Este trabalho apresenta as melhores prticas para o processo de tratamento de
incidentes de segurana em sistemas computacionais e tem por objetivo avaliar sua aplicabilidade em uma empresa pblica brasileira, o SERPRO (Servio Federal de Processamento de Dados). Esto expostas diversas informaes acerca do tratamento de incidentes, dos grupos de tratamento e da forense computacional. O levantamento dos pontos relevantes ao tema foi realizado atravs de ampla pesquisa bibliogrfica, consultando, principalmente, as referncias das principais entidades que especificam normas e processos para a Segurana da nformao. A partir deste levantamento e da investigao da organizao, realizou-se o estudo de caso. A investigao deu-se por meio do exame de documentos corporativos e da obteno de informaes relacionadas de membros da organizao. Por fim, com os resultados obtidos na anlise, foram identificados os processos que esto aderentes aos padres propostos pelo mercado, alm de melhorias que podem ser agregadas ao processo de tratamento de incidentes atualmente implantado na organizao. Palavras-chave: segurana da informao; incidentes de segurana; tratamento de incidentes; Grupo de Resposta a ncidentes; forense computacional; estudo de caso. ABSTRACT This work shows the best practices for the process of computer security incidents handling and has for objective to evaluate their applicability in a Brazilian public company, the SERR! "#ederal Service of $ata rocessing%& 're e(posed here several information concerning the handling of incidents, the )omputer Security *ncident Response Teams and the computer forensic& The study of the theme+s relevant points was accomplished through wide bibliographical research, consulting, mainly, the references of the main entities that specify norms and processes of the *nformation Security& Starting from this study and the investigation of the organization, the case study was e(ecuted& The investigation was made through the e(am of corporate documents and of the obtaining of related information from the members of the organization& #inally, with the results ac,uired in the analysis, the processes that are appropriate to the patterns proposed by the market was identified, in addition of improvements that can be aggregated to the process of incidents treatment now implanted in the organization& Keywords- information security. security incidents. incident handling. )omputer Security *ncident Response Teams. computer forensic. case study& SUMRIO 1 NTRODUO.........................................................................................................14 1.1 OBJETVOS........................................................................................................ 14 1.2 METODOLOGA ..................................................................................................15 1.3 ORGANZAO DO DOCUMENTO......................................................................... 15 2 TRATAMENTO DE NCDENTES DE SEGURANA..............................................17 2.1 CONCETOS E MODELOS.................................................................................... 17 2.2 TPOS E EXEMPLOS DE NCDENTES....................................................................20 2.3 PREPARAO E PLANEJAMENTO PARA O TRATAMENTO DE NCDENTES................21 2.3.1 Notificao.................................................................................................23 2.3.2 Categorizao e Triagem..........................................................................26 2.3.3 Priorizao.................................................................................................27 2.3.4 Anlise.......................................................................................................28 2.3.5 Documentao...........................................................................................30 2.3.6 dentificao dos Atacantes ......................................................................30 2.3.7 Deteno, Erradicao e Recuperao ....................................................31 2.4 MTGAO DE VULNERABLDADES ....................................................................32 2.4.1 Poltica de Segurana ...............................................................................33 2.4.2 Conscientizao.........................................................................................34 2.5 LES APRENDDAS..........................................................................................34 3 GRUPO DE TRATAMENTO DE NCDENTES DE SEGURANA.........................36 3.1 ESTRUTURA DE UM GRUPO DE TRATAMENTO DE NCDENTES...............................38 3.2 FORMAO DE UM GRUPO DE RESPOSTA EFETVO.............................................39 3.3 SERVOS DE UM GRUPO DE RESPOSTA.............................................................41 3.4 RELACONAMENTO DO GRUPO COM TERCEROS..................................................42 4 FORENSE COMPUTACONAL................................................................................44 4.1 FORENSE COMPUTACONAL................................................................................44 4.2 FASES DE UMA FORENSE COMPUTACONAL ........................................................47 4.2.1 Coleta.........................................................................................................48 4.2.2 Exame .......................................................................................................50 4.2.3 Anlise.......................................................................................................51 4.2.4 Relatrio.....................................................................................................52 4.2.5 Desenvolvimento de um Grupo de Forense Computacional....................52 4.2.6 Ferramentas e Dispositivos de Forense Computacional..........................54 5 ESTUDO DE CASO.................................................................................................56 5.1 A ORGANZAO SERPRO............................................................................... 56 5.2 O PROGRAMA DE SEGURANA DO SERPRO .....................................................58 5.3 TRATAMENTO DE NCDENTES NO SERPRO........................................................61 5.3.1 Os Grupos de Resposta a Ataques...........................................................62 5.4 FORENSE COMPUTACONAL................................................................................67 5.5 NDCADORES E RESULTADOS OBTDOS..............................................................69 5.6 DENTFCAO DE MELHORAS...........................................................................70 6 CONCLUSO...........................................................................................................74 REFERNCAS BBLOGRFCAS............................................................................76 APNDCE A...............................................................................................................79 LISTA DE FIGURAS FGURA 1: AS CNCO ETAPAS DE RESPOSTA A NCDENTES............................20 FGURA 2: NCDENTES NOTFCADOS AO CAS/RNP..........................................24 FGURA 3: NCDENTES NOTFCADOS AO CERT.BR...........................................25 FGURA 4: GRUPOS DE SEGURANA E RESPOSTA A NCDENTES (CSRTS) BRASLEROS.............................................................................................................37 FGURA 5: PROCESSO DE CRAO DE UM CSRT.............................................40 FGURA 6: SERVOS REATVOS E PR-ATVOS DO CTR GOV E SEU RELACONAMENTO COM TERCEROS...................................................................43 FGURA 7: ANLSE FORENSE TPCA...................................................................46 FGURA 8: PROCESSO DA ANLSE FORENSE. ..................................................47 FGURA 9: TRANSFORMAO DA MDA ANALSADA EM EVDNCA...............48 FGURA 10: CAPLARDADE DA REDE SERPRO....................................................56 FGURA 11: ESTRUTURA ORGANZACONAL DO SERPRO.................................57 FGURA 12: MODELO SMPLFCADO DE RELACONAMENTOS ENTRE ENTDADES DA ORGANZAO ENVOLVDAS COM A SEGURANA DA NFORMAO. (SERPRO, 2007)..............................................................................60 LISTA DE TABELAS TABELA 1: EXEMPLOS DE TPOS DE CSRTS COM AS MSSES E PBLCOS ASSOCADOS.............................................................................................................38 TABELA 2: LSTA DE SERVOS COMUNS DE UM CSRT. ..................................42 TABELA 3: ENTDADES DO PSS (SERPRO, 2007).................................................61 LISTA DE ABREVIATURAS E SIGLAS ABNT Associao Brasileira de Normas Tcnicas ACES Utilitrio forense utilizado na cpia de discos rgidos ANS Acordos de Nveis de Servios AUDIG Auditoria Geral da organizao SERPRO CAIS/RNP Centro de Atendimento a ncidentes de Segurana da Rede Nacional de Pesquisa CERT!r Centro de Estudos para Resposta e Tratamento de ncidentes em Computadores para a nternet brasileira CERT/CC )omputer Emergency Response Team / )oordination )enter (grupo para tratamento de incidentes mais conhecido no mundo) CESE Centro de Especializao em Segurana subordinado SUPT CETEC Coordenao Estratgica de Tecnologia da organizao SERPRO CFTT )omputer #orensics Tool Testing (desenvolve especificaes e metodos para ferramentas de testes em forense computacional) CO"UR Consultoria Jurdica da organizao SERPRO COMPRASNET Portal de Compras do Governo Federal (Sistema automatizado de atividades de licitaes e contrataes promovidas pelo Governo Federal brasileiro) CSI# )ertified )omputer Security *ncident 0andler (certificao em tratamento de incidentes de segurana computacional) CSIRT )omputer Security *ncident Response Team (Grupo de Resposta a ncidentes de Segurana) CTGSD/CETEC Departamento de Tecnologia de Segurana subordinado CETEC na organizao SERPRO CTIR G$v Centro de Tratamento de ncidentes de Segurana em Redes de Computadores da Administrao Pblica Federal D$S $enial of Service (ataque a computadores por "negao de servio) DD$S $istributed $enial of Service (ataque a computadores por "negao de servio de forma distribuda) E%!ra&el Empresa Brasileira de Telecomunicaes Fas&Bl$c FE Utilitrio forense utilizado na cpia de discos rgidos FIRST #orum of *ncident Response and Security Teams (frum internacional de grupos de segurana e resposta a incidentes) GCFA )ertified #orensics 'nalyst (certificao em anlise forense) GCI# )ertified *ncident 0andling 'nalyst (certificao em anlise e tratamento de incidentes) GCIM )ertified *ncident 1anagers (certificao em gerenciamento de incidentes) GIAC 2lobal *nformation 'ssurance )ertification (entidade ligada ao SANS nstitute que elabora certificaes para a rea de segurana computacional) GRA Grupo de Resposta a Ataques da organizao SERPRO IDE Br'()e Controladora para discos rgidos (citado neste trabalho em Tableau T5 Forensic DE Bridge utilitrio para anlise forense) IDS *ntrusion $etection Systems (Sistemas de Deteco de ntruso) IRPF mposto de Renda de Pessoa Fsica (sistema de controle de tributos do governo federal brasileiro) ISO/IEC *nternational !rganization for Standardization / *nternational Electrotechnical )ommission (Organizao nternacional para Padronizao / Comisso nternacional de Eletrotcnica) ITIL *nformation Technology *nfrastructure 3ibrary (biblioteca de boas prticas para o gerenciamento de processos e servios de Tecnologia da nformao) NBR Norma Brasileira (exemplo: NBR SO/EC 27001:2006) NBS 4ational Bureau of Standards (Departamento Nacional de Padres agncia norte-americana que desenvolve padres para o uso governamental) NICBR Ncleo de nformao e Coordenao para a nternet brasileira NI" 4ational *nstitute of 5ustice (Agncia da Justia Nacional norte- americana) NIST 4ational *nstitute of Standards and Technology (nstituto Nacional de Padres e Tecnologia) PAD Processo Administrativo Disciplinar PCN Plano de Continuidade de Negcios PCSI Poltica Corporativa de Segurana da nformao da organizao SERPRO PDBLOC* hysical $rive Blocker (utilitrio forense utilizado na cpia de discos rgidos) PDCA lan6$o6)heck6'ct (planejamento-execuo-verificao-ao) PSGSe) Processo SERPRO de Gesto da Segurana da nformao PSS Programa de Segurana do SERPRO RCMP #DL Utilitrio forense utilizado na cpia de discos rgidos RENAVAM Sistema de Registro Nacional de Veculos Automotores utilizado pelo Departamento Nacional de Trnsito brasileiro RFC Re,uest #or )omments (uma RFC um documento que descreve padres para protocolos em computao) RNP Rede Nacional de Ensino e Pesquisa SANS System 'dministration 4etworking and Security (centro de segurana norte-americano) SATA Serial Advanced Technology Attachment (citado neste trabalho em SATADock utilitrio forense utilizado na cpia de discos rgidos) SEI Software Engineering *nstitute (nstituto de Engenharia de Software) Universidade Carnegie Mellon SERPRO Servio Federal de Processamento de Dados SGSI Sistema de Gesto de Segurana da nformao SIAFI Sistema ntegrado de Administrao Financeira do Governo Federal (sistema de controle e execuo financeira, patrimonial e contbil do governo federal brasileiro) SIAPE Sistema ntegrado de Administrao de Recursos Humanos utilizado pelo Governo Federal brasileiro SIASG Sistema ntegrado de Administrao de Servios Gerais (sistematiza as atividades referentes ao Sistema de Servios Gerais do Governo Federal brasileiro) SISCOME+ Sistema ntegrado de Comrcio Exterior (sistema de registro, acompanhamento e controle das operaes de comrcio exterior do governo federal brasileiro) SUPCD Superintendncia de Centro de Dados da organizao SERPRO SUPGL Superintendncia de Gesto Logstica da organizao SERPRO SUPGS Superintendncia de Gesto de Servios da organizao SERPRO SUPRE Superintendncia de Redes da organizao SERPRO SUPTI Superintendncia de Tecnologia da nformao da organizao SERPRO T, F$re-s'c Utilitrio forense utilizado na cpia de discos rgidos (Tableau T5 Forensic DE Bridge) TI Tecnologia da nformao TIC Tecnologia da nformao e Comunicaes . INTRODU/0O Com o uso sempre crescente das tecnologias da informao, organizaes enfrentam o desafio de proteger recursos valiosos de uma enorme quantidade ameaas. A proteo destes recursos crticos requer no somente a adoo de precaues para garantir a segurana dos sistemas tecnolgicos, mas tambm da habilidade para responder rapidamente e eficientemente quando a segurana dos recursos violada. Para que esta resposta se d de forma adequada, so requisitos necessrios: conhecimentos tcnicos, comunicao eficiente e coordenao dos esforos. Nem sempre adequado aplicar modelos pr-estabelecidos para o tratamento de incidentes de segurana, pois h caractersticas peculiares a cada empresa, seja ela pequena ou grande, do setor pblico ou privado. Neste trabalho sero abordadas questes relevantes ao tratamento de incidentes de segurana de sistemas computacionais, realizando-se um estudo de caso em uma empresa governamental brasileira, o SERPRO (Servio Federal de Processamento de Dados). Considerando as dimenses da organizao analisada no estudo de caso, restringiu-se a abordagem ao tratamento de incidentes de segurana em sistemas computacionais para empresas de grande porte. .. OB"ETIVOS
O propsito geral deste trabalho realizar estudo de caso no Servio Federal de Processamento de Dados quanto ao tratamento de ncidentes de Segurana Computacional nesta da organizao. So objetivos especficos: 14 Realizar levantamento bibliogrfico sobre o assunto para identificao das melhores prticas adotadas no Tratamento de ncidentes; dentificar melhorias no processo de tratamento de incidentes da organizao estudada. .1 METODOLOGIA
Por meio do levantamento bibliogrfico sero identificadas as prticas recomendadas para o Tratamento de ncidentes de Seguranas. Com base Neste levantamento, sero elaborados checklists 1 pertinente ao tratamento de incidentes. Com o auxlio destes itens de controle, sero analisados documentos da organizao, a estrutura organizacional e as pesquisas de campo realizadas para o estudo do caso concreto da organizao. A confrontao dos itens de controle com as prticas da organizao indicar melhorias adequadas. .2 ORGANI3A/0O DO DOCUMENTO O presente trabalho composto por seis captulos e um apndice. O primeiro captulo, introdutrio, apresenta uma viso geral do trabalho, os objetivos e a metodologia utilizada. O segundo captulo destina-se a abordagem terica do tratamento de incidentes de segurana. Descreve conceitos e modelos, exemplos de incidentes de segurana, preparao e planejamento para o tratamento de incidentes, mitigao de vulnerabilidades e lies aprendidas para o processo de tratamento de incidentes de segurana. No terceiro captulo so abordados os conceitos e melhores prticas para formao de um Grupo de Tratamento de ncidentes de Segurana, levantando questes relacionadas a sua estrutura, sua efetividades, seus servios e os 1Checklist uma lista de itens para consulta, controle ou enquadramento. 15 relacionamentos de um Grupo de Resposta a ncidentes de Segurana com terceiros. O quarto captulo dedicado forense computacional, onde so abordadas as fases de uma anlise forense, o desenvolvimento de um grupo de anlise forense computacional, e as ferramentas e dispositivos utilizados neste tipo de anlise. No quinto captulo, o estudo de caso apresentado. Compem este captulo: a exposio da estrutura da organizao estudada, ressaltando as questes relativas a segurana da informao; o programa de segurana da organizao; o tratamento de incidentes de segurana e os entes responsveis pele execuo das atividades; as questes da forense computacional na organizao; a situao atual do processo de tratamento de incidentes na organizao, com seus indicadores e resultados obtidos; e, por fim, a identificao e proposio de melhorias para a organizao. O sexto captulo dedicado s consideraes finais. O Apndice A mostra, em formato de tabela, pontos de controle elaborados a partir das melhores prticas identificadas acerca do tema.. 16 1 TRATAMENTO DE INCIDENTES DE SEGURAN/A 1. CONCEITOS E MODELOS ncidente de Segurana definido na RFC2828 (2000) como "um evento que envolve uma violao na segurana". Para o CERT/CC 2 ()omputer Emergency Response Team / )oordination )enter): [...] um incidente de segurana pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de computadores. Ou pode ser definido como o ato de violar uma poltica de segurana explicitamente ou implicitamente. (CERT/CC, 2007) J a Norma SO/EC TR 18044:2004 trata os termos de forma mais ampla. Ela define evento de segurana da informao como: [...] uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. (SO, 2004) ncidente tambm pode ser definido como "um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao" (SO, 2004). O Tratamento de ncidentes de Segurana a habilidade de identificar, controlar e cuidar de eventos que envolvem violao poltica de segurana de um sistema. Envolve: a definio de processos, papis e responsabilidades; o uso adequado da infra-estrutura, de equipamentos e de ferramentas; e a formao de uma equipe especializada e treinada para realizar as atividades de consistentemente, sistematicamente e com qualidade. 2O CERT/CC o grupo para tratamento de incidentes mais conhecido no mundo. 17 Existem alguns modelos para o tratamento de ncidentes de Segurana pr- estabelecidos. Para organizaes de grande porte, eles apontam a necessidade da criao de um grupo estruturado para lidar organizadamente e formalmente com cada incidente. O CERT/CC indica que este grupo deve ser formado por membros com uma variedade de habilidades tcnicas e sociais, onde a comunicao e a interao so pontos chaves (CERT/CC, 2007). Este grupo comumente denominado como CSRT ()omputer Security *ncident Response Team). Para o modelo TL 3 (*nformation Technology *nfrastructure 3ibrary), cada unidade da organizao tem a responsabilidade de desenvolver seus processos pensando em segurana (Cazemier et al., 2005). No entanto, no se alteram as responsabilidades do gestor de segurana. De acordo com este modelo, o tratamento de incidentes est no mbito do Processo de Suporte de Servios, onde um sub-processo, denominado Gerenciamento de ncidentes, tem a maior responsabilidade sobre as ocorrncias registradas em um ambiente, incluindo as de segurana. O objetivo principal do Gerenciamento de ncidentes a continuidade dos servios prestados aos clientes, preocupando-se com a velocidade da soluo tomada e no com a qualidade da soluo, que tratada em outro nvel, no Gerenciamento de Problemas. O Gerenciamento de Problemas tem por objetivo evitar recorrncias de incidentes. O TL recomenda ainda o estabelecimento de uma Central de Servios, uma estrutura central onde todos os incidentes so registrados e monitorados. A norma NBR SO/EC 27001:2006 define alguns controles e objetivos de controle relacionados Gesto de incidentes de segurana da informao e melhorias. Ela trata, essencialmente, do estabelecimento, implementao, operao, monitorao, anlise crtica, manuteno e melhorias de um SGS (Sistema de Gesto de Segurana da nformao) e seus processos. Quanto gesto de incidentes, os controles da norma tm por objetivo "assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao" (ABNT 2006). A norma adota um modelo conhecido como PDCA (lan6 $o6)heck6'ct%, cujo nome corresponde s quatro fases do modelo. O Tratamento de incidentes de segurana est cercado nestas quatro fases do modelo. 3TL um conjunto de melhores prticas para o gerenciamento de processos e servios de Tecnologia da nformao. 18 Cada organizao deve adequar seus processos de forma a unir as boas prticas dos modelos realidade do seu ambiente. Os objetivos da Resposta a ncidentes para Wyk & Forno (2001) so: minimizar o impacto de um incidente para uma organizao e permitir que o trabalho retorne o mais breve possvel. Eles definem ainda que um sistema de resposta a incidentes deve estar alerta constantemente e apto a responder ao incidente imediatamente. Enquanto a iniciativa de um programa de segurana da informao se preocupa em mitigar os riscos, atravs de controles e processos de segurana, um programa de resposta a incidentes necessrio para conduzir atividades de gerenciamento de crise em eventos posteriores quando se ultrapassam os controles de segurana. Segundo Wyk & Forno (2001), as principais fases para a resposta a incidentes so as etapas de identificao, coordenao, mitigao, investigao e educao. Na primeira das etapas, incidente de segurana detectado. Em seguida, necessrio estimar o dano causado e diagnosticar o incidente identificado, denominado etapa de coordenao. Na mitigao, o incidente deve ser isolado ou at mesmo eliminado. Uma vez determinada a extenso dos danos causados devem ser executados os processos de controle do incidente. Coletar, processar, examinar e gerar evidncias faz parte da etapa de investigao. Por fim, ocorre a etapa de educao, onde so registradas as lies aprendidas, para que em uma recorrncia ou mesmo um incidente similar j se possua um processo mais conciso. Estas etapas podem ocorrer de forma cclica, at que o incidente seja completamente eliminado, como pode ser verificado na Figura 1 a seguir. 19 Figura 1: As cinco etapas de resposta a incidentes. Fonte: Adaptado de Wyk e Forno (2001). O SE (Software Engineering *nstitute%, um centro de desenvolvimento e pesquisa da Universidade Carnegie Mellon, destaca diferenas existentes entre as expresses "resposta a incidentes e "tratamento de incidentes. Para ele, nas comunidades de segurana estas expresses so utilizadas para definir atividades de um CSRT, mas a gama de trabalhos ao redor dos incidentes de segurana vai alm destas expresses e o seu uso pode reduzir o escopo da grande variedade de servios que provavelmente um CSRT pode oferecer, e, portanto, trata o tema como "gerenciamento de incidentes. Afirma ainda que a resposta ao incidente seja apenas uma parte do tratamento de incidentes. (Alberts et al., 2005) 11 TIPOS E E+EMPLOS DE INCIDENTES Hoje em dia, incidentes de segurana em sistemas computacionais so de diversos tipos. Estes sistemas podem ser alvos em eventos geradores de dano integridade, confidencialidade e/ou disponibilidade da informao armazenada ou transmitida. 20 O acesso no autorizado um incidente de segurana em que atacantes buscam contornar os mecanismos de segurana do sistema de forma a obter informaes ou para interromper as operaes normais do sistema. Estes sistemas podem tambm ser utilizados para armazenar dados proprietrios ou ainda serem utilizados como vetores para outros ataques. Um incidente de segurana pode levar ao roubo de informaes preciosas aos negcios da empresa. Programas maliciosos, como trojans (cavalos de tria) so utilizados para o roubo de informaes, a partir de sua execuo em algum computador conectado rede da empresa. Este tipo de incidente ocorre no momento em que este programa malicioso instalado, normalmente a partir da explorao da curiosidade das pessoas, em ataques de engenharia social 4 por meio de pginas da internet ou de falsos e-mails. ncidentes de segurana que afetam a disponibilidade das informaes podem ser exemplificados com os chamados ataques de negao de servio. Eles ocorrem a partir de uma atividade maliciosa atravs de uma rede de computadores ou da nternet com o intuito de causar a indisponibilidade de um determinado servio de rede ou de algum servio do sistema operacional de um servidor. Estes ataques tambm so conhecidos pelo acrnimo DoS, do ingls $enial of Service. Possui tambm uma variante, o DDoS ou $istributed $enial of Service, em que o processamento das operaes para o ataque realizado de forma distribuda em vrios computadores comandados pelo atacante. 12 PREPARA/0O E PLANE"AMENTO PARA O TRATAMENTO DE INCIDENTES A capacidade de tratar incidentes de segurana uma combinao de pessoas tecnicamente experientes, polticas e tcnicas, objetivando a constituio de uma abordagem proativa. Ter esta capacidade aliada a elementos da segurana computacional tradicional prov organizao proteo contra incidentes, salvando recursos valiosos e permitindo tirar vantagem das tecnologias mais modernas. 4 Mtodo utilizado para explorao da confiana, com o objetivo de obter informaes relevantes para realizao de alguma ao maliciosa. 21 Para Douglas Schweitzer (2003), a preparao para o Tratamento de ncidentes composta por trs estgios. Primeiro, as organizaes devem desenvolver e programar planos de segurana e controle em um esforo proativo. Segundo, elas devem trabalhar para garantir que seus planos e controles sejam efetivos atravs de revises contnuas, de forma a garantir que a segurana apropriada est sendo aplicada. Finalmente, quando os controles so contornados, intencionalmente ou no, as organizaes devem agir rapidamente e eficientemente para minimizar os impactos. O autor ainda afirma que muitas organizaes desenvolvem a capacidade para tratar incidentes com grandes sucessos ao focar na Eficincia da Resposta, Centralizao e Conscientizao dos usurios dos sistemas. Para ele, a eficincia da resposta um dos mais importantes aspectos na capacidade de tratar incidentes de segurana computacional. Sem a eficincia, a resposta ao incidente desorganizada e inefetiva, gerando custos altos para a organizao e deixando vulnerabilidades expostas e desprotegidas. No h um modelo nico de estrutura organizacional, para um adequado tratamento de incidentes, que atenda todos os tipos de organizaes. Dependendo das necessidades da organizao, esta capacidade pode ter vrias formas. A notificao e o esforo centralizados, entretanto, melhoram a eficincia das aes de tratamento de incidentes. De acordo com Douglas Schweitzer (2003), a notificao e o tratamento centralizados devem ser utilizados, pois permitem uma avaliao mais precisa dos incidentes. Em virtude desta centralizao os custos com o tratamento de incidentes so reduzidos e a duplicao de esforos pode ser eliminada. importante tambm definir a abrangncia com que ser feita o tratamento dos incidentes. Este planejamento prvio requer o envolvimento tanto de equipe tcnica especializada quanto de equipe administrativa da organizao. Onde cada equipe deve estar familiarizada com os papeis, responsabilidades e capacidades das outras equipes. O planejamento para o adequado para o tratamento de incidentes necessrio para: estimar o tempo necessrio; levantar os custos, recursos, pessoas e rgos envolvidos; avaliar os possveis impactos e riscos; definir o plano de ao, 22 priorizando aes imediatas para preservar evidncias, e escolhendo os procedimentos de investigao. Prevenir, detectar, conter, extinguir e investigar so disciplinas de um efetivo plano de resposta a incidentes. A melhor chance de identificar potenciais incidentes com o uso de softwares 7 que automatizem ao mximo as atividades do dia-a-dia e notifiquem os responsveis quando sua ateno for necessria. A aquisio de ferramentas pode ser justificada pela reduo na quantidade de funcionrios necessrios para tratar os incidentes, entretanto, nem sempre existe oramento disponvel. Deve-se ento avaliar a utilizao de ferramentas disponveis gratuitamente. O tratamento de incidentes deve ainda incluir a capacidade de rapidamente acionar todos os usurios dos sistemas ou da organizao por meio do envio de alertas para uma lista de emails centralizada ou outro meio conveniente. 12. N$&'4'ca56$ A Norma NBR SO/EC 27001:2006 (ABNT, 2006) define dois controles para tratar da notificao de fragilidades e eventos de segurana da informao. Alm de enfatizar a agilidade em que os eventos devem ser notificados, a norma diz que os eventos devem ser relatados atravs dos canais apropriados da direo. Para o tratamento de incidentes efetivo, existe a necessidade de monitoramento contnuo da rede e sistemas da organizao. Para os sistemas mais crticos, devem ser instalados dispositivos ou softwares para deteco de ataques e to logo uma atividade suspeita tenha sido detectada, uma equipe qualificada e designada para responder ao incidente deve ser notificada para que sejam empregadas aes necessrias. A notificao de eventos e incidentes deve ser realizada em tempo hbil para que a tomada de aes corretivas sejam rpidas, efetivas e ordenadas. Responsabilidades, processos e procedimentos devem ser estabelecidos para 5Programas de computador. 23 garantir esta agilidade. Os responsveis pelos sistemas devem ser instrudos a notificar qualquer observao ou suspeita de incidente. Figura 2: ncidentes notificados ao CAS/RNP. Fonte: http://www.rnp.br/cais/estatisticas/index.php A Figura 2 mostra quantidade de incidentes notificados ao CAS/RNP 6 (Centro de Atendimento a ncidentes de Segurana da Rede Nacional de Pesquisa) desde sua criao at 05 de maro de 2008. Estes incidentes esto relacionados s redes de computadores das comunidades acadmica e cientfica brasileiras. O CAS/RNP atribui a queda de 49,6% no nmero de incidentes de 2007 em relao a 2006 ao reflexo direto das suas aes pr-ativas para identificar e erradicar mquinas infectadas e tambm a uma maior conscientizao das instituies em preservar a operao e integridade das suas redes. 6CAS/RNP um grupo criado em 1997 que atua no tratamento de incidentes de segurana na Rede Acadmica Brasileira, a Rede Nacional de Pesquisa. A rede conecta cerca de 400 instituies de ensino e pesquisa e mais de um milho de usurios. Est Associado ao FRST (Forum of ncident Response and Security Teams) deste setembro 2001. 24 Figura 3: ncidentes notificados ao CERT.br. Fonte: http://www.cert.br/stats/incidentes/ A Figura 3 mostra a quantidade de incidentes notificados ao CERT.br 7 por ano. Ele responsvel por tratar incidentes de segurana envolvendo redes conectadas nternet no Brasil. interessante observar que a reduo na quantidade de incidentes notificados em 2007 foi registrada pelos principais grupos de tratamento de incidentes brasileiros. Apesar dos benefcios envolvidos, vrios incidentes de segurana no so notificados grupos como a CAS/RNP e o CERT.br, pois as vtimas, em muitos casos, no sabem que ele realmente aconteceu ou, se souberem, preferem aplicar as correes necessrias na vulnerabilidade explorada e manter os detalhes do ataque em segredo para no pr sua reputao em jogo. Shon Harris (2005) ressalta que isto implica em uma grande dificuldade em levantar as reais estatsticas de quantos incidentes acontecem, qual o grau de dano causado e que tipos de ataques e mtodos foram utilizados. Os incidentes podem ser detectados de vrias maneiras, com diferentes nveis de detalhe e fidelidade. As possibilidades automatizadas de deteco incluem 7CERT.br o grupo de tratamento de incidentes de segurana para a nternet brasileira, mantido pelo Comit Gestor da nternet no Brasil. 25 DS (Sistemas de Deteco de intruso, do ingls *ntrusion $etection Systems), softwares anti-vrus e analisadores de logs 8 . ncidentes tambm podem ser detectados de forma manual, como atravs de relatos de usurios. Alguns incidentes possuem sinais evidentes que podem ser detectados facilmente, enquanto outros so virtualmente indetectveis sem automatizao (Bowen et al., 2006). Dentro do processo de Gerenciamento de ncidentes, o TL (Cazemier et al., 2005) ressalta que necessrio para o servio de T no Gerenciamento de Segurana, notificar o Security !fficer 9 sobre os incidentes de segurana. 121 Ca&e)$r'7a56$ e Tr'a)e% Para que a categorizao seja realizada, necessrio assegurar que toda informao necessria ao tratamento do incidente seja canalizada em um ponto focal, embora as informaes de incidentes possam vir por diversas fontes. O objetivo deste processo de uma redistribuio apropriada com a devida classificao do incidente, e assim obter o correto tratamento. Para Douglas Schweitzer (2003), os incidentes devem ser classificados de acordo com seu nvel de severidade em baixo, mdio ou alto. Para ele, incidentes de nvel baixo devem ser resolvidos dentro de um dia de trabalho depois de sua ocorrncia. ncidentes de nvel mdio devem ser tratados no mesmo dia de ocorrncia do evento. ncidentes de nvel alto devem ser tratados imediatamente por causa da gravidade da situao. Para Grance et al. (2004), a diversidade de formas em que um incidente pode se manifestar torna impraticvel o desenvolvimento de processos compreensveis com todas as instrues descritas em passos para o seu tratamento. O melhor para organizao criar formas genricas de tratamentos para os vrios tipos de incidentes e especificar, na medida do possvel, os tipos de incidentes que podem ser tratados de forma comum. 8Os logs so registros de atividades gerados por programas de computador. 9Responsvel gerencialmente pela segurana da organizao. 26 Grance et al. (2004) sugere a classificao de incidentes como forma de fornecer um guia de base inicial para o tratamento dos incidentes. Para esta classificao so sugeridas as seguintes principais categorias: Negao de Servios: um tipo de incidente que impede ou prejudica o uso de redes ou sistemas por meio do esgotamento de recursos; Cdigo Malicioso: vrus, worms, cavalos de tria 10 , ou outro tipo de cdigo malicioso que pode infectar um sistema; Acesso no autorizado: o acesso lgico ou fsico sem permisso a rede, sistemas, aplicaes, dados ou outro tipo de recurso; Uso nadequado: a violao de polticas de segurana ou normas; Componente Mltiplo: um incidente nico que inclui dois ou mais incidentes. A triagem de incidente normalmente inclui a interpretao dos incidentes notificados, priorizando-os, relacionando-os a outros incidentes e direcionando-os. necessrio entender o escopo do incidente e determinar se o incidente realmente aconteceu ou um "falso positivo 11 . 122 Pr'$r'7a56$ Em uma de suas publicaes (Grance et al., 2004), o NST 12 (4ational *nstitute of Standards and Technology) define que a priorizao de incidentes talvez seja o ponto mais importante no processo de tratamento de incidentes. Os incidentes no podem ser tratados antes que sejam priorizados de acordo com dois fatores principais. O primeiro deles o efeito tcnico e o potencial do incidente, e o segundo a importncia dos recursos afetados. 10Cavalos de Tria, na informtica, so programas maliciosos que tem por objetivo permitir acesso ao sistema para um invasor. 11O termo "falso positivo" utilizado para designar a situao em que um evento identificado erroneamente como um incidente de segurana. 12O NST, formalmente conhecido como NBS (4ational Bureau of Standards) uma agncia do Departamento de Comercio Norte-Americano que desenvolve padres para o uso governamental. 27 O tratamento dos incidentes no deve considerar apenas a conseqncia tcnica negativa do incidente, mas tambm os possveis danos que possam vir a ocorrer futuramente se o incidente no for contido. Como exemplo, um worm 89 infectando algumas mquinas por um instante causaria um pequeno impacto, mas em algumas horas poderia se propagar e at interromper os servios de rede. Ao mesmo tempo, diferentes recursos possuem valores diferentes para uma organizao. A importncia de um recurso baseada primeiramente em seus dados, servios, usurios, interdependncias com outros recursos, e visibilidade do ativo. Vrias organizaes tm definido a importncia de seus recursos por meio de PCN (Planos de Continuidade de Negcios) ou dos ANS (Acordos de Nveis de Servios) de seus principais negcios, onde estabelecem o tempo mximo para restaurao de determinados recursos. Uma vez determinada a importncia do recurso afetado e o potencial efeito tcnico do incidente, possvel estabelecer o impacto do incidente aos negcios da organizao. As equipes que realizaro o tratamento do incidente devem priorizar a resposta para cada incidente baseada nas estimativas de impactos para o negcio afetado. Conforme Grance et al. (2004), a organizao deve determinar a priorizao de incidentes de forma bastante objetiva. Pode ser criada uma matriz contendo os recursos mais crticos, confrontando com as categorias de impacto tcnico. O cruzamento destas informaes deve resultar no tempo mximo de indisponibilidade para aquele recurso. Com isso, as equipes de tratamentos de incidentes tero uma viso do impacto de um incidente de segurana relacionada ao negcio da organizao. Mais entradas podem ser adicionadas a esta matriz como forma de facilitar a deciso da priorizao para o tratamento de determinados incidentes. 128 A-9l'se 13:orm programa malicioso, um vrus, que tem a propriedade de se replicar atravs de uma rede. 28 Avaliar eventos, determinando se o incidente realmente de segurana e se est realmente ocorrendo, alm de determinar o tipo, a extenso e a magnitude do problema um dos maiores desafios no processo de tratamento de incidentes. Uma organizao com sua rede conectada nternet pode registrar milhares ou at milhes de eventos em determinado dia. A automao necessria para apresentar uma anlise inicial dos dados e selecionar eventos de interesse para uma anlise humana. Softwares de relacionamento de eventos e documentao de logs centralizada de grande valor na automatizao do processo de anlise. No entanto, a efetividade do processo depende da qualidade dos dados que serviro de base para o processo. Para isso, necessrio estabelecer padres de logs e processos para assegurar que a informao coletada seja adequada aos sistemas de analise. Adequadas avaliaes de dados de incidentes requerem pessoas com extenso conhecimento tcnico, especializadas e experientes (Bowen et al., 2006). Quando um potencial incidente de segurana identificado, o grupo de tratamento de incidentes deve trabalhar rapidamente, executando uma anlise inicial para determinar o escopo do incidente e as vulnerabilidades exploradas. Esta anlise deve oferecer informao suficiente para priorizar as atividades subseqentes, incluindo a deteno do incidente. Em dvida, os analistas de incidentes devem assumir o pior risco at que anlises adicionais indiquem o contrrio. Alm destas diretrizes, importante estabelecer um processo que escale hierarquicamente para os casos em que o grupo de tratamento no responda no tempo designado (Bowen et al., 2006). Quando a organizao identificar o incidente como um cybercrime 8; , fundamental que o ambiente e as evidncias sejam preservados, e que sejam acionadas as autoridades legais competentes. Qualquer pessoa que no esteja familiarizada com os corretos processos de coleta de dados e evidncias, de um cenrio de crime digital, pode alterar ou destruir as evidncias. As empresas devem possuir processos definidos para vrios cenrios de problemas de segurana computacional, como execuo de processos para recuperao de desastres, planejamento de continuidade, e processos de backup. 14Crime computacional, atos criminosos cometidos por meio de sistemas computacionais. 29 12, D$c:%e-&a56$ Devem ser mantidos registros sobre o estado do incidente, juntamente com outras informaes pertinentes. Utilizar uma aplicao ou base de dados para este propsito necessrio para assegurar que os incidentes sejam registrados e resolvidos da maneira correta. O TL (Cazemier et al., 2005) ressalta que o maior problema como a Central de Servio reconhece um incidente de segurana, o que gera problemas em seu registro adequado. conveniente incluir exemplos de incidentes de segurana no ANS (Acordo de Nveis de Servios), alm de estabelecer processos para diferentes tipos de incidentes de segurana neste ANS. Ainda com relao documentao de incidentes, o TL afirma que descrever a natureza de um incidente de segurana necessrio, mas no suficiente. A conscientizao um fator importante nesta parte do processo de documentao. No tratamento dos incidentes de segurana, um dos passos iniciais e fundamentais para implementao de um processo de segurana bem definido o registro do histrico dos incidentes, item primordial para o amadurecimento do processo de tratamento de incidentes. Possuir um histrico dos incidentes de segurana permite uma anlise efetiva da severidade, de direcionamentos, etc. sto um precioso instrumento de Gerenciamento de Segurana da organizao e serve de entrada para o Gerenciamento de Problemas no modelo TL. A documentao adequada facilita, inclusive, sua coordenao e comunicao externa. 12; I(e-&'4'ca56$ ($s A&aca-&es nvestigar um incidente computacional exige habilidades para identificar perdas e danos em um ambiente eletrnico intangvel e ser capaz de identificar evidncias teis investigao. A facilidade que um atacante possui para executar um cybercrime em anonimato resulta em uma grande dificuldade por parte do 30 investigador na identificao do atacante. A nternet e suas interconexes de computadores possibilitam, aos atacantes, menor chance de serem detectados (Harris, 2005). dentificar um atacante pode ser bastante demorado e no agregar valor ao processo de tratamento de incidentes, onde o foco principal no processo est em minimizar os impactos de negcios. De qualquer forma, a identificao do atacante de interesse da organizao, pois corrobora com a Forense Computacional, tratada no captulo 4 deste trabalho. Bowen et al. (2006) descreve algumas formas utilizadas para identificar atacantes. So elas: Validar o endereo P do atacante, Varredura do sistema do atacante, nvestigao do atacante atravs de mecanismos de busca, Uso de bases de dados de incidentes, Monitoramento de possveis canais de comunicao de atacantes. 12< De&e-56$= Erra('ca56$ e Rec:>era56$ Segundo Grance et al. (2004), importante conter um incidente antes de sua propagao para evitar maiores danos aos recursos da organizao. A maioria dos incidentes requer deteno e isto deve ser considerado logo no incio do seu tratamento. Parte essencial da deteno a tomada de deciso sobre as aes imediatas que sero empregadas. Aes como desligar o sistema, desconect-lo da rede ou desabilitar certas funes do sistema se tornam simples se estratgias e processos para conter um incidente foram previamente definidas. As organizaes precisam definir riscos aceitveis relacionados a incidentes de segurana e desenvolver algumas estratgias de deteno, podendo variar de acordo com cada risco (Bowen et al., 2006). As estratgias de deteno variam de acordo com o tipo de incidente. Grance et al. (2004) recomenda que as organizaes criem diferentes estratgias de deteno para macro categorias de incidentes. Os critrios devem estar muito bem documentados para facilitar decises geis e efetivas. Os critrios para determinar as estratgias apropriadas incluem o dano potencial e roubo de recursos, 31 preservao de evidncias, disponibilidade de servios, equipes e recursos necessrios para implementar a estratgia, efetividade da estratgia, e tempo de implementao de uma soluo. Depois de contido o incidente, a erradicao necessria para eliminar os componentes de um incidente, como a remoo de cdigos maliciosos e contas de usurios modificadas. Na recuperao, os administradores restauram os sistemas operao normal (se possvel) e fortificam sistemas para prevenir incidentes similares. A recuperao envolve algumas aes, como restaurao de backup 15 , substituio de arquivos infectados, instalao de correes de sistemas, alteraes de senhas e fortalecimento do permetro de segurana, como incluso de regras no firewall 16 . Tambm recomendvel empregar sistemas de logs ou de monitorao de rede como parte do processo de recuperao. Uma vez quem um recurso atacado, existe a probabilidade de ser atacado novamente ou, ainda, outros recursos da organizao podem ser atacados de maneira similar. 18 MITIGA/0O DE VULNERABILIDADES Manter um baixo nmero de incidentes muito importante para proteger os processos de negcio da organizao. Se os controles de segurana forem insuficientes, um grande volume de incidentes pode ocorrer. 1alwares 8< muitas vezes atacam os sistemas explorando vulnerabilidades em sistemas operacionais, softwares, servios e aplicaes. Conseqentemente, mitigar vulnerabilidades de suma importncia na preveno de incidentes de segurana. Geralmente, uma vulnerabilidade pode ser mitigada por um ou vrios controles, como aplicao de correes em softwares. 15Cpia reserva de dados com o objetivo de restaur-los em caso de perda. 16Sistema de segurana que protege redes atravs do controle do fluxo de dados de redes de sistemas computacionais. 17Software malicioso, proveniente do ingls 1alicious Software. 32 Devido aos desafios em mitigar uma vulnerabilidade, incluindo tratamento contnuo de descoberta de vulnerabilidades, as organizaes devem documentar suas polticas, processos e mtodos de mitigao de vulnerabilidades, alm de considerar a importncia de um programa de gerenciamento de riscos. necessrio avaliar periodicamente os riscos em sistemas, ambientes e aplicaes. Estas avaliaes devem determinar quais riscos esto expostos, com suas devidas ameaas e vulnerabilidades. Cada risco deve ser priorizado, podendo ser mitigado, transferido ou aceito. Atravs deste processo, controles podem ser implementados de forma a minimizar consideravelmente as possibilidades de um ataque. nformaes sobre novas vulnerabilidades e ameaas devem ser coletadas atravs de combinao de fontes confiveis, como boletins de CSRT e fornecedores de produtos para segurana. As organizaes devem ainda estabelecer mecanismos de avaliao de novas vulnerabilidades e informaes sobre ameaas, determinando o melhor mtodo para mitigao e distribuio da informao s reas competentes. Para fortalecer este processo, importante estabelecer um mtodo para acompanhar o progresso dos esforos para a mitigao de vulnerabilidades (Mell et al., 2005). 18. P$l?&'ca (e Se):ra-5a
Para o CERT.br (2003), a poltica de segurana atribui direitos e responsabilidades s pessoas que lidam com os recursos computacionais de uma instituio e com as informaes neles armazenados. Ela tambm define as atribuies de cada um em relao segurana dos recursos com os quais trabalham. Uma poltica de segurana tambm deve prever o que pode ser feito na rede da instituio e o que ser considerado inaceitvel. Tudo o que descumprir a poltica de segurana pode ser considerado um incidente de segurana. Na poltica de segurana tambm so definidas as penalidades as quais esto sujeitos aqueles que no cumprirem a poltica. 33 A poltica de segurana deve ser periodicamente revisada, contemplando novas ameaas apontadas pelas avaliaes de riscos realizadas, boletins de segurana e direcionamento dos negcios da organizao.
181 C$-sc'e-&'7a56$ Para o NST (Bowen et al., 2006), a conscientizao da segurana e seu programa de treinamento um componente crtico ao programa de segurana da informao na organizao. Este programa de treinamento deve assegurar que o corpo de funcionrios em todos os nveis da organizao entenda suas responsabilidades em utilizar e proteger os recursos a eles confiados. As pessoas so o elo mais fraco da segurana, como pode ser verificado em peridicos e apresentaes de conferncias. "O fator humano, no o tecnolgico, o fator crtico que mais freqentemente omitido na equao de segurana" (Bowen et al., 2006). Os usurios devem ser conscientes das polticas e procedimentos de uso apropriado de redes, sistemas e aplicaes. Melhorar a conscientizao dos usurios com respeito a incidentes de segurana, pode reduzir a freqncia de incidentes, principalmente aqueles que envolvem cdigos maliciosos e violaes poltica de uso da internet. Equipes de T devem ser treinadas de forma que possam manter as redes, sistemas e aplicaes de acordo com os padres de segurana da organizao. As organizaes no devem apenas definir normas e polticas, mas principalmente conscientizar todos os funcionrios que trabalham com informaes corporativas e sistemas computadorizados que as regras definidas so fundamentais para a segurana dos processos e servios produzidos pela organizao. Deve-se garantir o entendimento cada ponto da poltica de segurana para que as equipes e usurios no se desviem das regras definidas por questes de convenincia ou omisso. 1, LI/@ES APRENDIDAS 34 A melhoria contnua da Gesto da Segurana da nformao deve ser apoiada com indicadores que possam quantificar, qualificar e monitorar os incidentes de segurana. importante a anlise crtica dos sistemas e que se faam modificaes apropriadas nas polticas de segurana, prticas, medidas e procedimentos. Lies aprendidas de incidentes anteriores tambm podem ser compartilhadas com usurios, para que eles percebam como aes podem afetar a organizao. Para a norma NBR SO/EC 27001:2006 (ABNT, 2006), a reavaliao da Segurana da nformao uma das aes da fase )heck ")hecar% onde as anlises crticas aos incidentes de segurana devem verificar a eficcia dos sistemas e da gesto de segurana. A melhoria atravs das lies aprendidas est cercada na fase 'ct (Agir). 35 2 GRUPO DE TRATAMENTO DE INCIDENTES DE SEGURAN/A
A fim de desenvolver uma completa capacidade de tratamento de incidentes, as organizaes necessitam de uma equipe especializada. Em um evento de violao da poltica de segurana ou de um crime computacional, este grupo dever ser engajado. Antecipadamente, a equipe deve ter procedimentos de tratamento de incidentes documentados, incluindo as condies em que se justifica o acionamento da polcia. Em ambos os casos, a equipe deve ter a preocupao de proteger evidncias. A maioria das organizaes reconhece que no existe uma soluo nica, ou uma panacia, capaz de garantir a segurana de sistemas e dados; ao contrrio, necessrio ter uma estratgia de segurana composta de vrias camadas. A criao de um Grupo de Resposta a ncidentes de Segurana em Computadores, geralmente conhecido como CSRT ()omputer Security *ncident Response Ream), uma das camadas que vem sendo includa por diversas organizaes em suas estratgias (CERT/CC, 2006). Existem dois modelos bsicos de atuao para estes grupos. Os grupos formados em carter definitivo e constante, atuando de forma contnua, mesmo quando no h incidentes de segurana, e os chamados grupos temporrios, que se renem somente quando h uma incidente de segurana em andamento ou para responder a um incidente especfico. H vrios tipos de grupos de resposta: alguns tm constituies bastante abrangentes como o CERT/CC, outros so de constituies mais especficas como a CAS/RNP, e outros ainda tm constituies mais restritas como grupos de resposta corporativos. ndependentemente do tipo de grupo de resposta, a comunidade a que ele d suporte deve ter conhecimento da poltica do grupo e dos seus procedimentos. Por isso, imperativo que os grupos de resposta publiquem esse tipo de informao para sua comunidade. 36 As motivaes para o estabelecimento de um CSRT incluem: um aumento generalizado na quantidade de incidentes de segurana sendo notificados atualmente; um aumento generalizado na quantidade e variedade de organizaes sendo afetadas por incidentes de segurana; maior conscincia, por parte das organizaes, da necessidade de polticas e prticas de segurana como parte das suas estratgias globais de gerenciamento de riscos; novas leis e regulamentos que afetam a maneira como as organizaes precisam proteger as suas informaes; a percepo de que administradores de redes e sistemas no podem proteger sozinhos os sistemas e as informaes da organizao (CERT/CC, 2006). No Brasil existem diversos grupos formais para o tratamento de incidentes, os principais esto relacionados na figura 5. Figura 4: Grupos de Segurana e Resposta a ncidentes (CSRTs) brasileiros. Fonte: http://www.cert.br/contato-br.html O Governo Brasileiro, por meio do Decreto n3.505, de 13 de junho de 2000, estabeleceu a Poltica de Segurana da nformao, com diretrizes globais de amplitude e alcance estratgico, considerando a diversidade e natureza complexa do ambiente organizacional da Administrao Pblica Federal. Esta norma foi o embrio para a criao do CTR Gov (Centro de Tratamento de ncidentes de Segurana em Redes de Computadores da Administrao Pblica Federal). O 37 Centro atua como ponto de referncia para o recebimento de notificao dos rgos e instituies pblicas federais, do poder executivo. Sua misso de articular aes das administraes de redes de computadores da administrao pblica federal.
2. ESTRUTURA DE UM GRUPO DE TRATAMENTO DE INCIDENTES Embora as formas de operao dos CSRTs sejam diferentes, dependendo do pessoal, conhecimento e recursos disponveis e das caractersticas individuais de cada organizao, existem algumas prticas bsicas que se aplicam a todos os CSRTs (CERT/CC 2006). A melhor opo de estrutura de apoio a um CSRT vai depender de cada tipo de organizao, mas o mais importante que este time precisa estar instalado onde possa melhor dar suporte s unidades de negcio, fora de uma rea de conflitos de interesses ou uma interferncia significante ao ambiente corporativo (Wyk & Forno, 2001). No existe um padro para localizao do CSRT na estrutura hierrquica de uma organizao. Mas onde quer que o CSRT esteja localizado de vital importncia que este tenha aprovao da administrao da organizao e autoridade para realizar o trabalho requerido. T'>$ (e CSIRT Na&:re7a (a M'ss6$ T'>$ (e PA!l'c$ Centro de Coordenao. Obter uma base de conhecimento com uma perspectiva global das ameaas segurana computacional por meio da coordenao com outros CSRTs. Outros CSRTs. Corporativo. Melhorar a segurana da infraestrutura da informao da corporao e minimizar a ameaa de dados resultantes de incidentes. Administradores e Usurios dos Sistemas e redes dentro da corporao. Tcnico. Melhorar a segurana de um Produto de T especfico. Usurios do produto. Tabela 1: Exemplos de Tipos de CSRTs com as Misses e Pblicos Associados. Fonte: Adaptado de West-Brown (2003).
38 A Tabela 1 prov exemplos e como diferentes tipos de CSRTs podem cumprir diferentes misses e servir diferentes pblicos. A localizao do CSRT na estrutura organizacional est fortemente relacionada com sua misso e o seu pblico. A equipe de um CSRT deve ter uma variedade de habilidades tcnicas e pessoais, especialmente uma boa comunicao. O GAC 18 (2lobal *nformation 'ssurance )ertification) possui trs certificaes que objetivam atestar habilidades relativas ao tratamento de incidentes. So elas: GCH ()ertified *ncident 0andling 'nalyst), GCM (2*') )ertified *ncident 1anagers) e GCFA (GAC Certified Forensics Analyst). O CERT/CC tambm mantm uma certificao relacionada, a CSH ()ertified )omputer Security *ncident 0andler). 21 FORMA/0O DE UM GRUPO DE RESPOSTA EFETIVO Para estabelecer um programa de resposta a incidentes necessrio investir bastante tempo em documentaes tcnicas e processos administrativos, definir equipes de trabalho e responsabilidades, definir requisitos das equipes, alocar recursos financeiros, identificar e adquirir ferramentas necessrias, treinar equipes, e tratar uma grande quantidade de outros detalhes administrativos especficos da organizao. Os CSRTs so to singulares quanto s organizaes que servem. sto significa que dois grupos dificilmente trabalharo exatamente da mesma maneira. importante que a organizao decida por que ela est montando um CSRT e quais objetivos ela pretende que o CSRT alcance (CERT/CC, 2006). O CERT/CC (2006) aborda algumas prticas recomendadas na criao de um CSRT. A criao pode ser vista como um processo composto por 8 passos, mas embora apresentado na forma de passos, muitas atividades podem ser executadas em paralelo. Este processo est representado na Figura 5. 18GAC uma entidade ligada ao SANS (SysAdmin, Audit, Network, Security) nstitute que desde 1999 elabora certificaes para validar habilidades de profissionais da rea de segurana computacional. 39 Figura 5: Processo de Criao de um CSRT. Fonte: Adaptado de CERC/CC (2006). A experincia do CERT/CC (2006) mostra que sem a aprovao e o apoio da administrao superior pode ser extremamente difcil e problemtico criar um mecanismo eficaz de resposta a incidentes. Este apoio deve ser demonstrado de vrias formas, incluindo a alocao de recursos materiais e financeiros. sso inclui tambm a dedicao de parte do tempo de executivos e gerentes (e de seus subordinados) para participao no processo de planejamento. A contribuio dessas pessoas vital durante a fase de concepo. Alm do apoio para o processo de planejamento e implementao, importante obter da administrao da organizao o compromisso de sustentar as operaes e a autoridade do CSRT em longo prazo. A ausncia deste apoio continuado pode ameaar o xito do CSRT (CERT/CC, 2006). No estabelecimento de um CSRT importante entender estrutura herdada e as necessidades do ambiente em que este grupo ir operar, e a postura que o CSRT ter em relao ao gerenciamento de riscos deste ambiente. Em West-Brown et al. (2003) procura-se estabelecer um framework como guia para o estabelecimento de um CSRT. Este framework 19 consiste em responder as perguntas: "o que fazer?", "para quem?", "em que local?" e "em cooperao com 19
estrutura de suporte definida em que um projeto pode ser organizado e desenvolvido. 40 quem?". Estas perguntas so respondidas atravs da identificao dos seguintes pontos: Misso enunciada: objetivos e prioridades; Pblico: tipo de pblico e relao com o pblico; Localizao na organizao: posio dentro da estrutura organizacional e relacionamento com a gerencia de riscos; Relacionamento com outros: cooperao com outros grupos. 22 SERVI/OS DE UM GRUPO DE RESPOSTA Alm do tratamento de incidentes, existem muitos servios que um CSRT pode oferecer. De fato, o tratamento de incidentes o componente central do trabalho de um CSRT. Os servios adicionais devem estar baseados em sua misso e pblico anteriormente definidos. Para West-Brown et al. (2003) os servios de um CSRT podem ser agrupados em trs categorias: Servios Reativos, Servios Proativos e Servios de gerenciamento da qualidade da segurana. Servios reativos so aqueles acionados por uma notificao de incidente de segurana. Servios proativos so relacionados ao provimento de assistncia e informao para proteger sistemas antecipadamente. A boa realizao destes servios reduzir o nmero de incidentes notificados. Servios de gerenciamento da qualidade da segurana. Estes servios esto relacionados ao aumento da segurana geral da organizao, identificando riscos e ameaas. Estes servios so geralmente proativos mas contribuem indiretamente para a reduo do nmero de incidentes. 41 Serv'5$s Rea&'v$s Serv'5$s Pr$a&'v$s Serv'5$s (e )ere-c'a%e-&$ (a B:al'(a(e (a se):ra-5a Alertas e Advertncias. Resposta a ncidentes. Tratamento de Vulnerabilidades. Anlise de Artefatos. Avisos e Anncios. Acompanhamento das Tecnologias. Auditoria e Avaliao da Segurana. Configura e Manuteno de Ferramentas de Segurana, aplicaes e infraestrutura. Desenvolvimento de Ferramentas de Segurana. Servios de Deteco de Ataques. Disseminao de nformaes relativas Segurana. Anlise de Riscos. Plano de Continuidade de Negcios e Plano de Recuperao de Desastres. Consultoria em Segurana. Conscientizao. Educao e Treinamento. Avaliao de Produtos ou Certificaes. Tabela 2: Lista de Servios Comuns de um CSRT. Fonte: Adaptado de West-Brown (2003). 28 RELACIONAMENTO DO GRUPO COM TERCEIROS Com a atual internacionalizao das redes torna-se provvel que a maioria dos incidentes que um CSRT esteja tratando envolva partes externas sua comunidade. Por essa razo, um grupo precisar interagir com outros. No estabelecimento desse relacionamento, os CSRTs devem definir acordos entre eles para determinar como compartilhar informaes sigilosas, se esse relacionamento pode ser divulgado, e em caso afirmativo, para quem. As organizaes podem ter exigncias por informar incidentes a um determinado rgo central ou podem fazer parte de um grupo de organizaes que agregam informaes de incidentes para ganhar efetividade no tratamento (Dorofee et al., 2003). Para os casos de existncia de mais de um CSRT dentro de uma organizao, essencial que estes se relacionarem para que seus trabalhos sejam realizados com eficincia. Este relacionamento pode ser determinado por uma relao hierrquica na estrutura. sto normalmente acontece quando os CSRTs so envolvidos por meio de uma entidade de coordenao. Esta entidade deve ser informada de todas as atividades de cada um dos CSRTs como forma de obter uma 42 viso abrangente dos times e coordenar os times quanto as suas atividades adicionais ou relacionadas. O relacionamento entre os times pode se dar tambm de maneira informal. A informalidade pode ser vista como benefcio, na medida em que permite flexibilidade para compartilhar informaes rapidamente. A comunicao crtica em todos os aspectos de resposta a incidentes. A figura 6 representa como se d o relacionamento do CTR Gov com outras entidades. Figura 6: Servios reativos e pr-ativos do CTR Gov e seu relacionamento com terceiros. Fonte: http://www.ctir.gov.br/interacoes.htm 43 8 FORENSE COMPUTACIONAL 8. FORENSE COMPUTACIONAL
Junto ao crescimento da utilizao de sistemas informatizados cresce tambm o nmero de crimes envolvendo estes sistemas. Logo, buscam-se formas adequadas para determinar quem, o que, onde e quando estes crimes acontecem. Tcnicas e ferramentas de forense computacional so geralmente utilizadas neste contexto de investigaes criminais e no tratamento de incidentes de segurana da informao. Organizaes devem ter capacidade para realizar forense computacional, porque esta necessria em diversas atividades da organizao como a investigao de crimes e de comportamento inapropriado, a anlise de incidentes de segurana, a localizao de defeitos de operao em sistemas e a recuperao de dados perdidos. Tratar incidentes com tcnicas de forense permite tambm que os tomadores de decises possam realizar suas aes necessrias de forma mais confiante, como por exemplo retirar um sistema de misso crtica da produo. A palavra forense definida no dicionrio Houaiss (2001) como "relativo aos tribunais e justia". Segundo Kanellis (2006), forense computacional uma metodologia para coletar e analisar evidncias em formato digital. Em sentido mais amplo, Forense Computacional a cincia de coletar e analisar evidncias em formato digital que possam ser usadas em uma ao legal para processar responsveis por crimes eletrnicos. Suas tcnicas so essenciais para prevenir, detectar, investigar e levar a juzo estes crimes. Seu uso necessrio em cenrios que envolvam incidentes de segurana da informao como: exposio de informaes, violao de propriedade intelectual, invaso de computadores, entre outros. Ainda que o uso de tcnicas e ferramentas de forense computacional seja ligado diretamente investigao de crimes e incidentes em sistemas digitais, este 44 uso se faz muito til na realizao de outras atividades como resoluo de problemas de operao de sistemas; monitoramento de atividades; restaurao de dados danificados, perdidos ou apagados; coleta de dados na realizao de levantamentos; etc. Para a correta utilizao das tcnicas de forense, necessrio entender o que uma evidncia. A palavra evidncia definida em dicionrio Houaiss (2001) como "qualidade ou carter de evidente, atributo do que no d margem dvida". Segundo Casey (2004), evidncia digital qualquer dado armazenado ou transmitido usando um computador que apie ou refute uma teoria de como um incidente aconteceu ou que identifique elementos crticos de um incidente como a inteno ou um libi. Ou ainda, em sentido mais restrito, como qualquer dado que possa estabelecer que um crime eletrnico foi cometido ou que pode fornecer uma ligao entre o crime e a vtima ou um crime e seu criminoso. ncorporar mtodos para armazenar informaes de forma que possibilitem a realizao de forense deve ser preocupao das empresas. Sem esta capacidade, uma organizao ter dificuldades ao tentar identificar que eventos ocorreram em seus sistemas e redes. H quatro princpios que devem servir de base para realizao de uma anlise forense computacional: Minimizar a perda de dados, registrar tudo (o que for encontrado e as atividades do perito), analisar todas as evidncias coletadas e relatar as descobertas de forma clara e compreensvel. fundamental assegurar a integridade das evidncias obtidas e de suas fontes durante todo o processo de anlise forense e mesmo aps o seu termino para eventuais contestaes. A Figura 7 representa uma anlise Forense Tpica. realizada uma cpia dos dados como forma de manter sua integridade, ento analisa-se os dados a partir da cpia gerada com o objetivo de identificar evidncias valiosas como arquivos de log, arquivos apagados, etc. 45 Figura 7: Anlise Forense tpica.
Organizaes devem assegurar que sua poltica de segurana contenha declaraes claras sobre as principais consideraes forenses, tais como: o contato com as autoridades legais, o monitoramento de incidentes e a conduo de revises regulares das polticas e procedimentos forenses. Elas tambm devem criar e manter guias e procedimentos para realizao das atividades de forense baseada nas polticas da empresa e tambm no arcabouo legal aplicvel. Os guias devem ter um foco nas metodologias gerais para a investigao de incidentes utilizando tcnicas forenses, mesmo porque impraticvel desenvolver procedimentos para cada situao possvel. Entretanto, deve-se avaliar a possibilidade de utilizao de guias de procedimentos passo a passo para as atividades rotineiras. Uma vez que dados eletrnicos podem ser facilmente alterados as empresas devem estar preparadas (embasadas em suas polticas, guias e procedimentos) para demonstrar a integridade dos dados contestados. Os guias e procedimentos devem ser revistos periodicamente. As polticas e procedimentos devem apoiar o uso apropriado das ferramentas de forense. O objetivo dos guias e procedimentos facilitar as tarefas forenses. mportante no tratamento de incidentes que impliquem em aes disciplinares internas na organizao ou persecues penais. Uma importante considerao como e quando o incidente ser contido. solar o sistema relacionado de influncias externas pode ser necessrio para 46 prevenir danos futuros ao sistema e seus dados ou para preservar evidncias. Em muitos casos, o analista deve trabalhar com a equipe de respostas a incidentes para realizar a deciso de conteno. Por exemplo, deixar um sistema off6line por horas para coletar dados pode afetar a habilidade da organizao em realizar suas operaes necessrias. De acordo com o Departamento de Justia Norte-Americano (2000), um sistema computacional atua, em um caso de crime, geralmente de trs formas distintas: O Sistema alvo de um crime. Ocorre quando a ao diz respeito a obter informaes de forma no autorizada ou causar danos, um computador ou uma rede de computadores; O Sistema utilizado como ferramenta para realizar o crime; O Sistema utilizado pra para armazenar dados relativos a crimes. Neste caso, o sistema no utilizado para cometer o crime, mas significante para propsitos legais. 81 FASES DE UMA FORENSE COMPUTACIONAL
Para o NST (Kent et al., 2006), uma anlise forense composta basicamente de 4 fases: coleta, exame, anlise e relatrio. A Figura 8 apresenta o processo de anlise forense. Figura 8: Processo da Anlise Forense. Fonte: Adaptado do NST (Kent et al., 2006).
47 A Anlise forense transforma a mdia analisada em evidncia conforme mostra Figura 9. A primeira transformao ocorre quando os dados da mdia coletada so preparados para serem processados por ferramentas forenses. Em seguida, os dados so transformados em informao atravs do seu exame. Finalmente a informao transformada em evidncia por meio de diversas formas de anlises para confeco do relatrio. Figura 9: Transformao da Mdia Analisada em Evidncia. Fonte: Adaptado do (Kent et al., 2006).
81. C$le&a
A primeira fase do processo para identificar e coletar dados de possveis fontes relevantes na medida em que se mantm a integridade dos dados seguindo os procedimentos adequados. importante salientar que as evidncias devem ser coletadas, armazenadas e apresentadas de acordo com a legislao relacionada para que possa ser utilizada em possveis aes legais civis ou criminais. Deve-se seguir a RFC 3227 (Brezinski e Killalea, 2002) que se trata de um guia, um passo a passo a ser seguido para coleta e armazenamento de evidncias de maneira adequada. A fase de coleta deve ser realizada de forma a manter a eficcia das evidncias digitais como provas. Devem ser observadas questes como a volatilidade dos dados, a sua preservao, seu armazenamento, consideraes legais e de privacidade, os procedimentos da coleta, a repetibilidade do mtodo, a cadeia de custdia (como uma evidncia foi encontrada e como ela foi analisada) e as ferramentas utilizadas. 48 O Analista deve poder identificar corretamente as possveis fontes de evidncias. Algumas vezes no praticvel a coleta de dados de uma fonte primria, ento o analista deve conhecer outras fontes de dados que podem conter parte ou todos os dados da fonte primria. Uma vez identificadas as possveis fontes de dados, o analista necessita coletar os dados destas fontes. Para o NST (Kent et al., 2006), o processo de coleta de dados pode ser realizado em trs passos: 1. Desenvolver um plano para coletar os dados; 2. adquirir os dados; 3. Verificar a integridade dos dados adquiridos. O Desenvolvimento de um plano para a coleta dos dados importante porque existem mltiplas fontes de dados em muitos casos. O Analista deve criar um plano que priorize as fontes, estabelecendo a ordem em que os dados sero adquiridos. So variveis importantes nesta priorizao: o valor relativo para a organizao da fonte de dados, a volatilidade 20 dos dados, e a quantidade de esforo necessrio para a coleta dos dados daquela fonte. Em alguns casos, existem tantas possibilidades de fontes de dados que no praticvel coletar todas, devendo estas fontes ser classificas e priorizadas. Evidncias digitais so frgeis e podem ser facilmente perdidas. Por exemplo, elas podem mudar com o uso, elas podem ser alteradas ou destrudas propositalmente ou ainda ser alteradas devido ao tratamento ou armazenamento imprprio. Por estas razes, evidncias devem ser rapidamente coletadas e preservadas. As provas podem ser as mais diversas possveis como e-mails, arquivos de log, arquivos temporrios com informaes pessoais, conexes abertas, processos em execuo, e outras evidncias que possam existir. O Processo de Coletar evidncias eletrnicas pode variar de caso para caso. Um desafio em encontrar evidncias saber onde procurar por elas. Por exemplo, uma investigao pode requerer exame de dados armazenados em um disco rgido de computador enquanto outros podem requerer exames de dados em memrias 20Dados em um sistema computacional podem ser volteis e se perderem quando o sistema tiver seu fornecimento de energia interrompido. Dados tambm podem ser perdidos quando realizadas outras atividades no sistema. 49 volteis. Ento, no h um nico procedimento de coleta de evidncias, e o uso de uma metodologia adequada depender do tipo de evidncia procurada e da tecnologia disponvel no momento. O perito deve conhecer qual ferramenta usar para conseguir a evidncia. tambm importante coletar a evidncia sem perder sua integridade. Para proteger a integridade da evidncia e argumentar que aquela evidncia no foi manipulada enquanto em custdia, manter a cadeia de custdia de uma evidncia coletada essencial. Cadeia de Custdia um processo utilizado para manter e documentar a histria cronolgica de uma investigao. Seu documento registra informaes como quem manuseou a evidncia, que procedimentos foram realizados, quando a evidncia foi coletada e analisada, onde as evidncias foram encontradas e armazenadas, porque aqueles dados so considerados evidncias e como a coleo e manuteno da evidncia foram realizadas. Para identificar uma potencial evidncia, o perito precisa de um vasto conhecimento tcnico. A evidncia deve ser identificada no meio de tantos outros arquivos normais, em diversas mdias como CD-ROM, Discos rgidos, celulares, etc. A evidncia identificada deve ser coletada dos componentes disponveis. Em alguns casos, a evidncia deve ser duplicada atravs da cpia exata da evidncia original utilizando-se softwares e/ou hardwares especficos. A inconstncia dos dados cria vrios obstculos no processo de imaging 21 . A ferramenta utilizada no pode introduzir novos dados na evidncia original ou em sua cpia. O perito deve ser capaz de provar em juzo que a cpia vlida e o processo repetvel. Todos os dados coletados de um sistema comprometido devem ser armazenados fisicamente de forma segura. Um documento de cadeia de custdia deve ser associado a cada pea de evidncia. 811 ECa%e 21maging o processo de fazer uma cpia exata da evidncia original. 50 Esta fase compreende o processamento dos dados coletados utilizando-se de mtodos automatizados e manuais, para avaliar e extrair dados de interesse particular, seguindo procedimentos que preservem a integridade dos dados. O exame de uma evidncia digital deve ser realizado em uma cpia fiel dos dados originais e por equipe treinada. Esta fase pode envolver o acesso e a extrao de dados "obscuros" como dados comprimidos, criptografados ou com mecanismos de controle de acesso. Os dados coletados na fase anterior podem conter milhares de arquivos. dentificar dados que contenham informaes de interesse pode ser uma tarefa rdua. Alm de que arquivos com dados de interesse podem conter muitas outras informaes no necessrias que precisam ser filtradas. Para contornar esta dificuldade, existem tcnicas e ferramentas que podem ser utilizadas (Grance et al., 2004). 812 A-9l'se Analisar os resultados da fase de exame, usando mtodos e tcnicas legalmente justificveis, para que seja extrada informao til para o esclarecimento do incidente, possvel crime eletrnico, objeto da forense. Deve ser desenvolvida e testada uma hiptese que responda as questes do incidente em anlise. O Fundamento da forense a utilizao de uma abordagem metodolgica para alcanar concluses apropriadas baseada nas evidncias disponveis ou determinar que nenhuma concluso pode ser extrada. Diversas ferramentas podem ser utilizadas para analisar completamente a evidncia coletada. Devem ser usadas ferramentas testadas e validadas, ou se outras ferramentas so utilizadas ento o perito investigador deve garantir que a evidncia no foi corrompida. Algumas atividades na anlise incluem ler a tabela de parties, busca de arquivos contendo informaes relevantes, mudanas no estado do sistema. Realizar anlises em sistemas ativos uma atividade desafiadora vez que o atacante pode ter modificado utilitrios do sistema. Em alguns casos, a atividade complexa de um sistema torna a evidncia dinmica e no possvel a 51 reproduo. At mesmo arquivos apagados de uma mdia podem ser restaurados por um investigador treinado com ferramentas adequadas. A interpretao dos resultados de uma anlise depende amplamente da capacidade tcnica do perito. Nesta fase o perito deve estabelecer o significado e a relevncia dos dados processados e resolver questes como o proprietrio dos dados, seu propsito e da por diante. 818 Rela&Dr'$ A fase final consiste na confeco de um relatrio da anlise realizada durante todo o processo forense. Trata-se da elaborao de uma pea escrita, fundamentada, na qual o perito analista expe as observaes e estudos efetuados, bem como as respectivas concluses. Este relatrio pode incluir a descrio das aes realizadas para realizao da forense, explicao sobre como as ferramentas e procedimentos foram selecionados, determinando em que ordem as aes foram realizadas e provendo recomendaes para a melhoria de polticas, guias, procedimentos, ferramentas e outros aspectos do procedimento forense. Para a ABNT (Associao Brasileira de Normas Tcnicas), o laudo "pea na qual o perito, profissional habilitado, relata o que observou e d as suas concluses ou avalia, fundamentalmente, o valor de coisas ou direitos". A confeco de um relatrio com os resultados de uma anlise um passo crucial na investigao. Todos os passos da anlise forense devem ser documentados cuidadosamente. O perito deve ser capaz de explicar os conceitos tecnolgicos em termos simples. A importncia e o significado dos resultados obtidos devem ser claramente mostrados. 81, Dese-v$lv'%e-&$ (e :% Gr:>$ (e F$re-se C$%>:&ac'$-al As organizaes devem garantir que seus profissionais de tecnologia da informao estejam suficientemente preparados para participar das atividades que envolvem 52 uma forense computacional. Os profissionais de T, especialmente os tcnicos que atendem os incidentes devem entender seus papeis e responsabilidades relativos forense, entendo as polticas e procedimentos da empresa. Estes profissionais de T devem tambm ser capazes de prestar assistncia quando as tecnologias que estes so responsveis forem parte de um incidente que envolva a forense computacional. Tambm necessrio um conhecimento sobre a legislao para que possam entender que aes podem e quais no podem ser empregadas na conduo de uma investigao. possvel a utilizao de um grupo composto por equipe de funcionrios da empresa com funcionrios externos para realizao das atividades de forense. Algumas atividades mais especializadas e que demandam muito esforo como a recuperao de mdias danificadas pode ser terceirizada para ter seu custo reduzido. A equipe que trata incidentes e realiza as atividades da forense necessita de conhecimento adequado dos princpios de forense, guias, procedimentos, ferramentas e tcnicas, bem como conhecimento das ferramentas e tcnicas anti6 forensics 22 que podem esconder ou destruir dados. Eles tambm devem ser especialistas em segurana da informao e em assuntos tcnicos especficos como os Sistemas Operacionais mais usados, sistemas de arquivos, aplicaes e protocolos de redes utilizados na organizao. Em um time de tratamento de incidentes, mais de um membro deve ser apto a realizar as atividades tpicas da forense, de forma que a ausncia de qualquer dos membros no inviabilize a forense. Os indivduos ou times devem ter boa comunicao com outras equipes e/ou pessoas quando necessitarem de assistncia adicional. O profissional deve possuir conhecimentos tcnicos e procedimentos para a realizao do trabalho, protegendo as provas de incidentes, gravaes acidentais, destruio, transporte e armazenamento inseguro. O apoio de procedimentos formalizados evita colocar nas mos do profissional envolvido naquela atividade especfica a tomada de decises 22'nti6forensic so meios empregados para impedir a realizao de uma anlise forense. 53 importantes como o desligamento de um sistema de misso crtica. Estas decises geralmente precisam ser tomadas com urgncia e sob presso, pois dessas decises depende a integridade das provas, devendo-se tomar os devidos cuidados para no invalid-las juridicamente. O profissional deve possuir tambm conhecimentos sobre as leis vigentes que so importantes para a realizao do seu trabalho, devendo ele seguir um padro para que as provas obtidas sejam vlidas perante a lei. possvel verificar que o trabalho de um perito na rea de computao delicado e exige bastante ateno, conhecimento das tcnicas e do sistema operacional, dos procedimentos e metodologia utilizada, pois uma operao feita erroneamente pode causar conseqncias graves e perda definitiva de possveis provas. 81; Ferra%e-&as e D's>$s'&'v$s (e F$re-se C$%>:&ac'$-al Ferramentas Forenses foram desenvolvidas para as vrias etapas do processo da Anlise Forense. No h uma nica soluo para toda a diversidade de tipos de investigao. Estas ferramentas foram desenvolvidas para diversas plataformas, sendo algumas proprietrias e outras de livre uso e de cdigo aberto. As ferramentas devem ser avaliadas por diferentes critrios como a completude de suas funcionalidades, o tempo utilizado para realizar sua funo, a facilidade de uso, sua aceitao em juzo, etc. Ainda que exista um grande nmero de ferramentas disponveis hoje em dia, a falta de padres ou especificaes para estas ferramentas e as mltiplas verses das ferramentas tornam difceis as suas avaliaes. Existe uma necessidade crtica em garantir a confiabilidade das ferramentas Forenses. Entidades do Governo Norte-Americano como o NST (4ational *nstitute of Standards and Technology) e o NJ (4ational *nstitute of 5ustice) tm desenvolvido padres para testar as ferramentas. O CFTT ()omputer #orensics Tool Testing) um projeto do NST para desenvolver especificaes e mtodos de testes para ferramentas de forense computacional e ento testar estas ferramentas. 54 Ferramentas forenses que foram validadas pelo CFTT incluem: ferramentas de imaging como dd, Safeback e EnCase; ferramentas de software :rite Block 23 como PDBLOCK, RCMP HDL e ACES; dispositivos de hardware write block como FastBloc FE, Tableau T5 Forensic DE Bridge, WiebeTech Forensic SATADock, WiebeTech Forensic ComboDock, etc. Polticas, guias e procedimentos devem tambm tratar o uso de ferramentas e tcnicas anti6forensics. Existem muitos usos positivos para eles, tais como remover dados confidenciais de computadores que sero doados ou remover histrico de uso do usurio para garantir sua privacidade. Entretanto, assim como as ferramentas forenses, as ferramentas anti6forensics podem ser usadas para fins maliciosos, ento as organizaes devem especificar o que permitido utilizar e sob quais circunstncias. 23A Tecnologia :rite6Blocker garante o bloqueio de escrita na mdia a ser copiada de forma a no introduzir ou alterar dados durante o processo de imaging. 55 , ESTUDO DE CASO ,. A ORGANI3A/0O SERPRO O SERPRO (Servio Federal de Processamento de Dados) uma empresa pblica, vinculada ao Ministrio da Fazenda. Foi criada com o objetivo de modernizar e dar agilidade a setores estratgicos da Administrao Pblica brasileira. A empresa tem por misso "prover e integrar solues em Tecnologia da nformao e Comunicaes para o xito da gesto das finanas pblicas e da governana do Estado, em benefcio da sociedade." (SERPRO, 2008a). Figura 10: Capilaridade da Rede SERPRO. Fonte: http://www.serpro.gov.br/servicos/rede Atravs de uma extensa infra-estrutura de rede de abrangncia nacional, como pode ser verificado na figura 10, o SERPRO presta servios de T a diversos clientes do setor pblico brasileiro, tais como: Presidncia da Repblica; Ministrio 56 da Fazenda; Ministrio do Planejamento, Oramento e Gesto; Ministrio da Educao; Advocacia-Geral da Unio; Controladoria-Geral da Unio; Tribunal de Contas da Unio; etc. Quanto estrutura, o SERPRO est presente em todos os estados do pas, atravs de Regionais ou Escritrios de servio, tendo sua sede localizada em Braslia. Possui cerca de 10 mil empregados, entre equipes tcnicas, administrativas e de gestores. Buscando garantir eficincia na prestao dos seus servios, o SERPRO tem sua estrutura geral organizada de acordo com a figura 11. Figura 11: Estrutura Organizacional do SERPRO. Fonte: http://www.serpro.gov.br/instituicao/estrutura
Com sistemas popularizados por siglas ou expresses como SAF, RPF, RENAVAM, COMPRASNET, SSCOMEX, SAPE, SASG, e diversos outros, a empresa tem papel vital na concretizao das polticas pblicas do Governo Federal. Alm do desenvolvimento de sistemas, a empresa atua em outras linhas de negcios, tais como: servios de datacenter 24 , infra-estrutura e servios de rede, servios ao cidado e segurana da informao. 24Datacenter, tambm conhecido como Centro de Processamento de Dados, o local onde so concentrados os sistemas responsveis pelo processamento de dados de uma empresa ou organizao. 57 Quanto segurana da informao, a empresa realiza: Consultoria em gesto de segurana; definio de polticas de segurana; certificao digital; anlise de vulnerabilidades; poltica de antivrus; pesquisa e investigao (anlise forense); grupo de resposta a ataques; e auditoria de segurana. (SERPRO, 2008b) So objetos deste estudo de caso, os servios de Grupo de Resposta a ataques e de pesquisa e investigao (anlise forense). ,1 O PROGRAMA DE SEGURAN/A DO SERPRO O PSS (Programa de Segurana do SERPRO) : [...] o modelo de gesto da Segurana da nformao e tem como objetivo atender as orientaes da Poltica Corporativa de Segurana da nformao (PCS). O Programa define a estrutura e o relacionamento dos diversos componentes do modelo (entidades e rgos) no que tange ao seu papel com relao Segurana da nformao e estabelece um conjunto de orientaes, definies, metodologias e aes que visam o gerenciamento de segurana no SERPRO, alinhadas s estratgias empresariais e ao negcio. O PSS possui ciclo de vida permanente e de mbito corporativo. (SERPRO, 2007) "O PSS utiliza como referncia as normas NBR SO/EC 17799:2005 - Cdigo de prtica para a gesto da segurana da informao e a NBR SO/EC 27001:2006 Especificao para o sistema de gesto de segurana da informao. (SERPRO, 2007). O estabelecimento de um programa de segurana demonstra a preocupao do SERPRO com a garantia da proteo das informaes que so vitais para a continuidade dos seus negcios. A primeira verso deste programa data de janeiro de 1997 e hoje o programa se encontra em sua sexta verso, indicando que a empresa despertou para os desdobramentos da segurana da informao de forma pioneira, em se tratando das organizaes brasileiras, como tambm indica que existe o comprometimento com a reviso e atualizao das normas de segurana. A ltima reviso e atualizao do documento que estabelece o programa ocorreu em novembro de 2007. Determina o PSS (SERPRO, 2007) que ele: [...] deve ser revisado a cada dois anos ou em situaes especiais, tais como o surgimento de novos cenrios de ameaas, novas diretrizes, novas 58 leis, alteraes contratuais, alteraes nas prticas de Segurana da nformao, estrutura, ambiente ou processos. importante observar que, em sua ultima reviso, o documento que estabelece o PSS sofreu grandes alteraes em relao verso anterior. Alm da adequao a uma nova estrutura organizacional, a nova verso apresenta-se de forma menor, com a excluso de vrios itens presentes na verso anterior. tens que consideramos importantes foram simplesmente retirados, tais como: a integrao com os demais programas corporativos e a descrio dos indicadores de segurana. O PSS gerenciado por uma Coordenao Corporativa voltada para a segurana da informao. Nos dias atuais, esta entidade conhecida como CTGSD (Departamento de Tecnologia de Segurana) e est subordinada a CETEC (Coordenao Estratgica de Tecnologia). As demais entidades que compem a organizao so responsveis pela segurana da informao nas suas respectivas reas de atuao. Estabelece o PSS (SERPRO, 2007) que as unidades organizacionais devem "conhecer, assimilar e administrar o PSS de forma a permitir proteo adequada das informaes, pessoas e recursos envolvidos, podendo adapt-lo s suas necessidades especficas." Alm de gerenciar o PSS, o CTGSD/CETEC tem por objetivo a gesto, formulao e coordenao de polticas e diretrizes de segurana. Atualmente, ela encontra-se inserida no mbito das Coordenaes Estratgicas (figura 11), reforando, ao menos quanto estrutura organizacional, a preocupao da alta direo da empresa com a Segurana da nformao. Adotando a idia de camadas de segurana, o PSS aborda a segurana da informao de forma ampla, descrevendo sua abrangncia em trs segmentos: processos, tecnologia e pessoas. O PSS estabelece ainda uma arquitetura de relacionamentos entre as entidades da organizao envolvidas com a segurana da informao. Este modelo est representado, de forma simplificada, na Figura 12. 59 Figura 12: Modelo simplificado de relacionamentos entre entidades da organizao envolvidas com a segurana da informao. (SERPRO, 2007). O Comit de Segurana d apoio s decises do CTGSD/CETEC, sendo formado por representantes de todas as unidades organizacionais do SERPRO. Os Grupos de Segurana Regional tambm apiam s decises do CTGSD/CETEC, mas atuam especificamente nas unidades organizacionais presentes em uma regional da empresa, sendo formado por representantes das unidades organizacionais presentes naquela regional. No SERPRO, existem diversas entidades envolvidas no processo de gesto da segurana da informao. O PSS descreve estas entidades conforme a Tabela 3. As responsabilidades e atribuies de cada entidade descrita de forma detalhada no anexo 1 que acompanha o documento que estabelece PSS. E-&'(a(es F:-5Ees Diretoria Diretor Presidente, Diretor Superintendente e Diretores. CTGSD/CETEC Coordenador do Processo Segurana da informao, Coordenador de Pesquisa e nvestigao, Coordenador do PSS. Unidades Organizacionais Superintendentes, Coordenador de Segurana da Unidade Organizacional, Membro do Comit de Contingncia, Chefias, Especialistas e Membros dos Grupos de Segurana e Contingncia Regionais. Comit de Segurana Coordenador do Comit de Segurana e Coordenadores de Segurana das UG. 60 E-&'(a(es F:-5Ees Grupos de Segurana Regionais Coordenador de Segurana Regional e Membros Regionais de cada Unidade Organizacional. Grupos de Contingncia Regionais Coordenador de Contingncia Regional e Membros Regionais de cada Unidade Organizacional. AUDG Auditor Geral, Coordenador de Segurana da AUDG. COJUR Consultor Jurdico, Coordenador de Segurana da COJUR. Outras Empregados, Estagirios, Bolsistas, Fornecedores, Prestadores de Servio, Clientes. Tabela 3: Entidades do PSS (SERPRO, 2007). ,2 TRATAMENTO DE INCIDENTES NO SERPRO Em se tratando do Tratamento de ncidentes, existe uma grande fragmentao das atividades entre as diversas entidades relacionadas segurana da informao. Esta fragmentao ocasionada principalmente devido dimenso continental da empresa e da sua estrutura organizacional tambm bastante segmentada. sto pode acarretar enormes dificuldades para o correto tratamento de incidentes, principalmente quanto comunicao eficiente entre estas entidades. Por exemplo, temos a equipe de Firewall da SUPRE (Superintendncia de Redes), o GRA (Grupo de Resposta a Ataques) nternet tambm da SUPRE, o GRA ntranet da SUPT (Superintendncia de Tecnologia da nformao), o CESE (Centro de Especializao em Seguran-a) tambm da SUPT, a equipe de monitoramento da SUPCD (Superintendncia de Centro de Dados), as equipes de segurana da SUPGL (Superintendncia de Gesto Logstica), alm da Central de Atendimentos da SUPGS (Superintendncia de Gesto se Servios), e outras entidades diversas. Todas estas entidades realizam atividades distintas que envolvem o tratamento de incidentes de segurana, e at mesmo atividades concorrentes. Muitas vezes, estas atividades requerem cooperao entre as reas. Para o tratamento de incidentes adequado, a Central de Atendimento da SUPGS desempenha papel vital para o bom andamento dos processos, pois responsvel por tratar, em primeiro nvel, incidentes diversos da empresa e de muitos dos seus clientes. Mas, hoje em dia, estas equipes que executam o registro 61 dos incidentes na ferramenta de workflow 25 no so capacitadas para identificarem quando um incidente est relacionado a questes de segurana da informao. Muitas vezes incidentes de segurana so classificados erroneamente e so encaminhados para equipes que no so responsveis pelo seu tratamento, gerando diversos problemas em efeito domin. Como dito, o papel desta equipe de atendimento de primeiro nvel vital, pois a correta identificao e priorizao de um incidente de segurana so componentes necessrios ao tratamento adequado. Percebe-se claramente que h uma grande preocupao quanto aos incidentes de segurana na organizao, principalmente quanto s questes relacionadas s redes de comunicao e os sistemas operacionais presentes nos computadores das estaes de trabalho e servidores de aplicao. Contudo, apesar de haver preocupao quanto codificao segura dos sistemas aplicativos, parece inexistir qualquer processo formal de tratamento de incidentes de segurana envolvendo a explorao de vulnerabilidades em aplicaes. No foram identificas entidades responsveis pelo tratamento deste tipo de incidente na organizao. As unidades organizacionais responsveis pela codificao de aplicaes no utilizam diretamente a ferramenta de workflow, onde so registrados os incidentes e outras atividades relacionadas ao modelo TL. Dentre as demais unidades que desenvolvem atividades relacionadas ao tratamento de incidentes de segurana, destacam-se o GRA nternet e o GRA ntranet 26 , pois estes esto formalmente estabelecidos e so responsveis pela maior quantidade de servios relacionados ao tratamento de incidentes de segurana, inclusive a realizao das percias forenses. ,2. Os Gr:>$s (e Res>$s&a a A&aB:es
25Fluxo de Trabalho (workflow em ingls) a seqncia de passos necessrios para que se possa atingir a automao de processos de um negcio de acordo com um conjunto de regras definidas. Uma ferramenta workflow um software utilizado para apoiar esta automao. 26 uma rede de computadores privada onde se aplicam os conceitos relacionado a nternet. 62 O GRA nternet e o GRA ntranet so grupos nos moldes de um CSRT que atuam sob a coordenao centralizada do CTGSD/CETEC, atuando, respectivamente, em ambientes de redes pblicas e em ambientes de redes privadas. (GRA, 2005). Estes grupos so formados por pessoas com experincia tcnica na rea de redes de computadores, sistemas operacionais, aplicaes e servios. Sua criao teve por objetivo proporcionar ao SERPRO "um grupo com perfil tcnico e ferramentas adequadas pra o tratamento de incidentes de segurana causados por tentativas de ataques e acessos indevidos aos sistemas, aplicaes e servios mantidos pela organizao." (GRA, 2004). Com a meta de "elevar o grau de segurana nos servios oferecidos pelo SERPRO atravs do tratamento de incidentes de segurana (GRA, 2004), foi estabelecido que o GRA deve estar: [..] capacitado a desenvolver as seguintes aes, por ordem de prioridade: coordenar o tratamento de incidentes a partir de um ponto central da organizao; gerenciar por meio de ferramentas de monitorao da segurana os sistemas, aplicaes, servios e rede, identificando de maneira pr-ativa as causas e a extenso de incidentes de segurana; determinar tendncias de ataques; aplicar freqentemente mecanismos de avaliao de vulnerabilidades sobre os sistemas, aplicaes e servios, de modo a detectar pontos de falha (hacker 27 tico); propor aes e recomendaes para reduzir a vulnerabilidade de sistemas, aplicaes, servios e da prpria rede; fornecer consultoria para as reas envolvidas no desenvolvimento e produo de aplicaes utilizando as melhores prticas de segurana disponveis; propor o uso de novas tecnologias e servios de segurana que agreguem valor aos servios oferecidos pelo SERPRO; interagir com grupos externos, visando apoio mtuo; assistir as reas envolvidas no estabelecimento de uma cultura de segurana e na capacitao de pessoal tcnico; apoiar o processo de educao da comunidade, no sentido de aumentar o nvel de conscincia sobre segurana. (GRA, 2004) Quanto ao relacionamento com outros grupos, foi definido que: O GRA interage com entidades externas para suprir as necessidades de: apoio ao tratamento de incidentes com consultas as instituies CERT.BR, NC.BR e provedores de backbone 28 internet (RNP, Embratel, Global One, entre outras), atravs de listas de contatos e email; acionamento de provedores / redes externas cujos registros de incidentes apontam provenincia, atravs de mensagens de email encaminhadas aos administradores de segurana, contendo histrico de registros e aes emergenciais executadas em defesa dos servios. (GRA, 2004) 27 uma pessoa com grande conhecimentos tcnicos sobre computao e afins, sendo tambm conhecido popularmente como aquela pessoa que invade um sistema de telefonia ou computadores. 28no contexto de redes de computadores, backbone designa canais de comunicao com grande fluxo de dados e importncia para uma rede, sendo caracterizada, geralmente, por seu elevadssimo desempenho. 63 De fato, o relacionamento do GRA nternet com grupos externos a organizao existe, contudo no foi possvel identificar a eficincia da comunicao e os benefcios da troca de informaes para o trabalho do GRA, uma vez que no esto disponveis relatrios de atividades do grupo. Chamou-nos a ateno o fato do fraco relacionamento entre o GRA nternet e o GRA ntranet, no existindo um ambiente que facilite a troca de informaes e a execuo das atividades. Na busca de realizar o tratamento de incidentes de segurana, o GRA dispe de produtos de monitoramento e analise de intruso, ferramentas de avaliao de vulnerabilidades e de quebra de segurana, bases de conhecimentos, infra-estrutura diferenciada dos demais setores da organizao, entre outros. O escopo de operaes do GRA abrange atividades que esto distribudas em duas macro-atividades. Em primeiro, est a Resposta a ncidentes que inclui a "triagem de informaes (obteno de informaes sobre incidentes e verificao de informaes), a coordenao do incidente (categorizao da informao, e coordenao) e a soluo do incidente (assistncia, erradicao, e recuperao) (GRA, 2004). Em segundo, esto as atividades proativas que incluem: [...] obteno de informaes e manuteno do banco de conhecimento, anlise de novas ferramentas e tcnicas de invaso, educao e treinamento, testes de vulnerabilidades e consultoria, participao em eventos relativos segurana, e aperfeioamento dos processos e anlise dos incidentes. (GRA, 2004) Apesar de constar no rol das atividades proativas, os servios de educao, treinamento e consultoria no esto elencados no portflio de servios do GRA, e tambm no so notados na empresa. Os servios do GRA que esto descritos em seu portflio (GRA, 2005) so: "a publicao de alertas e recomendaes; o tratamento de incidentes de segurana computacional; o tratamento de incidentes em situao de crise e grande eventos; a anlise de vulnerabilidades; o tratamento de artefatos; a anlise de conformidades de segurana computacional; a deteco de intruso; e a anlise forense. O servio Tratamento de ncidentes de Segurana Computacional tem por objetivo "prover o entendimento, mitigao e aplicar estratgias de resposta a incidentes" (GRA, 2005). Este servio composto pelos seguintes processos: "triagem, anlise do incidente e resposta ao incidente (GRA, 2005). Quanto 64 realizao deste servio, no foi possvel levantar a eficincia do mesmo, uma vez que no esto disponveis quaisquer indicadores ou relatrios das atividades do GRA. Apesar de no ser possvel realizar este levantamento, importante registrar que no houve, nestes ltimos anos, incidentes de segurana na organizao de grande. O servio Tratamento de ncidentes em situao de crise e graves eventos tem por objetivo retornar a normalidade dos servios prestados pela organizao. Este servio composto pelos seguintes processos: "anlise do incidente, resposta ao incidente e avaliao final do incidente (GRA, 2005). No foi possvel levantar a eficincia quanto realizao deste servio, pois no esto disponveis relatrios de atividades do GRA. O servio Anlise de Vulnerabilidades tem por objetivo "identificar vulnerabilidades e determinar as correes a serem aplicadas no ambiente operacional, visando proteo dos servios" (GRA, 2005). Este servio composto pelos seguintes processos: "anlise do ambiente computacional e de anlise do ambiente computacional realizado por terceiros (GRA, 2005). possvel atestar a efetividade parcial deste servio, uma vez que foi identificada a realizao da anlise de vulnerabilidades em diversos sistemas e servidores de rede local por parte do GRA ntranet. No foi possvel identificar a realizao dos mesmos procedimentos para sistemas e servidores de rede das demais unidades organizacionais. O servio Tratamento de Artefatos tem por objetivo "identificar o comportamento malicioso de artefatos, para gerar controles e minimizar impactos no ambiente computacional" (GRA, 2005). Este servio composto pelos seguintes processos: "anlise superficial e anlise de execuo (GRA, 2005). Quanto realizao deste servio, no foi possvel levantar a eficincia do mesmo, uma vez que no esto disponveis quaisquer indicadores ou relatrios das atividades do GRA. Tem-se conhecimento que este servio realizado pelo fornecedor da soluo antivrus quando o artefato est relacionado ao sistema por ele vendido. O servio Anlise de Conformidades de Segurana Computacional tem por objetivos: Realizar anlise de segurana fsica tentando identificar possveis pontos de falhas que possam comprometer o acesso sala de servidores; Avaliar a 65 aplicao das polticas de backup e restore; identificar vulnerabilidades no ambiente computacional; verificar nvel de atualizao de assinaturas do antivrus corporativo. (GRA, 2005) Este servio composto pelos seguintes processos: "agendar anlise de conformidade com o cliente, realizar anlise de conformidade, preparar e enviar relatrio". Quanto realizao deste servio, no foi possvel levantar a eficincia do mesmo, uma vez que o GRA no fornece quaisquer indicadores ou relatrios de suas atividades. O servio Deteco de ntruso tem por objetivo "identificar comportamento malicioso, anmalo ou que fira a poltica de segurana da organizao". (GRA, 2005). Este servio composto pelos seguintes processos: "monitoramento e administrao de sensores" (GRA, 2005). Constata-se que a realizao deste servio efetiva e se d por meio do constante monitoramento das redes do SERPRO. Por exemplo, as equipes de desenvolvimento so notificadas quando os PS (Sistemas de Preveno de ntruso) do GRA nternet alertam para tentativas de ataque aos sistemas monitorados. O servio Anlise Forense tem por objetivo a "procura e extrao de evidncias que permitam a formulao de concluses para determinar a causa de um incidente" (GRA, 2005). Este servio composto pelos seguintes processos: "aquisio de evidncias, anlise forense de fraude bancria, anlise forense preliminar, anlise forense completa. Por meio do conhecimento da existncia de relatrios de anlise forense possvel atestar a existncia da prestao deste servio, contudo ressalta-se a ineficincia do mesmo. O Servio de anlise forense prejudicado pela falta de relacionamento adequado entre as unidades que tratam do tratamento de eventos e incidentes de forma geral e as unidades que realizam o tratamento de incidentes de segurana, tais como o GRA. Diversas ferramentas so utilizadas pelo GRA na prestao dos seus servios, dentre elas se destacam: Autospy, Encase, Snort, Nessus, Ethereal, PSTools, entre diversas outras ferramentas de monitoramento, deteco de intruso, preveno de intruso, anlise de vulnerabilidades, levantamento e anlise de evidncias, consoles de gerncia, antivrus, etc. 66 ,8 FORENSE COMPUTACIONAL A preocupao com a preservao das evidncias e a realizao da forense computacional deve ser uma constante em uma empresa de tecnologia da informao. Por ser uma empresa pblica, essa preocupao deve ser reforada no SERPRO, uma vez que existem mais implicaes legais quanto s questes de segurana da informao. Por exemplo, para que ocorra a demisso de um funcionrio, envolvido em um incidente de segurana grave, preciso que este passe por um PAD (Processo Administrativo Disciplinar) que inclui o contraditrio e a ampla defesa. Para que as provas sejam admitidas neste processo, necessrio que elas sejam revestidas de legalidade. Logo, a realizao de uma forense computacional essencial nesta questo. As necessidades do processo de forense computacional do SERPRO esto definidas no PSS (SERPRO, 2007) como: dentificar o tipo do incidente de tecnologia de informao e comunicao, se intencional ou acidental, em ativos da empresa ou de seus clientes; identificar as vulnerabilidades que provocaram o incidente; integrar efetivamente as aes do ciclo de segurana, delineado na Linha do Tempo, retro-alimentando os eventos de preveno e deteco mediante as vulnerabilidades identificadas na investigao. Assim define o PSS: no SERPRO, [...] os eventos de segurana em ambiente de TC sero tratados formalmente, usando ferramentas de tecnologia apropriadas investigao do incidente e os procedimentos legais, visando sustentar a iseno das provas e a legalidade dos procedimentos. (SERPRO, 2007) definido na PCS (Poltica Corporativa de Segurana da nformao) que: As violaes de segurana devem ser registradas e os registros protegidos de forma adequada. As aes adotadas nos processos investigativos devem garantir a preservao, restaurao e anlise de evidncias, visando garantir provas do incidente e construir uma correlao de evidncias, a fim de fundamentar legalmente a ocorrncia ou no de delito. (SERPRO, 2008c) A fim de definir os procedimentos e os controles necessrios ao processo forense computacional, o SERPRO elaborou a norma SG/009 (Processo Forense Computacional do SERPRO). "Esta norma est respaldada pelo Programa de 67 Segurana do SERPRO (PSS) e alinhada a ABNT NBR SO/EC 17799/2005 e SO/EC DTR 18044:2003." (SERPRO, 2006). Define a norma: "haver investigao no contexto da forense computacional sempre que existir indcios de incidente de segurana com impacto no objeto de negcio do SERPRO e de seus clientes. (SERPRO, 2006). A investigao do processo forense computacional dever ocorrer em estreita observncia aos preceitos constitucionais, legais e organizacionais e ser classificada com o grau de sigilo reservado ou de acordo com definio da autoridade competente, observada a Norma de Classificao de Ativos de nformao do SERPRO, SG-005/2005. (SERPRO, 2006) A norma de Forense Computacional do SERPRO merece elogios. Ela define bem o processo de realizao de uma forense computacional, abordando a identificao de incidentes, a notificao de incidentes, o atendimento a incidentes, e medidas prvias de preservao de evidncias, a preservao de evidncias, os procedimentos de investigao, os procedimentos de investigao para fraudes bancrias, a formao da cadeia de evidncia, a legalidade da evidncia, o laboratrio de analise forense e a confeco de relatrios. uma norma bastante completa, com diversos anexos que exemplificam termos e relatrios necessrios para a correta realizao da analise forense. O processo de forense est muito bem descrito na norma e um diagrama de fluxos pode ser encontrado em seu anexo 1. Apesar de a norma ter sido muito bem elaborada, ela no de conhecimento de todo o corpo tcnico que trata incidentes de segurana, inclusive dos membros do GRA que so os responsveis diretos pela realizao das atividades de forense computacional na organizao. A divulgao da norma tem sido falha. A responsabilidade pela realizao das anlises forenses foi atribuda ao GRA. O GRA possui equipe tcnica operacional qualificada, ainda que em nmero bastante reduzido, para realizao das atividades tcnicas de uma forense. Alm do nmero reduzido de membros da equipe qualificada, estes esto concentrados nas unidades regionais de Braslia, So Paulo e Recife, gerando dificuldades para realizao de atividades nas demais regionais da empresa. Em sua unidade regional de Braslia, a empresa possui um laboratrio para realizao de anlises forenses de artefatos. Foram adquiridas ferramentas de software e hardware especficos para realizao destas atividades. 68 ,, INDICADORES E RESULTADOS OBTIDOS Os ndicadores de segurana da informao se constituem num elemento fundamental para o acompanhamento da segurana no SERPRO. Os indicadores podem ser operacionais, tticos ou estratgico e sua anlise permitir aes corretivas, conforme o caso. (SERPRO, 2007) Apesar da preocupao em mostrar a importncia de indicadores de segurana em seu Programa de Segurana, o SERPRO no implementa indicadores de maneira adequada. S foi possvel identificar o indicador de segurana que aponta para a quantidade de dias sem o registro de uma crise de vrus. Levando em considerao que a principal fonte para fornecimento de indicadores de incidentes no mbito da segurana seja o CSRT, o SERPRO no define a publicao de indicadores por parte do GRA. Determina apenas que "o processo de divulgao de informaes quanto ocorrncia de incidentes deve preservar o sigilo no tratamento dos dados e a privacidade do cliente (GRA, 2004). Levando em considerao a preocupao com classificao das informaes, a criao de indicadores de forma genrica atenderia tanto a este requisito, quanto a anlise da efetividade das atividades desempenhadas pela empresa no combate aos incidentes de segurana. Um indicador contendo apenas o quantitativo de incidentes registrados em determinado perodo seria suficiente, por exemplo, para obter um comparativo entre o registro de incidentes de forma geral na central de atendimentos, com a porcentagem daqueles que envolvam segurana. Tal informao enriquece a criao de campanhas de educao e treinamento. J a distino entre indicadores quantitativos e indicadores qualitativos poderia dar suporte a justifica de investimentos em ferramentas e pessoal especializado em tratamento de incidentes de segurana. Tambm no foi possvel identificar os resultados obtidos com o desenvolvimento processos, normas e grupos quanto o tratamento de incidentes de 69 segurana, pois no foi possvel ter acesso a qualquer relatrio de atividades desenvolvidas. ,; IDENTIFICA/0O DE MEL#ORIAS A partir da anlise de estudo de caso presente captulo, foi possvel identificar alguns pontos de melhorias no processo de tratamento de incidentes de forma geral. Cabe ressaltar que os pontos aqui colocados foram identificados como deficincias atravs da anlise de documentos e normas acessveis ao pblico interno da organizao SERPRO, alm de levantamentos de campo. possvel que algumas sugestes de melhorias j tenham sido vislumbradas ou at mesmo desenvolvidas adequadamente na organizao mas que no divulgao. De forma a sistematizar a realizao do estudo de caso, foi criada uma matriz de pontos de controle (presente no apndice A) contendo as melhores prticas identificados atravs da pesquisa bibliogrfica. Os pontos de controle foram ento confrontados com as informaes presentes nas normas e documentos corporativos relacionadas ao tema. Tambm foram realizados levantamentos empricos e consultas a um dos responsveis pela implantao dos processos de segurana da informao na empresa, que, atualmente, um dos representantes da CTGSD/CETEC. Como resultado desta atividade, percebe-se a necessidade da implementao das seguintes sugestes de melhorias: ncluso de informaes no PSS, tais como: a integrao deste com os demais programas corporativos e a descrio dos indicadores de segurana; A organizao possui diversas entidades envolvidas com o tratamento de incidentes de segurana. aconselhvel uma reviso completa da estrutura organizacional buscando identificar todas as entidades envolvidas e aperfeioar seus relacionamentos. A busca por um melhor relacionamento entre as entidades tem por objetivo otimizar os recursos empregados e tornar 70 eficiente os processos de tratamento de incidentes. A grande quantidade de entes envolvidos gera dificuldades principalmente quanto comunicao eficiente, to necessria ao correto tratamento de um incidente de segurana. Deve-se tambm eliminar a realizao de atividades concorrentes e o garantir a troca de informaes, consolidando as bases de conhecimentos dispersas; Estabelecer uma eficiente coordenao entre estas entidades, para isto necessrio que a unidade organizacional (o Departamento de Tecnologia da Segurana atualmente) responsvel por esta coordenao seja abastecida com informaes acerca dos incidentes por meio de indicadores; Manuteno de polticas e normas quanto ao desenvolvimento de aplicaes, orientando a codificao segura de sistemas aplicativos; niciativas para o efetivo tratamento de incidentes de segurana em sistemas desenvolvidos pela empresa; As equipes que tratam do primeiro registro dos incidentes na ferramenta de workflow devem ser qualificadas para que possam identificar e priorizar corretamente incidentes relacionados a segurana da informao. Pois, percebe-se que, hoje em dia, a identificao e priorizao no so corretamente realizadas; Atualizao dos documentos relacionados estruturao do GRA e de seu portflio de servios. Atualizao para a nova estrutura organizacional da empresa; Ampla divulgao do portflio de servios do GRA para a comunidade que ele d suporte; Criao de um grupo de trabalho ou de uma rea dedicada forense computacional, visando um melhor preparo dos profissionais, com o devido conhecimento sobre os processos e normas da empresa, legislao vigente, certificaes especficas e conhecimento adequado de ferramentas e tcnicas forenses. Alm disso, dedicao dos profissionais a este processo na 71 organizao. Atualmente, Os membros do GRA atuam como um grupo de temporrio para a realizao de anlises forenses, atuando quando h um incidente de segurana que necessite da realizao deste tipo de anlise. Devido ao nmero bastante reduzido de membros no GRA e de sua localizao geogrfica exclusiva as regies de Braslia, So Paulo e Recife, as atividades de anlises forenses deveriam ser estendidas a outros membros da organizao que tambm fossem qualificados a realizar as atividades relacionadas. A viabilizao desta extenso poderia ser realizada atravs da formalizao de um grupo de trabalho perene compostos por funcionrios das mais diversas unidades organizacionais e dispersos nas regionais da empresa. Desta forma, consultores do setor jurdico tambm poderiam ser includos nesse grupo de trabalho. Os membros deste grupo de trabalho poderiam ser qualificados e certificados e a eles garantidos pontos no sistema de progresso na carreira; Treinamento adequado para o corpo tcnico da empresa que trata os incidentes de segurana, buscando o alinhamento dos princpios da forense computacional ao tratamento de incidentes; nvestimentos para obteno de certificaes relacionadas resposta de incidentes e a forense computacional pelas equipes tcnicas responsveis pelo tratamento de incidentes; Ampla divulgao da norma de forense computacional para os responsveis diretos pelo tratamento de incidentes de segurana; Atualizao da norma de forense computacional para refletir em seus processos e fluxos a nova estrutura organizacional da empresa. Baseado nos documentos e informaes disponveis, no foi possvel identificar a efetividade de alguns processos relacionados ao tratamento de incidentes de segurana na organizao SERPRO. Por este motivo, os itens abaixo so sugeridos como melhorias ao processo de tratamento de incidentes de segurana. So eles: 72 Estabelecimento de padres de logs de segurana; Formalizao e definio de exemplos de incidentes de segurana nos Acordos de Nveis de Servios da organizao com os seus clientes; Composio dos grupos de tratamento de incidentes por pessoas certificaes relacionadas ao tema; Amplo conhecimento dos membros do CSRT da estrutura da organizao e das necessidades do ambiente em que o grupo opera; Aperfeioamento constante e ampliao dos Servios Proativos; Conhecimento adequado da equipe do CSRT sobre ferramentas e tcnicas anti6forensics; Definio de polticas, guias e procedimentos para o uso de ferramentas e tcnicas anti6forensics. 73 ; CONCLUS0O Neste trabalho, explorou-se os conceitos e prticas relacionadas ao tratamento de incidentes de segurana. Ressaltando a importncia que o tema tem para as organizaes modernas, mostrou-se que o planejamento e preparao so vitais na busca por vencer o desafio de proteger recursos valiosos das organizaes. As recomendaes levantadas mostram que conhecimentos tcnicos, comunicao eficiente e coordenao de esforos so requisitos obrigatrios para as empresas que querem lidar com as questes da segurana da informao. Muitas entidades se esforam para conceber modelos que permitam as organizaes adotar as prticas do tratamento de incidentes de forma mais organizada. Neste sentido, buscou-se demonstrar a maneira pelas quais estas entidades abordam a problemtica. CERT/CC, SO, SANS, CAS/RNP e NST foram algumas das entidades que tiveram suas publicaes estudadas e citadas, alm diversos autores e o TL. Mas, apesar destes esforos, nem sempre adequado aplicar modelos pr-estabelecidos para o tratamento de incidentes de segurana, pois h caractersticas peculiares a cada empresa. Dentre a diversidade de recomendaes, a criao de um Grupo de Resposta a ncidentes ou CSRT, como comumente conhecido, uma das prticas que a maioria das organizaes reconhecem e vem sendo includa em suas estratgias. Ento, destacou-se as caractersticas necessrias a formao de um grupo efetivo, que no se limite a prestar somente servios reativos e que tambm atenda as necessidades de comunicao eficiente para um bom relacionamento com outros grupos. A importncia da anlise forense computacional tambm foi evidenciada. A relao entre os processos da forense computacional e as necessidades do tratamento de incidentes apresenta diversas consideraes e entend-las vital para agir em resposta a um cybercrime ou um incidente que necessite de 74 investigao. ntegrar os processos de anlise forense e tratamento de incidentes chave para o sucesso das organizaes em sua busca pela proteo. As recomendaes foram compiladas e reunidas na forma de pontos de controles, constantes na tabela do Apndice A. Esta forma de trabalhar a conformidade com as prticas de tratamento de incidentes original, no sendo encontrada em nenhuma das referncias estudadas. Estes pontos de controle podem ser usados no s como itens para verificao de conformidade, mas tambm como indicaes de atividades a serem desenvolvidas para o estabelecimento do tratamento de incidentes nas mais diversas organizaes. Atravs do estudo de caso, foi possvel constatar que o SERPRO uma das instituies pioneiras na implementao de mecanismos de controle relacionados segurana da informao, como tambm no estabelecimento de processos e grupos para o tratamento de incidentes no setor pblico. Apesar da falta de indicadores adequados e relatrios de atividades, constata-se que o tratamento de incidentes de segurana realizado em um bom nvel. Constatou-se que o SERPRO possui seus processos de tratamento de incidentes de segurana bastante estruturados, mas que precisam ser revisados e mantidos de forma mais sistemtica. Na organizao, a identificao, controle, resposta, mitigao e investigao de incidentes esto respaldadas por um arcabouo de processos, normas e polticas corporativas, alm de infra-estrutura de equipamentos e ferramentas especficas. Por fim, o trabalho alcanou seu objetivo especfico de mencionar melhorias para o processo de tratamento de incidentes de segurana e, portanto, algumas sugestes contribuiro para o constante aprimoramento dos servios, sistemas e processos do SERPRO. 75 REFERFNCIAS BIBLIOGRFICAS ABNT - ASSOCAO BRASLERA DE NORMAS TCNCAS. TGc-'cas (e Se):ra-5a - S's&e%as (e Ges&6$ (e Se):ra-5a (a I-4$r%a56$ - ReB:'s'&$s. NBR SO/EC 27001, 2006. ALBERTS, C.; DOROFEE, A.; KLLCRECE, G.; RUEFLE, R.; ZAJCEK, M. De4'-'-) I-c'(e-& Ma-a)e%e-& Pr$cesses 4$r CSIRTs: A Work in Progress. CMU/SE-2004- TR-015. Carnegie Mellon University, 2004. BOWEN, P.; HASH, J.; WLSON, M. I-4$r%a&'$- Sec:r'&H #a-(!$$I: A Guide for Managers. Recommendations of the NST - National nstitute of Standards and Technology, 2006. BREZNSK, D.; KLLALEA, T. G:'(el'-es 4$r Ev'(e-ce C$llec&'$- a-( Arch'v'-). RFC 3227. The nternet Engineering Task Force, 2002. CASEY, E. D')'&al Ev'(e-ce a-( C$%>:&er Cr'%e. Academic Press, 2004. CAZEMER, J. A.; OVERBEEK, P. L.; PETERS, L. M. Bes& Prac&'ce 4$r Sec:r'&H Ma-a)e%e-& - ITIL. Office of Government Commerce, Stationery Office. 9. ed. London: TSO, 2004. CERT.br. Pr9&'cas (e Se):ra-5a >ara A(%'-'s&ra($res (e Re(es I-&er-e&. Verso 1.2, 2003. Disponvel em: <http://www.cert.br/docs/seg-admredes/seg-adm- redes.html>. Acessado em: 05 mar. 2008. CERT/CC. Crea&'-) a C$%>:&er Sec:r'&H I-c'(e-& Res>$-se Tea%: A Pr$cess 4$r Ge&&'-) S&ar&e(. Carnegie Mellon University, 2006. Disponvel em: <http://www.cert.org/csirts/Creating-A-CSRT.html>. Acessado em: 10 fev. 2008. CERT/CC. CSIRT FreB:e-&lH AsIe( J:es&'$-s. Carnegie Mellon University, 2007. Disponvel em <http://www.cert.org/csirts/csirt_faq.html> . Acessado em: 01 mar. 2008. DOROFEE, A.; KLLCRECE, G.; RUEFLE, R.; ZAJCEK, M. I-c'(e-& Ma-a)e%e-& Ca>a!'l'&H Me&r'cs. CERT Program. Verso 0.1. Carnegie Mellon, 2007. GRA. Es&r:&:ra56$ ($ Gr:>$ (e Res>$s&a a A&aB:es KGRAL. SERPRO - Servio Federal de Processamento de Dados, 2004. GRA. P$r&4Dl'$ (e Serv'5$s ($s Gr:>$s (e Res>$s&a a A&aB:es I-&ra-e& e I-&er-e&. Verso 0.1. SERPRO - Servio Federal de Processamento de Dados, 2005. GRANCE, T.; KENT, K.; KM, B. C$%>:&er Sec:r'&H I-c'(e-& #a-(l'-) G:'(e. Recommendations of the NST - National nstitute of Standards and Technology. Special Publication 800-61, 2004. 76 HARRS, S. CISSP All-'--O-e ECa% G:'(e. 3. ed. McGraw-Hill Osborne Media, 2005. HOUASS, A. D'c'$-9r'$ #$:a'ss (a L?-):a P$r&:):esa. 1. ed. Editora Objetiva, 2001. SO. Sec:r'&H &ech-'B:es - I-4$r%a&'$- sec:r'&H '-c'(e-& Ma-a)e%e-&. nternational Organization for Standardization. SO/EC TR 18044, 2004. KANELLS, P. D')'&al Cr'%e a-( F$re-s'c Sc'e-ce '- CH!ers>ace. dea Group nc., 2006. KENT, K.; CHEVALER, S.; GRANCE, T.; DANG, H. G:'(e &$ I-&e)ra&'-) F$re-s'c Tech-'B:es '-&$ I-c'(e-& Res>$-se. NST Special Publication 800-86, 2006. MELL, P.; KENT, K.; NUSBAUM, J. G:'(e &$ MalMare I-c'(e-& Preve-&'$- a-( #a-(l'-). Recommendations of the NST - National nstitute of Standards and Technology. Special Publication 800-83, 2005. SCHWETZER, D. I-c'(e-& Res>$-se: Computer Forensics Toolkit. Wiley Publishing, nc, 2003. SERPRO. C$%>$-e-&es Es&ra&G)'c$s. Servio Federal de Processamento de Dados, 2008a. Disponvel em: <http://www.serpro.gov.br/instituicao/quem/componentes>. Acessado em: 01 mar. 2008. SERPRO. L'-has (e Ne)Dc'$ - Se):ra-5a. Servio Federal de Processamento de Dados, 2008b. Disponvel em <http://www.serpro.gov.br/negocios/linhas/seguranca>. Acessado em: 01 mar. 2008. SERPRO. N$r%a SG/NNO - Pr$cess$ F$re-se C$%>:&ac'$-al ($ SERPRO. Verso 1. SERPRO - Servio Federal de Processamento de Dados, 2006. SERPRO. PCSI - P$l?&'ca C$r>$ra&'va (e Se):ra-5a (a I-4$r%a56$. Servio Federal de Processamento de Dados, 2008c. SERPRO. PSS - Pr$)ra%a (e Se):ra-5a ($ SERPRO. Verso 5.1. Servio Federal de Processamento de Dados, 2007. SHREY, R. W. I-&er-e& Sec:r'&H Gl$ssarH. RFC2828. The nternet Engineering Task Force, 2000. US DoJ. The Elec&r$-'c Fr$-&'er: The Challenge of Unlawful Conduct nvolving the Use of the nternet. Departament of Justice, 2000. Disponvel em: <http://www.usdoj.gov/criminal/cybercrime/unlawful.htm>. Acessado em: 12 fev. 2008. WEST-BROWN, M. J.; STKVOORT, D.; KOSSAKOWSK, K.; KLLCRECE, G.; RUEFLE, R.; ZAJCEK, M. #a-(!$$I 4$r C$%>:&er Sec:r'&H I-c'(e-& Res>$-se Tea%s KCSIRTsL. 2. ed. Carnegie Mellon University, 2003. 77 WYK, K. R. V.; FORNO, R. I-c'(e-& Res>$-se. 1. ed. Sebastopol: O'Reilly, 2001. 78 APFNDICE A Pontos de Controles elaborados a partir das melhores prticas identificadas acerca do tema "Tratamento de ncidentes de Segurana para sua utilizao no Estudo de Caso. P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se . Tra&a%e-&$ (e I-c'(e-&es (e Se):ra-5a 1.1 Unidades da organizao desenvolvendo processos focados na segurana. 1.1 Diversos entes da organizao realizam atividades relacionadas segurana da informao. Os maiores resultados so percebidos nas unidades de infra-estrutura. Existncia de diversas aes para tratar a segurana no desenvolvimento de sistemas. 1.2 Estabelecimento e implementao de um Sistema de Gesto de Segurana da nformao (SGS) de acordo com a norma NBR SO/EC 27001:2006. 1.2 Um processo da organizao certificado SSO 27001. Trata-se do Centro de Certificao Digital. 1.3 Estabelecimento e implementao de um processo de Resposta a ncidentes. 1.3.1 dentificao. 1.3.2 Coordenao. 1.3.3 Mitigao. 1.3.4 nvestigao. 1.3.5 Educao (lies aprendidas). 1.3 O processo de tratamento de incidentes baseado fortemente nas melhores prticas do TL. realizado de forma ampla, permeando diversos entes da organizao e tratando tanto incidentes de segurana quanto incidentes de um modo geral, de acordo com a definio do TL. utilizada ferramenta de workflow, mas nem todas as unidades utilizam este processo. 1.3.1 Aps a notificao e registro dos incidentes atravs da Central de Atendimento, os incidentes identificados como relativos a segurana so encaminhados para as reas responsveis por trat-lo. 1.3.1 Existe tambm a identificao e notificao automatizada atravs da utilizao de ferramentas como os sistemas de preveno a intruso. Nestes casos, os responsveis pelo tratamento do incidente so notificados automaticamente. De acordo com o portflio de servios do GRA, tambm so realizadas notificaes atravs de email, bip e telefones. 1.3.2 De acordo com as normas coorporativas, a coordenao fica a cargo do Departamento de Tecnologia da Segurana. 1.3.3 H na organizao diversas normas que tratam da segurana da informao e diversos controles so empregados. Estes controles atuam na mitigao de diversas maneiras. 79 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 1.3.4 Conforme a norma de forense computacional (SERPRO, 2006) "haver investigao no contexto da forense computacional sempre que existir indcios de incidente de segurana com impacto no objeto de negcio do SERPRO e de seus clientes.. 1.3.5. A educao est prevista nas metas do GRA em seu documento de Estruturao: "apoiar o processo de educao da comunidade no sentido de aumentar o nvel de conscincia sobre segurana. 1.4 Estabelecimento de processos para o Tratamento de ncidentes. 1.4.1 Centralizao do tratamento e notificao de incidentes de segurana. 1.4.2 Conscientizao dos usurios. 1.4.3 Definio de processos de preveno, deteco, conteno, eliminao e investigao. 1.4.4 Utilizao de softwares de automao. 1.4. Como citado no item anterior, o processo de tratamento de incidentes baseado fortemente nas melhores prticas do TL. realizado de forma ampla, permeando diversos entes da organizao e tratando tanto incidentes de segurana quanto incidentes de um modo geral, de acordo com a definio do TL. utilizada ferramenta de workflow, mas nem todas as unidades utilizam este processo. 1.4.1. A Centralizao est prevista como meta do GRA em seu Documento de Estruturao. Contudo so diversas as reas da organizao que tratam informalmente os incidentes de segurana sem o envolvimento do GRA. A notificao , vida de regra, realizada por meio da Central de Atendimento baseada no modelo TL. Mas existe a possibilidade de notificao automtica para os envolvidos com o tratamento de incidentes diretamente atravs de ferramentas automatizadas. 1.4.2. A organizao j realizou e continua realizando diversas iniciativas de conscientizao do usurio, desde cursos na modalidade de ensino a distncia realizao de eventos como fruns, palestras, etc. 1.4.3. Este item est previsto no Documento de Estruturao do GRA e descrito em seu Portflio de Servios. 1.4.4. Este item est previsto no Documento de Estruturao do GRA e descrito em seu Portflio de Servios. 1.5 Notificao de Eventos e ncidentes. 1.5.1 Agilidade na notificao dos envolvidos. 1.5.2 Monitoramento contnuo da rede e sistemas. 1.5.3 nstalao de dispositivos ou softwares para deteco de ataques nos sistemas mais crticos. 1.5.4 Estabelecimento de responsabilidades, processos e procedimentos. 1.5.1. Quando a notificao no realizada de forma automatizada, a sua agilidade comprometida devido a problemas na identificao, classificao e priorizao dos diversos tipos de incidentes de que so relatados a Central de Atendimento da organizao. 1.5.2. O monitoramento contnuo est presente nas diversas redes administradas pela equipe operacional da organizao. Utiliza-se de softwares especficos para monitoramento. 80 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 1.5.5 Notificao de incidentes de segurana ao Security !fficer. 1.5.3. Os sistemas de deteco de ataques esto presentes. Devido a enorme quantidade de sistemas, no foi possvel avaliar se todos os sistemas crticos esto cobertos por essa proteo. 1.5.4. O estabelecimento de responsabilidades e processos est presente no documento de Estruturao do GRA e em seu Portflio de Servios. Guias de procedimentos detalhados acerca do tema no foram encontrados. 1.5.5. A notificao ocorre ainda que de forma no otimizada, uma vez que no h indcios da utilizao de indicadores automatizados. 1.6 Categorizao e Triagem de ncidentes. 1.6.1 Classificao de acordo com nvel de severidade. 1.6. A categorizao e triagem de incidentes so comumente realizadas na central de atendimento. Nem sempre estes procedimentos so realizados a contento. 1.6.1 Classificao realizada por meio de roteiros interpretados pela equipe da Central de Atendimento conforme modelo TL. 1.7 Priorizao de ncidentes 1.7.1 Priorizao de acordo com efeito tcnico e potencial do incidente, e criticidade dos recursos afetados. 1.7.1. A priorizao existe e realizada, ainda que informalmente, de acordo com a importncia do cliente, dando nfase ao impacto poltico nos negcios da organizao. O Potencial do incidente e a criticidade dos recursos tambm so avaliados. 1.8 Anlise de ncidentes 1.8.1 Estabelecimento de padres de logs& 1.8.2 Efetividade em determinar o escopo do incidente e as vulnerabilidades exploradas. 1.8. A anlise de incidentes est prevista no Portflio de Servios do GRA. 1.8.1. No foram encontrados indcios de documentos formais referentes a padronizao de logs. Sabe-se da existncia de projeto para centralizao de logs para algumas reas da organizao, que por sua vez ajuda na padronizao destes registros. 1.8.2. No foi possvel avaliar a efetividade. 1.9 Documentao de ncidentes. 1.9.1 Registros sobre o estado do incidente e demais informaes pertinentes ao incidente. 1.9.2 Formalizao e exemplos de incidentes de segurana no Acordo de Nveis de Servios. 1.9. A documentao normalmente realizada por meio de ferramenta de workflow, que alimenta um importante banco de dados acerca dos incidentes enfrentados pela organizao. 1.9.1. tem em conformidade. 1.9.2. No foi possvel levantar a conformidade deste item. O SERPRO mantm muitos acordos de nveis de servios com suas dezenas de clientes. 1.10 Deteno, Erradicao e Recuperao. 1.10.1 Definio de riscos aceitveis relacionados a incidentes de segurana 1.10.1. O SERPRO adota a metodologia de gesto de riscos de segurana (GRS) que avalia os riscos de acordo com as vulnerabilidades e ameaas relacionadas a incidentes. 81 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 1.10.2 Desenvolvimento e documentao de estratgias de deteno. 1.10.2. A empresa desenvolve diversas estratgias de deteno, mas nem sempre estas so documentadas formalmente. 1.11 Mitigao de Vulnerabilidades. 1.11.1 Definio de controles 1.11.2 Estabelecimento de um programa de gerenciamento de riscos. 1.11.3 Coleta de informaes sobre novas vulnerabilidades e ameaas atravs de fontes confiveis, como boletins de CSRT e fornecedores de produtos para segurana. 1.11.4 Estabelecimento de mecanismos de avaliao de novas vulnerabilidades e informaes sobre ameaas. 1.11. A GRS resulta na definio de controles que sero adotados para minimizar ou eliminar os riscos decorrentes de ameaas e vulnerabilidades. A anlise de vulnerabilidades est prevista no Portflio de Servios do GRA. 1.11.1. Em conformidade. Adota normas de referncia. 1.11.2. Como dito anteriormente, um programa de gerenciamento de riscos implantado corporativamente. 1.11.3. Em conformidade. Relacionamento do GRA com outros CSRTs e fornecedores de solues de rede. 1.11.4. A avaliao de vulnerabilidades um servio comumente realizado pelo GRA. Neste sentido, utiliza-se de softwares atualizados com as ultimas informaes sobre as novas ameaas conhecidas. 1.12 Poltica de Segurana 1.12.1 Estabelecimento de polticas de segurana. 1.12.2 Reviso peridica das polticas, contemplando novas ameaas apontadas pelas avaliaes de riscos realizadas, boletins de segurana e direcionamento dos negcios da organizao. 1.12.1. O SERPRO possui uma poltica de segurana corporativa muito bem definida e estabelecida, baseada em normas de referncia. 1.12.2. A poltica revisada periodicamente. O documento de estruturao do GRA prev assessoria aos entes da organizao responsveis por elaborar as polticas de segurana da empresa. 1.13 Conscientizao 1.13.1 Programa de treinamento e conscientizao dos usurios quanto polticas e procedimentos de uso apropriado de redes, sistemas e aplicaes. 1.13.2 Treinamentos para as equipes de T, de forma que possam manter as redes, sistemas e aplicaes de acordo com os padres de segurana da organizao. 1.13.1. O SERPRO realizou em 2007 uma campanha de conscientizao em segurana abrangendo diversos tpicos. Foram realizados treinamentos em segurana bsica e classificao da informao nas modalidades de ensino a distncia e presencial. 1.13.2. As equipes tcnicas da organizao so estimuladas a desenvolverem suas capacidades, bem como participam de cursos e eventos. 1.14. Lies Aprendidas. 1.14.1 Definio de indicadores que possam quantificar, qualificar e monitorar os incidentes de segurana. 1.14. Nas revises da poltica so consideradas as lies aprendidas. 1.14.1. No existem indicadores especficos para incidentes de segurana de forma ampla. O documento de estruturao prev a utilizao de uma base de conhecimentos com histrico de eventos, ferramentas utilizadas e indicadores. Os indicadores de incidentes de segurana no so publicados pelo GRA. 1 Gr:>$ (e Tra&a%e-&$ (e I-c'(e-&es (e Se):ra-5a P CSIRT 82 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 2.1 Estrutura e organizao do CSRT 2.1.1 Procedimentos de tratamento de incidentes documentados. 2.1.2 nstalado de forma em que possa melhor dar suporte s unidades de negcio. 2.1.3 Aprovao da administrao da organizao e autoridade para realizar o trabalho requerido. 2.1.4 Sustentao das operaes e autoridade do CSRT. 2.1.5 Time com habilidades tcnicas e pessoais, e certificaes voltadas ao tratamento de incidentes de segurana. 2.1.6 Conhecimento do CSRT da estrutura da organizao e as necessidades do ambiente em que o grupo opera. 2.1.7 Postura que o CSRT possui em relao ao gerenciamento de riscos do ambiente em que o grupo opera. 2.1. O SERPRO estabeleceu em 1999 o grupo de tratamento de incidentes e reposta a ataques, em conformidade com as orientaes do AUSCERT e CERT/CC. A estrutura e organizao do GRA est descrita em documento de estruturao prprio. 2.1.1. No foi possvel identificar a conformidade com este item. 2.1.2. O GRA tem foco nas questes tcnicas operacionais das redes de computadores que monitora. 2.1.3. Em conformidade. 2.1.4. Em conformidade. O documento de estruturao cita que as operaes do GRA so de ordem corporativa. 2.1.5. Equipes com boa qualidade tcnica. No foi possvel avaliar habilidades pessoais e a obteno de certificaes. O documento de estruturao do GRA prev perfil tcnico adequado para o tratamento de incidentes, porm o documento no faz referncias s certificaes. 2.1.6. No foi possvel avaliar a conformidade com este item. 2.1.7. Membros do GRA so participantes freqentes nas avaliaes de riscos. 2.2 Servios do CSRT 2.2.1 Servios Reativos: Alertas e Advertncias. 2.2.2 Servios Reativos: Resposta a ncidentes. 2.2.3 Servios Reativos: Tratamento de Vulnerabilidades. 2.2.4 Servios Reativos: Tratamento de Artefatos. 2.2.5 Servios Proativos: Avisos e Anncios. 2.2.6 Servios Proativos: Acompanhamento das Tecnologias. 2.2.7 Servios Proativos: Auditoria e Avaliao da Segurana. 2.2.8 Servios Proativos: Configurao e Manuteno de Ferramentas de Segurana, aplicaes e infra-estrutura. 2.2.9 Servios Proativos: Desenvolvimento de Ferramentas de Segurana. 2.2.10 Servios Proativos: Servios de Deteco de Ataques. 2.2.11 Servios Proativos: Disseminao de nformaes relativas Segurana. 2.2. Os servios do GRA esto previstos e formalizados em documento prprio. 2.2.1. Servio constante no portflio de servios mas no foi possvel identificar sua efetividade. 2.2.2. Servio constante no portflio de servios mas no foi possvel levantar a eficincia quanto realizao deste servio, pois no esto disponveis relatrios de atividades do GRA. 2.2.3. possvel atestar a efetividade parcial deste servio, uma vez que foi identificada a realizao da anlise de vulnerabilidades em diversos sistemas e servidores de rede local por parte do GRA ntranet. No foi possvel identificar a realizao dos mesmos procedimentos para sistemas e servidores de rede das demais unidades organizacionais. 2.2.4. No foi possvel levantar a eficincia do mesmo, uma vez que no esto disponveis quaisquer indicadores ou relatrios das atividades do GRA. Tem-se conhecimento que este servio realizado pelo fornecedor da soluo antivrus quando o artefato est relacionado ao sistema por ele vendido. 83 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 2.2.12 Gerenciamento da Qualidade: Anlise de Riscos. 2.2.13 Gerenciamento da Qualidade: Plano de Continuidade de Negcios e Plano de Recuperao de Desastres. 2.2.14 Gerenciamento da Qualidade: Consultoria em Segurana. 2.2.15 Gerenciamento da Qualidade: Conscientizao, Educao e Treinamento . 2.2.16 Gerenciamento da Qualidade: Avaliao de Produtos ou Certificaes. 2.2.5. Servio constante no portflio de servios mas no foi possvel identificar sua efetividade. 2.2.6. Previsto no documento de estruturao. 2.2.7. Previsto no portflio de servios do GRA como "Anlise de Conformidades de Segurana Computacional. 2.2.8. Previsto no documento de estruturao do GRA. 2.2.9. Servio no prestado pelo GRA. 2.2.10. Em conformidade. Utilizao de ferramentas de software especializadas. 2.2.11. Servio no prestado pelo GRA. Outras unidades organizacionais da empresa prestam este servio. 2.2.12. O gerenciamento de riscos implantado de forma corporativa. Membros do GRA so participantes freqentes nas avaliaes de riscos. 2.2.13. Servio no prestado pelo GRA, mas atribudo a outras unidades organizacionais. Os documentos no citam os planos de continuidade de negcios e recuperao de desastres. Plano de Continuidade dos negcios em desenvolvimento. 2.2.14. Servio previsto no documento de estruturao do GRA. 2.2.15. Servio no prestado pelo GRA, mas atribudo a outras unidades organizacionais. 2.2.16. Avaliao de produtos prevista no documento de estruturao do GRA. 2.3 Relacionamentos do CSRT 2.3.1 Relacionamento entre os CSRTs internos da organizao, visando a eficincia dos trabalhos. 2.3.2 Relacionamento com grupos externos organizao. 2.3. Os relacionamentos entre os grupos internos e externos esto previstos no documento de estruturao do GRA. 2.3.1. Relacionamento fraco entre o GRA nternet e o GRA ntranet, no existindo um ambiente que facilite a troca de informaes e a execuo das atividades. 2.3.2. Relacionamento do GRA nternet com grupos externos a organizao existe, contudo no foi possvel identificar a eficincia da comunicao e os benefcios da troca de informaes para o trabalho do GRA, uma vez que no esto disponveis relatrios de atividades do grupo. 2 F$re-se C$%>:&ac'$-al 3.1 Estrutura e organizao 3.1.1 Especificao na poltica de segurana sobre contato com as autoridades legais, 3.1. A realizao de anlises forenses so de responsabilidade do GRA. A organizao possui uma norma especfica para forense computacional muito bem elaborada. Existe um 84 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se monitoramento de incidentes. 3.1.2 Revises regulares das polticas e procedimentos forenses. 3.1.3 Criao e manuteno de guias e procedimentos para realizao das atividades forense baseadas nas polticas da empresa e arcabouo legal aplicvel. laboratrio de anlise forense computacional com equipamentos e softwares especficos. 3.1.1. Em conformidade. Nem todas as implicaes esto descritas na poltica de segurana, mas so contempladas em outras normas como a DE n082. 3.1.2. A norma de forense descreve diversos procedimentos forenses e encontra-se em sua primeira verso. Logo, no foram realizadas revises. 3.1.3. Em conformidade. Guias e procedimentos presentes em norma especfica. No h guias de procedimentos com detalhes tcnicos da execuo de uma forense. 3.2. Anlise Forense. 3.2.1 Estabelecimento da forense em 4 fases: coleta, exame, anlise e relatrio. 3.2.2 Coleta, armazenamento e apresentao de evidncias de acordo com os requisitos da legislao. 3.2.3 Desenvolvimento de planos e procedimentos para a coleta dos dados. 3.2.4. Preservao de evidncias e sua cadeia de custdia. 3.2.5 Definio de normas e procedimentos para o exame de evidncias. 3.2.6 Definio de normas e procedimentos para a anlise de evidncias. 3.2.7 Definio de normas e procedimentos para confeco de relatrios da anlise. 3.2. O SERPRO possui norma que regulamenta internamente o processo de anlise forense computacional. 3.2.1. Previsto na norma Forense Computacional. 3.2.2. Previsto na norma Forense Computacional. 3.2.3. Previsto na norma Forense Computacional. 3.2.4. Previsto na norma Forense Computacional. 3.2.5. Previsto de forma genrica na norma Forense Computacional. 3.2.6. Previsto de forma genrica na norma Forense Computacional. 3.2.7. Previsto na norma Forense Computacional. Modelos de relatrios constam como anexos da norma. 3.3 Grupo especializado em Forense Computacional. 3.3.1 Profissionais qualificados para participar nas atividades de forense computacional e com conhecimento sobre a legislao. 3.3.2. Estabelecimento de grupo com papeis e responsabilidades bem definidas, de acordo com as polticas e procedimentos da empresa. 3.3.3 Conhecimento adequado da equipe sobre guias, procedimentos, ferramentas e tcnicas. 3.3.4 Conhecimento adequado da equipe sobre ferramentas e tcnicas anti6forensics 3.3.5 Utilizao de ferramentas e dispositivos de forense computacional. 3.3.6 Definio de polticas, guias e procedimentos para o uso de ferramentas e tcnicas anti6forensics& 3.3. atribuio do GRA o desenvolvimento das atividades de anlise forense. Estes empregados so convocados para atuar em situaes especficas. 3.3.1. O SERPRO capacitou empregados para atuar na rea de forense computacional. 3.3.2. Previsto na norma Forense Computacional e no Portflio de servios do GRA. 3.3.3. O SERPRO capacitou empregados para atuar na rea de forense computacional. 3.3.4. No foi possvel atestar a conformidade deste item. A norma de Forense Computacional no cita ferramentas e tcnicas anti6forensics. 3.3.5. Previsto na norma Forense Computacional. Existe um laboratrio de anlise forense computacional com equipamentos e softwares especficos. 85 P$-&$ (e C$-&r$le O!serva5Ees (a A-9l'se 3.3.6. No foi possvel atestar a conformidade deste item. A norma de Forense Computacional no cita ferramentas e tcnicas anti6forensics. 86