO
1 NTRODUO.........................................................................................................14
1.1 OBJETVOS........................................................................................................ 14
1.2 METODOLOGA ..................................................................................................15
1.3 ORGANZAO DO DOCUMENTO......................................................................... 15
2 TRATAMENTO DE NCDENTES DE SEGURANA..............................................17
2.1 CONCETOS E MODELOS.................................................................................... 17
2.2 TPOS E EXEMPLOS DE NCDENTES....................................................................20
2.3 PREPARAO E PLANEJAMENTO PARA O TRATAMENTO DE NCDENTES................21
2.3.1 Notificao.................................................................................................23
2.3.2 Categorizao e Triagem..........................................................................26
2.3.3 Priorizao.................................................................................................27
2.3.4 Anlise.......................................................................................................28
2.3.5 Documentao...........................................................................................30
2.3.6 dentificao dos Atacantes ......................................................................30
2.3.7 Deteno, Erradicao e Recuperao ....................................................31
2.4 MTGAO DE VULNERABLDADES ....................................................................32
2.4.1 Poltica de Segurana ...............................................................................33
2.4.2 Conscientizao.........................................................................................34
2.5 LES APRENDDAS..........................................................................................34
3 GRUPO DE TRATAMENTO DE NCDENTES DE SEGURANA.........................36
3.1 ESTRUTURA DE UM GRUPO DE TRATAMENTO DE NCDENTES...............................38
3.2 FORMAO DE UM GRUPO DE RESPOSTA EFETVO.............................................39
3.3 SERVOS DE UM GRUPO DE RESPOSTA.............................................................41
3.4 RELACONAMENTO DO GRUPO COM TERCEROS..................................................42
4 FORENSE COMPUTACONAL................................................................................44
4.1 FORENSE COMPUTACONAL................................................................................44
4.2 FASES DE UMA FORENSE COMPUTACONAL ........................................................47
4.2.1 Coleta.........................................................................................................48
4.2.2 Exame .......................................................................................................50
4.2.3 Anlise.......................................................................................................51
4.2.4 Relatrio.....................................................................................................52
4.2.5 Desenvolvimento de um Grupo de Forense Computacional....................52
4.2.6 Ferramentas e Dispositivos de Forense Computacional..........................54
5 ESTUDO DE CASO.................................................................................................56
5.1 A ORGANZAO SERPRO............................................................................... 56
5.2 O PROGRAMA DE SEGURANA DO SERPRO .....................................................58
5.3 TRATAMENTO DE NCDENTES NO SERPRO........................................................61
5.3.1 Os Grupos de Resposta a Ataques...........................................................62
5.4 FORENSE COMPUTACONAL................................................................................67
5.5 NDCADORES E RESULTADOS OBTDOS..............................................................69
5.6 DENTFCAO DE MELHORAS...........................................................................70
6 CONCLUSO...........................................................................................................74
REFERNCAS BBLOGRFCAS............................................................................76
APNDCE A...............................................................................................................79
LISTA DE FIGURAS
FGURA 1: AS CNCO ETAPAS DE RESPOSTA A NCDENTES............................20
FGURA 2: NCDENTES NOTFCADOS AO CAS/RNP..........................................24
FGURA 3: NCDENTES NOTFCADOS AO CERT.BR...........................................25
FGURA 4: GRUPOS DE SEGURANA E RESPOSTA A NCDENTES (CSRTS)
BRASLEROS.............................................................................................................37
FGURA 5: PROCESSO DE CRAO DE UM CSRT.............................................40
FGURA 6: SERVOS REATVOS E PR-ATVOS DO CTR GOV E SEU
RELACONAMENTO COM TERCEROS...................................................................43
FGURA 7: ANLSE FORENSE TPCA...................................................................46
FGURA 8: PROCESSO DA ANLSE FORENSE. ..................................................47
FGURA 9: TRANSFORMAO DA MDA ANALSADA EM EVDNCA...............48
FGURA 10: CAPLARDADE DA REDE SERPRO....................................................56
FGURA 11: ESTRUTURA ORGANZACONAL DO SERPRO.................................57
FGURA 12: MODELO SMPLFCADO DE RELACONAMENTOS ENTRE
ENTDADES DA ORGANZAO ENVOLVDAS COM A SEGURANA DA
NFORMAO. (SERPRO, 2007)..............................................................................60
LISTA DE TABELAS
TABELA 1: EXEMPLOS DE TPOS DE CSRTS COM AS MSSES E PBLCOS
ASSOCADOS.............................................................................................................38
TABELA 2: LSTA DE SERVOS COMUNS DE UM CSRT. ..................................42
TABELA 3: ENTDADES DO PSS (SERPRO, 2007).................................................61
LISTA DE ABREVIATURAS E SIGLAS
ABNT Associao Brasileira de Normas Tcnicas
ACES Utilitrio forense utilizado na cpia de discos rgidos
ANS Acordos de Nveis de Servios
AUDIG Auditoria Geral da organizao SERPRO
CAIS/RNP Centro de Atendimento a ncidentes de Segurana da Rede
Nacional de Pesquisa
CERT!r Centro de Estudos para Resposta e Tratamento de ncidentes
em Computadores para a nternet brasileira
CERT/CC )omputer Emergency Response Team / )oordination )enter
(grupo para tratamento de incidentes mais conhecido no mundo)
CESE Centro de Especializao em Segurana subordinado SUPT
CETEC Coordenao Estratgica de Tecnologia da organizao
SERPRO
CFTT )omputer #orensics Tool Testing (desenvolve especificaes e
metodos para ferramentas de testes em forense computacional)
CO"UR Consultoria Jurdica da organizao SERPRO
COMPRASNET Portal de Compras do Governo Federal (Sistema automatizado
de atividades de licitaes e contrataes promovidas pelo
Governo Federal brasileiro)
CSI# )ertified )omputer Security *ncident 0andler (certificao em
tratamento de incidentes de segurana computacional)
CSIRT )omputer Security *ncident Response Team (Grupo de
Resposta a ncidentes de Segurana)
CTGSD/CETEC Departamento de Tecnologia de Segurana subordinado
CETEC na organizao SERPRO
CTIR G$v Centro de Tratamento de ncidentes de Segurana em Redes de
Computadores da Administrao Pblica Federal
D$S $enial of Service (ataque a computadores por "negao de
servio)
DD$S $istributed $enial of Service (ataque a computadores por
"negao de servio de forma distribuda)
E%!ra&el Empresa Brasileira de Telecomunicaes
Fas&Bl$c FE Utilitrio forense utilizado na cpia de discos rgidos
FIRST #orum of *ncident Response and Security Teams (frum
internacional de grupos de segurana e resposta a incidentes)
GCFA )ertified #orensics 'nalyst (certificao em anlise forense)
GCI# )ertified *ncident 0andling 'nalyst (certificao em anlise e
tratamento de incidentes)
GCIM )ertified *ncident 1anagers (certificao em gerenciamento de
incidentes)
GIAC 2lobal *nformation 'ssurance )ertification (entidade ligada ao
SANS nstitute que elabora certificaes para a rea de
segurana computacional)
GRA Grupo de Resposta a Ataques da organizao SERPRO
IDE Br'()e Controladora para discos rgidos (citado neste trabalho em
Tableau T5 Forensic DE Bridge utilitrio para anlise forense)
IDS *ntrusion $etection Systems (Sistemas de Deteco de ntruso)
IRPF mposto de Renda de Pessoa Fsica (sistema de controle de
tributos do governo federal brasileiro)
ISO/IEC *nternational !rganization for Standardization / *nternational
Electrotechnical )ommission (Organizao nternacional para
Padronizao / Comisso nternacional de Eletrotcnica)
ITIL *nformation Technology *nfrastructure 3ibrary (biblioteca de boas
prticas para o gerenciamento de processos e servios de
Tecnologia da nformao)
NBR Norma Brasileira (exemplo: NBR SO/EC 27001:2006)
NBS 4ational Bureau of Standards (Departamento Nacional de
Padres agncia norte-americana que desenvolve padres
para o uso governamental)
NICBR Ncleo de nformao e Coordenao para a nternet brasileira
NI" 4ational *nstitute of 5ustice (Agncia da Justia Nacional norte-
americana)
NIST 4ational *nstitute of Standards and Technology (nstituto
Nacional de Padres e Tecnologia)
PAD Processo Administrativo Disciplinar
PCN Plano de Continuidade de Negcios
PCSI Poltica Corporativa de Segurana da nformao da
organizao SERPRO
PDBLOC* hysical $rive Blocker (utilitrio forense utilizado na cpia de
discos rgidos)
PDCA lan6$o6)heck6'ct (planejamento-execuo-verificao-ao)
PSGSe) Processo SERPRO de Gesto da Segurana da nformao
PSS Programa de Segurana do SERPRO
RCMP #DL Utilitrio forense utilizado na cpia de discos rgidos
RENAVAM Sistema de Registro Nacional de Veculos Automotores utilizado
pelo Departamento Nacional de Trnsito brasileiro
RFC Re,uest #or )omments (uma RFC um documento que
descreve padres para protocolos em computao)
RNP Rede Nacional de Ensino e Pesquisa
SANS System 'dministration 4etworking and Security (centro de
segurana norte-americano)
SATA Serial Advanced Technology Attachment (citado neste trabalho
em SATADock utilitrio forense utilizado na cpia de discos
rgidos)
SEI Software Engineering *nstitute (nstituto de Engenharia de
Software) Universidade Carnegie Mellon
SERPRO Servio Federal de Processamento de Dados
SGSI Sistema de Gesto de Segurana da nformao
SIAFI Sistema ntegrado de Administrao Financeira do Governo
Federal (sistema de controle e execuo financeira, patrimonial
e contbil do governo federal brasileiro)
SIAPE Sistema ntegrado de Administrao de Recursos Humanos
utilizado pelo Governo Federal brasileiro
SIASG Sistema ntegrado de Administrao de Servios Gerais
(sistematiza as atividades referentes ao Sistema de Servios
Gerais do Governo Federal brasileiro)
SISCOME+ Sistema ntegrado de Comrcio Exterior (sistema de registro,
acompanhamento e controle das operaes de comrcio exterior
do governo federal brasileiro)
SUPCD Superintendncia de Centro de Dados da organizao SERPRO
SUPGL Superintendncia de Gesto Logstica da organizao SERPRO
SUPGS Superintendncia de Gesto de Servios da organizao
SERPRO
SUPRE Superintendncia de Redes da organizao SERPRO
SUPTI Superintendncia de Tecnologia da nformao da organizao
SERPRO
T, F$re-s'c Utilitrio forense utilizado na cpia de discos rgidos (Tableau T5
Forensic DE Bridge)
TI Tecnologia da nformao
TIC Tecnologia da nformao e Comunicaes
. INTRODU/0O
Com o uso sempre crescente das tecnologias da informao, organizaes
enfrentam o desafio de proteger recursos valiosos de uma enorme quantidade
ameaas. A proteo destes recursos crticos requer no somente a adoo de
precaues para garantir a segurana dos sistemas tecnolgicos, mas tambm da
habilidade para responder rapidamente e eficientemente quando a segurana dos
recursos violada. Para que esta resposta se d de forma adequada, so requisitos
necessrios: conhecimentos tcnicos, comunicao eficiente e coordenao dos
esforos.
Nem sempre adequado aplicar modelos pr-estabelecidos para o
tratamento de incidentes de segurana, pois h caractersticas peculiares a cada
empresa, seja ela pequena ou grande, do setor pblico ou privado.
Neste trabalho sero abordadas questes relevantes ao tratamento de
incidentes de segurana de sistemas computacionais, realizando-se um estudo de
caso em uma empresa governamental brasileira, o SERPRO (Servio Federal de
Processamento de Dados).
Considerando as dimenses da organizao analisada no estudo de caso,
restringiu-se a abordagem ao tratamento de incidentes de segurana em sistemas
computacionais para empresas de grande porte.
.. OB"ETIVOS

O propsito geral deste trabalho realizar estudo de caso no Servio Federal de
Processamento de Dados quanto ao tratamento de ncidentes de Segurana
Computacional nesta da organizao.
So objetivos especficos:
14
Realizar levantamento bibliogrfico sobre o assunto para identificao das
melhores prticas adotadas no Tratamento de ncidentes;
dentificar melhorias no processo de tratamento de incidentes da
organizao estudada.
.1 METODOLOGIA

Por meio do levantamento bibliogrfico sero identificadas as prticas
recomendadas para o Tratamento de ncidentes de Seguranas. Com base Neste
levantamento, sero elaborados checklists
1
pertinente ao tratamento de incidentes.
Com o auxlio destes itens de controle, sero analisados documentos da
organizao, a estrutura organizacional e as pesquisas de campo realizadas para o
estudo do caso concreto da organizao. A confrontao dos itens de controle com
as prticas da organizao indicar melhorias adequadas.
.2 ORGANI3A/0O DO DOCUMENTO
O presente trabalho composto por seis captulos e um apndice. O primeiro
captulo, introdutrio, apresenta uma viso geral do trabalho, os objetivos e a
metodologia utilizada.
O segundo captulo destina-se a abordagem terica do tratamento de
incidentes de segurana. Descreve conceitos e modelos, exemplos de incidentes de
segurana, preparao e planejamento para o tratamento de incidentes, mitigao
de vulnerabilidades e lies aprendidas para o processo de tratamento de incidentes
de segurana.
No terceiro captulo so abordados os conceitos e melhores prticas para
formao de um Grupo de Tratamento de ncidentes de Segurana, levantando
questes relacionadas a sua estrutura, sua efetividades, seus servios e os
1Checklist uma lista de itens para consulta, controle ou enquadramento.
15
relacionamentos de um Grupo de Resposta a ncidentes de Segurana com
terceiros.
O quarto captulo dedicado forense computacional, onde so abordadas
as fases de uma anlise forense, o desenvolvimento de um grupo de anlise forense
computacional, e as ferramentas e dispositivos utilizados neste tipo de anlise.
No quinto captulo, o estudo de caso apresentado. Compem este captulo:
a exposio da estrutura da organizao estudada, ressaltando as questes
relativas a segurana da informao; o programa de segurana da organizao; o
tratamento de incidentes de segurana e os entes responsveis pele execuo das
atividades; as questes da forense computacional na organizao; a situao atual
do processo de tratamento de incidentes na organizao, com seus indicadores e
resultados obtidos; e, por fim, a identificao e proposio de melhorias para a
organizao.
O sexto captulo dedicado s consideraes finais.
O Apndice A mostra, em formato de tabela, pontos de controle elaborados a
partir das melhores prticas identificadas acerca do tema..
16
1 TRATAMENTO DE INCIDENTES DE SEGURAN/A
1. CONCEITOS E MODELOS
ncidente de Segurana definido na RFC2828 (2000) como "um evento que
envolve uma violao na segurana". Para o CERT/CC
2
()omputer Emergency
Response Team / )oordination )enter):
[...] um incidente de segurana pode ser definido como qualquer evento
adverso, confirmado ou sob suspeita, relacionado segurana de sistemas
de computao ou de redes de computadores. Ou pode ser definido como o
ato de violar uma poltica de segurana explicitamente ou implicitamente.
(CERT/CC, 2007)
J a Norma SO/EC TR 18044:2004 trata os termos de forma mais ampla.
Ela define evento de segurana da informao como:
[...] uma ocorrncia identificada de um estado de sistema, servio ou rede,
indicando uma possvel violao da poltica de segurana da informao ou
falha de controles, ou uma situao previamente desconhecida, que possa
ser relevante para a segurana da informao. (SO, 2004)
ncidente tambm pode ser definido como "um simples ou uma srie de
eventos de segurana da informao indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operaes do negcio e ameaar a
segurana da informao" (SO, 2004).
O Tratamento de ncidentes de Segurana a habilidade de identificar,
controlar e cuidar de eventos que envolvem violao poltica de segurana de um
sistema. Envolve: a definio de processos, papis e responsabilidades; o uso
adequado da infra-estrutura, de equipamentos e de ferramentas; e a formao de
uma equipe especializada e treinada para realizar as atividades de
consistentemente, sistematicamente e com qualidade.
2O CERT/CC o grupo para tratamento de incidentes mais conhecido no mundo.
17
Existem alguns modelos para o tratamento de ncidentes de Segurana pr-
estabelecidos. Para organizaes de grande porte, eles apontam a necessidade da
criao de um grupo estruturado para lidar organizadamente e formalmente com
cada incidente. O CERT/CC indica que este grupo deve ser formado por membros
com uma variedade de habilidades tcnicas e sociais, onde a comunicao e a
interao so pontos chaves (CERT/CC, 2007). Este grupo comumente
denominado como CSRT ()omputer Security *ncident Response Team).
Para o modelo TL
3
(*nformation Technology *nfrastructure 3ibrary), cada
unidade da organizao tem a responsabilidade de desenvolver seus processos
pensando em segurana (Cazemier et al., 2005). No entanto, no se alteram as
responsabilidades do gestor de segurana. De acordo com este modelo, o
tratamento de incidentes est no mbito do Processo de Suporte de Servios, onde
um sub-processo, denominado Gerenciamento de ncidentes, tem a maior
responsabilidade sobre as ocorrncias registradas em um ambiente, incluindo as de
segurana. O objetivo principal do Gerenciamento de ncidentes a continuidade
dos servios prestados aos clientes, preocupando-se com a velocidade da soluo
tomada e no com a qualidade da soluo, que tratada em outro nvel, no
Gerenciamento de Problemas. O Gerenciamento de Problemas tem por objetivo
evitar recorrncias de incidentes. O TL recomenda ainda o estabelecimento de uma
Central de Servios, uma estrutura central onde todos os incidentes so registrados
e monitorados.
A norma NBR SO/EC 27001:2006 define alguns controles e objetivos de
controle relacionados Gesto de incidentes de segurana da informao e
melhorias. Ela trata, essencialmente, do estabelecimento, implementao, operao,
monitorao, anlise crtica, manuteno e melhorias de um SGS (Sistema de
Gesto de Segurana da nformao) e seus processos. Quanto gesto de
incidentes, os controles da norma tm por objetivo "assegurar que um enfoque
consistente e efetivo seja aplicado gesto de incidentes de segurana da
informao" (ABNT 2006). A norma adota um modelo conhecido como PDCA (lan6
$o6)heck6'ct%, cujo nome corresponde s quatro fases do modelo. O Tratamento de
incidentes de segurana est cercado nestas quatro fases do modelo.
3TL um conjunto de melhores prticas para o gerenciamento de processos e servios de
Tecnologia da nformao.
18
Cada organizao deve adequar seus processos de forma a unir as boas
prticas dos modelos realidade do seu ambiente.
Os objetivos da Resposta a ncidentes para Wyk & Forno (2001) so:
minimizar o impacto de um incidente para uma organizao e permitir que o trabalho
retorne o mais breve possvel. Eles definem ainda que um sistema de resposta a
incidentes deve estar alerta constantemente e apto a responder ao incidente
imediatamente. Enquanto a iniciativa de um programa de segurana da informao
se preocupa em mitigar os riscos, atravs de controles e processos de segurana,
um programa de resposta a incidentes necessrio para conduzir atividades de
gerenciamento de crise em eventos posteriores quando se ultrapassam os controles
de segurana.
Segundo Wyk & Forno (2001), as principais fases para a resposta a
incidentes so as etapas de identificao, coordenao, mitigao, investigao e
educao. Na primeira das etapas, incidente de segurana detectado. Em seguida,
necessrio estimar o dano causado e diagnosticar o incidente
identificado, denominado etapa de coordenao. Na mitigao, o incidente deve ser
isolado ou at mesmo eliminado. Uma vez determinada a extenso dos
danos causados devem ser executados os processos de controle do incidente.
Coletar, processar, examinar e gerar evidncias faz parte da etapa de investigao.
Por fim, ocorre a etapa de educao, onde so registradas as lies aprendidas,
para que em uma recorrncia ou mesmo um incidente similar j se possua um
processo mais conciso. Estas etapas podem ocorrer de forma cclica, at que o
incidente seja completamente eliminado, como pode ser verificado na Figura 1 a
seguir.
19
Figura 1: As cinco etapas de resposta a incidentes.
Fonte: Adaptado de Wyk e Forno (2001).
O SE (Software Engineering *nstitute%, um centro de desenvolvimento e
pesquisa da Universidade Carnegie Mellon, destaca diferenas existentes entre as
expresses "resposta a incidentes e "tratamento de incidentes. Para ele, nas
comunidades de segurana estas expresses so utilizadas para definir atividades
de um CSRT, mas a gama de trabalhos ao redor dos incidentes de segurana vai
alm destas expresses e o seu uso pode reduzir o escopo da grande variedade de
servios que provavelmente um CSRT pode oferecer, e, portanto, trata o tema
como "gerenciamento de incidentes. Afirma ainda que a resposta ao incidente seja
apenas uma parte do tratamento de incidentes. (Alberts et al., 2005)
11 TIPOS E E+EMPLOS DE INCIDENTES
Hoje em dia, incidentes de segurana em sistemas computacionais so de diversos
tipos. Estes sistemas podem ser alvos em eventos geradores de dano integridade,
confidencialidade e/ou disponibilidade da informao armazenada ou transmitida.
20
O acesso no autorizado um incidente de segurana em que atacantes
buscam contornar os mecanismos de segurana do sistema de forma a obter
informaes ou para interromper as operaes normais do sistema. Estes sistemas
podem tambm ser utilizados para armazenar dados proprietrios ou ainda serem
utilizados como vetores para outros ataques.
Um incidente de segurana pode levar ao roubo de informaes preciosas
aos negcios da empresa. Programas maliciosos, como trojans (cavalos de tria)
so utilizados para o roubo de informaes, a partir de sua execuo em algum
computador conectado rede da empresa. Este tipo de incidente ocorre no
momento em que este programa malicioso instalado, normalmente a partir da
explorao da curiosidade das pessoas, em ataques de engenharia social
4
por meio
de pginas da internet ou de falsos e-mails.
ncidentes de segurana que afetam a disponibilidade das informaes
podem ser exemplificados com os chamados ataques de negao de servio. Eles
ocorrem a partir de uma atividade maliciosa atravs de uma rede de computadores
ou da nternet com o intuito de causar a indisponibilidade de um determinado servio
de rede ou de algum servio do sistema operacional de um servidor. Estes ataques
tambm so conhecidos pelo acrnimo DoS, do ingls $enial of Service. Possui
tambm uma variante, o DDoS ou $istributed $enial of Service, em que o
processamento das operaes para o ataque realizado de forma distribuda em
vrios computadores comandados pelo atacante.
12 PREPARA/0O E PLANE"AMENTO PARA O TRATAMENTO DE INCIDENTES
A capacidade de tratar incidentes de segurana uma combinao de pessoas
tecnicamente experientes, polticas e tcnicas, objetivando a constituio de uma
abordagem proativa. Ter esta capacidade aliada a elementos da segurana
computacional tradicional prov organizao proteo contra incidentes, salvando
recursos valiosos e permitindo tirar vantagem das tecnologias mais modernas.
4 Mtodo utilizado para explorao da confiana, com o objetivo de obter informaes relevantes para
realizao de alguma ao maliciosa.
21
Para Douglas Schweitzer (2003), a preparao para o Tratamento de
ncidentes composta por trs estgios. Primeiro, as organizaes devem
desenvolver e programar planos de segurana e controle em um esforo proativo.
Segundo, elas devem trabalhar para garantir que seus planos e controles sejam
efetivos atravs de revises contnuas, de forma a garantir que a segurana
apropriada est sendo aplicada. Finalmente, quando os controles so contornados,
intencionalmente ou no, as organizaes devem agir rapidamente e eficientemente
para minimizar os impactos. O autor ainda afirma que muitas organizaes
desenvolvem a capacidade para tratar incidentes com grandes sucessos ao focar na
Eficincia da Resposta, Centralizao e Conscientizao dos usurios dos sistemas.
Para ele, a eficincia da resposta um dos mais importantes aspectos na
capacidade de tratar incidentes de segurana computacional. Sem a eficincia, a
resposta ao incidente desorganizada e inefetiva, gerando custos altos para a
organizao e deixando vulnerabilidades expostas e desprotegidas.
No h um modelo nico de estrutura organizacional, para um adequado
tratamento de incidentes, que atenda todos os tipos de organizaes. Dependendo
das necessidades da organizao, esta capacidade pode ter vrias formas. A
notificao e o esforo centralizados, entretanto, melhoram a eficincia das aes de
tratamento de incidentes.
De acordo com Douglas Schweitzer (2003), a notificao e o tratamento
centralizados devem ser utilizados, pois permitem uma avaliao mais precisa dos
incidentes. Em virtude desta centralizao os custos com o tratamento de incidentes
so reduzidos e a duplicao de esforos pode ser eliminada.
importante tambm definir a abrangncia com que ser feita o tratamento
dos incidentes. Este planejamento prvio requer o envolvimento tanto de equipe
tcnica especializada quanto de equipe administrativa da organizao. Onde cada
equipe deve estar familiarizada com os papeis, responsabilidades e capacidades
das outras equipes.
O planejamento para o adequado para o tratamento de incidentes
necessrio para: estimar o tempo necessrio; levantar os custos, recursos, pessoas
e rgos envolvidos; avaliar os possveis impactos e riscos; definir o plano de ao,
22
priorizando aes imediatas para preservar evidncias, e escolhendo os
procedimentos de investigao.
Prevenir, detectar, conter, extinguir e investigar so disciplinas de um efetivo
plano de resposta a incidentes.
A melhor chance de identificar potenciais incidentes com o uso de
softwares
7
que automatizem ao mximo as atividades do dia-a-dia e notifiquem os
responsveis quando sua ateno for necessria. A aquisio de ferramentas pode
ser justificada pela reduo na quantidade de funcionrios necessrios para tratar os
incidentes, entretanto, nem sempre existe oramento disponvel. Deve-se ento
avaliar a utilizao de ferramentas disponveis gratuitamente.
O tratamento de incidentes deve ainda incluir a capacidade de rapidamente
acionar todos os usurios dos sistemas ou da organizao por meio do envio de
alertas para uma lista de emails centralizada ou outro meio conveniente.
12. N$&'4'ca56$
A Norma NBR SO/EC 27001:2006 (ABNT, 2006) define dois controles para tratar
da notificao de fragilidades e eventos de segurana da informao. Alm de
enfatizar a agilidade em que os eventos devem ser notificados, a norma diz que os
eventos devem ser relatados atravs dos canais apropriados da direo.
Para o tratamento de incidentes efetivo, existe a necessidade de
monitoramento contnuo da rede e sistemas da organizao. Para os sistemas mais
crticos, devem ser instalados dispositivos ou softwares para deteco de ataques e
to logo uma atividade suspeita tenha sido detectada, uma equipe qualificada e
designada para responder ao incidente deve ser notificada para que sejam
empregadas aes necessrias.
A notificao de eventos e incidentes deve ser realizada em tempo hbil para
que a tomada de aes corretivas sejam rpidas, efetivas e ordenadas.
Responsabilidades, processos e procedimentos devem ser estabelecidos para
5Programas de computador.
23
garantir esta agilidade. Os responsveis pelos sistemas devem ser instrudos a
notificar qualquer observao ou suspeita de incidente.
Figura 2: ncidentes notificados ao CAS/RNP.
Fonte: http://www.rnp.br/cais/estatisticas/index.php
A Figura 2 mostra quantidade de incidentes notificados ao CAS/RNP
6
(Centro
de Atendimento a ncidentes de Segurana da Rede Nacional de Pesquisa) desde
sua criao at 05 de maro de 2008. Estes incidentes esto relacionados s redes
de computadores das comunidades acadmica e cientfica brasileiras. O CAS/RNP
atribui a queda de 49,6% no nmero de incidentes de 2007 em relao a 2006 ao
reflexo direto das suas aes pr-ativas para identificar e erradicar mquinas
infectadas e tambm a uma maior conscientizao das instituies em preservar a
operao e integridade das suas redes.
6CAS/RNP um grupo criado em 1997 que atua no tratamento de incidentes de segurana na Rede
Acadmica Brasileira, a Rede Nacional de Pesquisa. A rede conecta cerca de 400 instituies de
ensino e pesquisa e mais de um milho de usurios. Est Associado ao FRST (Forum of ncident
Response and Security Teams) deste setembro 2001.
24
Figura 3: ncidentes notificados ao CERT.br.
Fonte: http://www.cert.br/stats/incidentes/
A Figura 3 mostra a quantidade de incidentes notificados ao CERT.br
7
por ano. Ele
responsvel por tratar incidentes de segurana envolvendo redes conectadas
nternet no Brasil. interessante observar que a reduo na quantidade de
incidentes notificados em 2007 foi registrada pelos principais grupos de tratamento
de incidentes brasileiros.
Apesar dos benefcios envolvidos, vrios incidentes de segurana no so
notificados grupos como a CAS/RNP e o CERT.br, pois as vtimas, em muitos
casos, no sabem que ele realmente aconteceu ou, se souberem, preferem aplicar
as correes necessrias na vulnerabilidade explorada e manter os detalhes do
ataque em segredo para no pr sua reputao em jogo. Shon Harris (2005)
ressalta que isto implica em uma grande dificuldade em levantar as reais estatsticas
de quantos incidentes acontecem, qual o grau de dano causado e que tipos de
ataques e mtodos foram utilizados.
Os incidentes podem ser detectados de vrias maneiras, com diferentes
nveis de detalhe e fidelidade. As possibilidades automatizadas de deteco incluem
7CERT.br o grupo de tratamento de incidentes de segurana para a nternet brasileira, mantido pelo
Comit Gestor da nternet no Brasil.
25
DS (Sistemas de Deteco de intruso, do ingls *ntrusion $etection Systems),
softwares anti-vrus e analisadores de logs
8
. ncidentes tambm podem ser
detectados de forma manual, como atravs de relatos de usurios. Alguns incidentes
possuem sinais evidentes que podem ser detectados facilmente, enquanto outros
so virtualmente indetectveis sem automatizao (Bowen et al., 2006).
Dentro do processo de Gerenciamento de ncidentes, o TL (Cazemier et al.,
2005) ressalta que necessrio para o servio de T no Gerenciamento de
Segurana, notificar o Security !fficer
9
sobre os incidentes de segurana.
121 Ca&e)$r'7a56$ e Tr'a)e%
Para que a categorizao seja realizada, necessrio assegurar que toda
informao necessria ao tratamento do incidente seja canalizada em um ponto
focal, embora as informaes de incidentes possam vir por diversas fontes. O
objetivo deste processo de uma redistribuio apropriada com a devida
classificao do incidente, e assim obter o correto tratamento.
Para Douglas Schweitzer (2003), os incidentes devem ser classificados de
acordo com seu nvel de severidade em baixo, mdio ou alto. Para ele, incidentes de
nvel baixo devem ser resolvidos dentro de um dia de trabalho depois de sua
ocorrncia. ncidentes de nvel mdio devem ser tratados no mesmo dia de
ocorrncia do evento. ncidentes de nvel alto devem ser tratados imediatamente por
causa da gravidade da situao.
Para Grance et al. (2004), a diversidade de formas em que um incidente pode
se manifestar torna impraticvel o desenvolvimento de processos compreensveis
com todas as instrues descritas em passos para o seu tratamento. O melhor para
organizao criar formas genricas de tratamentos para os vrios tipos de
incidentes e especificar, na medida do possvel, os tipos de incidentes que podem
ser tratados de forma comum.
8Os logs so registros de atividades gerados por programas de computador.
9Responsvel gerencialmente pela segurana da organizao.
26
Grance et al. (2004) sugere a classificao de incidentes como forma de
fornecer um guia de base inicial para o tratamento dos incidentes. Para esta
classificao so sugeridas as seguintes principais categorias:
Negao de Servios: um tipo de incidente que impede ou prejudica o uso de
redes ou sistemas por meio do esgotamento de recursos;
Cdigo Malicioso: vrus, worms, cavalos de tria
10
, ou outro tipo de cdigo
malicioso que pode infectar um sistema;
Acesso no autorizado: o acesso lgico ou fsico sem permisso a rede,
sistemas, aplicaes, dados ou outro tipo de recurso;
Uso nadequado: a violao de polticas de segurana ou normas;
Componente Mltiplo: um incidente nico que inclui dois ou mais incidentes.
A triagem de incidente normalmente inclui a interpretao dos incidentes
notificados, priorizando-os, relacionando-os a outros incidentes e direcionando-os.
necessrio entender o escopo do incidente e determinar se o incidente realmente
aconteceu ou um "falso positivo
11
.
122 Pr'$r'7a56$
Em uma de suas publicaes (Grance et al., 2004), o NST
12
(4ational *nstitute of
Standards and Technology) define que a priorizao de incidentes talvez seja o
ponto mais importante no processo de tratamento de incidentes. Os incidentes no
podem ser tratados antes que sejam priorizados de acordo com dois fatores
principais. O primeiro deles o efeito tcnico e o potencial do incidente, e o segundo
a importncia dos recursos afetados.
10Cavalos de Tria, na informtica, so programas maliciosos que tem por objetivo permitir acesso
ao sistema para um invasor.
11O termo "falso positivo" utilizado para designar a situao em que um evento identificado
erroneamente como um incidente de segurana.
12O NST, formalmente conhecido como NBS (4ational Bureau of Standards) uma agncia do
Departamento de Comercio Norte-Americano que desenvolve padres para o uso governamental.
27
O tratamento dos incidentes no deve considerar apenas a
conseqncia tcnica negativa do incidente, mas tambm os possveis danos que
possam vir a ocorrer futuramente se o incidente no for contido. Como exemplo,
um worm
89
infectando algumas mquinas por um instante causaria um pequeno
impacto, mas em algumas horas poderia se propagar e at interromper os servios
de rede.
Ao mesmo tempo, diferentes recursos possuem valores diferentes para uma
organizao. A importncia de um recurso baseada primeiramente em seus dados,
servios, usurios, interdependncias com outros recursos, e visibilidade do ativo.
Vrias organizaes tm definido a importncia de seus recursos por meio de PCN
(Planos de Continuidade de Negcios) ou dos ANS (Acordos de Nveis de Servios)
de seus principais negcios, onde estabelecem o tempo mximo para restaurao
de determinados recursos.
Uma vez determinada a importncia do recurso afetado e o potencial efeito
tcnico do incidente, possvel estabelecer o impacto do incidente aos negcios da
organizao. As equipes que realizaro o tratamento do incidente devem priorizar a
resposta para cada incidente baseada nas estimativas de impactos para o negcio
afetado.
Conforme Grance et al. (2004), a organizao deve determinar a priorizao
de incidentes de forma bastante objetiva. Pode ser criada uma matriz contendo os
recursos mais crticos, confrontando com as categorias de impacto tcnico. O
cruzamento destas informaes deve resultar no tempo mximo de indisponibilidade
para aquele recurso. Com isso, as equipes de tratamentos de incidentes tero uma
viso do impacto de um incidente de segurana relacionada ao negcio da
organizao. Mais entradas podem ser adicionadas a esta matriz como forma de
facilitar a deciso da priorizao para o tratamento de determinados incidentes.
128 A-9l'se
13:orm programa malicioso, um vrus, que tem a propriedade de se replicar atravs de uma rede.
28
Avaliar eventos, determinando se o incidente realmente de segurana e se est
realmente ocorrendo, alm de determinar o tipo, a extenso e a magnitude do
problema um dos maiores desafios no processo de tratamento de incidentes. Uma
organizao com sua rede conectada nternet pode registrar milhares ou at
milhes de eventos em determinado dia. A automao necessria para apresentar
uma anlise inicial dos dados e selecionar eventos de interesse para uma anlise
humana. Softwares de relacionamento de eventos e documentao de logs
centralizada de grande valor na automatizao do processo de anlise. No
entanto, a efetividade do processo depende da qualidade dos dados que serviro de
base para o processo. Para isso, necessrio estabelecer padres de logs e
processos para assegurar que a informao coletada seja adequada aos sistemas
de analise. Adequadas avaliaes de dados de incidentes requerem pessoas com
extenso conhecimento tcnico, especializadas e experientes (Bowen et al., 2006).
Quando um potencial incidente de segurana identificado, o grupo de
tratamento de incidentes deve trabalhar rapidamente, executando uma anlise inicial
para determinar o escopo do incidente e as vulnerabilidades exploradas. Esta
anlise deve oferecer informao suficiente para priorizar as atividades
subseqentes, incluindo a deteno do incidente. Em dvida, os analistas de
incidentes devem assumir o pior risco at que anlises adicionais indiquem o
contrrio. Alm destas diretrizes, importante estabelecer um processo que escale
hierarquicamente para os casos em que o grupo de tratamento no responda no
tempo designado (Bowen et al., 2006).
Quando a organizao identificar o incidente como um cybercrime
8;
,
fundamental que o ambiente e as evidncias sejam preservados, e que
sejam acionadas as autoridades legais competentes. Qualquer pessoa que no
esteja familiarizada com os corretos processos de coleta de dados e evidncias, de
um cenrio de crime digital, pode alterar ou destruir as evidncias. As empresas
devem possuir processos definidos para vrios cenrios de problemas de segurana
computacional, como execuo de processos para recuperao de desastres,
planejamento de continuidade, e processos de backup.
14Crime computacional, atos criminosos cometidos por meio de sistemas computacionais.
29
12, D$c:%e-&a56$
Devem ser mantidos registros sobre o estado do incidente, juntamente com outras
informaes pertinentes. Utilizar uma aplicao ou base de dados para este
propsito necessrio para assegurar que os incidentes sejam registrados e
resolvidos da maneira correta.
O TL (Cazemier et al., 2005) ressalta que o maior problema como a
Central de Servio reconhece um incidente de segurana, o que gera problemas em
seu registro adequado. conveniente incluir exemplos de incidentes de segurana
no ANS (Acordo de Nveis de Servios), alm de estabelecer processos para
diferentes tipos de incidentes de segurana neste ANS. Ainda com relao
documentao de incidentes, o TL afirma que descrever a natureza de um
incidente de segurana necessrio, mas no suficiente. A conscientizao um
fator importante nesta parte do processo de documentao.
No tratamento dos incidentes de segurana, um dos passos iniciais e
fundamentais para implementao de um processo de segurana bem definido o
registro do histrico dos incidentes, item primordial para o amadurecimento do
processo de tratamento de incidentes. Possuir um histrico dos incidentes de
segurana permite uma anlise efetiva da severidade, de direcionamentos, etc. sto
um precioso instrumento de Gerenciamento de Segurana da organizao e serve
de entrada para o Gerenciamento de Problemas no modelo TL.
A documentao adequada facilita, inclusive, sua coordenao e
comunicao externa.
12; I(e-&'4'ca56$ ($s A&aca-&es
nvestigar um incidente computacional exige habilidades para identificar perdas e
danos em um ambiente eletrnico intangvel e ser capaz de identificar evidncias
teis investigao. A facilidade que um atacante possui para executar um
cybercrime em anonimato resulta em uma grande dificuldade por parte do
30
investigador na identificao do atacante. A nternet e suas interconexes de
computadores possibilitam, aos atacantes, menor chance de serem detectados
(Harris, 2005).
dentificar um atacante pode ser bastante demorado e no agregar valor ao
processo de tratamento de incidentes, onde o foco principal no processo est em
minimizar os impactos de negcios. De qualquer forma, a identificao do atacante
de interesse da organizao, pois corrobora com a Forense Computacional, tratada
no captulo 4 deste trabalho.
Bowen et al. (2006) descreve algumas formas utilizadas para identificar
atacantes. So elas: Validar o endereo P do atacante, Varredura do sistema do
atacante, nvestigao do atacante atravs de mecanismos de busca, Uso de bases
de dados de incidentes, Monitoramento de possveis canais de comunicao de
atacantes.
12< De&e-56$= Erra('ca56$ e Rec:>era56$
Segundo Grance et al. (2004), importante conter um incidente antes de sua
propagao para evitar maiores danos aos recursos da organizao. A maioria dos
incidentes requer deteno e isto deve ser considerado logo no incio do seu
tratamento. Parte essencial da deteno a tomada de deciso sobre as aes
imediatas que sero empregadas. Aes como desligar o sistema, desconect-lo da
rede ou desabilitar certas funes do sistema se tornam simples se estratgias e
processos para conter um incidente foram previamente definidas.
As organizaes precisam definir riscos aceitveis relacionados a incidentes
de segurana e desenvolver algumas estratgias de deteno, podendo variar de
acordo com cada risco (Bowen et al., 2006).
As estratgias de deteno variam de acordo com o tipo de incidente. Grance
et al. (2004) recomenda que as organizaes criem diferentes estratgias de
deteno para macro categorias de incidentes. Os critrios devem estar muito bem
documentados para facilitar decises geis e efetivas. Os critrios para determinar
as estratgias apropriadas incluem o dano potencial e roubo de recursos,
31
preservao de evidncias, disponibilidade de servios, equipes e recursos
necessrios para implementar a estratgia, efetividade da estratgia, e tempo de
implementao de uma soluo.
Depois de contido o incidente, a erradicao necessria para eliminar os
componentes de um incidente, como a remoo de cdigos maliciosos e contas de
usurios modificadas.
Na recuperao, os administradores restauram os sistemas operao
normal (se possvel) e fortificam sistemas para prevenir incidentes similares. A
recuperao envolve algumas aes, como restaurao de backup
15
, substituio de
arquivos infectados, instalao de correes de sistemas, alteraes de senhas e
fortalecimento do permetro de segurana, como incluso de regras no firewall
16
.
Tambm recomendvel empregar sistemas de logs ou de monitorao de
rede como parte do processo de recuperao. Uma vez quem um recurso atacado,
existe a probabilidade de ser atacado novamente ou, ainda, outros recursos da
organizao podem ser atacados de maneira similar.
18 MITIGA/0O DE VULNERABILIDADES
Manter um baixo nmero de incidentes muito importante para proteger os
processos de negcio da organizao. Se os controles de segurana forem
insuficientes, um grande volume de incidentes pode ocorrer.
1alwares
8<
muitas vezes atacam os sistemas explorando vulnerabilidades em
sistemas operacionais, softwares, servios e aplicaes. Conseqentemente, mitigar
vulnerabilidades de suma importncia na preveno de incidentes de segurana.
Geralmente, uma vulnerabilidade pode ser mitigada por um ou vrios controles,
como aplicao de correes em softwares.
15Cpia reserva de dados com o objetivo de restaur-los em caso de perda.
16Sistema de segurana que protege redes atravs do controle do fluxo de dados de redes de
sistemas computacionais.
17Software malicioso, proveniente do ingls 1alicious Software.
32
Devido aos desafios em mitigar uma vulnerabilidade, incluindo tratamento
contnuo de descoberta de vulnerabilidades, as organizaes devem documentar
suas polticas, processos e mtodos de mitigao de vulnerabilidades, alm de
considerar a importncia de um programa de gerenciamento de riscos. necessrio
avaliar periodicamente os riscos em sistemas, ambientes e aplicaes. Estas
avaliaes devem determinar quais riscos esto expostos, com suas devidas
ameaas e vulnerabilidades. Cada risco deve ser priorizado, podendo ser mitigado,
transferido ou aceito. Atravs deste processo, controles podem ser implementados
de forma a minimizar consideravelmente as possibilidades de um ataque.
nformaes sobre novas vulnerabilidades e ameaas devem ser coletadas atravs
de combinao de fontes confiveis, como boletins de CSRT e fornecedores de
produtos para segurana. As organizaes devem ainda estabelecer mecanismos de
avaliao de novas vulnerabilidades e informaes sobre ameaas, determinando o
melhor mtodo para mitigao e distribuio da informao s reas competentes.
Para fortalecer este processo, importante estabelecer um mtodo para
acompanhar o progresso dos esforos para a mitigao de vulnerabilidades (Mell et
al., 2005).
18. P$l?&'ca (e Se):ra-5a

Para o CERT.br (2003), a poltica de segurana atribui direitos e responsabilidades
s pessoas que lidam com os recursos computacionais de uma instituio e com as
informaes neles armazenados. Ela tambm define as atribuies de cada um em
relao segurana dos recursos com os quais trabalham. Uma poltica de
segurana tambm deve prever o que pode ser feito na rede da instituio e o que
ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode
ser considerado um incidente de segurana. Na poltica de segurana tambm so
definidas as penalidades as quais esto sujeitos aqueles que no cumprirem a
poltica.
33
A poltica de segurana deve ser periodicamente revisada, contemplando
novas ameaas apontadas pelas avaliaes de riscos realizadas, boletins de
segurana e direcionamento dos negcios da organizao.

181 C$-sc'e-&'7a56$
Para o NST (Bowen et al., 2006), a conscientizao da segurana e seu programa
de treinamento um componente crtico ao programa de segurana da informao
na organizao. Este programa de treinamento deve assegurar que o corpo de
funcionrios em todos os nveis da organizao entenda suas responsabilidades em
utilizar e proteger os recursos a eles confiados. As pessoas so o elo mais fraco da
segurana, como pode ser verificado em peridicos e apresentaes de
conferncias. "O fator humano, no o tecnolgico, o fator crtico que mais
freqentemente omitido na equao de segurana" (Bowen et al., 2006).
Os usurios devem ser conscientes das polticas e procedimentos de uso
apropriado de redes, sistemas e aplicaes. Melhorar a conscientizao dos
usurios com respeito a incidentes de segurana, pode reduzir a freqncia de
incidentes, principalmente aqueles que envolvem cdigos maliciosos e violaes
poltica de uso da internet. Equipes de T devem ser treinadas de forma que possam
manter as redes, sistemas e aplicaes de acordo com os padres de segurana da
organizao.
As organizaes no devem apenas definir normas e polticas, mas
principalmente conscientizar todos os funcionrios que trabalham com informaes
corporativas e sistemas computadorizados que as regras definidas so
fundamentais para a segurana dos processos e servios produzidos pela
organizao. Deve-se garantir o entendimento cada ponto da poltica de segurana
para que as equipes e usurios no se desviem das regras definidas por questes
de convenincia ou omisso.
1, LI/@ES APRENDIDAS
34
A melhoria contnua da Gesto da Segurana da nformao deve ser apoiada com
indicadores que possam quantificar, qualificar e monitorar os incidentes de
segurana. importante a anlise crtica dos sistemas e que se faam modificaes
apropriadas nas polticas de segurana, prticas, medidas e procedimentos.
Lies aprendidas de incidentes anteriores tambm podem ser
compartilhadas com usurios, para que eles percebam como aes podem afetar a
organizao.
Para a norma NBR SO/EC 27001:2006 (ABNT, 2006), a reavaliao da
Segurana da nformao uma das aes da fase )heck ")hecar% onde as
anlises crticas aos incidentes de segurana devem verificar a eficcia dos
sistemas e da gesto de segurana. A melhoria atravs das lies aprendidas est
cercada na fase 'ct (Agir).
35
2 GRUPO DE TRATAMENTO DE INCIDENTES DE SEGURAN/A

A fim de desenvolver uma completa capacidade de tratamento de incidentes, as
organizaes necessitam de uma equipe especializada. Em um evento de violao
da poltica de segurana ou de um crime computacional, este grupo dever ser
engajado. Antecipadamente, a equipe deve ter procedimentos de tratamento de
incidentes documentados, incluindo as condies em que se justifica o acionamento
da polcia. Em ambos os casos, a equipe deve ter a preocupao de proteger
evidncias.
A maioria das organizaes reconhece que no existe uma soluo nica, ou
uma panacia, capaz de garantir a segurana de sistemas e dados; ao contrrio,
necessrio ter uma estratgia de segurana composta de vrias camadas. A criao
de um Grupo de Resposta a ncidentes de Segurana em Computadores,
geralmente conhecido como CSRT ()omputer Security *ncident Response Ream),
uma das camadas que vem sendo includa por diversas organizaes em suas
estratgias (CERT/CC, 2006).
Existem dois modelos bsicos de atuao para estes grupos. Os grupos
formados em carter definitivo e constante, atuando de forma contnua, mesmo
quando no h incidentes de segurana, e os chamados grupos temporrios, que se
renem somente quando h uma incidente de segurana em andamento ou para
responder a um incidente especfico.
H vrios tipos de grupos de resposta: alguns tm constituies bastante
abrangentes como o CERT/CC, outros so de constituies mais especficas como a
CAS/RNP, e outros ainda tm constituies mais restritas como grupos de resposta
corporativos. ndependentemente do tipo de grupo de resposta, a comunidade a que
ele d suporte deve ter conhecimento da poltica do grupo e dos seus
procedimentos. Por isso, imperativo que os grupos de resposta publiquem esse
tipo de informao para sua comunidade.
36
As motivaes para o estabelecimento de um CSRT incluem: um aumento
generalizado na quantidade de incidentes de segurana sendo notificados
atualmente; um aumento generalizado na quantidade e variedade de organizaes
sendo afetadas por incidentes de segurana; maior conscincia, por parte das
organizaes, da necessidade de polticas e prticas de segurana como parte das
suas estratgias globais de gerenciamento de riscos; novas leis e regulamentos que
afetam a maneira como as organizaes precisam proteger as suas informaes; a
percepo de que administradores de redes e sistemas no podem proteger
sozinhos os sistemas e as informaes da organizao (CERT/CC, 2006).
No Brasil existem diversos grupos formais para o tratamento de incidentes, os
principais esto relacionados na figura 5.
Figura 4: Grupos de Segurana e Resposta a ncidentes (CSRTs) brasileiros.
Fonte: http://www.cert.br/contato-br.html
O Governo Brasileiro, por meio do Decreto n3.505, de 13 de junho de 2000,
estabeleceu a Poltica de Segurana da nformao, com diretrizes globais de
amplitude e alcance estratgico, considerando a diversidade e natureza complexa
do ambiente organizacional da Administrao Pblica Federal. Esta norma foi o
embrio para a criao do CTR Gov (Centro de Tratamento de ncidentes de
Segurana em Redes de Computadores da Administrao Pblica Federal). O
37
Centro atua como ponto de referncia para o recebimento de notificao dos rgos
e instituies pblicas federais, do poder executivo. Sua misso de articular aes
das administraes de redes de computadores da administrao pblica federal.

2. ESTRUTURA DE UM GRUPO DE TRATAMENTO DE INCIDENTES
Embora as formas de operao dos CSRTs sejam diferentes, dependendo do
pessoal, conhecimento e recursos disponveis e das caractersticas individuais de
cada organizao, existem algumas prticas bsicas que se aplicam a todos os
CSRTs (CERT/CC 2006).
A melhor opo de estrutura de apoio a um CSRT vai depender de cada tipo
de organizao, mas o mais importante que este time precisa estar instalado onde
possa melhor dar suporte s unidades de negcio, fora de uma rea de conflitos de
interesses ou uma interferncia significante ao ambiente corporativo (Wyk & Forno,
2001). No existe um padro para localizao do CSRT na estrutura hierrquica de
uma organizao. Mas onde quer que o CSRT esteja localizado de vital
importncia que este tenha aprovao da administrao da organizao e
autoridade para realizar o trabalho requerido.
T'>$ (e CSIRT Na&:re7a (a M'ss6$ T'>$ (e PA!l'c$
Centro de Coordenao. Obter uma base de conhecimento
com uma perspectiva global das
ameaas segurana computacional
por meio da coordenao com outros
CSRTs.
Outros CSRTs.
Corporativo. Melhorar a segurana da
infraestrutura da informao da
corporao e minimizar a ameaa de
dados resultantes de incidentes.
Administradores e Usurios dos
Sistemas e redes dentro da
corporao.
Tcnico. Melhorar a segurana de um Produto
de T especfico.
Usurios do produto.
Tabela 1: Exemplos de Tipos de CSRTs com as Misses e Pblicos Associados.
Fonte: Adaptado de West-Brown (2003).

38
A Tabela 1 prov exemplos e como diferentes tipos de CSRTs podem
cumprir diferentes misses e servir diferentes pblicos. A localizao do CSRT na
estrutura organizacional est fortemente relacionada com sua misso e o seu
pblico.
A equipe de um CSRT deve ter uma variedade de habilidades tcnicas e
pessoais, especialmente uma boa comunicao. O GAC
18
(2lobal *nformation
'ssurance )ertification) possui trs certificaes que objetivam atestar habilidades
relativas ao tratamento de incidentes. So elas: GCH ()ertified *ncident 0andling
'nalyst), GCM (2*') )ertified *ncident 1anagers) e GCFA (GAC Certified
Forensics Analyst). O CERT/CC tambm mantm uma certificao relacionada, a
CSH ()ertified )omputer Security *ncident 0andler).
21 FORMA/0O DE UM GRUPO DE RESPOSTA EFETIVO
Para estabelecer um programa de resposta a incidentes necessrio investir
bastante tempo em documentaes tcnicas e processos administrativos, definir
equipes de trabalho e responsabilidades, definir requisitos das equipes, alocar
recursos financeiros, identificar e adquirir ferramentas necessrias, treinar equipes, e
tratar uma grande quantidade de outros detalhes administrativos especficos da
organizao.
Os CSRTs so to singulares quanto s organizaes que servem. sto
significa que dois grupos dificilmente trabalharo exatamente da mesma maneira.
importante que a organizao decida por que ela est montando um CSRT e quais
objetivos ela pretende que o CSRT alcance (CERT/CC, 2006).
O CERT/CC (2006) aborda algumas prticas recomendadas na criao de um
CSRT. A criao pode ser vista como um processo composto por 8 passos, mas
embora apresentado na forma de passos, muitas atividades podem ser executadas
em paralelo. Este processo est representado na Figura 5.
18GAC uma entidade ligada ao SANS (SysAdmin, Audit, Network, Security) nstitute que desde
1999 elabora certificaes para validar habilidades de profissionais da rea de segurana
computacional.
39
Figura 5: Processo de Criao de um CSRT.
Fonte: Adaptado de CERC/CC (2006).
A experincia do CERT/CC (2006) mostra que sem a aprovao e o apoio da
administrao superior pode ser extremamente difcil e problemtico criar um
mecanismo eficaz de resposta a incidentes. Este apoio deve ser demonstrado de
vrias formas, incluindo a alocao de recursos materiais e financeiros. sso inclui
tambm a dedicao de parte do tempo de executivos e gerentes (e de seus
subordinados) para participao no processo de planejamento. A contribuio
dessas pessoas vital durante a fase de concepo.
Alm do apoio para o processo de planejamento e implementao,
importante obter da administrao da organizao o compromisso de sustentar as
operaes e a autoridade do CSRT em longo prazo. A ausncia deste apoio
continuado pode ameaar o xito do CSRT (CERT/CC, 2006).
No estabelecimento de um CSRT importante entender estrutura herdada e
as necessidades do ambiente em que este grupo ir operar, e a postura que o
CSRT ter em relao ao gerenciamento de riscos deste ambiente.
Em West-Brown et al. (2003) procura-se estabelecer um framework como
guia para o estabelecimento de um CSRT. Este framework
19
consiste em responder
as perguntas: "o que fazer?", "para quem?", "em que local?" e "em cooperao com
19

estrutura de suporte definida em que um projeto pode ser organizado e desenvolvido.
40
quem?". Estas perguntas so respondidas atravs da identificao dos seguintes
pontos:
Misso enunciada: objetivos e prioridades;
Pblico: tipo de pblico e relao com o pblico;
Localizao na organizao: posio dentro da estrutura organizacional e
relacionamento com a gerencia de riscos;
Relacionamento com outros: cooperao com outros grupos.
22 SERVI/OS DE UM GRUPO DE RESPOSTA
Alm do tratamento de incidentes, existem muitos servios que um CSRT pode
oferecer. De fato, o tratamento de incidentes o componente central do trabalho de
um CSRT. Os servios adicionais devem estar baseados em sua misso e pblico
anteriormente definidos.
Para West-Brown et al. (2003) os servios de um CSRT podem ser
agrupados em trs categorias: Servios Reativos, Servios Proativos e Servios de
gerenciamento da qualidade da segurana.
Servios reativos so aqueles acionados por uma notificao de incidente de
segurana.
Servios proativos so relacionados ao provimento de assistncia e
informao para proteger sistemas antecipadamente. A boa realizao destes
servios reduzir o nmero de incidentes notificados.
Servios de gerenciamento da qualidade da segurana. Estes servios esto
relacionados ao aumento da segurana geral da organizao, identificando riscos e
ameaas. Estes servios so geralmente proativos mas contribuem indiretamente
para a reduo do nmero de incidentes.
41
Serv'5$s Rea&'v$s Serv'5$s Pr$a&'v$s Serv'5$s (e )ere-c'a%e-&$ (a
B:al'(a(e (a se):ra-5a
Alertas e Advertncias.
Resposta a ncidentes.
Tratamento de
Vulnerabilidades.
Anlise de Artefatos.
Avisos e Anncios.
Acompanhamento das Tecnologias.
Auditoria e Avaliao da Segurana.
Configura e Manuteno de
Ferramentas de Segurana, aplicaes
e infraestrutura.
Desenvolvimento de Ferramentas de
Segurana.
Servios de Deteco de Ataques.
Disseminao de nformaes relativas
Segurana.
Anlise de Riscos.
Plano de Continuidade de
Negcios e Plano de Recuperao
de Desastres.
Consultoria em Segurana.
Conscientizao.
Educao e Treinamento.
Avaliao de Produtos ou
Certificaes.
Tabela 2: Lista de Servios Comuns de um CSRT.
Fonte: Adaptado de West-Brown (2003).
28 RELACIONAMENTO DO GRUPO COM TERCEIROS
Com a atual internacionalizao das redes torna-se provvel que a maioria dos
incidentes que um CSRT esteja tratando envolva partes externas sua
comunidade. Por essa razo, um grupo precisar interagir com outros. No
estabelecimento desse relacionamento, os CSRTs devem definir acordos entre eles
para determinar como compartilhar informaes sigilosas, se esse relacionamento
pode ser divulgado, e em caso afirmativo, para quem.
As organizaes podem ter exigncias por informar incidentes a um
determinado rgo central ou podem fazer parte de um grupo de organizaes que
agregam informaes de incidentes para ganhar efetividade no tratamento (Dorofee
et al., 2003).
Para os casos de existncia de mais de um CSRT dentro de uma
organizao, essencial que estes se relacionarem para que seus trabalhos sejam
realizados com eficincia. Este relacionamento pode ser determinado por uma
relao hierrquica na estrutura. sto normalmente acontece quando os CSRTs so
envolvidos por meio de uma entidade de coordenao. Esta entidade deve ser
informada de todas as atividades de cada um dos CSRTs como forma de obter uma
42
viso abrangente dos times e coordenar os times quanto as suas atividades
adicionais ou relacionadas. O relacionamento entre os times pode se dar tambm de
maneira informal. A informalidade pode ser vista como benefcio, na medida em que
permite flexibilidade para compartilhar informaes rapidamente.
A comunicao crtica em todos os aspectos de resposta a incidentes. A
figura 6 representa como se d o relacionamento do CTR Gov com outras
entidades.
Figura 6: Servios reativos e pr-ativos do CTR Gov e seu relacionamento com terceiros.
Fonte: http://www.ctir.gov.br/interacoes.htm
43
8 FORENSE COMPUTACIONAL
8. FORENSE COMPUTACIONAL

Junto ao crescimento da utilizao de sistemas informatizados cresce tambm o
nmero de crimes envolvendo estes sistemas. Logo, buscam-se formas adequadas
para determinar quem, o que, onde e quando estes crimes acontecem. Tcnicas e
ferramentas de forense computacional so geralmente utilizadas neste contexto de
investigaes criminais e no tratamento de incidentes de segurana da informao.
Organizaes devem ter capacidade para realizar forense computacional,
porque esta necessria em diversas atividades da organizao como a
investigao de crimes e de comportamento inapropriado, a anlise de incidentes de
segurana, a localizao de defeitos de operao em sistemas e a recuperao de
dados perdidos. Tratar incidentes com tcnicas de forense permite tambm que os
tomadores de decises possam realizar suas aes necessrias de forma mais
confiante, como por exemplo retirar um sistema de misso crtica da produo.
A palavra forense definida no dicionrio Houaiss (2001) como "relativo aos
tribunais e justia". Segundo Kanellis (2006), forense computacional uma
metodologia para coletar e analisar evidncias em formato digital. Em sentido mais
amplo, Forense Computacional a cincia de coletar e analisar evidncias em
formato digital que possam ser usadas em uma ao legal para processar
responsveis por crimes eletrnicos. Suas tcnicas so essenciais para prevenir,
detectar, investigar e levar a juzo estes crimes. Seu uso necessrio em cenrios
que envolvam incidentes de segurana da informao como: exposio de
informaes, violao de propriedade intelectual, invaso de computadores, entre
outros.
Ainda que o uso de tcnicas e ferramentas de forense computacional seja
ligado diretamente investigao de crimes e incidentes em sistemas digitais, este
44
uso se faz muito til na realizao de outras atividades como resoluo de
problemas de operao de sistemas; monitoramento de atividades; restaurao de
dados danificados, perdidos ou apagados; coleta de dados na realizao de
levantamentos; etc.
Para a correta utilizao das tcnicas de forense, necessrio entender o
que uma evidncia. A palavra evidncia definida em dicionrio Houaiss (2001)
como "qualidade ou carter de evidente, atributo do que no d margem dvida".
Segundo Casey (2004), evidncia digital qualquer dado armazenado ou
transmitido usando um computador que apie ou refute uma teoria de como um
incidente aconteceu ou que identifique elementos crticos de um incidente como a
inteno ou um libi. Ou ainda, em sentido mais restrito, como qualquer dado que
possa estabelecer que um crime eletrnico foi cometido ou que pode fornecer uma
ligao entre o crime e a vtima ou um crime e seu criminoso.
ncorporar mtodos para armazenar informaes de forma que possibilitem a
realizao de forense deve ser preocupao das empresas. Sem esta capacidade,
uma organizao ter dificuldades ao tentar identificar que eventos ocorreram em
seus sistemas e redes.
H quatro princpios que devem servir de base para realizao de uma
anlise forense computacional: Minimizar a perda de dados, registrar tudo (o que for
encontrado e as atividades do perito), analisar todas as evidncias coletadas e
relatar as descobertas de forma clara e compreensvel.
fundamental assegurar a integridade das evidncias obtidas e de suas
fontes durante todo o processo de anlise forense e mesmo aps o seu termino para
eventuais contestaes.
A Figura 7 representa uma anlise Forense Tpica. realizada uma cpia
dos dados como forma de manter sua integridade, ento analisa-se os dados a
partir da cpia gerada com o objetivo de identificar evidncias valiosas como
arquivos de log, arquivos apagados, etc.
45
Figura 7: Anlise Forense tpica.

Organizaes devem assegurar que sua poltica de segurana contenha
declaraes claras sobre as principais consideraes forenses, tais como: o contato
com as autoridades legais, o monitoramento de incidentes e a conduo de revises
regulares das polticas e procedimentos forenses. Elas tambm devem criar e
manter guias e procedimentos para realizao das atividades de forense baseada
nas polticas da empresa e tambm no arcabouo legal aplicvel. Os guias devem
ter um foco nas metodologias gerais para a investigao de incidentes utilizando
tcnicas forenses, mesmo porque impraticvel desenvolver procedimentos para
cada situao possvel. Entretanto, deve-se avaliar a possibilidade de utilizao de
guias de procedimentos passo a passo para as atividades rotineiras.
Uma vez que dados eletrnicos podem ser facilmente alterados as empresas
devem estar preparadas (embasadas em suas polticas, guias e procedimentos)
para demonstrar a integridade dos dados contestados. Os guias e procedimentos
devem ser revistos periodicamente. As polticas e procedimentos devem apoiar o
uso apropriado das ferramentas de forense.
O objetivo dos guias e procedimentos facilitar as tarefas forenses.
mportante no tratamento de incidentes que impliquem em aes disciplinares
internas na organizao ou persecues penais.
Uma importante considerao como e quando o incidente ser contido.
solar o sistema relacionado de influncias externas pode ser necessrio para
46
prevenir danos futuros ao sistema e seus dados ou para preservar evidncias. Em
muitos casos, o analista deve trabalhar com a equipe de respostas a incidentes para
realizar a deciso de conteno. Por exemplo, deixar um sistema off6line por horas
para coletar dados pode afetar a habilidade da organizao em realizar suas
operaes necessrias.
De acordo com o Departamento de Justia Norte-Americano (2000), um
sistema computacional atua, em um caso de crime, geralmente de trs formas
distintas:
O Sistema alvo de um crime. Ocorre quando a ao diz respeito a obter
informaes de forma no autorizada ou causar danos, um computador
ou uma rede de computadores;
O Sistema utilizado como ferramenta para realizar o crime;
O Sistema utilizado pra para armazenar dados relativos a crimes. Neste
caso, o sistema no utilizado para cometer o crime, mas significante
para propsitos legais.
81 FASES DE UMA FORENSE COMPUTACIONAL

Para o NST (Kent et al., 2006), uma anlise forense composta basicamente de 4
fases: coleta, exame, anlise e relatrio. A Figura 8 apresenta o processo de anlise
forense.
Figura 8: Processo da Anlise Forense.
Fonte: Adaptado do NST (Kent et al., 2006).

47
A Anlise forense transforma a mdia analisada em evidncia conforme
mostra Figura 9. A primeira transformao ocorre quando os dados da mdia
coletada so preparados para serem processados por ferramentas forenses. Em
seguida, os dados so transformados em informao atravs do seu exame.
Finalmente a informao transformada em evidncia por meio de diversas formas
de anlises para confeco do relatrio.
Figura 9: Transformao da Mdia Analisada em Evidncia.
Fonte: Adaptado do (Kent et al., 2006).

81. C$le&a

A primeira fase do processo para identificar e coletar dados de possveis fontes
relevantes na medida em que se mantm a integridade dos dados seguindo os
procedimentos adequados.
importante salientar que as evidncias devem ser coletadas, armazenadas
e apresentadas de acordo com a legislao relacionada para que possa ser utilizada
em possveis aes legais civis ou criminais.
Deve-se seguir a RFC 3227 (Brezinski e Killalea, 2002) que se trata de um
guia, um passo a passo a ser seguido para coleta e armazenamento de evidncias
de maneira adequada.
A fase de coleta deve ser realizada de forma a manter a eficcia das
evidncias digitais como provas. Devem ser observadas questes como a
volatilidade dos dados, a sua preservao, seu armazenamento, consideraes
legais e de privacidade, os procedimentos da coleta, a repetibilidade do mtodo, a
cadeia de custdia (como uma evidncia foi encontrada e como ela foi analisada) e
as ferramentas utilizadas.
48
O Analista deve poder identificar corretamente as possveis fontes de
evidncias. Algumas vezes no praticvel a coleta de dados de uma fonte
primria, ento o analista deve conhecer outras fontes de dados que podem conter
parte ou todos os dados da fonte primria. Uma vez identificadas as possveis fontes
de dados, o analista necessita coletar os dados destas fontes.
Para o NST (Kent et al., 2006), o processo de coleta de dados pode ser
realizado em trs passos:
1. Desenvolver um plano para coletar os dados;
2. adquirir os dados;
3. Verificar a integridade dos dados adquiridos.
O Desenvolvimento de um plano para a coleta dos dados importante porque
existem mltiplas fontes de dados em muitos casos. O Analista deve criar um plano
que priorize as fontes, estabelecendo a ordem em que os dados sero adquiridos.
So variveis importantes nesta priorizao: o valor relativo para a organizao da
fonte de dados, a volatilidade
20
dos dados, e a quantidade de esforo necessrio
para a coleta dos dados daquela fonte. Em alguns casos, existem tantas
possibilidades de fontes de dados que no praticvel coletar todas, devendo estas
fontes ser classificas e priorizadas.
Evidncias digitais so frgeis e podem ser facilmente perdidas. Por exemplo,
elas podem mudar com o uso, elas podem ser alteradas ou destrudas
propositalmente ou ainda ser alteradas devido ao tratamento ou armazenamento
imprprio. Por estas razes, evidncias devem ser rapidamente coletadas e
preservadas.
As provas podem ser as mais diversas possveis como e-mails, arquivos de
log, arquivos temporrios com informaes pessoais, conexes abertas, processos
em execuo, e outras evidncias que possam existir.
O Processo de Coletar evidncias eletrnicas pode variar de caso para caso.
Um desafio em encontrar evidncias saber onde procurar por elas. Por exemplo,
uma investigao pode requerer exame de dados armazenados em um disco rgido
de computador enquanto outros podem requerer exames de dados em memrias
20Dados em um sistema computacional podem ser volteis e se perderem quando o sistema tiver
seu fornecimento de energia interrompido. Dados tambm podem ser perdidos quando realizadas
outras atividades no sistema.
49
volteis. Ento, no h um nico procedimento de coleta de evidncias, e o uso de
uma metodologia adequada depender do tipo de evidncia procurada e da
tecnologia disponvel no momento. O perito deve conhecer qual ferramenta usar
para conseguir a evidncia. tambm importante coletar a evidncia sem perder
sua integridade.
Para proteger a integridade da evidncia e argumentar que aquela evidncia
no foi manipulada enquanto em custdia, manter a cadeia de custdia de uma
evidncia coletada essencial. Cadeia de Custdia um processo utilizado para
manter e documentar a histria cronolgica de uma investigao. Seu documento
registra informaes como quem manuseou a evidncia, que procedimentos foram
realizados, quando a evidncia foi coletada e analisada, onde as evidncias foram
encontradas e armazenadas, porque aqueles dados so considerados evidncias e
como a coleo e manuteno da evidncia foram realizadas.
Para identificar uma potencial evidncia, o perito precisa de um vasto
conhecimento tcnico. A evidncia deve ser identificada no meio de tantos outros
arquivos normais, em diversas mdias como CD-ROM, Discos rgidos, celulares, etc.
A evidncia identificada deve ser coletada dos componentes disponveis. Em
alguns casos, a evidncia deve ser duplicada atravs da cpia exata da evidncia
original utilizando-se softwares e/ou hardwares especficos. A inconstncia dos
dados cria vrios obstculos no processo de imaging
21
. A ferramenta utilizada no
pode introduzir novos dados na evidncia original ou em sua cpia. O perito deve
ser capaz de provar em juzo que a cpia vlida e o processo repetvel.
Todos os dados coletados de um sistema comprometido devem ser
armazenados fisicamente de forma segura. Um documento de cadeia de custdia
deve ser associado a cada pea de evidncia.
811 ECa%e
21maging o processo de fazer uma cpia exata da evidncia original.
50
Esta fase compreende o processamento dos dados coletados utilizando-se de
mtodos automatizados e manuais, para avaliar e extrair dados de interesse
particular, seguindo procedimentos que preservem a integridade dos dados.
O exame de uma evidncia digital deve ser realizado em uma cpia fiel dos
dados originais e por equipe treinada. Esta fase pode envolver o acesso e a
extrao de dados "obscuros" como dados comprimidos, criptografados ou com
mecanismos de controle de acesso.
Os dados coletados na fase anterior podem conter milhares de arquivos.
dentificar dados que contenham informaes de interesse pode ser uma tarefa
rdua. Alm de que arquivos com dados de interesse podem conter muitas outras
informaes no necessrias que precisam ser filtradas. Para contornar esta
dificuldade, existem tcnicas e ferramentas que podem ser utilizadas (Grance et al.,
2004).
812 A-9l'se
Analisar os resultados da fase de exame, usando mtodos e tcnicas legalmente
justificveis, para que seja extrada informao til para o esclarecimento do
incidente, possvel crime eletrnico, objeto da forense. Deve ser desenvolvida e
testada uma hiptese que responda as questes do incidente em anlise.
O Fundamento da forense a utilizao de uma abordagem metodolgica
para alcanar concluses apropriadas baseada nas evidncias disponveis ou
determinar que nenhuma concluso pode ser extrada.
Diversas ferramentas podem ser utilizadas para analisar completamente a
evidncia coletada. Devem ser usadas ferramentas testadas e validadas, ou se
outras ferramentas so utilizadas ento o perito investigador deve garantir que a
evidncia no foi corrompida. Algumas atividades na anlise incluem ler a tabela de
parties, busca de arquivos contendo informaes relevantes, mudanas no estado
do sistema. Realizar anlises em sistemas ativos uma atividade desafiadora vez
que o atacante pode ter modificado utilitrios do sistema. Em alguns casos, a
atividade complexa de um sistema torna a evidncia dinmica e no possvel a
51
reproduo. At mesmo arquivos apagados de uma mdia podem ser restaurados
por um investigador treinado com ferramentas adequadas.
A interpretao dos resultados de uma anlise depende amplamente da
capacidade tcnica do perito. Nesta fase o perito deve estabelecer o significado e a
relevncia dos dados processados e resolver questes como o proprietrio dos
dados, seu propsito e da por diante.
818 Rela&Dr'$
A fase final consiste na confeco de um relatrio da anlise realizada durante todo
o processo forense. Trata-se da elaborao de uma pea escrita, fundamentada, na
qual o perito analista expe as observaes e estudos efetuados, bem como as
respectivas concluses. Este relatrio pode incluir a descrio das aes realizadas
para realizao da forense, explicao sobre como as ferramentas e procedimentos
foram selecionados, determinando em que ordem as aes foram realizadas e
provendo recomendaes para a melhoria de polticas, guias, procedimentos,
ferramentas e outros aspectos do procedimento forense.
Para a ABNT (Associao Brasileira de Normas Tcnicas), o laudo "pea na
qual o perito, profissional habilitado, relata o que observou e d as suas concluses
ou avalia, fundamentalmente, o valor de coisas ou direitos".
A confeco de um relatrio com os resultados de uma anlise um passo
crucial na investigao. Todos os passos da anlise forense devem ser
documentados cuidadosamente. O perito deve ser capaz de explicar os conceitos
tecnolgicos em termos simples. A importncia e o significado dos resultados
obtidos devem ser claramente mostrados.
81, Dese-v$lv'%e-&$ (e :% Gr:>$ (e F$re-se C$%>:&ac'$-al
As organizaes devem garantir que seus profissionais de tecnologia da informao
estejam suficientemente preparados para participar das atividades que envolvem
52
uma forense computacional. Os profissionais de T, especialmente os tcnicos que
atendem os incidentes devem entender seus papeis e responsabilidades relativos
forense, entendo as polticas e procedimentos da empresa.
Estes profissionais de T devem tambm ser capazes de prestar assistncia
quando as tecnologias que estes so responsveis forem parte de um incidente que
envolva a forense computacional. Tambm necessrio um conhecimento sobre a
legislao para que possam entender que aes podem e quais no podem ser
empregadas na conduo de uma investigao.
possvel a utilizao de um grupo composto por equipe de funcionrios da
empresa com funcionrios externos para realizao das atividades de forense.
Algumas atividades mais especializadas e que demandam muito esforo como a
recuperao de mdias danificadas pode ser terceirizada para ter seu custo
reduzido.
A equipe que trata incidentes e realiza as atividades da forense necessita de
conhecimento adequado dos princpios de forense, guias, procedimentos,
ferramentas e tcnicas, bem como conhecimento das ferramentas e tcnicas anti6
forensics
22
que podem esconder ou destruir dados. Eles tambm devem ser
especialistas em segurana da informao e em assuntos tcnicos especficos como
os Sistemas Operacionais mais usados, sistemas de arquivos, aplicaes e
protocolos de redes utilizados na organizao.
Em um time de tratamento de incidentes, mais de um membro deve ser apto a
realizar as atividades tpicas da forense, de forma que a ausncia de qualquer dos
membros no inviabilize a forense. Os indivduos ou times devem ter boa
comunicao com outras equipes e/ou pessoas quando necessitarem de assistncia
adicional.
O profissional deve possuir conhecimentos tcnicos e procedimentos para a
realizao do trabalho, protegendo as provas de incidentes, gravaes acidentais,
destruio, transporte e armazenamento inseguro.
O apoio de procedimentos formalizados evita colocar nas mos do
profissional envolvido naquela atividade especfica a tomada de decises
22'nti6forensic so meios empregados para impedir a realizao de uma anlise forense.
53
importantes como o desligamento de um sistema de misso crtica. Estas decises
geralmente precisam ser tomadas com urgncia e sob presso, pois dessas
decises depende a integridade das provas, devendo-se tomar os devidos cuidados
para no invalid-las juridicamente.
O profissional deve possuir tambm conhecimentos sobre as leis vigentes que
so importantes para a realizao do seu trabalho, devendo ele seguir um padro
para que as provas obtidas sejam vlidas perante a lei.
possvel verificar que o trabalho de um perito na rea de computao
delicado e exige bastante ateno, conhecimento das tcnicas e do sistema
operacional, dos procedimentos e metodologia utilizada, pois uma operao feita
erroneamente pode causar conseqncias graves e perda definitiva de possveis
provas.
81; Ferra%e-&as e D's>$s'&'v$s (e F$re-se C$%>:&ac'$-al
Ferramentas Forenses foram desenvolvidas para as vrias etapas do processo da
Anlise Forense. No h uma nica soluo para toda a diversidade de tipos de
investigao. Estas ferramentas foram desenvolvidas para diversas plataformas,
sendo algumas proprietrias e outras de livre uso e de cdigo aberto.
As ferramentas devem ser avaliadas por diferentes critrios como a
completude de suas funcionalidades, o tempo utilizado para realizar sua funo, a
facilidade de uso, sua aceitao em juzo, etc.
Ainda que exista um grande nmero de ferramentas disponveis hoje em dia,
a falta de padres ou especificaes para estas ferramentas e as mltiplas verses
das ferramentas tornam difceis as suas avaliaes. Existe uma necessidade crtica
em garantir a confiabilidade das ferramentas Forenses. Entidades do Governo
Norte-Americano como o NST (4ational *nstitute of Standards and Technology) e o
NJ (4ational *nstitute of 5ustice) tm desenvolvido padres para testar as
ferramentas. O CFTT ()omputer #orensics Tool Testing) um projeto do NST para
desenvolver especificaes e mtodos de testes para ferramentas de forense
computacional e ento testar estas ferramentas.
54
Ferramentas forenses que foram validadas pelo CFTT incluem: ferramentas
de imaging como dd, Safeback e EnCase; ferramentas de software :rite Block
23
como PDBLOCK, RCMP HDL e ACES; dispositivos de hardware write block como
FastBloc FE, Tableau T5 Forensic DE Bridge, WiebeTech Forensic SATADock,
WiebeTech Forensic ComboDock, etc.
Polticas, guias e procedimentos devem tambm tratar o uso de ferramentas e
tcnicas anti6forensics. Existem muitos usos positivos para eles, tais como remover
dados confidenciais de computadores que sero doados ou remover histrico de uso
do usurio para garantir sua privacidade. Entretanto, assim como as ferramentas
forenses, as ferramentas anti6forensics podem ser usadas para fins maliciosos,
ento as organizaes devem especificar o que permitido utilizar e sob quais
circunstncias.
23A Tecnologia :rite6Blocker garante o bloqueio de escrita na mdia a ser copiada de forma a no
introduzir ou alterar dados durante o processo de imaging.
55
, ESTUDO DE CASO
,. A ORGANI3A/0O SERPRO
O SERPRO (Servio Federal de Processamento de Dados) uma empresa pblica,
vinculada ao Ministrio da Fazenda. Foi criada com o objetivo de modernizar e dar
agilidade a setores estratgicos da Administrao Pblica brasileira. A empresa tem
por misso "prover e integrar solues em Tecnologia da nformao e
Comunicaes para o xito da gesto das finanas pblicas e da governana do
Estado, em benefcio da sociedade." (SERPRO, 2008a).
Figura 10: Capilaridade da Rede SERPRO.
Fonte: http://www.serpro.gov.br/servicos/rede
Atravs de uma extensa infra-estrutura de rede de abrangncia nacional,
como pode ser verificado na figura 10, o SERPRO presta servios de T a diversos
clientes do setor pblico brasileiro, tais como: Presidncia da Repblica; Ministrio
56
da Fazenda; Ministrio do Planejamento, Oramento e Gesto; Ministrio da
Educao; Advocacia-Geral da Unio; Controladoria-Geral da Unio; Tribunal de
Contas da Unio; etc.
Quanto estrutura, o SERPRO est presente em todos os estados do pas,
atravs de Regionais ou Escritrios de servio, tendo sua sede localizada em
Braslia. Possui cerca de 10 mil empregados, entre equipes tcnicas, administrativas
e de gestores. Buscando garantir eficincia na prestao dos seus servios, o
SERPRO tem sua estrutura geral organizada de acordo com a figura 11.
Figura 11: Estrutura Organizacional do SERPRO.
Fonte: http://www.serpro.gov.br/instituicao/estrutura

Com sistemas popularizados por siglas ou expresses como SAF, RPF,
RENAVAM, COMPRASNET, SSCOMEX, SAPE, SASG, e diversos outros, a
empresa tem papel vital na concretizao das polticas pblicas do Governo
Federal.
Alm do desenvolvimento de sistemas, a empresa atua em outras linhas de
negcios, tais como: servios de datacenter
24
, infra-estrutura e servios de rede,
servios ao cidado e segurana da informao.
24Datacenter, tambm conhecido como Centro de Processamento de Dados, o local onde so
concentrados os sistemas responsveis pelo processamento de dados de uma empresa ou
organizao.
57
Quanto segurana da informao, a empresa realiza:
Consultoria em gesto de segurana; definio de polticas de segurana;
certificao digital; anlise de vulnerabilidades; poltica de antivrus;
pesquisa e investigao (anlise forense); grupo de resposta a ataques; e
auditoria de segurana. (SERPRO, 2008b)
So objetos deste estudo de caso, os servios de Grupo de Resposta a
ataques e de pesquisa e investigao (anlise forense).
,1 O PROGRAMA DE SEGURAN/A DO SERPRO
O PSS (Programa de Segurana do SERPRO) :
[...] o modelo de gesto da Segurana da nformao e tem como objetivo
atender as orientaes da Poltica Corporativa de Segurana da nformao
(PCS). O Programa define a estrutura e o relacionamento dos diversos
componentes do modelo (entidades e rgos) no que tange ao seu papel
com relao Segurana da nformao e estabelece um conjunto de
orientaes, definies, metodologias e aes que visam o gerenciamento
de segurana no SERPRO, alinhadas s estratgias empresariais e ao
negcio. O PSS possui ciclo de vida permanente e de mbito corporativo.
(SERPRO, 2007)
"O PSS utiliza como referncia as normas NBR SO/EC 17799:2005 - Cdigo
de prtica para a gesto da segurana da informao e a NBR SO/EC 27001:2006
Especificao para o sistema de gesto de segurana da informao. (SERPRO,
2007).
O estabelecimento de um programa de segurana demonstra a preocupao
do SERPRO com a garantia da proteo das informaes que so vitais para a
continuidade dos seus negcios. A primeira verso deste programa data de janeiro
de 1997 e hoje o programa se encontra em sua sexta verso, indicando que a
empresa despertou para os desdobramentos da segurana da informao de forma
pioneira, em se tratando das organizaes brasileiras, como tambm indica que
existe o comprometimento com a reviso e atualizao das normas de segurana. A
ltima reviso e atualizao do documento que estabelece o programa ocorreu em
novembro de 2007. Determina o PSS (SERPRO, 2007) que ele:
[...] deve ser revisado a cada dois anos ou em situaes especiais, tais
como o surgimento de novos cenrios de ameaas, novas diretrizes, novas
58
leis, alteraes contratuais, alteraes nas prticas de Segurana da
nformao, estrutura, ambiente ou processos.
importante observar que, em sua ultima reviso, o documento que
estabelece o PSS sofreu grandes alteraes em relao verso anterior. Alm da
adequao a uma nova estrutura organizacional, a nova verso apresenta-se de
forma menor, com a excluso de vrios itens presentes na verso anterior. tens que
consideramos importantes foram simplesmente retirados, tais como: a integrao
com os demais programas corporativos e a descrio dos indicadores de segurana.
O PSS gerenciado por uma Coordenao Corporativa voltada para a
segurana da informao. Nos dias atuais, esta entidade conhecida como CTGSD
(Departamento de Tecnologia de Segurana) e est subordinada a CETEC
(Coordenao Estratgica de Tecnologia). As demais entidades que compem a
organizao so responsveis pela segurana da informao nas suas respectivas
reas de atuao. Estabelece o PSS (SERPRO, 2007) que as unidades
organizacionais devem "conhecer, assimilar e administrar o PSS de forma a permitir
proteo adequada das informaes, pessoas e recursos envolvidos, podendo
adapt-lo s suas necessidades especficas."
Alm de gerenciar o PSS, o CTGSD/CETEC tem por objetivo a gesto,
formulao e coordenao de polticas e diretrizes de segurana. Atualmente, ela
encontra-se inserida no mbito das Coordenaes Estratgicas (figura 11),
reforando, ao menos quanto estrutura organizacional, a preocupao da alta
direo da empresa com a Segurana da nformao.
Adotando a idia de camadas de segurana, o PSS aborda a segurana da
informao de forma ampla, descrevendo sua abrangncia em trs segmentos:
processos, tecnologia e pessoas. O PSS estabelece ainda uma arquitetura de
relacionamentos entre as entidades da organizao envolvidas com a segurana da
informao. Este modelo est representado, de forma simplificada, na Figura 12.
59
Figura 12: Modelo simplificado de relacionamentos entre entidades da organizao envolvidas com a
segurana da informao. (SERPRO, 2007).
O Comit de Segurana d apoio s decises do CTGSD/CETEC, sendo
formado por representantes de todas as unidades organizacionais do SERPRO. Os
Grupos de Segurana Regional tambm apiam s decises do CTGSD/CETEC,
mas atuam especificamente nas unidades organizacionais presentes em uma
regional da empresa, sendo formado por representantes das unidades
organizacionais presentes naquela regional.
No SERPRO, existem diversas entidades envolvidas no processo de gesto
da segurana da informao. O PSS descreve estas entidades conforme a Tabela 3.
As responsabilidades e atribuies de cada entidade descrita de forma detalhada
no anexo 1 que acompanha o documento que estabelece PSS.
E-&'(a(es F:-5Ees
Diretoria Diretor Presidente, Diretor Superintendente e Diretores.
CTGSD/CETEC
Coordenador do Processo Segurana da informao,
Coordenador de Pesquisa e nvestigao, Coordenador do PSS.
Unidades
Organizacionais
Superintendentes, Coordenador de Segurana da Unidade
Organizacional, Membro do Comit de Contingncia, Chefias,
Especialistas e Membros dos Grupos de Segurana e
Contingncia Regionais.
Comit de Segurana
Coordenador do Comit de Segurana e Coordenadores de
Segurana das UG.
60
E-&'(a(es F:-5Ees
Grupos de Segurana
Regionais
Coordenador de Segurana Regional e Membros Regionais de
cada Unidade Organizacional.
Grupos de Contingncia
Regionais
Coordenador de Contingncia Regional e Membros Regionais
de cada Unidade Organizacional.
AUDG Auditor Geral, Coordenador de Segurana da AUDG.
COJUR Consultor Jurdico, Coordenador de Segurana da COJUR.
Outras
Empregados, Estagirios, Bolsistas, Fornecedores, Prestadores
de Servio, Clientes.
Tabela 3: Entidades do PSS (SERPRO, 2007).
,2 TRATAMENTO DE INCIDENTES NO SERPRO
Em se tratando do Tratamento de ncidentes, existe uma grande fragmentao das
atividades entre as diversas entidades relacionadas segurana da informao.
Esta fragmentao ocasionada principalmente devido dimenso continental da
empresa e da sua estrutura organizacional tambm bastante segmentada. sto pode
acarretar enormes dificuldades para o correto tratamento de incidentes,
principalmente quanto comunicao eficiente entre estas entidades. Por exemplo,
temos a equipe de Firewall da SUPRE (Superintendncia de Redes), o GRA (Grupo
de Resposta a Ataques) nternet tambm da SUPRE, o GRA ntranet da SUPT
(Superintendncia de Tecnologia da nformao), o CESE (Centro de Especializao
em Seguran-a) tambm da SUPT, a equipe de monitoramento da SUPCD
(Superintendncia de Centro de Dados), as equipes de segurana da SUPGL
(Superintendncia de Gesto Logstica), alm da Central de Atendimentos da
SUPGS (Superintendncia de Gesto se Servios), e outras entidades diversas.
Todas estas entidades realizam atividades distintas que envolvem o tratamento de
incidentes de segurana, e at mesmo atividades concorrentes. Muitas vezes, estas
atividades requerem cooperao entre as reas.
Para o tratamento de incidentes adequado, a Central de Atendimento da
SUPGS desempenha papel vital para o bom andamento dos processos, pois
responsvel por tratar, em primeiro nvel, incidentes diversos da empresa e de
muitos dos seus clientes. Mas, hoje em dia, estas equipes que executam o registro
61
dos incidentes na ferramenta de workflow
25
no so capacitadas para identificarem
quando um incidente est relacionado a questes de segurana da informao.
Muitas vezes incidentes de segurana so classificados erroneamente e so
encaminhados para equipes que no so responsveis pelo seu tratamento,
gerando diversos problemas em efeito domin. Como dito, o papel desta equipe de
atendimento de primeiro nvel vital, pois a correta identificao e priorizao de um
incidente de segurana so componentes necessrios ao tratamento adequado.
Percebe-se claramente que h uma grande preocupao quanto aos
incidentes de segurana na organizao, principalmente quanto s questes
relacionadas s redes de comunicao e os sistemas operacionais presentes nos
computadores das estaes de trabalho e servidores de aplicao. Contudo, apesar
de haver preocupao quanto codificao segura dos sistemas aplicativos, parece
inexistir qualquer processo formal de tratamento de incidentes de segurana
envolvendo a explorao de vulnerabilidades em aplicaes. No foram identificas
entidades responsveis pelo tratamento deste tipo de incidente na organizao. As
unidades organizacionais responsveis pela codificao de aplicaes no utilizam
diretamente a ferramenta de workflow, onde so registrados os incidentes e outras
atividades relacionadas ao modelo TL.
Dentre as demais unidades que desenvolvem atividades relacionadas ao
tratamento de incidentes de segurana, destacam-se o GRA nternet e o GRA
ntranet
26
, pois estes esto formalmente estabelecidos e so responsveis pela
maior quantidade de servios relacionados ao tratamento de incidentes de
segurana, inclusive a realizao das percias forenses.
,2. Os Gr:>$s (e Res>$s&a a A&aB:es

25Fluxo de Trabalho (workflow em ingls) a seqncia de passos necessrios para que se possa
atingir a automao de processos de um negcio de acordo com um conjunto de regras definidas.
Uma ferramenta workflow um software utilizado para apoiar esta automao.
26 uma rede de computadores privada onde se aplicam os conceitos relacionado a nternet.
62
O GRA nternet e o GRA ntranet so grupos nos moldes de um CSRT que atuam
sob a coordenao centralizada do CTGSD/CETEC, atuando, respectivamente, em
ambientes de redes pblicas e em ambientes de redes privadas. (GRA, 2005).
Estes grupos so formados por pessoas com experincia tcnica na rea de
redes de computadores, sistemas operacionais, aplicaes e servios. Sua criao
teve por objetivo proporcionar ao SERPRO "um grupo com perfil tcnico e
ferramentas adequadas pra o tratamento de incidentes de segurana causados por
tentativas de ataques e acessos indevidos aos sistemas, aplicaes e servios
mantidos pela organizao." (GRA, 2004).
Com a meta de "elevar o grau de segurana nos servios oferecidos pelo
SERPRO atravs do tratamento de incidentes de segurana (GRA, 2004), foi
estabelecido que o GRA deve estar:
[..] capacitado a desenvolver as seguintes aes, por ordem de prioridade:
coordenar o tratamento de incidentes a partir de um ponto central da
organizao; gerenciar por meio de ferramentas de monitorao da
segurana os sistemas, aplicaes, servios e rede, identificando de
maneira pr-ativa as causas e a extenso de incidentes de segurana;
determinar tendncias de ataques; aplicar freqentemente mecanismos de
avaliao de vulnerabilidades sobre os sistemas, aplicaes e servios, de
modo a detectar pontos de falha (hacker
27
tico); propor aes e
recomendaes para reduzir a vulnerabilidade de sistemas, aplicaes,
servios e da prpria rede; fornecer consultoria para as reas envolvidas no
desenvolvimento e produo de aplicaes utilizando as melhores prticas
de segurana disponveis; propor o uso de novas tecnologias e servios de
segurana que agreguem valor aos servios oferecidos pelo SERPRO;
interagir com grupos externos, visando apoio mtuo; assistir as reas
envolvidas no estabelecimento de uma cultura de segurana e na
capacitao de pessoal tcnico; apoiar o processo de educao da
comunidade, no sentido de aumentar o nvel de conscincia sobre
segurana. (GRA, 2004)
Quanto ao relacionamento com outros grupos, foi definido que:
O GRA interage com entidades externas para suprir as necessidades de:
apoio ao tratamento de incidentes com consultas as instituies CERT.BR,
NC.BR e provedores de backbone
28
internet (RNP, Embratel, Global One,
entre outras), atravs de listas de contatos e email; acionamento de
provedores / redes externas cujos registros de incidentes apontam
provenincia, atravs de mensagens de email encaminhadas aos
administradores de segurana, contendo histrico de registros e aes
emergenciais executadas em defesa dos servios. (GRA, 2004)
27 uma pessoa com grande conhecimentos tcnicos sobre computao e afins, sendo tambm
conhecido popularmente como aquela pessoa que invade um sistema de telefonia ou computadores.
28no contexto de redes de computadores, backbone designa canais de comunicao com grande
fluxo de dados e importncia para uma rede, sendo caracterizada, geralmente, por seu elevadssimo
desempenho.
63
De fato, o relacionamento do GRA nternet com grupos externos a
organizao existe, contudo no foi possvel identificar a eficincia da comunicao
e os benefcios da troca de informaes para o trabalho do GRA, uma vez que no
esto disponveis relatrios de atividades do grupo. Chamou-nos a ateno o fato do
fraco relacionamento entre o GRA nternet e o GRA ntranet, no existindo um
ambiente que facilite a troca de informaes e a execuo das atividades.
Na busca de realizar o tratamento de incidentes de segurana, o GRA dispe
de produtos de monitoramento e analise de intruso, ferramentas de avaliao de
vulnerabilidades e de quebra de segurana, bases de conhecimentos, infra-estrutura
diferenciada dos demais setores da organizao, entre outros.
O escopo de operaes do GRA abrange atividades que esto distribudas
em duas macro-atividades. Em primeiro, est a Resposta a ncidentes que inclui a
"triagem de informaes (obteno de informaes sobre incidentes e verificao de
informaes), a coordenao do incidente (categorizao da informao, e
coordenao) e a soluo do incidente (assistncia, erradicao, e recuperao)
(GRA, 2004). Em segundo, esto as atividades proativas que incluem:
[...] obteno de informaes e manuteno do banco de conhecimento,
anlise de novas ferramentas e tcnicas de invaso, educao e
treinamento, testes de vulnerabilidades e consultoria, participao em
eventos relativos segurana, e aperfeioamento dos processos e anlise
dos incidentes. (GRA, 2004)
Apesar de constar no rol das atividades proativas, os servios de educao,
treinamento e consultoria no esto elencados no portflio de servios do GRA, e
tambm no so notados na empresa.
Os servios do GRA que esto descritos em seu portflio (GRA, 2005) so: "a
publicao de alertas e recomendaes; o tratamento de incidentes de segurana
computacional; o tratamento de incidentes em situao de crise e grande eventos; a
anlise de vulnerabilidades; o tratamento de artefatos; a anlise de conformidades
de segurana computacional; a deteco de intruso; e a anlise forense.
O servio Tratamento de ncidentes de Segurana Computacional tem por
objetivo "prover o entendimento, mitigao e aplicar estratgias de resposta a
incidentes" (GRA, 2005). Este servio composto pelos seguintes processos:
"triagem, anlise do incidente e resposta ao incidente (GRA, 2005). Quanto
64
realizao deste servio, no foi possvel levantar a eficincia do mesmo, uma vez
que no esto disponveis quaisquer indicadores ou relatrios das atividades do
GRA. Apesar de no ser possvel realizar este levantamento, importante registrar
que no houve, nestes ltimos anos, incidentes de segurana na organizao de
grande.
O servio Tratamento de ncidentes em situao de crise e graves eventos
tem por objetivo retornar a normalidade dos servios prestados pela organizao.
Este servio composto pelos seguintes processos: "anlise do incidente, resposta
ao incidente e avaliao final do incidente (GRA, 2005). No foi possvel levantar a
eficincia quanto realizao deste servio, pois no esto disponveis relatrios de
atividades do GRA.
O servio Anlise de Vulnerabilidades tem por objetivo "identificar
vulnerabilidades e determinar as correes a serem aplicadas no ambiente
operacional, visando proteo dos servios" (GRA, 2005). Este servio composto
pelos seguintes processos: "anlise do ambiente computacional e de anlise do
ambiente computacional realizado por terceiros (GRA, 2005). possvel atestar a
efetividade parcial deste servio, uma vez que foi identificada a realizao da anlise
de vulnerabilidades em diversos sistemas e servidores de rede local por parte do
GRA ntranet. No foi possvel identificar a realizao dos mesmos procedimentos
para sistemas e servidores de rede das demais unidades organizacionais.
O servio Tratamento de Artefatos tem por objetivo "identificar o
comportamento malicioso de artefatos, para gerar controles e minimizar impactos no
ambiente computacional" (GRA, 2005). Este servio composto pelos seguintes
processos: "anlise superficial e anlise de execuo (GRA, 2005). Quanto
realizao deste servio, no foi possvel levantar a eficincia do mesmo, uma vez
que no esto disponveis quaisquer indicadores ou relatrios das atividades do
GRA. Tem-se conhecimento que este servio realizado pelo fornecedor da soluo
antivrus quando o artefato est relacionado ao sistema por ele vendido.
O servio Anlise de Conformidades de Segurana Computacional tem por
objetivos:
Realizar anlise de segurana fsica tentando identificar possveis pontos de
falhas que possam comprometer o acesso sala de servidores; Avaliar a
65
aplicao das polticas de backup e restore; identificar vulnerabilidades no
ambiente computacional; verificar nvel de atualizao de assinaturas do
antivrus corporativo. (GRA, 2005)
Este servio composto pelos seguintes processos: "agendar anlise de
conformidade com o cliente, realizar anlise de conformidade, preparar e enviar
relatrio". Quanto realizao deste servio, no foi possvel levantar a eficincia do
mesmo, uma vez que o GRA no fornece quaisquer indicadores ou relatrios de
suas atividades.
O servio Deteco de ntruso tem por objetivo "identificar comportamento
malicioso, anmalo ou que fira a poltica de segurana da organizao". (GRA,
2005). Este servio composto pelos seguintes processos: "monitoramento e
administrao de sensores" (GRA, 2005). Constata-se que a realizao deste
servio efetiva e se d por meio do constante monitoramento das redes do
SERPRO. Por exemplo, as equipes de desenvolvimento so notificadas quando os
PS (Sistemas de Preveno de ntruso) do GRA nternet alertam para tentativas de
ataque aos sistemas monitorados.
O servio Anlise Forense tem por objetivo a "procura e extrao de
evidncias que permitam a formulao de concluses para determinar a causa de
um incidente" (GRA, 2005). Este servio composto pelos seguintes processos:
"aquisio de evidncias, anlise forense de fraude bancria, anlise forense
preliminar, anlise forense completa. Por meio do conhecimento da existncia de
relatrios de anlise forense possvel atestar a existncia da prestao deste
servio, contudo ressalta-se a ineficincia do mesmo. O Servio de anlise forense
prejudicado pela falta de relacionamento adequado entre as unidades que tratam do
tratamento de eventos e incidentes de forma geral e as unidades que realizam o
tratamento de incidentes de segurana, tais como o GRA.
Diversas ferramentas so utilizadas pelo GRA na prestao dos seus
servios, dentre elas se destacam: Autospy, Encase, Snort, Nessus, Ethereal,
PSTools, entre diversas outras ferramentas de monitoramento, deteco de intruso,
preveno de intruso, anlise de vulnerabilidades, levantamento e anlise de
evidncias, consoles de gerncia, antivrus, etc.
66
,8 FORENSE COMPUTACIONAL
A preocupao com a preservao das evidncias e a realizao da forense
computacional deve ser uma constante em uma empresa de tecnologia da
informao. Por ser uma empresa pblica, essa preocupao deve ser reforada no
SERPRO, uma vez que existem mais implicaes legais quanto s questes de
segurana da informao. Por exemplo, para que ocorra a demisso de um
funcionrio, envolvido em um incidente de segurana grave, preciso que este
passe por um PAD (Processo Administrativo Disciplinar) que inclui o contraditrio e a
ampla defesa. Para que as provas sejam admitidas neste processo, necessrio
que elas sejam revestidas de legalidade. Logo, a realizao de uma forense
computacional essencial nesta questo.
As necessidades do processo de forense computacional do SERPRO esto
definidas no PSS (SERPRO, 2007) como:
dentificar o tipo do incidente de tecnologia de informao e comunicao,
se intencional ou acidental, em ativos da empresa ou de seus clientes;
identificar as vulnerabilidades que provocaram o incidente; integrar
efetivamente as aes do ciclo de segurana, delineado na Linha do Tempo,
retro-alimentando os eventos de preveno e deteco mediante as
vulnerabilidades identificadas na investigao.
Assim define o PSS: no SERPRO,
[...] os eventos de segurana em ambiente de TC sero tratados
formalmente, usando ferramentas de tecnologia apropriadas investigao
do incidente e os procedimentos legais, visando sustentar a iseno das
provas e a legalidade dos procedimentos. (SERPRO, 2007)
definido na PCS (Poltica Corporativa de Segurana da nformao) que:
As violaes de segurana devem ser registradas e os registros protegidos
de forma adequada. As aes adotadas nos processos investigativos devem
garantir a preservao, restaurao e anlise de evidncias, visando
garantir provas do incidente e construir uma correlao de evidncias, a fim
de fundamentar legalmente a ocorrncia ou no de delito. (SERPRO,
2008c)
A fim de definir os procedimentos e os controles necessrios ao processo
forense computacional, o SERPRO elaborou a norma SG/009 (Processo Forense
Computacional do SERPRO). "Esta norma est respaldada pelo Programa de
67
Segurana do SERPRO (PSS) e alinhada a ABNT NBR SO/EC 17799/2005 e
SO/EC DTR 18044:2003." (SERPRO, 2006).
Define a norma: "haver investigao no contexto da forense computacional
sempre que existir indcios de incidente de segurana com impacto no objeto de
negcio do SERPRO e de seus clientes. (SERPRO, 2006).
A investigao do processo forense computacional dever ocorrer em
estreita observncia aos preceitos constitucionais, legais e organizacionais
e ser classificada com o grau de sigilo reservado ou de acordo com
definio da autoridade competente, observada a Norma de Classificao
de Ativos de nformao do SERPRO, SG-005/2005. (SERPRO, 2006)
A norma de Forense Computacional do SERPRO merece elogios. Ela define
bem o processo de realizao de uma forense computacional, abordando a
identificao de incidentes, a notificao de incidentes, o atendimento a incidentes, e
medidas prvias de preservao de evidncias, a preservao de evidncias, os
procedimentos de investigao, os procedimentos de investigao para fraudes
bancrias, a formao da cadeia de evidncia, a legalidade da evidncia, o
laboratrio de analise forense e a confeco de relatrios. uma norma bastante
completa, com diversos anexos que exemplificam termos e relatrios necessrios
para a correta realizao da analise forense. O processo de forense est muito bem
descrito na norma e um diagrama de fluxos pode ser encontrado em seu anexo 1.
Apesar de a norma ter sido muito bem elaborada, ela no de conhecimento
de todo o corpo tcnico que trata incidentes de segurana, inclusive dos membros
do GRA que so os responsveis diretos pela realizao das atividades de forense
computacional na organizao. A divulgao da norma tem sido falha.
A responsabilidade pela realizao das anlises forenses foi atribuda ao
GRA. O GRA possui equipe tcnica operacional qualificada, ainda que em nmero
bastante reduzido, para realizao das atividades tcnicas de uma forense. Alm do
nmero reduzido de membros da equipe qualificada, estes esto concentrados nas
unidades regionais de Braslia, So Paulo e Recife, gerando dificuldades para
realizao de atividades nas demais regionais da empresa.
Em sua unidade regional de Braslia, a empresa possui um laboratrio para
realizao de anlises forenses de artefatos. Foram adquiridas ferramentas de
software e hardware especficos para realizao destas atividades.
68
,, INDICADORES E RESULTADOS OBTIDOS
Os ndicadores de segurana da informao se constituem num elemento
fundamental para o acompanhamento da segurana no SERPRO. Os
indicadores podem ser operacionais, tticos ou estratgico e sua anlise
permitir aes corretivas, conforme o caso. (SERPRO, 2007)
Apesar da preocupao em mostrar a importncia de indicadores de
segurana em seu Programa de Segurana, o SERPRO no implementa
indicadores de maneira adequada. S foi possvel identificar o indicador de
segurana que aponta para a quantidade de dias sem o registro de uma crise de
vrus.
Levando em considerao que a principal fonte para fornecimento de
indicadores de incidentes no mbito da segurana seja o CSRT, o SERPRO no
define a publicao de indicadores por parte do GRA. Determina apenas que "o
processo de divulgao de informaes quanto ocorrncia de incidentes deve
preservar o sigilo no tratamento dos dados e a privacidade do cliente (GRA, 2004).
Levando em considerao a preocupao com classificao das informaes, a
criao de indicadores de forma genrica atenderia tanto a este requisito, quanto a
anlise da efetividade das atividades desempenhadas pela empresa no combate aos
incidentes de segurana.
Um indicador contendo apenas o quantitativo de incidentes registrados em
determinado perodo seria suficiente, por exemplo, para obter um comparativo entre
o registro de incidentes de forma geral na central de atendimentos, com a
porcentagem daqueles que envolvam segurana. Tal informao enriquece a
criao de campanhas de educao e treinamento. J a distino entre indicadores
quantitativos e indicadores qualitativos poderia dar suporte a justifica de
investimentos em ferramentas e pessoal especializado em tratamento de incidentes
de segurana.
Tambm no foi possvel identificar os resultados obtidos com o
desenvolvimento processos, normas e grupos quanto o tratamento de incidentes de
69
segurana, pois no foi possvel ter acesso a qualquer relatrio de atividades
desenvolvidas.
,; IDENTIFICA/0O DE MEL#ORIAS
A partir da anlise de estudo de caso presente captulo, foi possvel identificar
alguns pontos de melhorias no processo de tratamento de incidentes de forma geral.
Cabe ressaltar que os pontos aqui colocados foram identificados como deficincias
atravs da anlise de documentos e normas acessveis ao pblico interno da
organizao SERPRO, alm de levantamentos de campo. possvel que algumas
sugestes de melhorias j tenham sido vislumbradas ou at mesmo desenvolvidas
adequadamente na organizao mas que no divulgao.
De forma a sistematizar a realizao do estudo de caso, foi criada uma matriz
de pontos de controle (presente no apndice A) contendo as melhores prticas
identificados atravs da pesquisa bibliogrfica. Os pontos de controle foram ento
confrontados com as informaes presentes nas normas e documentos corporativos
relacionadas ao tema. Tambm foram realizados levantamentos empricos e
consultas a um dos responsveis pela implantao dos processos de segurana da
informao na empresa, que, atualmente, um dos representantes da
CTGSD/CETEC.
Como resultado desta atividade, percebe-se a necessidade da implementao
das seguintes sugestes de melhorias:
ncluso de informaes no PSS, tais como: a integrao deste com os
demais programas corporativos e a descrio dos indicadores de segurana;
A organizao possui diversas entidades envolvidas com o tratamento de
incidentes de segurana. aconselhvel uma reviso completa da estrutura
organizacional buscando identificar todas as entidades envolvidas e
aperfeioar seus relacionamentos. A busca por um melhor relacionamento
entre as entidades tem por objetivo otimizar os recursos empregados e tornar
70
eficiente os processos de tratamento de incidentes. A grande quantidade de
entes envolvidos gera dificuldades principalmente quanto comunicao
eficiente, to necessria ao correto tratamento de um incidente de segurana.
Deve-se tambm eliminar a realizao de atividades concorrentes e o garantir
a troca de informaes, consolidando as bases de conhecimentos dispersas;
Estabelecer uma eficiente coordenao entre estas entidades, para isto
necessrio que a unidade organizacional (o Departamento de Tecnologia da
Segurana atualmente) responsvel por esta coordenao seja abastecida
com informaes acerca dos incidentes por meio de indicadores;
Manuteno de polticas e normas quanto ao desenvolvimento de aplicaes,
orientando a codificao segura de sistemas aplicativos;
niciativas para o efetivo tratamento de incidentes de segurana em sistemas
desenvolvidos pela empresa;
As equipes que tratam do primeiro registro dos incidentes na ferramenta de
workflow devem ser qualificadas para que possam identificar e priorizar
corretamente incidentes relacionados a segurana da informao. Pois,
percebe-se que, hoje em dia, a identificao e priorizao no so
corretamente realizadas;
Atualizao dos documentos relacionados estruturao do GRA e de seu
portflio de servios. Atualizao para a nova estrutura organizacional da
empresa;
Ampla divulgao do portflio de servios do GRA para a comunidade que ele
d suporte;
Criao de um grupo de trabalho ou de uma rea dedicada forense
computacional, visando um melhor preparo dos profissionais, com o devido
conhecimento sobre os processos e normas da empresa, legislao vigente,
certificaes especficas e conhecimento adequado de ferramentas e tcnicas
forenses. Alm disso, dedicao dos profissionais a este processo na
71
organizao. Atualmente, Os membros do GRA atuam como um grupo de
temporrio para a realizao de anlises forenses, atuando quando h um
incidente de segurana que necessite da realizao deste tipo de anlise.
Devido ao nmero bastante reduzido de membros no GRA e de sua
localizao geogrfica exclusiva as regies de Braslia, So Paulo e Recife,
as atividades de anlises forenses deveriam ser estendidas a outros
membros da organizao que tambm fossem qualificados a realizar as
atividades relacionadas. A viabilizao desta extenso poderia ser realizada
atravs da formalizao de um grupo de trabalho perene compostos por
funcionrios das mais diversas unidades organizacionais e dispersos nas
regionais da empresa. Desta forma, consultores do setor jurdico tambm
poderiam ser includos nesse grupo de trabalho. Os membros deste grupo de
trabalho poderiam ser qualificados e certificados e a eles garantidos pontos
no sistema de progresso na carreira;
Treinamento adequado para o corpo tcnico da empresa que trata os
incidentes de segurana, buscando o alinhamento dos princpios da forense
computacional ao tratamento de incidentes;
nvestimentos para obteno de certificaes relacionadas resposta de
incidentes e a forense computacional pelas equipes tcnicas responsveis
pelo tratamento de incidentes;
Ampla divulgao da norma de forense computacional para os responsveis
diretos pelo tratamento de incidentes de segurana;
Atualizao da norma de forense computacional para refletir em seus
processos e fluxos a nova estrutura organizacional da empresa.
Baseado nos documentos e informaes disponveis, no foi possvel
identificar a efetividade de alguns processos relacionados ao tratamento de
incidentes de segurana na organizao SERPRO. Por este motivo, os itens abaixo
so sugeridos como melhorias ao processo de tratamento de incidentes de
segurana. So eles:
72
Estabelecimento de padres de logs de segurana;
Formalizao e definio de exemplos de incidentes de segurana nos
Acordos de Nveis de Servios da organizao com os seus clientes;
Composio dos grupos de tratamento de incidentes por pessoas
certificaes relacionadas ao tema;
Amplo conhecimento dos membros do CSRT da estrutura da organizao e
das necessidades do ambiente em que o grupo opera;
Aperfeioamento constante e ampliao dos Servios Proativos;
Conhecimento adequado da equipe do CSRT sobre ferramentas e tcnicas
anti6forensics;
Definio de polticas, guias e procedimentos para o uso de ferramentas e
tcnicas anti6forensics.
73
; CONCLUS0O
Neste trabalho, explorou-se os conceitos e prticas relacionadas ao tratamento de
incidentes de segurana. Ressaltando a importncia que o tema tem para as
organizaes modernas, mostrou-se que o planejamento e preparao so vitais na
busca por vencer o desafio de proteger recursos valiosos das organizaes.
As recomendaes levantadas mostram que conhecimentos tcnicos,
comunicao eficiente e coordenao de esforos so requisitos obrigatrios para
as empresas que querem lidar com as questes da segurana da informao.
Muitas entidades se esforam para conceber modelos que permitam as
organizaes adotar as prticas do tratamento de incidentes de forma mais
organizada. Neste sentido, buscou-se demonstrar a maneira pelas quais estas
entidades abordam a problemtica. CERT/CC, SO, SANS, CAS/RNP e NST foram
algumas das entidades que tiveram suas publicaes estudadas e citadas, alm
diversos autores e o TL. Mas, apesar destes esforos, nem sempre adequado
aplicar modelos pr-estabelecidos para o tratamento de incidentes de segurana,
pois h caractersticas peculiares a cada empresa.
Dentre a diversidade de recomendaes, a criao de um Grupo de Resposta
a ncidentes ou CSRT, como comumente conhecido, uma das prticas que a
maioria das organizaes reconhecem e vem sendo includa em suas estratgias.
Ento, destacou-se as caractersticas necessrias a formao de um grupo efetivo,
que no se limite a prestar somente servios reativos e que tambm atenda as
necessidades de comunicao eficiente para um bom relacionamento com outros
grupos.
A importncia da anlise forense computacional tambm foi evidenciada. A
relao entre os processos da forense computacional e as necessidades do
tratamento de incidentes apresenta diversas consideraes e entend-las vital
para agir em resposta a um cybercrime ou um incidente que necessite de
74
investigao. ntegrar os processos de anlise forense e tratamento de incidentes
chave para o sucesso das organizaes em sua busca pela proteo.
As recomendaes foram compiladas e reunidas na forma de pontos de
controles, constantes na tabela do Apndice A. Esta forma de trabalhar a
conformidade com as prticas de tratamento de incidentes original, no sendo
encontrada em nenhuma das referncias estudadas. Estes pontos de controle
podem ser usados no s como itens para verificao de conformidade, mas
tambm como indicaes de atividades a serem desenvolvidas para o
estabelecimento do tratamento de incidentes nas mais diversas organizaes.
Atravs do estudo de caso, foi possvel constatar que o SERPRO uma das
instituies pioneiras na implementao de mecanismos de controle relacionados
segurana da informao, como tambm no estabelecimento de processos e grupos
para o tratamento de incidentes no setor pblico. Apesar da falta de indicadores
adequados e relatrios de atividades, constata-se que o tratamento de incidentes de
segurana realizado em um bom nvel.
Constatou-se que o SERPRO possui seus processos de tratamento de
incidentes de segurana bastante estruturados, mas que precisam ser revisados e
mantidos de forma mais sistemtica. Na organizao, a identificao, controle,
resposta, mitigao e investigao de incidentes esto respaldadas por um
arcabouo de processos, normas e polticas corporativas, alm de infra-estrutura de
equipamentos e ferramentas especficas.
Por fim, o trabalho alcanou seu objetivo especfico de mencionar melhorias
para o processo de tratamento de incidentes de segurana e, portanto, algumas
sugestes contribuiro para o constante aprimoramento dos servios, sistemas e
processos do SERPRO.
75
REFERFNCIAS BIBLIOGRFICAS
ABNT - ASSOCAO BRASLERA DE NORMAS TCNCAS. TGc-'cas (e
Se):ra-5a - S's&e%as (e Ges&6$ (e Se):ra-5a (a I-4$r%a56$ - ReB:'s'&$s.
NBR SO/EC 27001, 2006.
ALBERTS, C.; DOROFEE, A.; KLLCRECE, G.; RUEFLE, R.; ZAJCEK, M. De4'-'-)
I-c'(e-& Ma-a)e%e-& Pr$cesses 4$r CSIRTs: A Work in Progress. CMU/SE-2004-
TR-015. Carnegie Mellon University, 2004.
BOWEN, P.; HASH, J.; WLSON, M. I-4$r%a&'$- Sec:r'&H #a-(!$$I: A Guide for
Managers. Recommendations of the NST - National nstitute of Standards and
Technology, 2006.
BREZNSK, D.; KLLALEA, T. G:'(el'-es 4$r Ev'(e-ce C$llec&'$- a-( Arch'v'-).
RFC 3227. The nternet Engineering Task Force, 2002.
CASEY, E. D')'&al Ev'(e-ce a-( C$%>:&er Cr'%e. Academic Press, 2004.
CAZEMER, J. A.; OVERBEEK, P. L.; PETERS, L. M. Bes& Prac&'ce 4$r Sec:r'&H
Ma-a)e%e-& - ITIL. Office of Government Commerce, Stationery Office. 9. ed.
London: TSO, 2004.
CERT.br. Pr9&'cas (e Se):ra-5a >ara A(%'-'s&ra($res (e Re(es I-&er-e&.
Verso 1.2, 2003. Disponvel em: <http://www.cert.br/docs/seg-admredes/seg-adm-
redes.html>. Acessado em: 05 mar. 2008.
CERT/CC. Crea&'-) a C$%>:&er Sec:r'&H I-c'(e-& Res>$-se Tea%: A Pr$cess
4$r Ge&&'-) S&ar&e(. Carnegie Mellon University, 2006. Disponvel em:
<http://www.cert.org/csirts/Creating-A-CSRT.html>. Acessado em: 10 fev. 2008.
CERT/CC. CSIRT FreB:e-&lH AsIe( J:es&'$-s. Carnegie Mellon University, 2007.
Disponvel em <http://www.cert.org/csirts/csirt_faq.html> . Acessado em: 01 mar.
2008.
DOROFEE, A.; KLLCRECE, G.; RUEFLE, R.; ZAJCEK, M. I-c'(e-& Ma-a)e%e-&
Ca>a!'l'&H Me&r'cs. CERT Program. Verso 0.1. Carnegie Mellon, 2007.
GRA. Es&r:&:ra56$ ($ Gr:>$ (e Res>$s&a a A&aB:es KGRAL. SERPRO - Servio
Federal de Processamento de Dados, 2004.
GRA. P$r&4Dl'$ (e Serv'5$s ($s Gr:>$s (e Res>$s&a a A&aB:es I-&ra-e& e
I-&er-e&. Verso 0.1. SERPRO - Servio Federal de Processamento de Dados,
2005.
GRANCE, T.; KENT, K.; KM, B. C$%>:&er Sec:r'&H I-c'(e-& #a-(l'-) G:'(e.
Recommendations of the NST - National nstitute of Standards and Technology.
Special Publication 800-61, 2004.
76
HARRS, S. CISSP All-'--O-e ECa% G:'(e. 3. ed. McGraw-Hill Osborne Media,
2005.
HOUASS, A. D'c'$-9r'$ #$:a'ss (a L?-):a P$r&:):esa. 1. ed. Editora Objetiva,
2001.
SO. Sec:r'&H &ech-'B:es - I-4$r%a&'$- sec:r'&H '-c'(e-& Ma-a)e%e-&.
nternational Organization for Standardization. SO/EC TR 18044, 2004.
KANELLS, P. D')'&al Cr'%e a-( F$re-s'c Sc'e-ce '- CH!ers>ace. dea Group
nc., 2006.
KENT, K.; CHEVALER, S.; GRANCE, T.; DANG, H. G:'(e &$ I-&e)ra&'-) F$re-s'c
Tech-'B:es '-&$ I-c'(e-& Res>$-se. NST Special Publication 800-86, 2006.
MELL, P.; KENT, K.; NUSBAUM, J. G:'(e &$ MalMare I-c'(e-& Preve-&'$- a-(
#a-(l'-). Recommendations of the NST - National nstitute of Standards and
Technology. Special Publication 800-83, 2005.
SCHWETZER, D. I-c'(e-& Res>$-se: Computer Forensics Toolkit. Wiley
Publishing, nc, 2003.
SERPRO. C$%>$-e-&es Es&ra&G)'c$s. Servio Federal de Processamento de
Dados, 2008a. Disponvel em:
<http://www.serpro.gov.br/instituicao/quem/componentes>. Acessado em: 01 mar.
2008.
SERPRO. L'-has (e Ne)Dc'$ - Se):ra-5a. Servio Federal de Processamento de
Dados, 2008b. Disponvel em
<http://www.serpro.gov.br/negocios/linhas/seguranca>. Acessado em: 01 mar. 2008.
SERPRO. N$r%a SG/NNO - Pr$cess$ F$re-se C$%>:&ac'$-al ($ SERPRO.
Verso 1. SERPRO - Servio Federal de Processamento de Dados, 2006.
SERPRO. PCSI - P$l?&'ca C$r>$ra&'va (e Se):ra-5a (a I-4$r%a56$. Servio
Federal de Processamento de Dados, 2008c.
SERPRO. PSS - Pr$)ra%a (e Se):ra-5a ($ SERPRO. Verso 5.1. Servio
Federal de Processamento de Dados, 2007.
SHREY, R. W. I-&er-e& Sec:r'&H Gl$ssarH. RFC2828. The nternet Engineering
Task Force, 2000.
US DoJ. The Elec&r$-'c Fr$-&'er: The Challenge of Unlawful Conduct nvolving the
Use of the nternet. Departament of Justice, 2000. Disponvel em:
<http://www.usdoj.gov/criminal/cybercrime/unlawful.htm>. Acessado em: 12 fev.
2008.
WEST-BROWN, M. J.; STKVOORT, D.; KOSSAKOWSK, K.; KLLCRECE, G.;
RUEFLE, R.; ZAJCEK, M. #a-(!$$I 4$r C$%>:&er Sec:r'&H I-c'(e-& Res>$-se
Tea%s KCSIRTsL. 2. ed. Carnegie Mellon University, 2003.
77
WYK, K. R. V.; FORNO, R. I-c'(e-& Res>$-se. 1. ed. Sebastopol: O'Reilly, 2001.
78
APFNDICE A
Pontos de Controles elaborados a partir das melhores prticas identificadas acerca
do tema "Tratamento de ncidentes de Segurana para sua utilizao no Estudo de
Caso.
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
. Tra&a%e-&$ (e I-c'(e-&es (e Se):ra-5a
1.1 Unidades da organizao desenvolvendo
processos focados na segurana.
1.1 Diversos entes da organizao realizam
atividades relacionadas segurana da
informao. Os maiores resultados so
percebidos nas unidades de infra-estrutura.
Existncia de diversas aes para tratar a
segurana no desenvolvimento de sistemas.
1.2 Estabelecimento e implementao de um
Sistema de Gesto de Segurana da nformao
(SGS) de acordo com a norma NBR SO/EC
27001:2006.
1.2 Um processo da organizao certificado
SSO 27001. Trata-se do Centro de Certificao
Digital.
1.3 Estabelecimento e implementao de um
processo de Resposta a ncidentes.
1.3.1 dentificao.
1.3.2 Coordenao.
1.3.3 Mitigao.
1.3.4 nvestigao.
1.3.5 Educao (lies aprendidas).
1.3 O processo de tratamento de incidentes
baseado fortemente nas melhores prticas do
TL. realizado de forma ampla, permeando
diversos entes da organizao e tratando tanto
incidentes de segurana quanto incidentes de um
modo geral, de acordo com a definio do TL.
utilizada ferramenta de workflow, mas nem todas
as unidades utilizam este processo.
1.3.1 Aps a notificao e registro dos incidentes
atravs da Central de Atendimento, os incidentes
identificados como relativos a segurana so
encaminhados para as reas responsveis por
trat-lo.
1.3.1 Existe tambm a identificao e notificao
automatizada atravs da utilizao de
ferramentas como os sistemas de preveno a
intruso. Nestes casos, os responsveis pelo
tratamento do incidente so notificados
automaticamente. De acordo com o portflio de
servios do GRA, tambm so realizadas
notificaes atravs de email, bip e telefones.
1.3.2 De acordo com as normas coorporativas, a
coordenao fica a cargo do Departamento de
Tecnologia da Segurana.
1.3.3 H na organizao diversas normas que
tratam da segurana da informao e diversos
controles so empregados. Estes controles
atuam na mitigao de diversas maneiras.
79
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
1.3.4 Conforme a norma de forense
computacional (SERPRO, 2006) "haver
investigao no contexto da forense
computacional sempre que existir indcios de
incidente de segurana com impacto no objeto de
negcio do SERPRO e de seus clientes..
1.3.5. A educao est prevista nas metas do
GRA em seu documento de Estruturao: "apoiar
o processo de educao da comunidade no
sentido de aumentar o nvel de conscincia sobre
segurana.
1.4 Estabelecimento de processos para o
Tratamento de ncidentes.
1.4.1 Centralizao do tratamento e notificao
de incidentes de segurana.
1.4.2 Conscientizao dos usurios.
1.4.3 Definio de processos de preveno,
deteco, conteno, eliminao e investigao.
1.4.4 Utilizao de softwares de automao.
1.4. Como citado no item anterior, o processo de
tratamento de incidentes baseado fortemente
nas melhores prticas do TL. realizado de
forma ampla, permeando diversos entes da
organizao e tratando tanto incidentes de
segurana quanto incidentes de um modo geral,
de acordo com a definio do TL. utilizada
ferramenta de workflow, mas nem todas as
unidades utilizam este processo.
1.4.1. A Centralizao est prevista como meta
do GRA em seu Documento de Estruturao.
Contudo so diversas as reas da organizao
que tratam informalmente os incidentes de
segurana sem o envolvimento do GRA. A
notificao , vida de regra, realizada por meio da
Central de Atendimento baseada no modelo TL.
Mas existe a possibilidade de notificao
automtica para os envolvidos com o tratamento
de incidentes diretamente atravs de ferramentas
automatizadas.
1.4.2. A organizao j realizou e continua
realizando diversas iniciativas de conscientizao
do usurio, desde cursos na modalidade de
ensino a distncia realizao de eventos como
fruns, palestras, etc.
1.4.3. Este item est previsto no Documento de
Estruturao do GRA e descrito em seu Portflio
de Servios.
1.4.4. Este item est previsto no Documento de
Estruturao do GRA e descrito em seu Portflio
de Servios.
1.5 Notificao de Eventos e ncidentes.
1.5.1 Agilidade na notificao dos envolvidos.
1.5.2 Monitoramento contnuo da rede e
sistemas.
1.5.3 nstalao de dispositivos ou softwares para
deteco de ataques nos sistemas mais crticos.
1.5.4 Estabelecimento de responsabilidades,
processos e procedimentos.
1.5.1. Quando a notificao no realizada de
forma automatizada, a sua agilidade
comprometida devido a problemas na
identificao, classificao e priorizao dos
diversos tipos de incidentes de que so relatados
a Central de Atendimento da organizao.
1.5.2. O monitoramento contnuo est presente
nas diversas redes administradas pela equipe
operacional da organizao. Utiliza-se de
softwares especficos para monitoramento.
80
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
1.5.5 Notificao de incidentes de segurana ao
Security !fficer.
1.5.3. Os sistemas de deteco de ataques esto
presentes. Devido a enorme quantidade de
sistemas, no foi possvel avaliar se todos os
sistemas crticos esto cobertos por essa
proteo.
1.5.4. O estabelecimento de responsabilidades e
processos est presente no documento de
Estruturao do GRA e em seu Portflio de
Servios. Guias de procedimentos detalhados
acerca do tema no foram encontrados.
1.5.5. A notificao ocorre ainda que de forma
no otimizada, uma vez que no h indcios da
utilizao de indicadores automatizados.
1.6 Categorizao e Triagem de ncidentes.
1.6.1 Classificao de acordo com nvel de
severidade.
1.6. A categorizao e triagem de incidentes so
comumente realizadas na central de atendimento.
Nem sempre estes procedimentos so realizados
a contento.
1.6.1 Classificao realizada por meio de roteiros
interpretados pela equipe da Central de
Atendimento conforme modelo TL.
1.7 Priorizao de ncidentes
1.7.1 Priorizao de acordo com efeito tcnico e
potencial do incidente, e criticidade dos recursos
afetados.
1.7.1. A priorizao existe e realizada, ainda
que informalmente, de acordo com a importncia
do cliente, dando nfase ao impacto poltico nos
negcios da organizao. O Potencial do
incidente e a criticidade dos recursos tambm
so avaliados.
1.8 Anlise de ncidentes
1.8.1 Estabelecimento de padres de logs&
1.8.2 Efetividade em determinar o escopo do
incidente e as vulnerabilidades exploradas.
1.8. A anlise de incidentes est prevista no
Portflio de Servios do GRA.
1.8.1. No foram encontrados indcios de
documentos formais referentes a padronizao
de logs. Sabe-se da existncia de projeto para
centralizao de logs para algumas reas da
organizao, que por sua vez ajuda na
padronizao destes registros.
1.8.2. No foi possvel avaliar a efetividade.
1.9 Documentao de ncidentes.
1.9.1 Registros sobre o estado do incidente e
demais informaes pertinentes ao incidente.
1.9.2 Formalizao e exemplos de incidentes de
segurana no Acordo de Nveis de Servios.
1.9. A documentao normalmente realizada
por meio de ferramenta de workflow, que
alimenta um importante banco de dados acerca
dos incidentes enfrentados pela organizao.
1.9.1. tem em conformidade.
1.9.2. No foi possvel levantar a conformidade
deste item. O SERPRO mantm muitos acordos
de nveis de servios com suas dezenas de
clientes.
1.10 Deteno, Erradicao e Recuperao.
1.10.1 Definio de riscos aceitveis
relacionados a incidentes de segurana
1.10.1. O SERPRO adota a metodologia de
gesto de riscos de segurana (GRS) que avalia
os riscos de acordo com as vulnerabilidades e
ameaas relacionadas a incidentes.
81
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
1.10.2 Desenvolvimento e documentao de
estratgias de deteno.
1.10.2. A empresa desenvolve diversas
estratgias de deteno, mas nem sempre estas
so documentadas formalmente.
1.11 Mitigao de Vulnerabilidades.
1.11.1 Definio de controles
1.11.2 Estabelecimento de um programa de
gerenciamento de riscos.
1.11.3 Coleta de informaes sobre novas
vulnerabilidades e ameaas atravs de fontes
confiveis, como boletins de CSRT e
fornecedores de produtos para segurana.
1.11.4 Estabelecimento de mecanismos de
avaliao de novas vulnerabilidades e
informaes sobre ameaas.
1.11. A GRS resulta na definio de controles
que sero adotados para minimizar ou eliminar os
riscos decorrentes de ameaas e
vulnerabilidades. A anlise de vulnerabilidades
est prevista no Portflio de Servios do GRA.
1.11.1. Em conformidade. Adota normas de
referncia.
1.11.2. Como dito anteriormente, um programa
de gerenciamento de riscos implantado
corporativamente.
1.11.3. Em conformidade. Relacionamento do
GRA com outros CSRTs e fornecedores de
solues de rede.
1.11.4. A avaliao de vulnerabilidades um
servio comumente realizado pelo GRA. Neste
sentido, utiliza-se de softwares atualizados com
as ultimas informaes sobre as novas ameaas
conhecidas.
1.12 Poltica de Segurana
1.12.1 Estabelecimento de polticas de
segurana.
1.12.2 Reviso peridica das polticas,
contemplando novas ameaas apontadas pelas
avaliaes de riscos realizadas, boletins de
segurana e direcionamento dos negcios da
organizao.
1.12.1. O SERPRO possui uma poltica de
segurana corporativa muito bem definida e
estabelecida, baseada em normas de referncia.
1.12.2. A poltica revisada periodicamente. O
documento de estruturao do GRA prev
assessoria aos entes da organizao
responsveis por elaborar as polticas de
segurana da empresa.
1.13 Conscientizao
1.13.1 Programa de treinamento e
conscientizao dos usurios quanto polticas e
procedimentos de uso apropriado de redes,
sistemas e aplicaes.
1.13.2 Treinamentos para as equipes de T, de
forma que possam manter as redes, sistemas e
aplicaes de acordo com os padres de
segurana da organizao.
1.13.1. O SERPRO realizou em 2007 uma
campanha de conscientizao em segurana
abrangendo diversos tpicos. Foram realizados
treinamentos em segurana bsica e
classificao da informao nas modalidades de
ensino a distncia e presencial.
1.13.2. As equipes tcnicas da organizao so
estimuladas a desenvolverem suas capacidades,
bem como participam de cursos e eventos.
1.14. Lies Aprendidas.
1.14.1 Definio de indicadores que possam
quantificar, qualificar e monitorar os incidentes de
segurana.
1.14. Nas revises da poltica so consideradas
as lies aprendidas.
1.14.1. No existem indicadores especficos para
incidentes de segurana de forma ampla. O
documento de estruturao prev a utilizao de
uma base de conhecimentos com histrico de
eventos, ferramentas utilizadas e indicadores. Os
indicadores de incidentes de segurana no so
publicados pelo GRA.
1 Gr:>$ (e Tra&a%e-&$ (e I-c'(e-&es (e Se):ra-5a P CSIRT
82
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
2.1 Estrutura e organizao do CSRT
2.1.1 Procedimentos de tratamento de incidentes
documentados.
2.1.2 nstalado de forma em que possa melhor
dar suporte s unidades de negcio.
2.1.3 Aprovao da administrao da
organizao e autoridade para realizar o trabalho
requerido.
2.1.4 Sustentao das operaes e autoridade do
CSRT.
2.1.5 Time com habilidades tcnicas e pessoais,
e certificaes voltadas ao tratamento de
incidentes de segurana.
2.1.6 Conhecimento do CSRT da estrutura da
organizao e as necessidades do ambiente em
que o grupo opera.
2.1.7 Postura que o CSRT possui em relao ao
gerenciamento de riscos do ambiente em que o
grupo opera.
2.1. O SERPRO estabeleceu em 1999 o grupo de
tratamento de incidentes e reposta a ataques, em
conformidade com as orientaes do AUSCERT
e CERT/CC. A estrutura e organizao do GRA
est descrita em documento de estruturao
prprio.
2.1.1. No foi possvel identificar a conformidade
com este item.
2.1.2. O GRA tem foco nas questes tcnicas
operacionais das redes de computadores que
monitora.
2.1.3. Em conformidade.
2.1.4. Em conformidade. O documento de
estruturao cita que as operaes do GRA so
de ordem corporativa.
2.1.5. Equipes com boa qualidade tcnica. No
foi possvel avaliar habilidades pessoais e a
obteno de certificaes. O documento de
estruturao do GRA prev perfil tcnico
adequado para o tratamento de incidentes, porm
o documento no faz referncias s certificaes.
2.1.6. No foi possvel avaliar a conformidade
com este item.
2.1.7. Membros do GRA so participantes
freqentes nas avaliaes de riscos.
2.2 Servios do CSRT
2.2.1 Servios Reativos: Alertas e Advertncias.
2.2.2 Servios Reativos: Resposta a ncidentes.
2.2.3 Servios Reativos: Tratamento de
Vulnerabilidades.
2.2.4 Servios Reativos: Tratamento de Artefatos.
2.2.5 Servios Proativos: Avisos e Anncios.
2.2.6 Servios Proativos: Acompanhamento das
Tecnologias.
2.2.7 Servios Proativos: Auditoria e Avaliao da
Segurana.
2.2.8 Servios Proativos: Configurao e
Manuteno de Ferramentas de Segurana,
aplicaes e infra-estrutura.
2.2.9 Servios Proativos: Desenvolvimento de
Ferramentas de Segurana.
2.2.10 Servios Proativos: Servios de Deteco
de Ataques.
2.2.11 Servios Proativos: Disseminao de
nformaes relativas Segurana.
2.2. Os servios do GRA esto previstos e
formalizados em documento prprio.
2.2.1. Servio constante no portflio de servios
mas no foi possvel identificar sua efetividade.
2.2.2. Servio constante no portflio de servios
mas no foi possvel levantar a eficincia quanto
realizao deste servio, pois no esto
disponveis relatrios de atividades do GRA.
2.2.3. possvel atestar a efetividade parcial
deste servio, uma vez que foi identificada a
realizao da anlise de vulnerabilidades em
diversos sistemas e servidores de rede local por
parte do GRA ntranet. No foi possvel identificar
a realizao dos mesmos procedimentos para
sistemas e servidores de rede das demais
unidades organizacionais.
2.2.4. No foi possvel levantar a eficincia do
mesmo, uma vez que no esto disponveis
quaisquer indicadores ou relatrios das
atividades do GRA. Tem-se conhecimento que
este servio realizado pelo fornecedor da
soluo antivrus quando o artefato est
relacionado ao sistema por ele vendido.
83
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
2.2.12 Gerenciamento da Qualidade: Anlise de
Riscos.
2.2.13 Gerenciamento da Qualidade: Plano de
Continuidade de Negcios e Plano de
Recuperao de Desastres.
2.2.14 Gerenciamento da Qualidade: Consultoria
em Segurana.
2.2.15 Gerenciamento da Qualidade:
Conscientizao, Educao e Treinamento .
2.2.16 Gerenciamento da Qualidade: Avaliao
de Produtos ou Certificaes.
2.2.5. Servio constante no portflio de servios
mas no foi possvel identificar sua efetividade.
2.2.6. Previsto no documento de estruturao.
2.2.7. Previsto no portflio de servios do GRA
como "Anlise de Conformidades de Segurana
Computacional.
2.2.8. Previsto no documento de estruturao do
GRA.
2.2.9. Servio no prestado pelo GRA.
2.2.10. Em conformidade. Utilizao de
ferramentas de software especializadas.
2.2.11. Servio no prestado pelo GRA. Outras
unidades organizacionais da empresa prestam
este servio.
2.2.12. O gerenciamento de riscos implantado
de forma corporativa. Membros do GRA so
participantes freqentes nas avaliaes de riscos.
2.2.13. Servio no prestado pelo GRA, mas
atribudo a outras unidades organizacionais. Os
documentos no citam os planos de continuidade
de negcios e recuperao de desastres. Plano
de Continuidade dos negcios em
desenvolvimento.
2.2.14. Servio previsto no documento de
estruturao do GRA.
2.2.15. Servio no prestado pelo GRA, mas
atribudo a outras unidades organizacionais.
2.2.16. Avaliao de produtos prevista no
documento de estruturao do GRA.
2.3 Relacionamentos do CSRT
2.3.1 Relacionamento entre os CSRTs internos
da organizao, visando a eficincia dos
trabalhos.
2.3.2 Relacionamento com grupos externos
organizao.
2.3. Os relacionamentos entre os grupos internos
e externos esto previstos no documento de
estruturao do GRA.
2.3.1. Relacionamento fraco entre o GRA nternet
e o GRA ntranet, no existindo um ambiente que
facilite a troca de informaes e a execuo das
atividades.
2.3.2. Relacionamento do GRA nternet com
grupos externos a organizao existe, contudo
no foi possvel identificar a eficincia da
comunicao e os benefcios da troca de
informaes para o trabalho do GRA, uma vez
que no esto disponveis relatrios de atividades
do grupo.
2 F$re-se C$%>:&ac'$-al
3.1 Estrutura e organizao
3.1.1 Especificao na poltica de segurana
sobre contato com as autoridades legais,
3.1. A realizao de anlises forenses so de
responsabilidade do GRA. A organizao possui
uma norma especfica para forense
computacional muito bem elaborada. Existe um
84
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
monitoramento de incidentes.
3.1.2 Revises regulares das polticas e
procedimentos forenses.
3.1.3 Criao e manuteno de guias e
procedimentos para realizao das atividades
forense baseadas nas polticas da empresa e
arcabouo legal aplicvel.
laboratrio de anlise forense computacional com
equipamentos e softwares especficos.
3.1.1. Em conformidade. Nem todas as
implicaes esto descritas na poltica de
segurana, mas so contempladas em outras
normas como a DE n082.
3.1.2. A norma de forense descreve diversos
procedimentos forenses e encontra-se em sua
primeira verso. Logo, no foram realizadas
revises.
3.1.3. Em conformidade. Guias e procedimentos
presentes em norma especfica. No h guias de
procedimentos com detalhes tcnicos da
execuo de uma forense.
3.2. Anlise Forense.
3.2.1 Estabelecimento da forense em 4 fases:
coleta, exame, anlise e relatrio.
3.2.2 Coleta, armazenamento e apresentao de
evidncias de acordo com os requisitos da
legislao.
3.2.3 Desenvolvimento de planos e
procedimentos para a coleta dos dados.
3.2.4. Preservao de evidncias e sua cadeia de
custdia.
3.2.5 Definio de normas e procedimentos para
o exame de evidncias.
3.2.6 Definio de normas e procedimentos para
a anlise de evidncias.
3.2.7 Definio de normas e procedimentos para
confeco de relatrios da anlise.
3.2. O SERPRO possui norma que regulamenta
internamente o processo de anlise forense
computacional.
3.2.1. Previsto na norma Forense Computacional.
3.2.2. Previsto na norma Forense Computacional.
3.2.3. Previsto na norma Forense Computacional.
3.2.4. Previsto na norma Forense Computacional.
3.2.5. Previsto de forma genrica na norma
Forense Computacional.
3.2.6. Previsto de forma genrica na norma
Forense Computacional.
3.2.7. Previsto na norma Forense Computacional.
Modelos de relatrios constam como anexos da
norma.
3.3 Grupo especializado em Forense
Computacional.
3.3.1 Profissionais qualificados para participar
nas atividades de forense computacional e com
conhecimento sobre a legislao.
3.3.2. Estabelecimento de grupo com papeis e
responsabilidades bem definidas, de acordo com
as polticas e procedimentos da empresa.
3.3.3 Conhecimento adequado da equipe sobre
guias, procedimentos, ferramentas e tcnicas.
3.3.4 Conhecimento adequado da equipe sobre
ferramentas e tcnicas anti6forensics
3.3.5 Utilizao de ferramentas e dispositivos de
forense computacional.
3.3.6 Definio de polticas, guias e
procedimentos para o uso de ferramentas e
tcnicas anti6forensics&
3.3. atribuio do GRA o desenvolvimento das
atividades de anlise forense. Estes empregados
so convocados para atuar em situaes
especficas.
3.3.1. O SERPRO capacitou empregados para
atuar na rea de forense computacional.
3.3.2. Previsto na norma Forense Computacional
e no Portflio de servios do GRA.
3.3.3. O SERPRO capacitou empregados para
atuar na rea de forense computacional.
3.3.4. No foi possvel atestar a conformidade
deste item. A norma de Forense Computacional
no cita ferramentas e tcnicas anti6forensics.
3.3.5. Previsto na norma Forense Computacional.
Existe um laboratrio de anlise forense
computacional com equipamentos e softwares
especficos.
85
P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se
3.3.6. No foi possvel atestar a conformidade
deste item. A norma de Forense Computacional
no cita ferramentas e tcnicas anti6forensics.
86