1

TRATAMENTO DE INCIDENTE DE SEGURANA DA INFORMAO

Adilson Larrea, Andr Luis Madeira Neves Barreto, Gustavo Steinbach

Resumo: O contnuo crescimento da Internet em servios oferecidos e quantidade de

dispositivos conectados das mais variadas formas, traz consigo o aumento do nmero de
incidentes de segurana de redes, tanto relacionados a pessoas individualmente, quanto a
instituies acadmicas, empresas, indstrias e vrias organizaes. Em alguns destes podemos
destacar a caracterstica de perfis de usurios heterogneos onde h diversas espcies de perfis
para usurios diferentes, como funcionrios, professores, estudantes, visitantes, pesquisadores
cada um com necessidades especficas, o que faz a tarefa de construir uma rede que honra os
princpios de segurana, um desafio cada vez maior. Este artigo busca apresentar e explicar
formas de tratamentos de incidentes de segurana da informao, de forma a mitigar os danos
e reestabelecer a segurana das instituies.

Palavras-chave: segurana da informao, incidentes, tratamento de incidentes.

1 INTRODUO

Tomando como base a definio do CERT/CC (Emergency Response Team

Coordination Center), um incidente de segurana qualquer evento adverso, confirmado ou
sobre suspeita, que possa comprometer as operaes de sistemas de informao ou redes de
computadores. Pode ser definido tambm como a violao, implcita ou explcita, de uma
poltica de segurana da informao. Exemplos de incidentes de segurana da informao so:
tentativa, mal ou bem-sucedida, de ganhar acesso no autorizado a sistemas ou dados;
interrupo no planejada de servios; alteraes no funcionamento de um ativo, software ou
servio, por terceiros sem autorizao; propagao de cdigos maliciosos por meio digital;
divulgao de informaes confidenciais, entre outros. Cada organizao ter que definir o que
deve ser considerado um incidente para a sua realidade, podendo ter abrangncias e
especificidades maiores ou menores. Reagir a incidentes que comprometem as informaes

Artigo apresentado como trabalho de apreciao e aprovao da 6 fase do curso de graduao da Universidade
do Sul de Santa Catarina, como requisito parcial para obteno do ttulo de Bacharel. Orientador: Prof. Luiz Otvio
Botelho Lento. Palhoa, 2017.

Acadmicos do curso de Engenharia Eltrica da Universidade do Sul de Santa Catarina.

http://www.unisul.br/wps/portal/home/
 2

uma tarefa extremamente complexa, uma vez que o contnuo crescimento diversificado das
tecnologias de redes abre brechas para uma gama de ameaas que surgem tanto interna, quanto
externamente s organizaes. A dificuldade ainda maior quando se trata de redes
heterogneas onde h vrios perfis e cada um com uma necessidade e uma disponibilidade
diferente tal que, simultaneamente, existem espaos que necessitam de muita proteo e
ambientes que precisam de acesso mais permissivo, levando em considerao diferentes tipos
de usurios. Tornando assim um grande desafio a implantao de um processo de tratamento e
resposta incidentes nessa espcie de estrutura.

Os times de resposta a incidentes de segurana (CSIRTs) so grupos tcnicos

responsveis por resolver incidentes relacionados segurana em sistemas computacionais,
encarregados de atuar diretamente na deteco, mitigao e soluo de incidentes de segurana
da informao, de vital importncia para evitar e minimizar o impacto das aes maliciosas.
Um CSIRT concretiza o tratamento do incidente de maneira mais especializada, utilizando um
conjunto de utenslios de apoio, seguindo um processo e fluxos definidos, executando
procedimentos especficos desde a ocorrncia do incidente at aps a sua resoluo e
fechamento. preciso um plano de gesto de incidentes com todas as definies documentadas,
no qual conduzir as aes funcionais de tratamento do incidente.

2 CSIRT

Por definio do CERT/CC (Emergency Response Team Coordination Center) um

"Computer Security Incident Response Team (CSIRT)", ou Grupo de Resposta a Incidentes de
Segurana, uma organizao responsvel por receber, analisar e responder a notificaes e
atividades pertinentes a incidentes de segurana em computadores. Um CSIRT normalmente
presta servios para uma comunidade bem definida, que pode ser a entidade que o mantm,
como uma empresa, um rgo governamental ou uma organizao acadmica. Um CSIRT
tambm pode prestar servios para uma comunidade maior, como um pas, uma rede de
pesquisa ou clientes que pagam por seus servios. Um CSIRT pode ser um grupo formal ou um
grupo "ad hoc". Um grupo formal tem no trabalho de resposta a incidentes a sua principal
funo. Um grupo "ad hoc" reunido quando h um incidente de segurana em andamento ou
para responder a um incidente quando necessrio.
 3

Existem vrios tipos de CSIRT, dentre os quais destacam-se os

Centros de Coordenao, cujo objetivo coordenar a ocorrncia e a resposta

a incidentes em um nvel mais abrangente.

CSIRTs internos, que provm servios de tratamento de incidentes para a

organizao que os mantm.

CSIRTs nacionais, que provm servios de resposta a incidentes para um pas.

Centros de Anlise, focam seus servios em agrupar dados de diversas fontes

para determinar tendncias e padres nas atividades relacionadas com incidentes.

Grupos de empresas fornecedoras de hardware e software processam relatos

de vulnerabilidades em seus produtos. Eles podem trabalhar dentro da organizao para
determinar se os produtos so vulnerveis, auxiliando o desenvolvimento de correes e
estratgias para resoluo de problemas. Um grupo de um fornecedor pode tambm ser o
CSIRT interno da organizao.

Figura 1 - CSIRTs no Brasil

 4

3 INCIDENTES DE SEGURANA

Um incidente de segurana pode ser definido como qualquer evento adverso,

confirmado ou sob suspeita, relacionado segurana de sistemas de computao ou de redes de
computadores. Em geral, toda situao onde uma entidade de informao est sob risco
considerado um incidente de segurana. Exemplos comuns de incidentes incluem:

1. O desfiguramento do portal web de uma instituio;

2. A evaso de informaes confidenciais;

3. A propagao de um vrus ou worm por meio da lista de contatos de e-mails;

4. Envio de spam.

Essas situaes so incidentes srios e podem facilmente resultar em impacto

significativo para uma instituio, se no tratados de forma correta. De fato, a severidade de um
incidente mensurada segundo o impacto que o mesmo causa no processo da instituio. Por
exemplo, um incidente que indisponibiliza o acesso ao site de uma loja virtual, possui alta
severidade, j que os clientes no podem acessar o site para realizar compras. Os incidentes de
segurana podem ser classificados basicamente em duas categorias: incidentes internos e
incidentes externos.

Os incidentes externos caracterizam-se por serem originados fora da rede da

instituio, ou seja, externos ao domnio administrativo da instituio. Por exemplo, uma
varredura por vulnerabilidades a um servidor da corporao. Ao passo que os incidentes
internos se referem a todo tipo de incidente originado na prpria rede da instituio, como por
exemplo, roubo de informaes confidenciais e a m utilizao dos recursos disponveis.

Os incidentes de segurana internos podem ser mais dispendiosos que os incidentes

externos. Esse tipo de incidente possui uma maior probabilidade de sucesso, pois se pressupe
que o atacante possui prvio conhecimento da estrutura interna da instituio. Os ataques
internos so muitos comuns. Esse tipo de ataque merece uma ateno especial na estrutura de
segurana da instituio, sendo prudente desenvolver mecanismos especiais para sua mitigao.
 5

Todo incidente deve ser tratado seguindo uma metodologia previamente definida
pela instituio. Essa metodologia chamada de processo de resposta a incidentes de segurana.

4 RESPOSTA A INCIDENTES DE SEGURANA

A resposta a incidentes de segurana um procedimento organizado para gerir as

consequncias de uma violao de segurana da informao. O principal objetivo do processo
de resposta a incidentes de segurana mitigar os impactos de um incidente e permitir o
restabelecimento dos sistemas o mais rpido possvel.

O plano de resposta deve iniciar pela definio de uma poltica de segurana, que
defina claramente as etapas do processo que devem ser seguidos quando da ocorrncia de um
incidente. O processo de resposta a incidentes deve ser produto da iterao de diferentes equipes
organizacionais, agregando nveis gerenciais e tcnicos, sendo a sua implementao uma
responsabilidade do time de resposta a incidentes, ou CSIRT (Computer Security Incidente
Response Team).

A definio de um processo de resposta a incidentes deve observar alguns princpios

que norteiam a concepo de um sistema de tratamento a incidentes. Segundo os autores
Kenneth Wyk e Richard Forno [Kenneth R. Wyk 2001], o processo de resposta a incidentes de
segurana deve possuir cinco etapas:

1. Identificao: nesta etapa detectado ou identificado de fato a existncia de um

incidente de segurana. A equipe de segurana deve basear-se em notificaes ou num conjunto
de ferramentas de monitorao de rede. A equipe deve identificar os sintomas do ataque e suas
caractersticas, observando a severidade do incidente. Recomenda-se a implementao de uma
base de conhecimento de incidentes, isto , um conjunto de registros de incidentes passados.

2. Coordenao: aps a identificao, cabe identificar os danos causados pelo

incidente. A avaliao dos sintomas permite identificar de forma preliminar a causa do
problema. Nesta etapa so sugeridas possveis aes que podem resolver o incidente em
andamento.
 6

3. Mitigao: o objetivo desta etapa isolar o problema e determinar a extenso

dos danos atravs da execuo da soluo indicada na etapa anterior. Fazendo uso de
procedimentos para isolar o incidente, tambm deve-se buscar restabelecer o sistema, mesmo
que esta soluo seja temporria, at que a soluo definitiva seja colocada em prtica.

4. Investigao: a coleta e anlise das evidncias do incidente de segurana devem

ser realizadas nesta etapa. Evidncias devem ser registradas, arquivos de pacotes capturados
so muito importantes para a resoluo de futuros incidentes semelhantes.

5. Educao: consiste em avaliar o processo de tratamento de incidentes e verificar

a eficcia das solues. Os conhecimentos adquiridos durante todo o processo devem ser
disseminados equipe, observando formas de obter melhores resultados e at mesmo
recomendaes aos usurios.

Por sua vez o NIST destaca 4 fases principais para um tratamento de incidentes
demonstrado na imagem abaixo:

Figura 2 - Tratamento de incidentes de segurana proposto pelo NIST

Etapas do NIST:

Preparao: so realizadas medidas que preparam a organizao tanto para

responder os incidentes, quanto para evitar novas ocorrncias destes, garantindo que a
 7

infraestrutura de rede e sistemas estejam seguros. Essas aes podem ser relativas a garantir
mais segurana infraestrutura, a disponibilidade dos recursos necessrios para realizar o
tratamento de incidentes (hardware, softwares e sistemas), comunicaes seguras, como
tambm conscientizao dos usurios para o uso seguro dos recursos computacionais.

Deteco e analise: a fase onde os elementos so analisados de forma consigna, e

determinado se tratasse realmente de um incidente de segurana.

Contenso: a fase no qual a equipe de resposta contra incidentes tenta fazer com
que o incidente no cause mais danos.

Ps-incidente: tambm chamado de erradicao, a fase em que removido

qualquer software malicioso de um sistema comprometido, e compreendido a fundo a causa
do incidente de forma que o sistema possa estar limpo e restaurado ao status operacional na fase
de recuperao. Para uma organizao se recuperar de forma confivel, a causa deve ser
determinada para que o sistema possa retornar a um estado de segurana sem risco de ser
corrompido novamente.

Outro exemplo, a ENISA (European Union Agency for Network and Information
Security) sugere um fluxo mais detalhado, conforme visto na Figura 3:

Figura 3 - Workflow de tratamento de incidentes proposto pela ENISA

 8

O CERT/CC (Emergency Response Team Coordination Center) fornece uma

ilustrao para o processo de ciclo de vida do processamento de incidentes, conforme visto na
Figura 4:

Figura 4 - CERT/CC ciclo de vida de incidentes

5 A OPERACO DE RESPOSTA A INCIDENTES DE SEGURANA

A operao de resposta a incidentes de segurana tem o objetivo de colocar em

prtica toda a metodologia, anteriormente planejada, do plano de resposta a incidentes. Um
consistente plano de resposta afeta diretamente a qualidade do procedimento operacional
realizado pela equipe de segurana.

Na etapa de Identificao acontece a deteco de um incidente observado pela

equipe, atravs da correlao de dados de diferentes ferramentas de segurana ou notificaes
oriundas de usurios ou entidades externas da rede.

Aps uma anlise e se constata a existncia de um incidente, inicia-se a etapa de

Coordenao. Nesta etapa a equipe responsvel por identificar o problema, definindo a
provvel causa ou o motivo do incidente gerado. Esta etapa realizada observando as
caractersticas do ataque em andamento e tambm consultando uma base de dados de segurana.
A rigor, a equipe busca esboar possveis solues que resolvam o incidente atual.
 9

Durante a etapa de Mitigao, so implementadas medidas visando isolar as causas

e minimizar as consequncias do incidente. Para isso, a equipe utiliza-se de ferramentas da
infraestrutura da rede, como firewalls, roteadores, etc.

Aps o incidente ter sido mitigado, a equipe concentra-se na etapa de Investigao

do incidente, buscando documentar todo processo na base de dados de segurana. Informaes
como caractersticas, mtodos utilizados para mitigao, servios atacados e responsveis pelo
sistema so inseridos na base de dados, para que possam ser teis na resoluo de outros
incidentes, alm de melhorar as estatsticas de incidentes.

A etapa de educao, destinada a propagar as informaes aprendidas durante

todo o processo de tratamento de um incidente de segurana. Geralmente realiza atravs da
emisso de alertas para todos os usurios e tambm no desenvolvimento de documentos visando
boas prticas de segurana.

6 AVALIAO PS INCIDENTE

Ao determinar o dano sua organizao, voc deve levar em considerao tanto os

custos diretos quanto os indiretos. Os danos e os custos do incidente sero evidncias
importantes e necessrias caso voc opte por executar qualquer ao legal. Entre eles podem
estar:

Custos devidos perda com a divulgao de informaes proprietrias ou

confidenciais.

Custos legais.

Custos com mo-de-obra para analisar as violaes, reinstalar softwares e

recuperar os dados.

Custos relacionados ao tempo de inatividade do sistema (perda de

produtividade, substituio de hardware, software e outras propriedades).
 10

Custos relacionados ao reparo e possibilidade de atualizao de medidas de

segurana fsicas danificadas ou ineficazes.

Outros danos consequentes como, por exemplo, perda de reputao ou de

confiana do usurio/cliente.

Assim que as fases de documentao e de recuperao forem concludas, devemos

ainda examinar as polticas de resposta e atualiz-las caso seja necessrio. Discutir com a equipe
quais foram as etapas executadas com xito e quais foram os enganos cometidos. Em
praticamente todos os casos, encontraremos processos que precisam ser modificados para que
seja possvel tratar incidentes futuros de uma forma mais eficiente.

7 CONCLUSO

O caso da invaso da Playstation Network, da Sony tornou-se um caso a ser

estudado na rea de segurana da informao. O fato de que a empresa teve que desligar seus
servios mostra que no havia um plano para manter o servio no ar no caso de problemas. Este
um tpico comportamento de organizaes que no esto preparadas para responder um
incidente.
Existem outros casos em que empresas foram comprometidas e ficaram no ar, como
a do Google, em 2010. Na ocasio, o Google disse ter sido alvo de hackers chineses, que
entraram em seus sistemas, roubaram cdigos e tiveram acessos a contas de Gmail. Mas apesar
da invaso os servios do site da Google, o YouTube ou o Gmail no foram desligados, o que
representa claramente que a empresa estava preparada para um incidente de segurana da
informao.
Nosso trabalho coloca luz sobre a discusso do processo de resposta a incidentes de
segurana, levando em conta a complexidade de implementao de um plano de resposta a
incidentes.
Apresentamos os princpios da implementao do processo de tratamento a
incidentes de segurana tendo em vista os modelos propostos por rgos reguladores, como o
CERT-CC, ENISA e NIST. Cada etapa do processo descrita e so apontadas formas de
atuao que so corriqueiramente utilizadas para solucionar os eventuais problemas. O trabalho
 11

apresenta como o processo de resposta a incidentes de segurana ocorre, bem como a sua
avaliao final.
Como indicao futura, poder ser avaliada uma forma de automao de algumas
tarefas com a gerao de estatsticas de forma automatizada, possibilitando o acompanhamento
dos incidentes de segurana e at mesmo possveis tendncias dos incidentes.

REFERNCIAS

CERT.br. Cartilha de Segurana para Internet. Disponvel em:

https://cartilha.cert.br/seguranca/. Acesso em: Outubro de 2017.

CERT.br. Estatsticas dos Incidentes Reportados ao CERT.br. Disponvel em:

https://www.cert.br/stats/incidentes/. Acesso em: Outubro de 2017.

Kenneth R. Wyk, R. F. (2001). Incident Response. OReilly & Associates., Sebastopol,

California, USA.

NIST. Computer Security Incident Handling Guide. Disponvel em:

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf. Acesso em:
Outubro de 2017.

Manual para equipes de resposta a incidentes de segurana em computadores. Disponvel

em: https://resources.sei.cmu.edu/asset_files/Handbook/2003_002_001_14102.pdf. Acesso
em: Outubro de 2017.

G1. Caso da PSN mostra despreparo para lidar com questes de segurana. Disponvel
em: http://g1.globo.com/tecnologia/noticia/2011/05/caso-da-psn-mostra-despreparo-para-
lidar-com-questoes-de-seguranca.html. Acesso em: Outubro de 2017.