Universidade do Estado de Santa Catarina

Centro de Ciências Tecnológicas

Curso de Ciência da Computação

LUCAS FABIANO PRONER

Uma proposta de Modelo de CSIRT para o BESC

Joinville
2008
 LUCAS FABIANO PRONER

Uma proposta de Modelo de CSIRT para o BESC

Monografia apresentada ao Curso de Ciência da

Computação da UDESC, como requisito para a ob-
tenção parcial do grau de BACHAREL em Ciência
da Computação.

Orientador: Débora Cabral Nazário

Mestre em Ciência da Computação

Joinville
2008
 LUCAS FABIANO PRONER

Uma proposta de Modelo de CSIRT para o BESC

Monografia apresentada ao Curso de Ciência da

Computação da UDESC, como requisito para a ob-
tenção parcial do grau de BACHAREL em Ciência
da Computação.

Aprovado em junho de 2008

BANCA EXAMINADORA

Débora Cabral Nazário

Mestre em Ciência da Computação

Maurı́cio Aronne Pillon

Doutor em Ciência da Computação

Ricardo Ferreira Martins

Mestre em Engenharia Elétrica
Dedico este trabalho aos meus pais, Olavo e
Rosane, que não mediram esforços para a con-
clusão desta etapa em nossas vidas.
 Resumo

Este trabalho tem como objetivo elaborar uma proposta de projeto de CSIRT para o
BESC. CSIRTs são grupos especializados em responder incidentes de segurança e para
defini-los é necessário pesquisar conceitos de segurança da informação, modelos de CSIRTs
existentes, requisitos e serviços prestados. Os CSIRTs proporcionam às organizações um
ambiente mais seguro através de medidas pró-ativas. A elaboração da proposta passa
por conhecer a organização e definir a estrutura organizacional do grupo. A proposta de
modelo de CSIRT para o BESC é apresentada como a colaboração deste trabalho com a
organização.

Palavras-chaves: CSIRT, BESC, Segurança da Informação, Reatividade, Pró-atividade.

 Abstract

The aim of this paper is to elaborate a CSIRT (Computer Security Incident Response
Team) project proposal for BESC, Bank of the State of Santa Catarina. CSIRTs are
groups specialized in responding to security incidents and, in order to structure them,
it is necessary to search for information security concepts, existing CSIRT models, re-
quirements and services done. CSIRTs are the responsibles for making organizations
environment safer throughout proactive actions. The proposal elaboration consists in
getting to know the organization and defining the organizational structure of the group.
The CSIRT proposal model for BESC is presented as a collaboration of this paper to the
organization.

Keywords: CSIRT, BESC (Bank of the State of Santa Catarina), Information Security,
Reativity, Proactiveness.
 Agradecimentos

Agradeço à minha familia pelo incentivo, pela cobrança sadia, pela estrutura
sólida e pela educação excelente que me foram proporcionadas.

Minha namorada pela paciência e carinho.

Aos amigos que de uma forma direta ou indireta contribuem desde o inı́cio da
graduação.

Todos que no BESC investiram nesta realização.

Em especial aos professores Charles Christian Miers e Débora Cabral Nazário,

do CCT/UDESC e ao colega Carlos Versati, do Banco do Brasil.
“Não é porque as coisas são difı́ceis que
nós não ousamos; é porque nós não ou-
samos que elas são difı́ceis.”
Sêneca

“As duas coisas mais importantes não

aparecem no balanço de uma empresa:
sua reputação e seus homens”
Henry Ford

“Quem não se dá o direito de ter um mo-

mento ruim está perdendo uma experiência
enriquecedora.”
Arnaldo Antunes
 Sumário

Lista de Figuras 9

Lista de Tabelas 11

1 Introdução 12

2 Fundamentos 16

2.1 Questões de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.2 Normas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2.3 Polı́tica de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.4 Ataques e incidentes de segurança . . . . . . . . . . . . . . . . . . . . . . . 30

2.5 CSIRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

2.6 Considerações parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

3 CSIRT 40

3.1 Missão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

3.2 Divulgação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

3.3 Modelos de CSIRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

3.4 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

3.5 Definição de serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

3.5.1 Tratamento de incidentes . . . . . . . . . . . . . . . . . . . . . . . . 52

3.6 Atribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.7 Estatı́sticas sobre uso e segurança de computadores . . . . . . . . . . . . . 66

3.8 Considerações parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

4 Proposta de Modelo de CSIRT para o BESC 73

4.1 BESC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

4.1.1 Superintendência de tecnologia . . . . . . . . . . . . . . . . . . . . 78

4.1.2 Comitê de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . 80

4.2 Missão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

4.3 Estrutura organizacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

4.3.1 Autoridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

4.3.2 Divulgação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

4.3.3 Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

4.4 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

4.4.1 Detectando eventos . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

4.4.2 Triagem e encaminhamento . . . . . . . . . . . . . . . . . . . . . . 92

4.4.3 Processo de resposta . . . . . . . . . . . . . . . . . . . . . . . . . . 94

4.4.4 Padronização para armazenar e compartilhar informações . . . . . . 101

4.4.5 Serviços reativos complementares . . . . . . . . . . . . . . . . . . . 102

4.4.6 Serviços pró-ativos . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

4.4.7 Manutenção da segurança . . . . . . . . . . . . . . . . . . . . . . . 106

4.5 Considerações parciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

5 Considerações finais 109

6 Referências Bibliográficas 113

A Proposta CSIRT BESC (Suprimido) 116

B Formulário formato texto para reportar incidentes - Padrão CERT/CC118

C Formulário para comunicação sobre incidente - Padrão CSIRT BESC

(Suprimido) 120

7
D Modelo de descrição cronológica para tratamento de incidentes 121
 Lista de Figuras

2.1 Relação entre Polı́tica de Segurança e Estratégia Organizacional . . . . . . 29

2.2 Classificação das ameaças . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.1 Categorias de serviços e suas atividades principais . . . . . . . . . . . . . . 51

3.2 Ferramenta de busca on-line de vulnerabilidades disponibilizada pelo CVE 61

3.3 Resumo de fraude denunciada e analisada pelo APWG. [APWG, 2008] . . 63

3.4 Relatório conclusivo de fraude denunciada e analisada pelo APWG. [APWG,

2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

3.5 Proporção de indivı́duos que já utilizaram a Internet para realizar pesquisa
de preços de produtos ou serviços, por escolaridade, renda e classe social
[CETIC, 2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

3.6 Proporção de indivı́duos que compraram produtos e serviços pela Internet

nos úlitmos 12 meses, por escolaridade, renda e classe social [CETIC, 2008] 68

3.7 Incidentes reportados ao CERT.BR - Tipos de ataques acumulados [CERT.BR,

2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

3.8 Número de SPAMs relatados durante o primeiro trimestre de 2007 [CGI.BR,

2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

3.9 Número de SPAMs relatados durante o primeiro trimestre de 2008 [CGI.BR,

2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

3.10 Número de phishings relatados por mês durante 2007. [APWG, 2008] . . . 71

3.11 Percentual de afetados com phishing em 2007. [APWG, 2008] . . . . . . . 71

4.1 Workflow - Etapas do processo de criação do CSIRT do BESC . . . . . . . 74

4.2 Workflow - Etapas do processo de manutenção do CSIRT do BESC . . . . 75

4.3 Workflow - Etapas do processo de avaliação e manutenção do CSIRT do
BESC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

4.4 Organograma da diretoria de planejamento. Adaptada de [BESC, 2007] . . 78

4.5 Organograma da presidência. Adaptada de [BESC, 2007] . . . . . . . . . . 81

4.6 Organograma do BESC após a implantação do CISRT. Adaptada de [BESC,

2007] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

4.7 Swimlane - Processos do CSIRT BESC de acordo com a classe de serviços . 89

4.8 Workflow - Processos do serviço de detecção de eventos do CSIRT BESC . 90

4.9 Workflow - Processos do serviço de triagem de um evento do CSIRT BESC 92

4.10 Workflow - Processos de resposta de um evento do CSIRT BESC (primeira

parte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4.11 Workflow - Processos de resposta de um evento do CSIRT BESC (segunda

parte) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

4.12 Workflow - Responder tecnicamente a um evento . . . . . . . . . . . . . . 98

4.13 Workflow - Responder gerencialmente a um evento . . . . . . . . . . . . . . 100

 Lista de Tabelas

2.1 Benefı́cios da Padronização . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.1 Exemplo de uma tabela de prioridades de um CSIRT de Coordenação.

Adaptado de [WEST-BROWN, 2003] . . . . . . . . . . . . . . . . . . . . . 56

4.1 Lista de equipamentos para o CSIRT BESC . . . . . . . . . . . . . . . . . 87

4.2 Tabela de classificação das informações para o CSIRT BESC . . . . . . . . 93

4.3 Tabela de prioridades para o CSIRT BESC . . . . . . . . . . . . . . . . . . 94

4.4 Recursos para a ferramenta de um CSIRT. . . . . . . . . . . . . . . . . . . 103

 12

1 Introdução
Computadores têm mudado a face do crime bem como a forma que a segurança da in-
formação é construı́da [PROSISE, 2001]. A grande maioria dos crimes, como o roubo
de informação, espionagem, acesso não autorizado, venda e apologia aos narcóticos, pe-
dofilia e vários outros, cometidos através de computadores já são proibidos pela lei civil
brasileira. O grande diferencial nesse momento é que computadores e outras novidades
tecnológicas foram adicionados ao pacote de ferramentas do criminoso, tornando o crime
e o criminoso ainda mais dinâmico e “protegido”[SÊMOLA, 2003].

Desde o inı́cio da década de 1990 grandes áreas, instituições e organizações li-

gadas à segurança da informação ou que mantêm informações extremamente sigilosas (ge-
renciadas por sistemas computacionais) estão aprimorando o conceito de grupos focados
em atuar na recuperação eficaz de um incidente de segurança em computadores1 . [KILL-
CRESCE, 2003] Esses grupos têm habilidade necessária para promover a recuperação e
deter um ataque bem como seu responsável, além de proteger a organização de novos
possı́veis incidentes. Esses grupos são conhecidos como CSIRT - Computer Security In-
cident Response Team ou Grupo de Resposta a Incidente de Segurança em Computador.
[PROSISE, 2001]

As vulnerabilidades em computadores e sistemas não são um assunto recente,

elas existem desde o inı́cio da informática, mas foi somente a partir do final dos anos de
1980 que os incidentes ganharam notoriedade e foram explorados pela mı́dia. O primeiro
incidente amplamente divulgado foi atribuı́do ao West German Computer Club mais co-
nhecido como Chaos Club. Também em 1987 o astrônomo Cliff Stoll passou a seguir os
passos de um intruso que invadiu aproximadamente 450 computadores, na sua maioria
pertencente aos governos. [PROSISE, 2001]

O maior ataque ocorrido no final da década de 80 foi provocado pelo estudante

Robert T. Morris Jr.. Em 02 de novembro de 1988 descobriu-se que Morris, em menos de
48 horas, espalhou um worm pela Internet afetando mais de 2100 computadores. Apesar
1
entende-se por incidente de segurança em computadores “qualquer evento adverso, confirmado ou
sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores”[CSIRT
FAQ de CERT/CC, 2004, pg. 1]
1 Introdução 13
de nenhum dado ter sido perdido os custos para reparar os sistemas e as horas de trabalho
foram estimados em mais de um milhão de dólares. [PROSISE, 2001] Esse incidente ficou
mundialmente conhecido como Incidente de Morris.

O resultado de todos esses incidentes, e outros de menor divulgação, resultaram

na certeza de que a comunicação e a cooperação entre os membros das comunidades que
proviam e utilizavam a Internet não estavam preparada para responder rápida e adequada
a qualquer incidente com computadores. A conseqüência disso foi que a Defense Advanced
Research Projects Agency - DARPA - decidiu formar o primeiro grupo especializado em
respostas a incidentes de computadores, que proveria uma resposta rápida e eficiente
aos ataques sofridos. Assim nascia o Computer Emergency Response Team (CERT), o
primeiro CSIRT do mundo. [CERT/CC, 2007]

O CERT, alocado junto à Carnegie Mellon University, com o passar do tempo

mudou seu nome para CERT Coordination Center (CERT/CC), devido à mudança de
foco do seu trabalho. Atualmente, o CERT/CC é um grupo de apoio aos demais grupos
de resposta do mundo que queiram contar com a experiência e a assistência de uma das
maiores autoridades no assunto. [CERT/CC, 2007]

Com o crescimento no número dos grupos de resposta e a grande variedade no

foco de cada um, a comunidade sentiu a necessidade de centralizar as informações de forma
a ajudar na interação entre os grupos. A primeira organização focada na junção dos grupos
existentes, promovendo encontros, conferências e facilitando a troca de experiências foi
o Forum of Incident Response and Security Teams (FIRST). O FIRST foi formado em
1990, a partir do agrupamento de 11 membros. Em 08 de novembro de 2007 o FIRST
contava com 189 membros espalhados em 41 paı́ses. [FIRST, 2007]

Os CSIRT que integram o FIRST prestam serviços para os mais variados tipos
de organizações, inclusive instituições financeiras, como o Banco do Estado de Santa Cata-
rina (BESC). As instituições financeiras são um alvo altamente desejado pelos criminosos.
Assim, há um grande número de bancos, operadoras de cartão de crédito e de ações, além
de outras instituições financeiras, que investem no CSIRT, objetivando responder rápido
e adequadamente aos incidentes provocados pelos criminosos do meio eletrônico.

O BESC, por ser uma instituição financeira, busca aprimorar a segurança

em suas transações on-line implantando, por exemplo, o cartão de códigos de proteção,
assim, para efetuar a transação, o cliente precisa digitar uma chave especı́fica do seu cartão
1 Introdução 14
que contém 50 chaves aleatórias (medida pró-ativa). Na busca desse aprimoramento um
CSIRT para o BESC supre a necessidade de possuir condições reais de responder a um
incidente de segurança (medida reativa).

Observa-se nestes conceitos a comprovação da necessidade da implantação de

um CSIRT no BESC. É necessário lembrar que cada modelo de projeto de CSIRT é
praticamente único, ou seja, dificilmente duas organizações utilizarão o mesmo modelo
para implantar seus projetos de CSIRT.

Diante do exposto, objetiva-se realizar um estudo sobre a arquitetura e o fun-

cionamento de grupos de resposta, a fim de modelar uma proposta de projeto para a
implantação de um CSIRT no BESC. No futuro, essa é uma proposta que contribuirá
para responder de forma eficiente aos incidentes que venham a ocorrer. Os objetivos
especı́ficos para deste trabalho são:

1. Fundamentar questões de segurança.

2. Fundamentar incidentes de segurança.

3. Definir CSIRT

4. Pesquisar a estrutura organizacional dos CSIRTs.

5. Revisar a estrutura organizacional dos CSIRTs.

6. Mostrar como um CSIRT funciona.

7. Comprovar, estatisticamente, que incidentes de segurança causam prejuı́zos aos afe-

tados.

8. Conhecer a organização foco do projeto.

9. Identificar as necessidades e requisitos da organização.

10. Montar e apresentar a proposta de projeto de CSIRT para a organização.

É buscando atingir esses objetivos especı́ficos que o trabalho é elaborado.

Entende-se que os objetivos devem ser alcançados em série, pois, sendo de outra forma,
o trabalho torna-se inviável. Por exemplo, antes de mostrar como um CSIRT funciona, é
necessário conhecer sua estrutura organizacional ou, antes de identificar necessidades da
organização para a qual o CSIRT será elaborado é fundamental conhecê-la.
1 Introdução 15
Inicialmente, no capı́tulo 2, duas questões são apresentadas e discutidas para
construir uma fundamentação teórica: definir questão de segurança e definir ataques e
incidentes de segurança. Ligados a estes conceitos, ainda no capı́tulo 2, serão exploradas
as normas de segurança e a polı́tica de segurança. Dentre os vários assuntos que são
abordados para definir um projeto de CSIRT, a segurança da informação está entre os
principais, pois é a partir de conceitos encontrados nesse assunto que se tem a aplicação
de grupos de resposta. Além disso, entender os incidentes de segurança é outro elemento
chave no estudo e na formação de CSIRTs, porque os principais serviços esses grupos
provêm estão fortemente ligados aos conceitos de incidentes: o que são eles, como ocorrem,
por que ocorrem, como evitá-los e como tratá-los. Definir e fundamentar CSIRTs são a
etapa seguinte e serão abordadas no capı́tulo 3. Nessa sessão, tem-se uma revisão dos
conceitos e do histórico dos grupos de resposta, o que fazem, quais suas particularidades,
o foco principal, os benefı́cios e os motivos para uma organização manter um CSIRT
ativo. Ao apresentar esses conceitos percebe-se que há muitas particularidades dentro da
definição do escopo de serviço de um CSIRT como: qual dos modelos seguir, como alcançar
os requisitos, quais atividades prover e que atribuições são importantes. Logo, torna-se
necessário esclarecer todas essas particularidades, principalmente aquelas referentes ao
processo de tratamento de incidentes, uma vez que esse é o maior objetivo de um CSIRT.
Esse cuidado é fundamental para que estejam claros quais passos devem ser seguido para
elaborar a proposta de projeto de CSIRT para o BESC. Serão apresentadas estatı́sticas,
buscando mostrar que os incidentes constituem a rotina de segurança da informação e
precisam ser tratados.

Com base nos conceitos descritos nos capı́tulos 2 e 3, o capı́tulo 4 apresentará

como foi elaborada a proposta de CSIRT. O capı́tulo inicia com levantamento de dados
sobre o BESC, a definição da missão do CSIRT BESC, sua estrutura organizacional e seus
serviços. O resultado desse capı́tulo é a proposta de modelo de CSIRT que será entregue
ao BESC, conforme apêndice A

O trabalho é elaborado unindo revisão bibliográfica e pesquisa básica. Dessa

maneira, entende-se que o trabalho atingirá todos os objetivos propostos e contribuirá
com o BESC na tarefa de tratar os incidentes sofridos.
 16

2 Fundamentos
A cada ano cresce o uso de sistemas de informação que prestam serviços para pessoas
e organizações. Estes serviços trabalham com grandes volumes de informação, sendo
muitas delas confidenciais. [SCHNEIER, 2001] Alguns destes serviços implementados em
sistemas de computadores são: transações financeiras (sejam elas bancárias ou mesmo
a compra de produtos e/ou serviços); comunicação (por exemplo, através de e-mails);
armazenamento de dados (sejam eles pessoais ou comerciais), etc.

É importante a preocupação com a segurança do computador, pois não é cor-

reto, por exemplo, que dados pessoais e comerciais sejam visualisados ou alterados por
quem não possui autorização ou aplicativos e contas de acesso à Internet sejam utilizadas
sem a devida permissão [SCHNEIER, 2001]. Os motivos pelos quais uma pessoa pode
desejar realizar ataques a computadores podem ser os mais variados, que podem ir desde
a diversão destrutiva até a mesmo ao terrorismo. Contudo existem alguns motivos mais
comuns: [SCHNEIER, 2001]

• Utilizar um determinado computador em alguma atividade ilı́cita, para esconder

sua real identidade e localização;

• Utilizar o computador para lançar ataques contra outros computadores;

• Utilizar seu disco rı́gido como repositório de dados;

• Efetivamente destruir informações (vandalismo);

• Disseminar mensagens alarmantes e falsas;

• Ler e enviar e-mails em determinado nome;

• Propagar vı́rus de computador;

• Furtar números de cartões de crédito e senhas bancárias; e

• Furtar dados do computador em busca da movimentação financeira da organização

ou pessoal.
2 Fundamentos 17
Estando consciente destes motivos é importante que a pessoa/equipe res-
ponsável pela segurança defina as prioridades da organização e quais atividades são as
mais crı́ticas. Uma das tarefas considerada como importante, e que deve fazer parte do
cotidiano de todas as pessoas envolvidas com a informação, é a constante educação dos
usuários. Sabe-se que grande parte dos problemas de segurança são originados na rede
interna da organização e, muitas vezes, são causados pelo desconhecimento de concei-
tos e procedimentos básicos de segurança por parte dos usuários [CERT.BR, 2007]. O
que ocorre é que o procedimento é repassado uma única vez (geralmente na admissão ou
quando ocorrem as auditorias de rotina, se existirem), sendo esquecidos no decorrer do
tempo ou os procedimentos são atualizados e não existe uma metodologia de reciclagem
e/ou mensuração dos mesmos.

Em outros casos os problemas são originados por agentes externos1 à orga-

nização. Existe uma série de termos para definir estas pessoas que utilizam a Internet
para, através do seu computador, realizar ataques a outros computadores. A nomencla-
tura mais comum compreende vários termos, sendo os mais comun necessário conhecer
no mı́nimo as seguintes definições: [SCHNEIER, 2001]

• Hacker: O termo hacker, designa qualquer pessoa extremamente especializada em

uma determinada área. Porém, a sua utilização mais comum é para definir pessoas
que possuem uma grande facilidade de análise, assimilação, compreensão e facilidade
de manuseio de um computador.

• Cracker: É o hacker que utiliza suas habilidades com o computador para realizar
ataques mal intencionados. O cracker utiliza seus conhecimentos para danificar
dados, obter senhas de sistemas, acessar informações sigilosas, e até mesmo, se
apossar de valores de terceiros, cometendo o que é definido como crime cibernético.

• Script Kid: É um termo pejorativo, que os hackers utilizam para definir o aspirante
a hacker ou cracker. O script kid julga-se um hacker, mas não tem o conhecimento
técnico de um hacker, ele apenas utiliza-se de ferramentas desenvolvidas por hackers
para realizar ataques e invasões em sistemas. Em algumas literaturas também é
empregado o termo Lammer
1
Entenda-se por agentes externos como pessoas ou grupos de pessoas não presentes fisicamente na
organização.[SCHNEIER, 2001]
2 Fundamentos 18
Normalmente, o agente externo sabe que pode encontrar alguma falha no sis-
tema de segurança e sabe como procurar por elas. Utilizando-se de várias técnicas, con-
tando com força de vontade e tempo disponı́vel para viabilizar suas idéias, ele pode conse-
guir algum sucesso nas suas investidas, deixando muitas vezes uma imagem de insegurança
e de total falta de privacidade na Internet.[SCHNEIER, 2001]

Ante a todos esses fatos, é necessário que a organização esteja preparada para
administrar sua rede contra ataques e saiba também identificar de onde surgiram tais
ameaças - meio interno ou externo - para isso a administração da rede interna deve-se fazer
presente em todas as partes da organização e estar atenta ao mı́nimo desvio de conduta
dos seus integrantes e ao mesmo tempo monitorar todos os acessos feitos à rede vindos de
pessoas externas. Em muitas redes, a administração de sistemas é uma responsabilidade
dividida entre várias pessoas. Nesses casos, é necessário estabelecer algumas regras para
garantir a eficiência do trabalho em equipe [CERT/CC, 2007].

Um bom modo de trabalhar em equipe é estabelecer listas de discussão por

e-mail que sejam internas à organização. Estas listas podem ser usadas para, entre ou-
tros propósitos, comunicar alterações na configuração dos sistemas, notificar os demais
administradores a respeito de ocorrências relevantes e servir como mecanismo de acom-
panhamento da divisão de tarefas. Outra forma de manter um grupo sempre em contato
é usar as ferramentas de groupware que utilizam tecnologias voltadas para facilitar os
trabalhos em grupo. Essas ferramentas podem servir para facilitar a cooperação, cola-
boração, coodernação, comunicação ou tomada de decisões em grupos [SÊMOLA, 2003].
Essa solução permite que várias equipes trabalhem juntas e participem de projetos co-
muns, mesmo quando geograficamente separadas. As reuniões virtuais reduzem custos,
melhoram a produtividade e permitem que problemas sejam resolvidos de qualquer lugar.

Há também listas de discussão públicas, onde todos tem acesso às informações
sobre segurança. Estas listas são mantidas, geralmente, por órgãos regulamentadores de
normas e padrões, governos e empresas de segurança e disponibilizadas na Internet. Com
isso os administradores envolvidos com a segurança de redes e sistemas podem buscar
informações de forma a manterem-se atualizados em relação à novas vulnerabilidades2 e
correções de segurança.
2
Endentede-se por vulnerabilidade como um ponto fraco de uma rede ou sistema, onde uma ameaça
aproveita este ponto fraco para causar danos. Cabe ressaltar que não é a vulnerabilidade a responsável
pelos danos causados, sendo apenas uma condição que permite a ação da ameaça. [CERT.BR, 2007]
2 Fundamentos 19
Manter a segurança da informação de uma organização no ambiente compu-
tacional interconectado é um grande desafio, que torna-se mais difı́cil à medida que são
lançados novos produtos à Internet e novas ferramentas de ataque são desenvolvidas. A
maioria das organizações reconhece que não existe uma solução única capaz de garantir a
segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de segurança
composta de várias camadas3 . Uma das camadas que vem sendo incluı́da por diversas
organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes de
Segurança em Computadores, geralmente conhecido como CSIRT (do inglês Computer
Security Incident Response Team). [CERT/CC, 2007]

Alguns motivos apresentados pelo CERT/CC para o estabelecimento de CSIRTs

incluem:

• Aumento generalizado na quantidade de incidentes de segurança sendo reportados;

• Aumento generalizado na quantidade e variedade de organizações sendo afetadas

por incidentes de segurança em computadores;

• Maior consciência, por parte das organizações, da necessidade de polı́ticas e práticas

de segurança como parte das suas estratégias globais de gerenciamento de riscos;

• Novas leis e regulamentos que afetam a maneira como as organizações precisam

proteger as suas informações; e

• Percepção de que administradores de redes e sistemas não podem proteger sozinhos

os sistemas e as informações da organização.

A rapidez com que a organização pode reconhecer, analisar e responder a um

incidente limitará os danos e diminuirá o custo de recuperação. Um CSIRT pode estar
fisicamente presente e apto a conduzir uma resposta rápida para conter o incidente de
segurança e para recuperar-se dele. CSIRTs também podem estar familiarizados com os
sistemas comprometidos, e, portanto, melhor preparados para coordenar a recuperação e
propor estratégias de erradicação e resposta aos problemas.
3
A estratégia de segurança é vista em camadas pelos administradores e corpo técnico da rede: Definição
de normas e regulamentos; Polı́tica de senhas; Direitos e deveres de usuários; Direitos e deveres de
provedores de serviços; Ações em caso de violação da polı́tica de segurança. [CERT.BR, 2007]
2.1 Questões de segurança 20
Para se obter um nı́vel de segurança aceitável para a organização, é necessário
saber antes como são definidas as questões de segurança e o que deve ser feito para reduzir
os riscos. Conhecer normas e padrões, publicar uma polı́tica de segurança e a definição
de um CSIRT podem ser algumas das formas mais úteis de prover segurança em uma
organização.

2.1 Questões de segurança

A questão da segurança da informação tornou-se um tema importante na sociedade con-

temporânea. De grandes empresas que guardam nos computadores os segredos de seus
negócios, até indivı́duos que trocam correspondências eletrônicas de caráter pessoal, to-
dos têm o legı́timo direito de esperar que os dados confiados às máquinas sejam mantidos
intactos e confidenciais, acessı́veis apenas às pessoas autorizadas.[DIAS, 2000]

Embora haja um bom nı́vel de consciência de empresas e consumidores a res-

peito dos perigos dos vı́rus e dos ataques, em alguns casos as ações para evitar os problemas
não acontecem como deveriam. Ainda é comum ver empresas que compram equipamen-
tos e software de última geração, mas cometem erros básicos de configuração, ou não
se preocupam como deveriam com as atualizações destes softwares. Os programas de
computador podem ser comparados, em certas caracterı́sticas, a carros: precisam de ma-
nutenções, revisões e cuidados constantes. Possuir um software de ponta e não cuidar de
seu uso, manutenção e configuração é como comprar um carro blindado e andar de janela
aberta ou portas destravadas [FERREIRA, 2003].

Especialistas em justiça criminal americanos afirmam que os crimes virtuais

crescem numa velocidade maior que o crime convencional. Além de mais rápidos, os
invasores estão mais ousados: usam e abusam de Engenharia Social4 para conseguirem o
que querem. Essas artimanhas vão desde envio por e-mail de propostas de empregos até
promessas de imagens inusitadas, passando simplesmente por aviso de erro no envio de
mensagens. Fica cada dia mais difı́cil o usuário identificar o que poderia ser uma ameaça
para seu ambiente computacional[SCHNEIER, 2001].

O Brasil, que soube rapidamente perceber os benefı́cios e potencialidades da

4
Qualquer método usado para exploração da confiança das pessoas para a obtenção de informações
sigilosas e importantes. Mais detalhes no item 2.4
2.1 Questões de segurança 21
Internet, é por conseqüência um dos paı́ses mais expostos aos problemas de segurança
digital. Segundo o relatório da Conferência de Comércio e Desenvolvimento das Nações
Unidas de 2003, o Brasil tem a segunda Internet mais vulnerável do mundo, perdendo
apenas para os Estados Unidos. Toda esta fragilidade da Internet deve, de algum modo,
ser tratada ou, pelo menos, reduzida ao máximo. Assim as questões de segurança devem
ser abordadas com cuidado e responsabilidade e antes de iniciar um estudo mais focado
nestas questões, é preciso deixar bem claro a definição de alguns conceitos:

• Incidente de Segurança:

O ato de violar, ou pelo menos tentar, uma polı́tica de segurança, explı́cita ou

implı́cita. [CERT/CC, 2007]

• Polı́tica de Segurança:

atribui direitos e responsabilidades às pessoas que lidam com os recursos computa-
cionais de uma instituição e com as informações neles armazenados. Ela também
define as atribuições de cada um em relação à segurança dos recursos com os quais
trabalham. Uma polı́tica de segurança também deve prever o que pode ou não
ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que
descumprir a polı́tica de segurança é considerado um incidente de segurança. Na
polı́tica de segurança, também são definidas as penalidades às quais estão sujeitos
aqueles que não cumprirem a polı́tica [SECURITY MAGAZINE, 2004].

• Polı́tica de Uso Aceitável (AUP - Acceptable Use Policy):

é um documento que define como os recursos computacionais de uma organização

podem ser utilizados. Também é ela quem define os direitos e responsabilidades dos
usuários. Os provedores de acesso à Internet normalmente deixam suas polı́ticas de
uso aceitável disponı́veis em suas páginas. Empresas costumam dar conhecimento
da polı́tica de uso aceitável no momento da contratação ou quando o funcionário
começa a utilizar os recursos computacionais da empresa.[DIAS, 2000]

• Sistema de Detecção de Intrusão (IDS - Intrusion Detection System):

é um programa, ou um conjunto de programas, cuja função é detectar atividades

incorretas, maliciosas ou anômalas. IDSs podem ser instalados de modo a monitorar
as atividades relativas a um computador ou a uma rede. [DIAS, 2000]
2.1 Questões de segurança 22
Existem várias formas de implementação de segurança em informática, os ob-
jetivos de segurança variam de acordo com o tipo de ambiente computacional e a natureza
do sistema (administrativo, financeiro, militar, etc.). Para identificar os objetivos mais
prioritários para a organização é essencial fazer uma análise da natureza da aplicação, dos
riscos e impactos prováveis [SCHNEIER, 2001]. Ainda tem-se o fato que tanto usuários
comuns como profissionais do departamento de informática devem preocupar-se, em maior
ou menor grau, com os seguintes objetivos de segurança:

• Confidencialidade ou privacidade:

proteger as informações contra acesso de qualquer pessoa não explicitamente au-

torizada pelo dono da informação, isto é, as informações e processos são liberados
apenas a pessoas autorizadas. Esse objetivo evolve medidas tais como controle de
acesso e criptografia. Tradicionalmente as noções de segurança e confidencialidade
estão associadas à manutenção de informações secretas, por meio de códigos cifrados
para proteger a informação que trafega nas linhas de comunicação. [SCHNEIER,
2001] [CERT.BR, 2007]

• Integridade de dados:

evitar que dados sejam apagados ou de alguma forma alterados, sem a permissão
do proprietário da informação. O conceito de dados nesse objetivo é mais am-
plo, englobando dados, programas, documentação, registros, fitas magnéticas, etc.
O conceito de integridade está relacionada com o fato de assegurar que os dados
não foram modificados por pessoas não autorizadas. Em termos de comunicação
de dados, integridade restringe-se à detecção (e subseqüente correção)de alterações
(deliberadas ou acidentais) nos dados transmitidos. A integridade de dados também
é um pré-requisito para os outros aspectos de segurança. Por exemplo, se a inte-
gridade de um sistema de controle de acesso a um determinado sistema operacional
pode ser violada, então a confidencialidade de seus arquivos pode ser igualmente
violada. Enquanto o objetivo da confidencialidade está mais voltado à leitura de
dados, a integridade preocupa-se mais com a gravação ou alteração de dados. [DIAS,
2000] [CERT.BR, 2007]

• Disponibilidade:

proteger os serviços de informática de tal forma que não sejam degradados ou torna-
dos indisponı́veis sem a devida autorização. Para um usuário autorizado, um sistema
2.1 Questões de segurança 23
não disponı́vel, quando se necessita dele, pode ser tão ruim quanto um sistema ine-
xistente ou destruı́do. As medidas relacionadas a esse objetivo podem ser duplicação
de equipamentos ou backup, por exemplo. Disponibilidade pode ser definida como a
garantia de que os serviços prestados por um sistema são acessı́veis, sob demanda,
aos usuários ou processos autorizados. Em termos gerais, a disponibilidade pode ir
além do escopo normal de segurança, incluindo até equipamentos tolerantes a falhas.
Em relação à segurança de informações, sua principal preocupação é prevenir que
ataques deliberados ou maliciosos evitem ou dificultem o acesso de usuários autori-
zados ao sistema. Um exemplo de ataque contra a disponibilidade é a sobrecarga
provocada por alguns internautas ao enviar enormes quantidades de solicitações de
conexão com intuito de provocar pane nos sistemas. [SCHNEIER, 2001]

• Consistência:

certificar-se de que o sistema atua de acordo com as expectativas dos usuários auto-
rizados. Se um software ou hardware passa a se comportar de maneira diferente da
usual, normalmente após alterações de hardware ou software, isso pode causar danos
irreparáveis. Por exemplo, imagine um usuário solicitando a edição de um arquivo.
Por causa de uma falha no editor de textos, o arquivo é apagado e o usuário perde
todos os seus dados. [SCHNEIER, 2001] [CERT.BR, 2007]

• Isolamento ou uso legı́timo:

regular o acesso ao sistema. O acesso não autorizado é sempre um problema, pois

além de ser necessario identificar quem acessou e como, é preciso se certificar de
que nada importante do sistema foi adulterado ou apagado. As medidas corretivas
após uma invasão podem envolver tempo e recursos financeiros consideráveis para
análise do sistema e sua reconstrução ou recuperação, se for o caso.[SCHNEIER,
2001] [DIAS, 2000]

• Auditoria:

proteger os sistemas contra erros e atos maliciosos cometidos por usuários autoriza-
dos. Para identificar os autores e suas ações, são utilizadas trilhas de auditoria e logs,
que registram tudo que foi executado no sistema, por quem e quando. Em algumas
aplicações crı́ticas, as trilhas de auditoria podem incluir operações de restauração ao
estado inicial, auxiliando o trabalho de reconstrução do sistema original. A maioria
dos objetivos de segurança se preocupa em evitar eventos indesejados (incidentes).
2.2 Normas de segurança 24
Na prática, no entanto, nem todas as ações impróprias podem ser evitadas. Para
lidar com essas situações, é necessário monitorar as ações dos usuários, detectar
falhas de segurança e ser capaz de responsabilizar os culpados. [DIAS, 2000]

• Confiabilidade:

garantir que, mesmo em condições adversas, o sistema atuará conforme o esperado.

Exemplos de sistemas em que a confiabilidade é o objetivo de segurança mais impor-
tante são os sistemas de energia nuclear, de controle de tráfego aéreo e de controle
de vôo. Uma falha em um sistema desse tipo pode comprometer a vida de centenas
de pessoas. [SCHNEIER, 2001], [DIAS, 2000]

Apesar de todos os objetivos citados serem importantes, dependendo do tipo de

organização, alguns são mais importantes do que outros. Por exemplo, um sistema que não
contém dados confidenciais, mas que precisa estar disponı́vel 24 horas por dia, não requer
privacidade de dados, mas sim alta disponibilidade e integridade. Em resumo, sistemas
com necessidades diferentes de segurança devem ser tratados e protegidos também de
forma diferente.

Segurança é um processo, e não um produto. Como processo, ela possui muitos

componentes, e alguns destes são mais poderosos, mais flexı́veis, mais seguros. Além do
mais, os componentes precisam encaixar-se. Quanto melhor eles encaixarem-se, melhor
será o funcionamento do processo. Para que ocorra um bom encaixe entre os componentes
e que todos que estejam vendo esta peça montada possam entende-la é preciso entender
e seguir as normas e procedimentos usadas que são definidos por órgãos reconhecidos.

2.2 Normas de segurança

No que diz respeito a normas técnicas, o Brasil conta com a ABNT (Associação Brasileira
de Normas Técnicas), que estabelece padrões a serem seguidos por produtos e serviços
de várias áreas, inclusive segurança da informação. Abrange algoritmos de criptografia,
técnicas criptográficas, gerência de senhas, controle de acesso para segurança fı́sica de
instalações de processamento de dados, critérios de segurança fı́sica relativos ao armaze-
namento de dados, a microcomputadores e terminais, além das normas de segurança fı́sica
e ambiental que se aplicam a qualquer tipo de prédio, tais como as normas de combate e
prevenção de incêndios.[ABNT, 2007]
2.2 Normas de segurança 25
No âmbito internacional, existem algumas instituições cuja função básica é
estabelecer padrões, dentre elas, destacam-se:

• International Organization for Standardization (ISO);

• Internacional Electrotechnical Comission (IEC);

• International Telecommunications Union (ITU);

• Comité Euorpéen de Normalisation (CEN);

• Comité Européen de Normalisation Elétrotechnique (CENELEC); e

• European Telecommunications Standards Institute (ETSI).

Apesar de não serem instituições internacionais, existem vários organismos

padronizadores norte-americanos cujos padrões são utilizados mundialmente, tais como:

• Institute of Electrical and Electronics Engineers (IEEE);

• National Institute for Standards and Technology (NIST); e

• American National Standards Institute (ANSI).

Os objetivos gerais de seguir uma norma são[ABNT, 2007]:

1. Economia - Seguindo padrões a organização sempre estará dentro da especificação

que o mercado exige sem precisar ter gastos além do previsto;

2. Comunicação - Um ambiente padronizado traz, a todos seus integrantes, uma co-

municação facilitada e sem falhas ;

3. Segurança - Ao padronizar técnicas e utilizar procedimentos certificados por alguma

instituição oficial, a segurança será alcançada com menos sacrifı́cio;

4. Proteção - As normas oferecem à organização suporte e meios de implementá-las de

forma segura; e

5. Eliminação de barreiras técnicas - Ao manter um ambiente padronizado há muito

mais chances de obter novas tecnologias com menor custo.
2.2 Normas de segurança 26
O emprego de um padrão é utilizado cada vez mais como um meio para se al-
cançar a redução de custo mantendo ou melhorando a qualidade dos serviços e atividades.
Os benefı́cios da normalização podem ser observados na tabela 2.1 [ABNT, 2007]:

Tabela 2.1: Benefı́cios da Padronização

Qualitativos Quantitativos
Utilizar adequadamente recursos Reduzir o consumo de tecnologia
Uniformizar a Solução Reduzir o número de regras
Facilitar o treinamento, melhorando seu nı́vel técnico Controlar processos
Registrar o conhecimento tecnológico Reduzir a variedade de soluções
Facilitar a contratação de tecnologia Melhorar a qualidade
- Fornecer procedimentos para projetos
- Padronizar componentes e equipamentos

É, portanto, o dever daqueles envolvidos em segurança, em todo lugar, usar

normas com o seu real propósito: promover a qualidade, produtividade, eficiência e con-
fiabilidade em todos os tipos de sistemas para o benefı́cio derradeiro dos usuários e para
ajudar a proteger a segurança e o ambiente da organização em toda a sociedade. Pa-
dronização, testes, avaliação de conformidade e certificação estão entre os instrumentos
chaves que pode-se usar para alcançar os resultados. Desconhecer a importância dessas
habilidades, e não aplicando seus princı́pios, pode trazer significativos retrocessos e perdas
para a organização. [FERREIRA, 2003]

Assim, umas das formas de padronizar todos os processos de segurança de uma

organização pode passar pela criação de um CSIRT, pois o mesmo possui a caracteristica
de promover ações e serviços de forma padronizada. A aplicação de normas é uma das con-
sequências da existencia de um CSIRT. Todas as ações tomadas pelo grupo devem seguir
alguma padronização estabelecida por uma instituição reconhecida pelas organizações e
governos para que tenham o efeito desejado. As principais normas existentes na área de
segurança da informação no mundo são:

• BS 7799:

Em 1995, o BSI (British Standards Institute lançou seu primeiro padrão de segu-
rança, BS 7799. O BS 7799 foi criado com a intenção de abranger assuntos de
segurança relacionados ao e-commerce. Em 1995 mesmo ocorreram problemas e
o padrão foi considerado inflexı́vel e não foi adotado globalmente. O momento
não era correto e questões de segurança não despertavam grande interesse naquele
tempo.[SANS, 2004]
2.2 Normas de segurança 27
• ISO/IEC 17799:

Em dezembro de 2000, o International Standards Organization (ISO) adotou e pu-

blicou a primeira parte do BS7799 como seu próprio padrão, chamando-o ISO 17799.
Nessa mesma época, uma maneira formal de credenciamento e certificação de com-
patibilidade com os padrões foram adotadas. A adoção do BS 7799 Parte 1 (o
critério padrão) pelo ISO foi mais aceitável pela comunidade internacional, e foi
nessa época que um conjunto de padrões de segurança finalmente recebeu reconhe-
cimento global. A ISO17799 cobre os mais diversos tópicos da área de segurança,
possuindo um grande número de controles e requerimentos que devem ser atendidos
para garantir a segurança das informações de uma empresa. [SANS, 2004]

• NBR ISO/IEC 17799:

Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada

NBR ISO/IEC 17799.[ABNT, 2007]

• ITIL (Information Technology Infrastructure Library):

Pode-se definir o ITIL como um conjunto estruturado de padrões e práticas para

gerenciar os serviços de TI, bem como o desempenho da infra-estrutura que os
envolvem. Porém, para implantar essa metodologia em uma empresa, tem de se
adotar padrões para que o conjunto organizacional consiga visualizar o modelo a
ser implantado. O ITIL não trata da definição do “por que” ou “o que” de uma
instituição. Isso já deve estar estabelecido, o ITIL preocupa-se com o “como”, pois
estabelece métodos para gerenciar os nı́veis de serviços por meio da padronização
de processos e comunicação. [FERREIRA, 2003]

• COBIT Control Objectives for Information and Related Technologies:

O COBIT pode ser traduzido como Objetivos de Controle para a Informação e

Tecnologia relacionada. Publicado pela ISACA (Information Systems Audit and
Control Foundation) em 1996. O COBIT está em sua terceira edição, marcando
sua transferência para o IT Governance Institute, e acrescentando em sua estrutura
as guias de gerenciamento requeridas pela governança corporativa. [FERREIRA,
2003]

São nestas normas que a organização deve buscar pelos aspectos necessários
para criar uma boa polı́tica de segurança e fazer dela um meio eficaz na proteção de seus
2.3 Polı́tica de segurança 28
recursos. Utilizando normas torna-se mais simples e prático estabelecer regras e polı́ticas
para a organização e deixá-las mais claras ao usuários. Uma boa polı́tica de segurança
deve estar baseada em uma ou mais normas de segurança.

2.3 Polı́tica de segurança

A polı́tica de segurança é um mecanismo preventivo de proteção dos dados e processos

importantes de uma organização que define um padrão de segurança a ser seguido pelo
corpo técnico e gerencial e pelos usuários, internos ou externos. Pode ser usada para
definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e a
segurança dos sistemas atuais[DIAS, 2000].

A polı́tica de segurança também deve estabelecer princı́pios institucionais de

como a organização irá se proteger, controlar e monitorar seus recursos computacionais e,
consequentemente, as informações por eles manipuladas. É importante que a polı́tica es-
tabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine
as principais ameaças, riscos e impactos envolvidos. [SCHNEIER, 2001] Nesse contexto,
o CSIRT, geralmente, faz parte da polı́tica de segurança de uma organização.

Apesar de muitos aspectos serem relacionados especificamente com sistemas

de informação e recursos computacionais, a polı́tica de segurança deve ir além desses
aspectos, integrando-se às polı́ticas institucionais relativas à segurança em geral e às metas
de negócios da organização como é apresentado na figura 2.1. Uma polı́tica de segurança
gera impactos sobre todos os projetos de informática, tais como planos de desenvolvimento
de novos sistemas, plano de contingência, planejamento de capacidade, entre outros.

Como toda polı́tica institucional, a polı́tica de segurança deve ser aprovada

e apoiada pela alta gerência e divulgada a todos os funcionários envolvidos com segu-
rança de informação e usuários de informática. A partir de então, todos os controles
devem se basear nessa polı́tica de segurança, aprovada pela alta gerência e difundida pela
organização. Para uma completa e efetiva implantação da polı́tica de segurança é impres-
cindı́vel que sejam envolvidas desde a alta gerência até os usuários. [SCHNEIER, 2001] A
ligação entre CSIRT e polı́tica de segurança é tamanha que, os serviços que um grupo de
resposta presta só terão sucesso após a mesma aprovação e divulgação. [CERT.BR, 2007]
2.3 Polı́tica de segurança 29

Figura 2.1: Relação entre Polı́tica de Segurança e Estratégia Organizacional

A polı́tica normalmente contém princı́pios legais e éticos a serem atendidos no

que diz respeito à informática: direitos de propriedade de produção intelectual; direitos
sobre software e normas legais correlatas aos sistemas desenvolvidos; princı́pios de imple-
mentação da segurança; polı́ticas de controle de acesso a recursos e sistemas computacio-
nais; e princı́pios de supervisão constante das tentativas de violação da segurança.[DIAS,
2000], [SCHNEIER, 2001]

A polı́tica pode conter ainda os princı́pios de continuidade de negócios, proce-

dimentos a serem adotados após violação de normas de segurança estabelecidas na polı́tica
e plano de treinamento em segurança da informação, esboçando assim, os serviços presta-
dos por um CSIRT. Estes tópicos deverão ser claros e detalhados o suficiente para serem
compreendidos. Dependendo da complexidade da polı́tica de segurança pretendida pode-
se apenas citar, na polı́tica, a existência de outros documentos, tais como procedimentos,
práticas e padrões nos quais são descritas as regras em detalhes para gerência e uso da
tecnologia da informação. [DIAS, 2000]

Usa-se a polı́tica para definição de regras ou princı́pios mais amplos e genéricos,

deixando aos procedimentos e práticas as regras mais especı́ficas que serão atualizadas
com maior freqüência. A polı́tica de segurança deve tratar de princı́pios éticos e pode
ser composta por várias polı́ticas de contratação e instalação de equipamentos e software,
etc. Já os procedimentos de segurança se referem à implementação, administração e
verificação da conformidade às polı́ticas previamente estabelecidas. Os procedimentos
normalmente detalham as responsabilidades de usuários, gerentes e auditores no uso,
2.4 Ataques e incidentes de segurança 30
gerência e controle da tecnologia da informação. [CERT.BR, 2007] Quanto mais simples
e coerente a polı́tica de segurança, maior a probabilidade de sua implementação prática
ser um sucesso. [SCHNEIER, 2001]

A polı́tica de segurança deve ser revisada periodicamente, para mantê-la atuali-

zada frente as novas tendências e acontecimentos do mundo da segurança da informação.
Com o constante crescimento das necessidades de segurança, aliado a adequação à le-
gislação, regulamentos e normas, em conjunto com o desenvolvimento de novas tecnolo-
gias, pode-se assim vivenciar que o segmento está exigindo muito mais capacitação do
profissional de segurança, abrindo também desta forma amplas oportunidades, como a
criação de um CSIRT para geranciar todas essas atividades.

É importante lembrar que, para tomar qualquer medida punitiva em relação

aos usuários autorizados, estes devem ter sido devidamente orientados e apresentados à
polı́tica de segurança da instituição. Caso contrário, podem alegar desconhecimento da
polı́tica por culpa da gerência e não deles. Por esta razão, é recomendado o treinamento
de usuários em segurança de informação, como forma de conscientização e divulgação da
polı́tica de segurança a ser seguida por todos.[DIAS, 2000]

Segurança é algo mais do que apenas regras, polı́ticas e procedimentos. Segu-

rança é uma atitude, uma consciência a ser difundida por toda a instituição. Só assim
a polı́tica de segurança terá sucesso contra ataques e incidentes de segurança, assim,
estudada que toda polı́tica de segurança prima por combater ataques e incidentes.

2.4 Ataques e incidentes de segurança

As ameaças do mundo digital espelham as ameaças do mundo fı́sico. Se o furto é uma

ameaça, então o furto digital também é uma ameaça. Se os bancos fı́sicos são roubados,
então os bancos digitais serão roubados. A invasão de privacidade é o mesmo problema,
tenha ela a forma de um fotógrafo com uma lente telescópica ou um cracker que pode
monitorar sessões de bate-papo particulares. O crime no ciberespaço inclui tudo o que
existe no mundo fı́sico de forma similar: roubo, extorsão, vandalismo, voyeurismo, ex-
ploração, jogos de azar, fraude. Existe até mesmo a ameça de dano fı́sico: espionagem,
ataques contra sistema de controle de tráfego aéreo, etc. A princı́pio, a sociedade on-line
é a mesma sociedade off-line, da mesma forma, os ataques contra os sistemas digitais
2.4 Ataques e incidentes de segurança 31
serão os mesmos ataques contra seus análogos analógicos.[DIAS, 2000]

Isso significa que pode-se olhar o passado para ver o que o futuro tem reservado.
Os ataques terão formas diferentes - o assaltante manipulará conexões digitais e entradas
de banco de dados, em vez de “pés-de-cabra” e material para abrir fechaduras, o terrorista
visará sistemas de informações, em vez de aviões -, mas a motivação e a psicologia serão
as mesmas. Isso também significa que não precisa-se de um sistema legal completamente
diferente para lidar com o futuro. Se o futuro for igual ao passado, então um sistema legal
que funcionou no passado provavelmente funcionará no futuro.[SCHNEIER, 2001]

Nada na Internet é novo, situações ilı́citas já conhecidas também ocorrem na

Internet: Pornografia, lavagem de dinheiro, seitas que oferecem vida eterna por dinheiro,
etc. Eles estão apenas reempacotando os truques antigos para o novo meio, tirando
proveito das diferenças sutis e explorando o alcance e a facilidade de crescimento.

As ameaças podem ser a mesmas, mas a Internet muda o modo de execução.

Embora os ataques no mundo digital possam ter os mesmos objetivos e compartilhar
muitas das mesmas técnicas dos ataques do mundo fı́sico, eles serão muito diferentes,
mais comuns e mais divulgados. Além disso o rastreamento é mais difı́cil, assim como
capturar e condenar os perpetuadores. Os efeitos dos ataques poderão ser devastadores
caso não sejam repelidos. A Internet possui três caracterı́sticas novas que comprovam
essas informações: [FERREIRA, 2003]

• Automação:

A automação rápida torna os ataques com uma taxa de retorno mı́nima em algo
lucrativo. Os invasores que eram simplesmente mı́nimos para serem notados no
mundo fı́sico podem rapidamente tornar-se uma grande ameaça no mundo digital.
Muitos sistemas comerciais simplesmente não ligam para pequenos problemas; é
mais barato ignorá-las do que consertá-las.

• Ação à distância:

A Internet não possui fronteiras ou limites naturais, dois pontos quaisquer são sem-
pre adjacentes, estejam eles do outro lado da parede ou do planeta. É tão fácil de
conectar com um computador em São Paulo a partir de um computador da Tunı́sia
quanto a partir de Joinville.
2.4 Ataques e incidentes de segurança 32
• Propagação da técnica:

A facilidade que as técnicas bem-sucedidas podem se propagar pela Internet é alar-

mante. Existem inúmeros sı́tios que disponibilizam softwares, dicas, guias e até
exemplos de ataques na Internet.

A Internet abre novos meios para violar a privacidade das pessoas, normal-
mente apenas como resultados de uma das caracterı́sticas citadas. Dados em papel, mesmo
que sejam públicos, são difı́ceis de pesquisar e correlacionar. Os dados digitais podem ser
pesquisados com facilidade. Os dados em redes podem ser buscados remotamente e cor-
relacionados a outros bancos de dados.

Neste contexto é importante definir incidente. Embora haja várias definições

possı́veis para o assunto toma-se como base para a definição o conceito do CERT/CC e
do CERT.BR: “Um incidente de segurança pode ser definido como qualquer evento ad-
versono, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação
ou de redes de computadores.” [CERT.BR, 2007]

Tem-se alguns exemplos de incidentes, que servem para identificar os principais

aspectos dos mesmos:[CERT/CC, 2007]

• Tentativas de ganhar acesso não autorizado a sistemas ou dados;

• Ataques de negação de serviço;

• Uso ou acesso não autorizado de sistemas;

• Modificações de um sistema, sem o conhecimento, instruções ou consentimento

prévio do dono do sistema; e

• Desrespeito à polı́tica de segurança ou à polı́tica de uso aceitável de uma empresa

ou provedor de acesso;

Diante destes aspectos é importante conduzir uma definição de incidente para

cada organização, em relação ao seu ambiente. Ainda, um incidente de segurança em com-
putadores pode ocorrer tanto nas máquinas quanto na rede e pode ameaçar a segurança
dos sistemas computacionais.

Também torna-se oportuno esclarecer que um ativo é um elemento importante

de uma organização, nada mais é do que, tudo aquilo que tem valor e desta forma requer
2.4 Ataques e incidentes de segurança 33
proteção. Estes elementos vão desde objetos até informações e dados. Dentre os ativos, a
informação é considerada um dos mais importantes. Os ativos são elementos fundamentais
quando pensa-se em segurança e também são as peças principais quando inicia-se uma
análise para verificar os possı́veis riscos que o sistema ou rede possam apresentar. No
entanto, não deve-se ter dúvidas em identificar quais os ativos existentes da organização,
pois a abrangência na identificação dos elementos importantes que devam ser protegidos
contra as ameaças, melhora a visualização das áreas de vulnerabilidades, e diminui a
probabilidade de que um incidente ocorra na organização. [STALLINGS, 2002]

O administrador de uma rede, por exemplo, deverá estar ciente dos seus ati-
vos, de preferência listá-los, para poder tomar o próximo passo que seria hierarquizar
estes elementos em ordem de importância para a organização. Esta ordem também leva
em consideração os efeitos, financeiros ou não, que ocorreriam caso um incidente seja
diagnosticado na rede.[CERT.BR, 2007]

Os administradores de rede deverão classificar todas as vulnerabilidades para

em seguida acharem um caminho para eliminá-las, e também deverão realizar um acom-
panhamento periódico das evoluções de ativos e de novas vulnerabilidades. Este cuidado
se faz necessário para que os incidentes sejam evitados.

Existem muitas ameças que exploram as vulnerabilidades e causam incidentes.

Estas ameaças sobre as informações de uma organização podem ser diretas ou indiretas e
podem ser acidentais ou propositais. Outra classificação destas ameaças e alguns exemplos
pode ser vista na figura 2.2.

Figura 2.2: Classificação das ameaças

A fim de ser possı́vel entender a complexidade das variáveis que compreendem

a classificação, exposta na figura 2.2, torna-se necessário conhecer mais sobre cada um
dos elementos apresentados, além de outros não mostrados na figura. Sendo assim:
2.4 Ataques e incidentes de segurança 34
• Código Malicioso:

Termo genérico que se refere a todos os tipos de programa que executam ações ma-
liciosas em um computador. Exemplos de códigos maliciosos são os vı́rus, worms,
bots, cavalos de tróia, rootkits, etc. A finalidade para a qual os códigos maliciosos
são gerados pode variar de código para código, da mesma forma que o tipo do dano
causado por eles pode variar de acordo com as intenções de quem o projetou. Eles se
manifestam de diversas maneiras, sendo que algumas são mais visı́veis e destrutivas
do que outras. Podendo ocorrer através da exibição de mensagens na tela, alteração
ou exclusão de determinados tipos de arquivos, diminuição da performance do sis-
tema, formatação do disco rı́gido, entre outras. É importante ressaltar que nem
todos os códigos maliciosos têm finalidade destrutiva, mas todos eles perturbam o
usuário de alguma forma. [CERT.BR, 2007]

• Engenharia Social:

A engenharia social é um artifı́cio utilizado por pessoas maliciosas que se aprovei-

tam da fragilidade e da inocência dos usuários de uma organização, com o intuito
de obter as informações necessárias para realizarem um ataque. Estas informações
importantes podem ser obtidas através de telefonemas, correio eletrônico, salas de
bate-papo e até pessoalmente.[SCHNEIER, 2001] Uma das soluções para evitar este
tipo de ameaça é oferecer palestras e treinamentos sobre o assunto para os fun-
cionários da organização, onde serão apresentadas várias dicas que podem ajudar a
minimizar este problema e melhorar a segurança de sua organização.

• Backdoors:

São portas abertas de programas que facilitam a entrada de crackers em seu compu-
tador. Esta abertura pode ser acidental, como por exemplo, uma falha na fabricação
de um software ou proposital, quando esta porta é criada por um cavalo de tróia.
[SCHNEIER, 2001], [DIAS, 2000] Portas são caminhos nas quais são estabelecidas
as comunicações/transmissões de dados (pacotes) de computador para computador,
seja ela dentro de uma rede ou em uma comunicação externa.

• Exploit:

Programa ou parte de um programa malicioso projetado para explorar uma vulne-

rabilidade existente em um software de computador. [CERT.BR, 2007]
2.4 Ataques e incidentes de segurança 35
• SPAM:

São mensagens não solicitadas, enviadas por e-mail pelo spammer (autor do spam),
que contém informações recheadas de bobagens, com o objetivo de apenas encher
de entulho a caixa de correio eletrônico.[SCHNEIER, 2001] O provedor de acesso à
Internet pode ser configurado para bloquear mensagens que contenham o domı́nio
da referida lista.

• Phishing:

Também conhecido como phishing scam. Mensagem não solicitada que se passa por
comunicação de uma instituição conhecida, como um banco, empresa ou site popu-
lar, e que procura induzir usuários ao fornecimento de dados pessoais e financeiros.
[FERREIRA, 2003] Inicialmente, este tipo de mensagem induzia o usuário ao acesso
a páginas fraudulentas na Internet. Atualmente, o termo também se refere à men-
sagem que induz o usuário à instalação de códigos maliciosos, além da mensagem
que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de
dados pessoais e financeiros. [CERT.BR, 2007]

• DoS (Denial Of Service):

Negação de Serviço. É uma ameaça em que um individuo consegue gerar uma grande
quantidade de transmissão de dados, causando um excesso de pacotes, seja para
uma rede, estação ou servidor, com a finalidade de sobrecarregar a vı́tima, deixando
as suas atividades indisponı́veis (negação de serviço) ou muito lentas.[SCHNEIER,
2001], [DIAS, 2000] Este tipo de ataque não tem a intenção de corromper ou mo-
dificar dados do computador, e sim, de deixar o serviço fora do ar. Além disto, é
muito difı́cil de ser identificado e ser prevenido.

• DDoS (Distributed Denial of Service):

Ataque de negação de serviço distribuı́do, ou seja, um conjunto de computadores é

utilizado para tirar de operação um ou mais serviços ou computadores conectados
à Internet. [CERT.BR, 2007]

• Adware(Advertising Software):

Software especificamente projetado para apresentar propagandas. Constitui uma

forma de retorno financeiro para aqueles que desenvolvem software livre ou prestam
serviços gratuitos. Pode ser considerado um tipo de spyware, caso monitore os
2.5 CSIRT 36
hábitos do usuário, por exemplo, durante a navegação na Internet para direcionar
as propagandas que serão apresentadas. [CERT.BR, 2007]

Há ainda uma classificação dos incidentes como passivos e ativos. Passivos são
aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo,
observação e conhecimento de informações armazenadas nos sistemas institucionais ou
análise de tráfego de uma rede. Já os ativos prejudicam diretamente o conteúdo do
recurso atacado, modificando e eliminando informações ou gerando informações falsas. Os
ataques podem ter como alvo diferentes serviços de segurança. Por exemplo, ao interceptar
uma mensagem trafegando na rede, o usuário também modificar a mensagem, ele estará
atacando a integridade do sistema. Se, após o ataque, esse usuário destruir a conexão de
rede, inviabilizando sua utilização pelos usuários autorizados, ele estará comprometendo
a disponibilidade do sistema. [DIAS, 2000]

Os ataques podem ser feitos por diversos tipos de pessoas. O primeiro tipo que
vem à mente são os crackers, em função da quantidade de artigos em jornais e revistas
que relatam histórias sobre invasões promovidas por eles em instituições como bancos,
empresas e governos. No entanto, nem todos os crackers penetram por pura diversão.
Nem sempre suas ações se restringem à penetração, podendo também causar danos aos
sistemas e dados, roubar informações confidenciais, praticar extorsão, sabotar os sistemas,
comprometer a confiabilidade da empresa no mercado, muitos deles ganham dinheiro com
isso. Em alguns casos, os próprios funcionários (e ex-funcionários) são a principal fonte
de problemas. Deve ser dada especial atenção aos funcionários de perı́odo parcial ou com
os contratados temporários, estagiários e ex-funcionários que guardam rancor contra a
empresa, por terem sido despedidos injustamente, por exemplo.[DIAS, 2000]

Deste modo, demonstra-se que não há redes de computadores com total segu-
rança, ou seja, todas elas estarão sujeitas a incidentes que causarão danos à organização.
A melhor forma de tratar/responder aos incidentes é com grupos de resposta coordenando
as atividades na organização afetada.

2.5 CSIRT

Quando problemas de segurança em redes de computadores ocorrem, é crı́tico para a

organização afetada ter meios rápidos e eficazes de responder a eles. A velocidade com
2.5 CSIRT 37
que a organização pode reconhecer, analisar e responder um incidente limitará os danos
e diminuirá o custo da recuperação. Esta habilidade de responder rapidamente e com
eficiência a uma ameaça de segurança é um elemento crı́tico para fornecer um ambiente
seguro. Um meio de fornecer tal resposta é através do estabelecimento de um grupo de
resposta à incidentes. Este tipo de grupo é chamado geralmente de CSIRT, Computer
Security Incident Response Team ou Grupo de Resposta a Incidentes de Segurança.

Um CSIRT é uma organização responsável por receber, analisar e responder

a notificações e atividades relacionadas a incidentes de segurança em computadores. Um
CSIRT normalmente presta serviços para uma comunidade bem definida, que pode ser a
entidade que o mantém, como uma empresa, um órgão governamental ou uma organização
acadêmica. Um CSIRT também pode prestar serviços para uma comunidade maior, como
um paı́s, uma rede de pesquisa ou clientes que pagam por seus serviços. [CERT/CC,
2007]

Os CSIRTs começaram como organizações orientadas à resposta, mas desde

sua inclusão em organizações que o trabalho pró-ativo para defender e proteger os recur-
sos e a comunidade tornou-se também uma caracterı́stica de sua funcionalidade. Estes
serviços pró-ativos incluem serviços de educação dos usuários, influência na polı́tica de se-
gurança, coordenação de workshops e troca de informações. CSIRTs podem trabalhar em
outras áreas da organização para prover novos sistemas e desenvolver soluções baseadas
em segurança da informação. Podem, ainda, identificar vulnerabilidades da organização
e em alguns casos prover a solução para tais. [CERT/CC, 2007]

O foco de um CSIRT é minimizar e controlar os estragos causados por um

incidente, provendo efetiva resposta e recuperação, e trabalhando em prevenir futuros
ataques e deve ser baseado no foco da organização, ou conjunto de organizações, que o
patrocina. Proteger os ativos crı́ticos são a chave para o sucesso de ambos. [CERT/CC,
2007]

Os CSIRT são diferentes de grupos de segurança de departamentos de Tecno-

logia da Informação(TI).[SANS, 2004] Um grupo de segurança de TI trabalha dia-a-dia
monitorando a rede e os sistemas de uma organização. Ele é responsável por manter
os sistemas atualizados e removendo as vulnerabilidades. Um CSIRT pode fazer estas
atividades como parte de suas atribuições mas também serve como um repositório de
informações sobre incidentes, um centro para se reportar incidentes e os analisar, e como
2.5 CSIRT 38
um coordenador de respostas a incidentes da organização. Esta coordenação pode ser
extendida fora da organização para colaborar com outros grupos de respostas.[CERT.BR,
2007]

Contudo nem todos os CSIRTs prestam os mesmos serviços. Para um grupo

ser considerado um CSIRT ele precisa, pelo menos, responder aos incidentes. Isto sig-
nifica que o grupo precisa: analisar o incidente, responder ao incidente, dar suporte e
coordenar a resposta ao incidente [CERT.BR, 2007]. A análise do incidente é vital pois é
necessário entender a natureza técnica do que aconteceu e do que ainda está acontecendo.
A compreensão é fundamental para definir ações a serem tomadas.

É importante para uma organização ter estratégias robustas e eficazes caso

uma quebra da segurança da informação ocorra. O objetivo principal destas estratégias
é restabelecer os serviços e reiniciar rapidamente os sistemas e as redes para que ocorra o
mı́nimo de prejuı́zos. CSIRTs podem estar presentes e aptos para conduzir uma resposta
rápida contendo e recuperando a organização de um incidente de segurança - reatividade.
CSIRTs podem, também, estar familiarizados com os sistemas crı́ticos da organização
para estarem capacitados quando necessitarem coordenar uma recuperação deste sistema
de algum incidente de segurança. Sua relação com outros CSIRTs e organizações de
segurança pode facilitar a troca de informações e estratégias de recuperação e manter-se
alerta sobre potenciais problemas. [CERT.BR, 2007]

Qualquer instituição que julgar necessária a instalação de um grupo de resposta

a incidentes deve fazê-lo. No Brasil ainda são poucas as instituições que tem um grupo
dedicado às tarefas de um CSIRT, mas no exterior pode-se ver CSIRTs que atendem
paı́ses, universidades, bancos, operadoras de cartão de crédito, etc.[CERT.BR, 2007]

O grande benefı́cio de uma instituição possuir um CSIRT é que ela terá um

grupo dedicado para lidar com incidentes de segurança e sua prevenção. Com o treina-
mento adequado este grupo é capaz de prover recuperação rápida e eficaz em casos de
incidentes de Segurança, com a vantagem de geralmente fazer a recuperação preocupada
com fatores como a preservação de evidências e entendimento das razões do incidente,
tendo assim maiores condições de avaliar a extensão do problema.
2.6 Considerações parciais 39
2.6 Considerações parciais

Concluindo este capı́tulo tem-se os conceitos que eram julgados como requisitos para o
inı́cio do estudo de CSIRTs. Fica comprovada a grande diversidade nas formas de ataque
e o quanto o crime eletrônico tem evoluı́do, acompanhando um cenário que exibe uma
complexidade crescente nos novos sistemas de informação.

Diversas instituições trabalham em busca de implementar regras mais es-

pecı́ficas para as diversas abordagens de segurança, seus administradores preocupam-se
com esse assunto, por isso buscam seguir as normas estabelecidas. Algumas das normas e
procedimentos nasceram da necessidade de contornar deficiências encontradas. Assim foi
com o CSIRT, seu conceito nasceu a partir de um grande ataque sofrido pelos usuários
da Internet no final da década de 1980.

É com a proposta de entender como é estruturado um CSIRT, quais são seus

serviços e como eles são prestados que o capı́tulo 3 apresenta todos os detalhes e fun-
damentos sobre essa forma de prevenção e reação aos incidentes de segurança. Somente
a partir dos conceitos do capı́tulo 3 é que uma prosposta concisa pode ser elaborada e
apresentado, posteriormente, no capı́tulo 4.
 40

3 CSIRT
Desde que o CERT/CC foi estabelecido, no final da década de 1980, grupos de resposta
tem surgido nos mais variados lugares do mundo, passando por órgãos governamentais
até organizações comerciais. De fato há tantos tipos de CSIRTs quanto há CSIRTs em
si, pois ao analisar-se a estrutura e o escopo de serviços dos mesmos percebe-se que não
existem dois idênticos. Esta flexibilidade na formação dos grupos é um ponto positivo
nestes dias em que a tecnologia digital muda a todo momento. [WYK, 2001]

Todas as organizações deveriam ter um CSIRT capacitado no local, pois o

risco de ocorrer um incidente está sempre presente e aumenta ao longo da ampliação
dos serviços prestados pela organização aos seus usuários. Logo, a questão não é se as
organizações deveriam ter um grupo de resposta, mas onde o grupo deve estabelecer-se,
quem deve ser escalado para participar, quem o custeará, quem deverá responder por ele.
[CERT/CC, 2007] Estas questões podem parecer triviais, mas elas possuem um grande
impacto na organização se elas não forem pré-definidas.

Como muitas das ações corporativas, tornar esta idéia forte deve ser o pri-
meiro grande passo. É absolutamente vital obter o apoio da gerência de alto escalão para
desenvolver um grupo dentro da organização [WYK, 2001]. Uma vez que a organização
tenha tomado a decisão de formar um CSIRT é preciso realmente conduzir esta decisão
como se estivesse formando um empreendimento. Deve-se estar preparado para gastar
tempo produzindo documentação técnica e gerencial, procedimentos, definindo identi-
dades, selecionando e comprando ferramentas, desenvolvendo as que forem necessárias,
treinando pessoal e tomando mais uma série de cuidados com questões administrativas.
[KILLCRECE O, 2003]

A experiência do CERT/CC hoje, que dentre outras atividades, é responsável

por compilar e divulgar manuais, guias e cursos para auxiliar na criação e manutenção dos
CSIRTs, tem ajudado a identificar caracterı́sticas e práticas comuns que podem ser usa-
das pelos interessados em formar novos grupos. A escolha da experiência do CERT/CC
para ser um “guia” no processo de criação do grupo nasce da necessidade de que exis-
tam parâmetros e conhecimentos sólidos na definição do projeto. O CERT/CC hoje é
3.1 Missão 41
reconhecido, por diversos governos, instituições e outros grupos, como o principal grupo
de Coordenação1 no mundo. Foi através desse centro que outros grandes grupos foram
formados.

3.1 Missão

Quando chega-se a um entendimento do que uma organização quer e quais são os seus
problemas é hora de desenvolver ações para iniciar-se a real implantação do CSIRT. A
primeira ação que deve ser tomada é planejar o escopo dos serviços do grupo, visto que
há uma grande variedade deles. Esta lista deve estar de acordo com as necessidades da
organização e em constante revisão e, ainda deve-se salientar que os serviços prestados
podem ir além da resposta ao incidente. [LUCAS, 2003] Existem serviços, ditos não-
emergenciais ou pró-ativos, que podem servir para ajudar a justificar a existência de um
grupo dentro do escopo de uma organização. [CERT.BR, 2007] Fica claro a necessidade
de definir um modelo de trabalho que seja adequado aos serviços que forem prestados,
otimizando assim, a equipe e maximizando os resultados.

A missão de um CSIRT deve ser algo sintético e com uma descrição sem am-
bigüidades do seu propósito e função[KILLCRECE O, 2003]. É da missão que sairá o foco
básico do grupo, que poderá incluir qualquer um destes tópicos: recuperação de sistemas,
análise de ataques e intrusões, facilitador e coordenador nas atividades de resposta a in-
cidentes, coordenador de informações, investigação de crimes virtuais, monitoramento de
sistema de detecção de intrusos, etc.

Devido ao grande número de CSIRTs e a diversidade de organizações que eles

servem não há uma padronização ao definir a missão de um grupo. Em uma pesquisa
realizada pelo CERT/CC foi identificada que as declarações mais presentes nas missões
de grupos são as seguintes:[KILLCRECE O, 2003]

• Proteger e manter a segurança dos sistemas existentes;

• Gerenciar e coordenar atividades de resposta a incidentes;

1
Um grupo de Coordenação tem como principais objetivos: (a) prover análises de incidentes e vulnera-
bilidades, (b) suporte aos demais grupos, (c) ser um ponto único para reunir informações. Mais detalhes
no item 3.3.
3.2 Divulgação 42
• Minimizar os prejuı́zos quando de um incidente de segurança; e

• Educação e atividades em questões de segurança e melhores práticas.

A missão, além do escopo de serviços prestados pelo grupo, também pode

influenciar no momento da escolha do modelo de CSIRT a ser criado. [KILLCRECE O,
2003] Por exemplo, se na missão do grupo há algum tipo de serviço de precise ser feito in
loco e a organização é geograficamente espalhada, o CSIRT não poderá ser centralizado.
Porém se a missão do CSIRT é ser um ponto único para o relato de incidentes e distribuição
de informações, o CSIRT, possivelmente, será centralizado.

3.2 Divulgação

Um dos erros que um CSIRT pode cometer é imaginar que todos dentro da organização
tenham conhecimento que ele existe e, ainda, saibam para que ele serve ou quais os serviços
prestados. As pessoas precisam saber que o grupo existe, quais são os serviços prestados,
como ele funciona, quais são as formas mais rápidas para entrar em contato e em quais
situações ele deve ser acionado. Caso isso não ocorra muitos incidentes podem ocorrer
sem que o grupo fique sabendo ou fique sabendo tarde demais. [LUCAS, 2003]

As campanhas de divulgação devem, além de apresentar o CSIRT, apresentar

suas regras e guias, convencer a todos que o grupo existe para ajudar a organização em
momentos crı́ticos, desfazendo qualquer má impressão que a idéia de um grupo, especiali-
zado em monitorar (buscando falhas) e assumir o controle quando de um incidente, possa
causar. Buscar a confiança dos colaboradores da organização deve ser o principal foco
da divulgação do CSIRT BESC. Para tanto o CSIRT pode se valer de inúmeros tipos de
disseminação da informação.

Existem algumas práticas de divulgação que são vistas com mais constância
nos CSIRTs do mundo todo: [WEST-BROWN, 2003]

• Conferências;

• Seminários de treinamento;

• Cartazes;
3.3 Modelos de CSIRT 43
• Memorandos e e-mails;

• Webcasts

• Folhetos explicativos;

• Intranet; e

• Polı́ticas da empresa.

3.3 Modelos de CSIRT

Para que um modelo de CSIRT seja escolhido é preciso levar em consideração alguns
fatores que irão denunciar as particularidades do grupo. Itens como os membros que
constituirão o grupo, a localização fı́sica, a disposição geográfica da organização, qual será
a posição do grupo dentro do organograma da organização, revelam quais dos modelos
poderão ser usados para ilustrar o CSIRT. [KILLCRECE O, 2003]

Dependendo de sua missão e objetivos, um CSIRT pode ser estruturado e or-

ganizado para fornecer um conjunto de serviços da maneira que traga mais benefı́cios à
organização. As variáveis ambientais, tais como: o tamanho da organização, financeiro
disponı́vel, e a distribuição geográfica, podem também afetar a escala e o nı́vel dos serviços
fornecidos por um CSIRT. [CERT/CC, 2007] Uma organização pequena, localizada toda
num único espaço fı́sico, requererá um CSIRT diferente daquele requerido por uma or-
ganização grande, geograficamente dispersa, mesmo que os serviços providos por ambos
sejam iguais.

Um CSIRT pode também ser organizado como um centro de coordenação de

CSIRTs. Neste caso, o CSIRT fornece a informação e a sustentação em locais de posições
geográficas ou organizacional diferentes, estes locais podem ser filiais de uma organização
situada em várias cidades, estados, ou paı́ses, tais como os U. S. Military CSIRTs e o
DOD-CERT ou ainda, podem ser organizações independentes, tais como as organizações
que subscrevem aos serviços da Australian Computer Emergency Response Team (Aus-
CERT). Estes dois exemplos ilustram as maneiras diferentes que CSIRTs podem trabalhar.
No contexto do DOD-CERT, a equipe tem alguma autoridade para reforçar etapas da res-
posta através das Forças Armadas. No caso do AusCERT, não há nenhuma autoridade
direta sobre seus membros constituı́dos mas fornecem, a sustentação, as recomendações,
3.3 Modelos de CSIRT 44
a informação e os alertas àquelas organizações. Em um ou outro caso, o CSIRT de co-
ordenação sintetiza relatórios e informação de todas as áreas para determinar o retrato
exato do incidente através da organização. [AUSCERT, 2007]

Ao longo do que foi estudado há muitas formas operacionais que necessitarão
ser consideradas ao estabelecer um CSIRT. O foco é discutir sobre o modelo organizacional
ou a estrutura operacional da equipe. Isto envolve a posição fı́sica da equipe, o lugar da
equipe na organização, e como o CSIRT interage com a organização. Pode também
envolver a quem o CSIRT presta contas na organização, à autoridade do CSIRT dentro
da organização, e aos fluxos de informação dentro e fora do CSIRT. Agrupando todas as
questões envolvidas é possı́vel criar modelos estruturais que representam a grande maioria
dos CSIRTs existentes.

Destacam-se cinco modelos genéricos de CSIRTs: [CERT/CC, 2007] [KILL-

CRECE O, 2003] [CERT.BR, 2007]

• Grupo de Segurança:

Neste modelo, não foi dado a responsabilidade formal para as atividades de trata-
mento de incidentes a nenhum grupo ou seção da organização. Nenhum CSIRT,
propriamente dito, foi estabelecido. Pessoal disponı́vel são, geralmente, administra-
dores do sistema, da rede ou de segurança. Os esforços da resposta ao incidente não
são coordenados nem são necessariamente padronizados através da organização. Não
há nenhum grupo ou indivı́duo designado especialmente para recolher a informação
na organização dos danos ou o impacto de atividades do incidente, para analisar as
tendências, relatórios à gerência, ou para fornecer a recuperação eficaz ou etapas
protetoras. Esta é uma estratégia usual e fornece reação limitada ao incidente e não
há garantia de sucesso.

• CSIRT Interno e Distribuı́do:

Neste modelo, a organização utiliza uma equipe de funcionários existente para for-
mar um CSIRT distribuı́do, que seja treinado formalmente para tratar das atividades
de resposta ao incidente. Há um gerente que supervisiona e coordena as ativida-
des da equipe distribuı́da. Através da organização, os indivı́duos são identificados
como as pessoas apropriadas para trabalhar na equipe distribuı́da baseada em sua
perı́cia em várias plataformas, tecnologias, e aplicações de sistemas operacionais; ou
3.3 Modelos de CSIRT 45
baseado em sua posição geográfica ou responsabilidades funcionais. Os membros
distribuı́dos da equipe podem executar deveres de CSIRTs além a suas responsa-
bilidades regulares ou poderiam ser escaladas ao trabalho nos CSIRTs em tempo
integral. O CSIRT serve como o único ponto do contato na organização com relação
ao incidente, aos relatórios ou ao diagnóstico de vulnerabilidades para partes inter-
nas e externas da organização.

• CSIRT Interno e Centralizado:

Este modelo é um CSIRT inteiramente fechado e dedicado aos serviços contra in-
cidentes em uma organização de qualquer porte. Em muitos casos os membros
da equipe gastam todas as horas de trabalho no CSIRT. Entretanto, este tipo de
modelo poderia também ser prestado usando uma equipe de funcionários de meio
expediente baseando em revesamento. Há um gerente de CSIRT que é subordinado
à gerência de alto nı́vel tal como um Chief Information Officer (CIO), Chief Security
Officer (CSO), ou um Chief Risk Officer (CRO)ou algum outro gerente equivalente.
A equipe central é situada na organização e é responsável por todas as atividades
de tratamento do incidente. Como no caso do CSIRT Interno Distribuı́do, este mo-
delo serve como único ponto de contato da organização com relação a incidentes. É
ideal quando a organização possui a administração concentrada em um único ponto,
assim o CSIRT fica “ao lado” da administração da organização.

• CSIRT Interno Central e Distribuı́do:

Este modelo representa uma combinação do CSIRT distribuı́do e do CSIRT cen-

tralizado. Maximiza a utilização de equipe de funcionários existente em posições
estratégicas dentro da organização com as potencialidades da coordenação central
encontradas na equipe dedicada para fornecer uma maior atenção às ameaças e ati-
vidades de segurança que afetam a organização. Ainda o CSIRT é um ponto de
concentração de informações e contato como nos modelos apresentados.

• CSIRT de Coordenação:

Neste modelo o CSIRT coordena e facilita o tratamento de incidentes através de

uma variedade de medidas, que poderiam incluir outros CSIRTs. O CSIRT pode
ser uma entidade de coordenação para dar suporte a uma organização civil, uma
militar, instituições de uma rede da pesquisa, um domı́nio especı́fico, para várias
organizações dentro de um paı́s ou de um estado. CSIRTs de coordenação têm
3.3 Modelos de CSIRT 46
geralmente um leque mais abrangente e uma área de atuação mais diversa. O que
faz este modelo ser único é a combinação dos serviços fornecidos e como eles são
costurados para contribuir com as organizações. CSIRTs de coordenação, muito
frequentemente, não tem nenhuma autoridade sobre os seus membros. Sua função
principal é fornecer a análise do incidente e das vulnerabilidades, a sustentação, e os
serviços de coordenação. Podem distribuir guias, avisos, e soluções recomendadas
para segurança e recuperação.

Os modelos descritos pelo CERT/CC são baseados em observações superficiais

da estrutura organizacional dos CSIRTs. Um grupo que esteja em formação não precisa
encaixar sua estrutura aos modelos estudados, mas é interessante que use os modelos como
um ponto de partida para criar suas definições. Um fato que comprova a flexibilidade dos
modelos é uma segunda classificação de CSIRTs. Nessa segunda classificação também é
possı́vel encaixar a maioria dos grupos.Segue a segunda divisão de modelos adotada para
definir-se modelos de CSIRT: [WYK, 2001]

• Grupo de Recursos Públicos:

Um exemplo tı́pico deste tipo de grupo é o CERT - Coordination Center. Este

tipo de grupo é financiado por alguma organização ou órgão público maior e dá
suporte à grupos menores. Serve também como um centralizador ou repositório
de informações sobre incidentes e vulnerabilidades. Suas principais atividades são
prover ajuda na resposta aos incidentes através de telefone e/ou e-mail, analisar
e reportar vulnerabilidades, pesquisar e distribuir estatı́sticas sobre incidentes e
vulnerabilidades e desenvolver programas de treinamento.

• Grupos Internos:

Este tipo de grupo é formado para atender a uma organização especı́fica ou um

pequeno grupo delas. Além de tratar dos incidentes que ocorrem nas organizações
que o mantém ele também é responsável pela publicação de polı́ticas, procedimentos
e normas técnicas de segurança nestas organizações. Este tipo de grupo torna-se
especializado em responder incidentes nas organizações onde atua, pois conhece
toda a estrutura técnica, operacional e gerencial que a compõem. Algumas de suas
atividades principais são: tratamento de incidentes in loco, distribuir atualizações
de aplicações e S.O., treinamentos, medidas de prevenção/pró-ativas, serviços de
segurança e suporte à polı́tica de segurança.
3.3 Modelos de CSIRT 47
• Grupos Comerciais:

Novo conceito de grupo que vem surgindo. Estes grupos são especializados na
resposta de incidentes e prestam serviço para àquelas organizações que o contratam.
Há uma grande possibilidade de obter-se sucesso no tratamento de incidentes quando
dentro da organização já exista uma equipe que cuide da segurança da informação.
Caso essa equipe não exista o trabalho do grupo será muito maior e gastará mais
tempo. Estes grupos podem ser contratados para realizar atividades pró-ativas na
organização.

• Grupos de Assistência:

Muitas das organizações que vendem tecnologia como a Sun Microsystems, Micro-
soft, Hewlett Packard, etc. operam seus próprios grupos de resposta. Estes grupos
não realizam todas as atividades comuns em um outro tipo de grupo. Elas geral-
mente limitam-se a analisar vulnerabilidades encontradas em seus produtos para
então: documentar as caracterı́sticas de vulnerabilidades; determinar as causas das
vulnerabilidades; recomendar ações de reação; produzir atualizações; distribuir as
atualizações; e analisar os prejuı́zos. Esta lista de atividades pode variar de acordo
com o grupo, mas em geral todos realizam pelo menos estas citadas.

• Grupos Ad Hoc:

São grupos não muito eficientes, pois não possuem nenhum procedimento previsto
em caso de incidentes e não possuem uma estrutura totalmente formada. Eles
limitam-se a profissionais da segurança que trabalham na organização que atuam
como grupo de resposta somente quando necessário sem haver uma consciência de
formar um escopo de atividades que visam prevenir ou tratar adequadamente de
incidentes na organização. Não possuem atividades nem recursos definidos. Agem
de acordo com a situação.

Algumas organizações podem se encaixar entre dois modelos ou ainda, a orga-

nização compreende vários nı́veis de funções com vários modelos de CSIRTs. Definir qual
dos modelos seguir é importante para que o grupo obtenha sucesso no seu funcionamento.
A flexibilidade, ao optar por um ou mais tipos de CSIRTs já definidos faz com que a
organização tenha mobilidade em definir um grupo que seja totalmente moldado à sua
realidade e à realidade do seu negócio. Um motivo, talvez o maior, para esta flexibilidade,
3.4 Requisitos 48
é o fato de que cada CSIRT apresenta caracterı́sticas e necessidades únicas, definidas pela
organização que irá mantê-lo.

3.4 Requisitos

Há muitas maneiras eficientes de manter o grupo atualizado com as mudanças constantes
da tecnologia e o grande número de vulnerabilidades reportadas por fabricantes e desen-
volvedores. Para um CSIRT ter sucesso no tratamento de incidentes essas atualizações
devem ser definidas como uma das principais atividades realizadas, e não como algo se-
cundário e de pouca importância. [WYK, 2001] [KILLCRECE O, 2003] Algumas das
formas para atender esses requisitos são:

• Busca pela Informação:

Há centenas de fontes de informações que dizem respeito à tecnologia e vulnerabili-

dades publicadas na Internet2 . Esta gama de sı́tios e listas eletrônicas está disponı́vel
para qualquer pessoa que tenha interesse. É fácil encontrar sı́tios e grupos de dis-
cussão sobre segurança e tecnologias da segurança, a grande dificuldade está em
filtrar quais as informações são de qualidade das que não são. Este tipo de busca
gera um montante muito grande de informações que torna-se inviável para apenas
uma pessoa ler e compreender tudo. Por isso uma alternativa para este problema é a
divisão de cada tipo de informação para um membro do CSIRT. Assim, cada pessoa
dentro do grupo torna-se responsável por manter-se a par de tudo que está aconte-
cendo na sua área. Outra alternativa é utilizar ferramentas de filtro, que procuram
por palavras-chaves dentro das mensagens. Um risco deste tipo de alternativa é
perder informações importantes por esta não conter palavras-chaves. [WYK, 2001],
[CERT/CC, 2007]

• Treinamento:

Independente do tipo de CSIRT o treinamento de pessoal é um dos principais meios

de manter os membros do grupo em contato direto com as novas tecnologias. Es-
tes eventos são dados, geralmente, por organizações externas e especializadas em
promover treinamentos e conferências tecnológicas. Somando-se aos treinamentos
2
Periódicos e relações publicadas em repositórios como: FIRST, CERT/CC, X-Force, SANS, CVE,
etc.
3.4 Requisitos 49
externos o CSIRT pode promover exercı́cios de treinamento interno sempre que achar
necessário. Independente do tipo de treinamento - interno ou externo - um aspecto
importante é que ele qualifica as pessoas e foca seus objetivos para a tecnologia que
pretende-se passar à elas. [WYK, 2001], [CERT/CC, 2007]

• Dados de Incidentes:

No decorrer do tratamento de incidentes novas lições são aprendidas pelo grupo

como, o retorno operacional do uso de ferramentas de segurança para prevenir inci-
dentes, as novas técnicas utilizadas pelos atacantes, etc. O momento pós-incidente
é o ideal para se discutir e aprender com os dados, fatos e informações provenientes
do incidente e seu tratamento. Discussões de nı́vel técnico e operacional ajudam
o grupo a perceber quais aspectos precisam ser alterados e quais estão de acordo
com a realidade encontrada. Destas informações tira-se material para atualizar as
ferramentas e a documentação do CSIRT e ter a certeza que o grupo aprendeu com
a experiência. [CERT/CC, 2007]

• Comunicação entre CSIRTs:

Outra fonte útil de dados são os outros grupos e profissionais das organizações.
Estes grupos frequentemente possuem membros que se envolvem em situações de
incidentes similares e estão aptos a compartilhar informações técnicas e operacionais
de como tratar ou se proteger de incidentes. Este contato pode ser mediado pelo
FIRST, por exemplo. [CERT/CC, 2007]

• Automação:

Embora seja importante não confiar demasiadamente na automação da busca de

informações é importante fazer uso deste tipo de serviço para buscar informações
mais rapidamente sobre a natureza dos ataques e das vulnerabilidades do sistema.
Ferramentas para este tipo de busca devem ser capazes de fazer buscas rápidas da
informação desejada através de palavras-chave. Todas as informações encontradas
por estas ferramentas devem ser posteriormente analisadas pelos membros do grupo
para selecionar quais são as informações úteis no tratamento de incidentes. [WYK,
2001], [CERT/CC, 2007]

Estes são alguns exemplos de como um grupo pode manter-se atualizado, e

deste modo melhor preparado para responder aos incidentes que venham a ocorrer. É
3.5 Definição de serviços 50
importante para o CSIRT trabalhas estas atividades para maximizar os efeitos de seus
serviços e, consequentemente, minimizar o número de ataques ou seus prejuı́zos. Dentro
desta idéia de maximizar resultados e minimizar prejuı́zos o CSIRT deve estar atento
em realizar do melhor modo suas operações básicas que é o processo de tratamento de
incidente.

3.5 Definição de serviços

Outra preocupação ao criar um CSIRT é decidir quais tipos de serviços e atividades este
irá prover depois de constituı́do. Este processo também envolve nomear responsáveis e
definir cada atividade a ser desenvolvida, o que nem sempre é uma tarefa fácil. [CERT.BR,
2007]

A variedade de serviços e atividades oferecidos à organização pode ser um fa-

tor a determinar os recursos, as parcerias e o formato que o grupo irá ter. A seleção
de serviços deve, antes de mais nada, respeitar o foco da organização em que está inse-
rido. Os serviços oferecidos deverão ser aqueles que realmente poderão ser executados
pelo grupo, respeitando seu tamanho e grau de especialização. O melhor é oferecer um
número pequeno de atividades bem feitas, que um grande número, onde todas deixam a
desejar. Assim como um CSIRT pode ganhar a confiança da organização ele também pode
aumentar a gama de serviços e atividades gradativamente, de acordo com o permitido.
[CERT.BR, 2007]

Há muitos serviços que um CSIRT pode oferecer. Cada CSIRT é diferente
e, consequentemente, pode prover diferentes serviços. Estes serviços serão baseados na
missão, propósito e definição do grupo. Como já mencionado, prover uma resposta ao in-
cidente é o único pré-requisito para que o grupo seja considerado um CSIRT. [CERT/CC,
2007]

Os três grupos de serviços que um CSIRT pode prover são definidos como
[CERT/CC, 2007]:

• Serviços Reativos:

Estes serviços tem como principal caracterı́stica responder ao incidente logo após
este ter ocorrido. Esta resposta vem de várias formas como: reportar o incidente,
3.5 Definição de serviços 51
detectar o ataque, identificar o invasor, etc. Serviços reativos são o foco de trabalho
de um CSIRT.

• Serviços Pró-ativos:

Estes serviços prestam informações e assistência para ajudar a preparar e sistemas

contra os ataques, problemas ou outros incidentes, o uso deste tipo de serviço diminui
muito o número de incidentes na organização.

• Segurança e Qualidade no Gerenciamento de Serviços:

Este serviço tem aumentado e tem sido bem visto dentro dos CSIRTs. São in-
dependentes das atribuições de resposta aos incidentes, estão, geralmente, ligados
a outras áreas e, quando feitos pelo CSIRT, contam com a experiência e conheci-
mento do grupo. Nessa categoria de serviços medidas são tomadas para evitar riscos
e aumentar a segurança da organização.

Estas categorias de serviços podem ser encontrados em diversos CSIRTs, mas

nem todos prestam todos os serviços que compreendem o escopo destas categorias. O
único serviço que deve estar presente em todos os CSIRTs é a resposta ao incidente, os
demais tornam-se complementares ao serviço de resposta. Com base nas definições dos
grupos de serviços, a Figura 3.1 apresenta um detalhamento um pouco mais sobre cada
categoria.

Figura 3.1: Categorias de serviços e suas atividades principais

3.5 Definição de serviços 52
Como pode ser observado na figura 3.1, vários serviços complementares po-
dem ser prestados pelo CSIRT, porém nem todos os grupos o fazem. Executar todos
estes serviços exige que o grupo tenha recursos financeiros e de pessoal para alocá-los
nestas atividades e o retorno obtido com o investimento pode ser mensurado com uma
avaliação dos benefı́cios que serão obtidos após a implementação destes serviços. Um bom
planejamento ajuda a organização a manter este serviços com um menor custo, logo, um
bom planejamento auxiliam a selecionar os serviços que devem ser disponibilizados.

Sendo o tratamento de incidentes o princinpal objetivo de qualquer CSIRT

tem-se uma breve descrição das atividades envolvidas nesse processo.

3.5.1 Tratamento de incidentes

O principal objetivo de um CSIRT (também chamado de serviço básico) é receber, analisar

e responder a incidentes de segurança de computadores, logo, esse processo deve ser muito
bem definido e documentado. O grupo precisa estar preparado para iniciar suas atividades
recebendo todo o tipo de informação, para na sequência analisar cada uma delas. A
minoria das informações recebidas são comunicados de incidentes. Pedidos de informação
e relatórios são os dados mais comuns enviados a um CSIRT. [CERT.BR, 2007]

Para se obter um processo de resposta completo e robusto alguns pontos devem

ser observados, tanto pelo CSIRT quanto pelas diferentes áreas da organização, sendo eles:
[KILLCRECE S, 2003]

• Estabelecer um ponto único de contato para reportar os incidentes;

• Identificar o foco, a função, e responsabilidades do grupo;

• Identificar recursos, especializações e treinamentos necessários aos membros do grupo

e colaboradores da organização;

• Indentificar quais serviços o grupo prestará;

• Prover um padrão para os relatórios de comunicação de incidentes;

• Buscar treinamento especializado em tratamento de incidentes;

• Estabelecer polı́ticas e procedimentos de boas práticas para a segurança;

3.5 Definição de serviços 53
• Compartilhar as lições aprendidas entre os membros do grupo, entre o grupo e a
organização e entre os demais grupos;

• Estabelecer um método para avaliar o quão efetivo o CSIRT está sendo; e

• Estabelecer um método para coordenação de tarefas entre o CSIRT e partes externas

à organização.

Partindo da recepção das informações, a sequência natural do processo de

resposta é encaminhadar esses dados para a triagem e classificadas de acordo com o assunto
e importância. Nesse sentido a discução sobre o processo de triagem e encaminhamento é
necessária antes de discutir sobre como responder as informações que chegam ao CSIRT.

Triagem e classificação

A triagem é um processo de classificação e prioridade pelo qual passam as

mensagens que chegam a um CSIRT, sejam elas comunicação de incidentes
ou pedido de informações. Esse processo pode ser comparado com o processo
executado na emergência de um hospital quando os médicos e enfermeiros deci-
dem quem precisa de atendimento imediato e quem pode esperar. A triagem é
um elemento essencial para qualquer CSIRT. Ela torna-se um caminho crı́tico
para identificar o que está sendo reportado ao grupo e também é considerado
o veı́culo pelo qual chegam todas as informações ao CSIRT. [KILLCRECE O,
2003]

A triagem permite uma avaliação inicial de todas as informações que chegam

ao CSIRT e também das filas de solicitações feitas ao grupo e estão aguar-
dando por um encaminhamento. Essa função permite verificar a realidade
do momento quanto a todas as atividades reportadas ao CSIRT - quais soli-
citações estão em aberto e quais estão encerradas, que ações estão pendentes,
quantos e quais tipos de contatos foram recebidos em determinado perı́odo. As
informações que passam pela triagem podem gerar informações e estatı́sticas
gerenciais para a divulgação. [LUCAS, 2003]

Independente de como a triagem é feita, um item importante para que esse

processo seja executado com sucesso é a forma como todas as informações che-
gam ao CSIRT. A criação de formulários e sua divulgação deve ocorrer sempre
3.5 Definição de serviços 54
que o grupo achar necessário. Todos os usuários e membros da organização
devem ter consciência das polı́ticas de segurança e saber da importância de
reportar qualquer incidente ao CSIRT, seja ele um vı́rus, ataque, mau uso ou
até mesmo a suspeita de uma atividade anormal. [WEST-BROWN, 2003]

A triagem é feita sobre todos os contatos realizados com o CSIRT, não impor-
tando a forma como ele foi realizado (telefone, e-mail, fax, malote, presença
fı́sica, etc.). Por isso da importância desse processo. Nele o CSIRT conhece
todos os que fazem contato e, mais importante do que isso, sabem o que está
acontecendo na organização e onde acontece, o CSIRT tem uma visão espacial
de todas as suas atividades. [LUCAS, 2003]

O CERT/CC mostra uma forma de classificar um contato com um CSIRT:

• Comunicação de incidente;

• Relatório de vulnerabilidade;

• Comunicação de vı́rus; e

• Requisição de informações.

Sempre que um incidente é informado ao CSIRT, é necassário observar se

tal relatório já não faz parte de outro incidente que já está catalogado ou
em processo de resposta. Essa verificação pode ser feita depois do processo
de resposta já ter sido concluı́do ou durante o processo de resposta. O que
define se ele faz parte ou não de outra comunicação são as particularidades do
incidente e sua semelhança ou vı́nculo com outros. Algumas caracterı́sticas
podem determinar se um incidente reportado é, na verdade, a sequência de
outro incidente já reportado: áreas envolvidas, métodos utilizados, momento
dos “ataques”. [PROSISE, 2001]

Assim que ocorrer a classificação das informações que chegam ao CSIRT é

preciso atribuir uma identificação que o torne único. Este procedimento pode
ser facilmente gerenciado pelo sistema que é responsável pelo armazenamento
das informações. A identificação deve seguir um padrão estabelecido pelo
CSIRT e sua principal função é facilitar a busca e referenciar os dados da
comunicação em outros documentos. Utilizar formatos que não demonstrem
a importância ou dados do assunto é a melhor opção. [CERT/CC, 2007]
3.5 Definição de serviços 55
O CERT/CC criou uma sistemática própria, onde através da identificação é
possı́vel saber o assunto da comunicação, conforme segue:

• Comunicação de incidente: CERT#

• Relatório de vulnerabilidade: VU#

• Pedido de informação: INFO#

• Alertas (documentação externa): CA-99-16; CA-2000-01

• Resumos (documentação externa): CS-2000-01

• Notas de incidentes (documentação externa): IN-99-01; IN-2000-15

• Notas de vulnerabilidade (documentação externa): VN-05-15

Além de classificar um contato com o CSIRT pelo assunto é preciso atribuir um

valor de prioridade a ele. Tal valor é usado para, quando houver mais contatos
do que membros do grupo para atendê-los, todos terem noção de qual pedido
é mais importante e deve ser atendido antes. Há uma grande variedade de
formas de identificar a prioridade de um evento reportado ao CSIRT. A regra
para quem está categorizando um contato é seguir exatamente a tabela criada
pelo próprio CSIRT. [LUCAS, 2003]

Um valor de prioridade pode variar, por exemplo, de zero à dez, ou de baixo

à muito alto, ou ainda, de um à cinco, enfim, de acordo com a necessidade do
CSIRT. Assim, um CSIRT de coordenação por exemplo, que atende a inúmeros
outros tipos de CSIRTs e organizações, pode criar uma tabela de prioridade
com dez itens, tornando-a bastante flexı́vel. [WEST-BROWN, 2003] Segue a
tabela 3.1 onde mostra um exemplo de classificação de prioridade para um
CSIRT de coordenação:

Tendo definido como as informações chegarão até o CSIRT e como elas serão
classificadas dentro dele é necessário se preparar para responder a cada uma das soli-
citações. No caso de incidentes, o tratamento pode ser feito de várias formas ou seguir
várias estratégias, dependendo do modelo de cada CSIRT.
3.5 Definição de serviços 56

Tabela 3.1: Exemplo de uma tabela de prioridades de um CSIRT de Coordenação. Adap-

tado de [WEST-BROWN, 2003]
Nı́vel ou Prioridade Descrição do evento

1 Incidente envolvendo perdas humanas ou alto valor financeiro

2 Ataque na infraestrutura básica: energia, água, transportes,
bancos, etc.
3 Ataque na infraestrutura da Internet: servidores DNS,
roteadores, etc.
4 Ataque em organizações de comércio eletrônico
5 Novos tipos de ataques ou vulnerabilidades com alto potencial
de serem exploradas
6 Requisição de serviços
7 Outros relatórios de vulnerabilidades e incidentes
8 Pedido de informações
9 Qualquer outro pedido
0 Lixo

Estratégias de resposta

O objetivo de definir estratégias para responder a determinados tipos de inci-

dentes é agilizar o inı́cio do processo de resposta e conseguir maior eficiência
na recuperação das áreas envolvidas. Seguir uma estratégia pode trazer outros
benefı́cios para o grupo e para a organização, como identificar particularida-
des do incidente que levem ao motivo do ataque ou ao responsável de uma
forma mais ágil. Pode identificar, também, uma nova forma de ataque onde o
grupo possa ilustrar uma nova estratégia, visto que a estratégia adotada não
corresponde mais a realidade encontrada. [KILLCRECE S, 2003]

Os detalhes obtidos durante o processo de resposta pode fazer com que a

estratégia escolhida seja trocada por outra, ou pode alterar alguns pontos
dessa estratégia. Tudo depende das informações que são levantadas. Para um
ataque de negação de serviço (DoS) a estratégia pode mudar quando descobre-
se que a fonte do ataque é interna à organização e não externa como imagina-se
em um primeiro momento. [PROSISE, 2001]

Outro ponto a ser considerado no momento da resposta a um incidente é

3.5 Definição de serviços 57
sempre trabalhar em conjunto com o responsável técnico pelo sistema com-
prometido. Ninguém melhor do que a pessoa, ou grupo de pessoas, que cons-
truiram ou fazem a manutenção no sistema comprometido para apontar como
o sistema reage a determinadas ações. O auxı́lio da equipe técnica resposável
pelo sistema comprometido pode ainda fornecer dados importantes para iden-
tificar quais vulnerabilidades foram exploradas para o sucesso do incidente.
[PROSISE, 2001]

Sempre que um sistema é afetado e opta-se por substituı́-lo pelo seu backup,
é fundamental que o incidente não se repita com a nova estrutura, pois, pos-
sivelmente, ela tera a mesma vulnerabilidade que já foi explorada no sistema
original, e já é de conhecimento do invasor. Algumas sugestões simples podem
garantir o funcionamento do novo sistema: [KILLCRECE S, 2003]

• Alterar o endereço IP da máquina substituta;

• Forçar a troca das senhas de todos os usuários antes de colocar o backup

para funcionar;

• Instalar pacotes de atualizações contra as vulnerabilidades já identifica-

das; e

• Examinar a relação daquele computador com os demais para identificar

um possı́vel “caminho” utilizado durante o ataque.

Caso seja possı́vel, isolar o sistema ou o computador que é protagonista no inci-

dente é, na maioria das vezes, uma boa opção. Assim o problema também será
isolado e a organização dará continuidade com sua rotina, deixando o grupo
livre para trabalhar sobre o processo de resposta. Esse tipo de atitude também
é de grande importância quando se deseja encontrar todas as evidências e levar
as provas para a esfera judicial, responsabilizando criminalmente os invasores.
[PROSISE, 2001]

A forma de isolar o sistema ou computador varia de acordo com as carac-

terı́sticas fı́sicas e lógicas da rede. A forma mais simples é a retirada fı́sica do
equipamento, porém, tal atitude pode apagar evidências lógicas do incidente
como as instruções registradas na memória volátil. Além da remoção fı́sica, o
grupo pode inserir ou configurar um firewall ou roteador que bloqueie o tráfego
3.5 Definição de serviços 58
de dados no local. Caso haja uma disseminação de pragas on-line através de
e-mail uma das saı́das pode ser desligar completamente o servidor de e-mail.
Assim o grupo pode, primeiro limpar todas as máquinas infectadas na orga-
nização, limpar o servidor e liberar o uso novamente, dessa vez implementando
um filtro para barrar tal ameaça. Bloquear portas ou serviços especı́ficos que
não são usados, além de prevenir, pode limitar a ação de invasores. [PROSISE,
2001]

Isolar completamente o sistema atacado pode trazer grandes benefı́cios para

o CSIRT e para a organização, mas há situações que tal atitude não é bem
vista da ótica técnica. [PROSISE, 2001] Por exemplo, se o invasor está ativo
no momento em que os membros de um CSIRT estão tentado se recuperar
dessa invasão, surge uma boa oportunidade de revelar detalhes sobre o ataque
e o invasor de forma mais direta, rápida e certeira. A grande ressalva é ter o
controle sobre os passos do invasor para que ele não gere mais prejuı́zos para
a organização.

Outra preocupação quando ocorre um incidente de segurança é com o futuro,

quais as ações necessárias para que frutos desse incidente não venham crescer
mais tarde. Uma ação simples, porém muito importante, é forçar a troca
de senhas de todos os usuários dos sistemas afetados e seus adjacentes. Essa
ação, que pode ser confundida com uma ação de prevenção, deve fazer parte da
recuperação, para evitar uma segunda invasão por outros meios praticamente
no mesmo momento da recuperação. [KILLCRECE S, 2003]

Uma vez que a situação do incidente tenha sido contida e as causas verificadas
é o momento de reparar as vulnerabilidades exploradas. Esses reparos podem
ser feitos através da reconfiguração dos sistemas, atualizando o anti-vı́rus, ins-
talando os pacotes de atualização de software, bloqueando portas e serviços não
utilizados ou ainda, providenciar alterações no sistema ou aplicações. Sempre
que houver a necessidade da instalação de algo novo, mesmo que seja um pa-
cote de atualizações, é recomendável fazer a instalação em ambiente de testes
para verificar o impacto dessa atualização no sistema como um todo. [LUCAS,
2003]

Assim que um incidente for tratado, todas as informações sobre ele devem
3.5 Definição de serviços 59
ser compiladas de forma que a consulta futura seja simplificada. Há variadas formas de
guardas informações, o importante mesmo é criar um padrão para que todas elas sejam
guardas de maneira uniforme. Tal padronização além de beneficiar o grupo, traz vantagens
no momento em que é necessário compartilhá-las com outros CSIRTs.

Armazenando e compartilhando informações

Trabalhar com as informações pode ser um desafio para novos CSIRTs, pois
ainda é difı́cil perceber quais informações são relevantes e como elas precisam
ser armazenadas, acessadas, usadas e distribuı́das. A forma como todas as
informações são tratadas deve ser uma preocupação do grupo, visto que muitas
vezes elas precisam ser recuperadas para novo uso do grupo ou até mesmo para
compartilhá-la com outros grupos.

Há um grande número de motivos para que as informações coletadas por

um CSIRT ao longo de sua vida sejam trabalhadas e armazenadas dentro
de um padrão pré-estabelecido por esse grupo. Dentre essas várias seguem as
principais: [CERT/CC, 2007]

• Manter um arquivo de todos os incidentes tratados ao longo de um

perı́odo;

• Identificar tendências e compilar estatı́sticas;

• Manter os detalhes de um incidente caso seja necessário levá-lo a justiça;

• Prover relatórios sobre o status de um incidente ou sobre todo o incidente;

• Identificar questões que precisam ser revisadas em um incidente;

• Passar o tratamento de um incidente para outro membro do grupo no

meio do processo;

• Identificar os tipos de incidentes que mais ocorrem e seus motivos; e

• Buscar relação entre diferentes incidentes que aconteceram em diferentes

áreas da organização.

Cada CSIRT precisa decidir quais informações deverão ser guardadas e qual
forma isso deve acontecer. Isso ajudará, inclusive, a saber se os processos de
resposta estão sendo aplicados de forma eficiente, se há alguma deficiência
3.5 Definição de serviços 60
gerencial e também pode determinar certas necessidades em diferentes nı́veis
dos processos. [KILLCRECE O, 2003]

Quando um incidente envolve várias áreas e pessoas ou ocorreu a muito tempo,

torna-se difı́cil para o grupo lembrar de todos os detalhes do processo de res-
posta e de todos os contatos necessários para a solução do incidente. Buscar
essas informações de forma rápida é algo desejável para qualquer grupo. As-
sim, o uso de ferramentas para gerenciar os dados dos formulários torna esse
processo mais ágil e eficiente. [LUCAS, 2003]

As ferramentas utilizadas no armazenamento das informações é, na maioria

dos casos, uma aplicação de banco de dados. Segundo pesquisa do CERT/CC
de 2003 os CSIRTs trabalhavam com as seguites ferramentas:

• 76% dos grupos utilizam algum tipo de aplicação de banco de dados;

• 28% utilizam aplicações de banco de dados e papel;

• 10% utilizam somente papel;

• 45% utilizam uma aplicação personalizada de banco de dados; e

• 28% utilizam outro tipo de aplicação de “prateleira”.

Existe um padrão chamado IODEF (Incident Object Description and Exchange

Format), que foi criado para os CSIRTs trocarem informações operacionais e
estatı́sticos sobre incidentes entre a organização que o prove, entre terceiros
que fazem parte do incidente e entre os próprios CSIRTs. Esse padrão fornece
a base para desenvolver ferramentas eficientes na troca de informações de inci-
dentes, pois apresenta um esquema único para a representação das informações
de qualquer tipo de CSIRT. [KILLCRECE S, 2003]

Um dos princı́pios utilizados na construção do padrão IODEF foi o padrão

IDMEF (Intrusion Detection Message Exchange Format), formato criado para
sistemas de detecção de intrusão (IDS). O IODEF fornece suporte para a
grande intervenção humana na recuperação de incidentes, tornando todas as
informações disponı́veis compreensı́veis entre os demais CSIRTs e organizações
envolvidas. [KILLCRECE S, 2003]

Para um CSIRT, aderir ao uso de padrões reconhecidos torna a ação de di-

vulgar e receber informações muito simples. Um CSIRT que trabalhe com o
3.5 Definição de serviços 61
padrão IODEF pode buscar informações em diversos repositórios conceitua-
dos, facilitando, inclusive, atingir os requisitos de funcionamento, estudados
no item 3.4.

Outro padrão, criado em 1999, tem auxiliado os CSIRTs a obter e distribuir

informações sobre vulnerabilidades. Um dicionário de informações públicas e
gratuitas, reune, de forma padronizada, todas as vulnerabilidades encontradas
nos mais diferentes sistemas dos mais diversos fabricantes. A catalogação é
feita de forma única e, geralmente, é acompanhada da correção da vulnerabi-
lidade. O dicionário chama-se Common Vulnerabilities and Exposures - CVE.
[CVE, 2007]

Neste repositório qualquer pessoa pode pesquisar sobre as vulberabilidades

encontradas em determinados sistemas e descobrir como tratá-las. Para cada
uma das vulnerabilidades catalogadas há uma chave associada que, caso a
pessoa saiba, torna mais rápida a procura, mas caso ninguém do CSIRT saiba
a chave daquela vulnerabilidade, o sı́tio do CVE oferece uma ferramenta on-
line para a busca, utilizando diversos parâmetros, conforme mostra a figura
3.2. [CVE, 2007]

Figura 3.2: Ferramenta de busca on-line de vulnerabilidades disponibilizada pelo CVE

3.5 Definição de serviços 62
Para que uma vulnerabilidade seja catalogada alguns procedimentos precisam
ser obedecidos. Assim que a suspeita de uma vulnerabilidade é descoberta,
um CNA (Candidate Numbering Authorities 3 ) solicita um identificador para
aquela vulnerabilidade e atribui um indicador informando que ainda trata-se
de uma candidata. A vulnerabilidade candidata é avaliada pelo CVE Editorial
Board 4 , que é composto por diversas empresas fabricantes, universidades, ins-
tituições de pesquisa, órgãos do governo, etc. Caso a suspeita seja confirmada
a vulnerabilidade perde o indicador “candidata” e entra para a lista do CVE.
[CVE, 2007]

Outro importante repositório de dados sobre ataques de phishing é mantido

por um grupo de trabalho internacional formado em 2003. O Anti Phishing
Working Group - APWG, é uma associação de empresas e entidades que busca
eliminar e identificar roubos e fraudes gerados a partir do mascaramento de
sı́tios e e-mails. [APWG, 2008]

Há um grande número de empresas e entidades que contribuem de alguma

forma com o APWG, sendo algumas das mais conhecidas: ebay, McAfee, mys-
pace.com, Microsoft, Facebook, Cisco, AVG, Panda, Kaspersky, Trend Micro,
CERT.BR, CAIS, CERT/CC, Visa, Symantec, AT&T, Telefonica, Camera-
e.net, American Bankers Association, Bank Safe on-line, US-CERT, VerySign,
etc. [APWG, 2008]

O APWG fornece aos membros um completo estudo sobre os casos relatados,

incluindo informações sobre a forma de aliciamento das vı́timas e o endereço IP
do “pescador”. A figura 3.3 mostra um resumo sobre um e-mail falso enviado
a diversos usuários da página de comércio eletrônico ebay.com, denunciado ao
grupo de trabalho e catalogado para pesquisa. Neste resumo encontram-se as
informações básicas sobre a fraude. [APWG, 2008]
3
Mais informações em http://cve.mitre.org/cve/cna.html
4
Mais informações em http://cve.mitre.org/community/board/index.html
3.5 Definição de serviços 63

Figura 3.3: Resumo de fraude denunciada e analisada pelo APWG. [APWG, 2008]

A figura 3.4 apresenta a conclusão das avaliações efetuadas pelo APWG. A

consulta informa, além das intenções do fraudador, qual o comportamento da
página usada como “isca”. A consulta inclui também todas as informações
disponı́veis sobre o endereço IP responsável pela hospedagem da página frau-
dada. Essas informações ajudam nos casos da necessidade de uma resposta
legal (processo judicial). [APWG, 2008]

Figura 3.4: Relatório conclusivo de fraude denunciada e analisada pelo APWG. [APWG,
2008]

Os membros tem acesso ao conteúdo através do portal do APWG:

http://www.antiphishing.org. Qualquer usuário da Internet pode submeter
um conteúdo suspeito para análise do grupo de trabalho através do e-mail
reportphishing@antiphishing.org. [APWG, 2008]
3.6 Atribuições 64
Através destas medidas de resposta tem-se o perı́odo crı́tico do incidente sa-
nado. O ataque não apresenta mais perigo à organização. Deste momento em diante
tornam-se necessários serviços para sanar as vulnerabilidades que causaram o incidente e
o estudo das informações obtidas no decorrer da resposta.

3.6 Atribuições

Além de obter o total apoio da gerencia da organização, de selecionar qual o modelo que o
CSIRT terá e os serviços providos para a comunidade da organização é preciso encontrar
as atribuições apropriadas para ele. Há muitas maneiras de encontrar estas atribuições
para um grupo de resposta. Cada atribuição possui as seguintes caracterı́sticas:

• Atribuições Corporativas:

Para muitas organizações um CSIRT é definido como um grupo corporativo formal.

Nestes casos as atividades do grupo são definidas pela organização e então configu-
radas como um custo do negócio e atribuı́das ao custo do negócio, isto traz como
benefı́cio para a organização a segurança e a resposta aos incidentes em todas as
unidades de negócio. Todas estarão, independentemente, preparadas para crises de
segurança. Isto permite que a organização tenha um quadro geral de como está a
sua segurança em vários nı́veis e encontre um maior número de falhas e problemas
de segurança e fiquem atentos a estas falhas. Por outro lado, tem-se num CSIRT
com atribuições corporativas um aumento na burocracia e na politização do grupo e
ainda, se a organização é geograficamente dispersa, o tempo de resposta pode sofrer
um retardo devido o grande deslocamento que o grupo deverá fazer antes de iniciar
a resposta ao incidente. [WYK, 2001], [CERT/CC, 2007]

• Atribuições de TI:

Embora seja semelhante com as atribuições corporativas, um CSIRT baseado nas

atribuições de Tecnologia da Informação tem recursos para diminuir a distância entre
o grupo e a aplicação da segurança efetivamente. Com tais atribuições o tratamento
de incidentes e tecnologia caminham sempre na mesma direção e ainda, têm uma
aproximação com as informações dos sistemas utilizados na organização, a manu-
tenção destes sistemas, etc. O CSIRT ainda pode aplicar diretamente todas as lições
3.6 Atribuições 65
aprendidas com o tratamento de incidentes passados nos sistemas da organização.
O problema apresentado é a dificuldade de ter um quadro geral da organização prin-
cipalmente da parte gerencial. Mas ainda como benefı́cios tem-se grande facilidade
de interação e comunicação entre os grupos de resposta e os grupos de segurança -
algo desejável no tratamento de incidentes. [WYK, 2001], [CERT/CC, 2007]

• Atribuições Focadas no Negócio:

Um CSIRT criado para responder a um negócio especı́fico da organização torna-se

altamente especializado no imediato tratamento do incidente. Isso é extremamente
importante quando um dos negócios da organização é e-commerce, por exemplo.
Caso ocorra um incidente no sistema que dá suporte a este negócio especificamente,
o grupo estará apto a responder de maneira a controlar as transações financeiras,
dados de clientes, etc. Ainda permite que, caso o sistema necessite ficar fora do
ar, isto ocorra causando o mı́nimo de prejuı́zos. Ter um CSIRT especializado pode
custar muito mais para a organização. [WYK, 2001], [CERT/CC, 2007]

• Atribuições Hı́bridas:

Um CSIRT financiado por uma organização maior (pai) que custeia o grupo em
suas atividades cotidianas como treinamento, distribuição de alertas, etc. No en-
tanto ao ocorrer um incidente quem arca com as despesas durante a resposta é
a organização envolvida com o incidente. Estes custos podem incluir gastos com
viagens, equipamentos, custo com as pessoas envolvidas, etc. O grupo garante a
resposta ao incidente e devolve à organização seu sistema de negócio recuperado e
em funcionamento normal. O cuidado que esse tipo de CSIRT requer é em relação
em manter sigilo sobre a organização afetada, pois, pelo menos, a organização que
custeia o CSIRT terá acesso aos dados. Dependendo da área de negócio da orga-
nização o gerente responsável prefere não relatar os incidentes aos grupos e tenta
respondê-los internamente. Este tipo de atitude pode trazer mais problemas para
a organização pois trata-se de um problema que eles não estão aptos a resolver de
imediato. [WYK, 2001]

Tão importante quanto definir quais tipos de atribuições o CSIRT seguirá

é definir quem estará no comando, qual será sua autoridade, responsabilidades e como
responderá pelo grupo. Uma organização não pode sentir-se desconfortável ao reportar
3.7 Estatı́sticas sobre uso e segurança de computadores 66
um incidente, ela precisa confiar muito no CSIRT para que todos os detalhes do incidente
possam ser checados e todos os dados levantados.

3.7 Estatı́sticas sobre uso e segurança de computa-

dores

Tendo o objetivo de demonstrar o largo uso de computadores e, principalmente, da Inter-

net em atividades do cotidiano das pessoas e empresas brasileiras, buscou-se em pesquisas
recentes o perfil dos usuários e também dos problemas com segurança que estes já possam
ter enfrentado diante de uma compra on-line, por exemplo. As estatı́sticas desenham
um quadro onde o usuário tem um bom poder aquisitivo e pertence às classes mais altas
da sociedade, tendo, como consequência, uma maior possibilidade de perdas financeiras.
Outros dados trazem a realidade encontrada quando o assunto é o phishing scam.

A prática do comércio eletrônico cresceu entre indivı́duos de maior poder aqui-

sitivo. Na classe A, a proporção de pessoas que realizou compras pela rede passou de 36%,
em 2006, para expressivos 52%, em 2007. Os produtos mais populares entre os internau-
tas, que realizaram compras em 2007, foram os equipamentos eletrônicos, como câmeras,
telefones celulares e aparelhos de DVD, adquiridos por 41% dos adeptos das compras on-
line. Em segundo lugar ficaram os eletrodomésticos e produtos para a casa (27%), que em
2006 representavam o quinto produto mais consumido por esses consumidores. [CETIC,
2008]

O cartão de crédito se firmou como forma de pagamento mais utilizada para

a compra de produtos pela internet, passando de 49% em 2006 para 60% em 2007. A
proporção de indivı́duos que já divulgou ou vendeu algum bem ou serviço pela Internet
em 2007 se manteve igual ao ano anterior, em 4%. Porém, entre indivı́duos com maior
poder aquisitivo, esse percentual dobrou no perı́odo, passando de 7% para 14%. [CETIC,
2008]

A figura 3.5 mostra que quase a metade das pessoas que já utilizaram a Internet
declararam ter realizado pesquisas de preço de produtos ou serviços pela rede (45%) em
2007, enquanto apenas 16% informou ter completado uma compra via web. Este dado
demonstra que a Internet já se consolidou como ferramenta para comparação de custos e
levantamento da disponibilidade de bens e serviços, mesmo que a finalização do processo
3.7 Estatı́sticas sobre uso e segurança de computadores 67
de aquisição do produto não ocorra por meio dela. Este comportamento se reforça quando
analisa-se os hábitos de compra dos indivı́duos de classes sociais e faixas de renda mais
altas. Entre os que recebem mais de 10 salários mı́nimos, o percentual de uso da rede
para pesquisa de preços chega a 80%, e na classe A, a 82%, o que sugere que esses
consumidores não realizam compras sem antes fazer uma investigação pela rede. O grau
de escolaridade também influencia diretamente no uso da Internet para a comparação de
preços: o percentual varia de 23% entre indivı́duos menos escolarizados para 68% entre
pessoas com ensino superior. [CETIC, 2008]

Figura 3.5: Proporção de indivı́duos que já utilizaram a Internet para realizar pesquisa
de preços de produtos ou serviços, por escolaridade, renda e classe social [CETIC, 2008]

Conforme a figura 3.6, a proporção de usuários de comércio eletrônico, ou seja,

indivı́duos que declararam ter adquirido produtos ou serviços pela internet nos últimos 12
meses, cresceu entre os anos de 2006 e 2007, passando de 11% para os atuais 13%. Este
percentual aumenta significativamente com o crescimento da renda familiar. Por exemplo,
somente 2% dos indivı́duos que possuem renda familiar até 1 salário mı́nimo informou ter
realizado compras pela Internet, enquanto esse percentual sobe para 32% entre aqueles
com renda familiar superior a 5 salários mı́nimos. Considerando a classe social, tem-se que
4% dos indivı́duos das classes DE comprou pela rede, enquanto na classe A, a proporção
chega a 52%. O número de consumidores pela Internet também cresce de acordo com o
grau de escolaridade. Entre os analfabetos e pessoas com educação infantil, 2% declarou
ter comprado por meio da internet nos últimos 12 meses, enquanto entre pessoas com
nı́vel superior, esse percentual subiu para 29%. [CETIC, 2008]
3.7 Estatı́sticas sobre uso e segurança de computadores 68

Figura 3.6: Proporção de indivı́duos que compraram produtos e serviços pela Internet nos
úlitmos 12 meses, por escolaridade, renda e classe social [CETIC, 2008]

Em comparação a 2006, observou-se um aumento no percentual de usuários

de comércio eletrônico nas faixas de renda e nas classes sociais mais elevadas, o que pode
dar uma idéia melhor do desempenho das vendas via Internet. Considerando aqueles
que possuem renda familiar acima de 5 salários mı́nimos, o crescimento no uso da rede
para a aquisição de produtos e serviços foi de 13 pontos percentuais de 2006 para 2007,
passando de 19% à 32%. Com relação à classe social, na classe A, a proporção de pessoas
que realizou compras pela rede passou de 36% em 2006 para expressivos 52% em 2007.
[CETIC, 2008]

Diante da larga utilização da Internet como ferramenta facilitadora do comércio

eletrônico, não é surpresa que o volume das fraudes e tentativas de crime aumentem.
Para o primeiro trimestre de 2008 o CERT.BR já acumula um alto número de incidentes
reportados pelos seus membros. De um total que ultrapassa os 20.000 casos relatados ao
CERT.BR, mais de 50% são de algum tipo de fraude. Conforme a figura 3.7 os incidentes
envolvendo fraudes e ataque de negação de serviço (DoS) são os mais reportados no
Brasil. Nessa estatı́stica (figura 3.7) o CERT.BR não inclui os dados referentes a worms.
[CERT.BR, 2008]
3.7 Estatı́sticas sobre uso e segurança de computadores 69

Figura 3.7: Incidentes reportados ao CERT.BR - Tipos de ataques acumulados

[CERT.BR, 2008]

No caso especı́fico do SPAM, o Comitê Gestor da Internet no Brasil (CGI.BR)

mostra um grande número de ocorrencias deste tipo de ameaça nas redes nacionais. O
SPAM tem sido amplamente utilizado como veı́culo para disseminar esquemas fraudulen-
tos, que tentam induzir o usuário a acessar páginas clonadas de instituições financeiras ou
a instalar programas maliciosos, projetados para furtar dados pessoais e financeiros. Esse
tipo de SPAM é conhecido como phishing/scam. O usuário pode sofrer grandes prejuı́zos
financeiros, caso forneça as informações ou execute as instruções solicitadas nesse tipo de
mensagem fraudulenta. [CGI.BR]

A figura 3.8 mostra o número de SPAMs relatados em 2007 no perı́odo de

janeiro a março. A figura 3.9 mostra o número de SPAMs relatados no mesmo perı́odo
de 2008. O SpamCop é uma instituição especializada no combate ao SPAM que trabalha
na rede brasileira. As notificações de “Spamvertised” são reclamações sobre máquinas
que hospedam páginas com produtos e serviços sendo oferecidos no spam. “Proxy” são
reclamações sobre máquinas com serviço de proxy mal configurado, sendo abusadas. “Re-
lay” são reclamações sobre máquinas com serviço de email mal configurado, sendo abu-
sadas. “Envio de SPAM” são as notificações de máquinas enviando SPAM. “Outras” são
reclamações enviadas pelo SpamCop, mas que não se enquadram nos tipos anteriores.
3.7 Estatı́sticas sobre uso e segurança de computadores 70
“Outras fontes” são reclamações enviadas por fontes diferentes do SpamCop. [CGI.BR]

Figura 3.8: Número de SPAMs relatados durante o primeiro trimestre de 2007 [CGI.BR,
2008]

Figura 3.9: Número de SPAMs relatados durante o primeiro trimestre de 2008 [CGI.BR,
2008]

É possı́vel perceber um grande aumento no número total de SPAMs relatados

no perı́odo de Janeiro à Março de 2008 em relação ao mesmo perı́odo de 2007. Um dos
responsáveis por esse aumento é grande número de notificações de proxy mal configurado,
situação que pode ser corrigida através de ações pró-ativas. [CGI.BR, 2008]

Mais especificamente sobre o phishing e o phishing scam, no ano de 2007 houve

um grande número de eventos relatados sobre esse tipo de crime. A figura 3.10 mostra que
mais de 320.000 eventos únicos foram relatados e comprovados em toda a rede mundial,
sendo o mês de setembro o campeão em número de eventos. [APWG, 2008]
3.7 Estatı́sticas sobre uso e segurança de computadores 71

Figura 3.10: Número de phishings relatados por mês durante 2007. [APWG, 2008]

Sobre todos os casos de phishing relatados o APWG levantou que a grande

maioria foi direcionado para fraudes envolvendo instituições financeiras, como bancos. A
figura 3.11 mostra que mais de 92% dos casos envolveram bancos, seguido de provedores
de serviços de Internet. [APWG, 2008]

Figura 3.11: Percentual de afetados com phishing em 2007. [APWG, 2008]

Os números apresentados comprovam a larga utilização da Internet para a

aquisição de produtos e serviços. Cada utilização desse tipo envolve informações confi-
denciais e valiosas para seus proprietários, além da movimentação de valores financeiros. É
cada vez mais importante para as empresas se prepararem para contra-atacar e defender-
se das possı́veis fraudes que possam ocorrer contra elas. Qualquer ataque sofrido gera
prejuı́zos que vão além dos financeiros, o ataque pode arruinar a confiança do consumidor
e conseqüentemente ferir a marca da organização.
3.8 Considerações parciais 72
3.8 Considerações parciais

Ao final tem-se todas as definições, atribuições e justificativas que podem ser aplicadas
a um CSIRT. A partir do entendimento destes conceitos e atribuições deve-se chegar a
um consenso entre os membros/fundadores do grupo e os diversos gerentes da organização
sobre quais são as melhores opções quanto a tipo de CSIRT, serviços prestados, atribuição
e responsáveis pelo grupo, ainda deve-se buscar quais as expectativas da organização
relacionadas ao CSIRT. Assim, tem-se uma organização que conta com um grupo de
profissionais especialmente treinados para responder e tratar de incidentes, tão logo estes
ocorram.

Toda a fundamentação teórica necessária foi apresentada e discutida, bem

como a justificativa através de estatı́sticas. Uma instituição financeira como o BESC é a
tı́pica organização onde um CSIRT traria vários benefı́cios, principalmente pois é muito
visada e pode ser alvo de um ataque a qualquer momento. Esse possı́vel ataque leva, além
de um prejuı́zo financeiro, a um comprometimento da marca BESC, que há mais de 45
anos zela pelo patrimônio dos catarinenses.

O modelo de CSIRT que será proposto ao BESC deve refletir suas necessidades
e sua realidade, a estrura organizacional do grupo deve se parecer com a estrutura or-
ganizacional do banco, os serviços disponibilizados pelo grupo devem ser absorvidos pelo
banco. Todas essas questões serão respeitadas e tangidas a partir da combinação entre a
teoria vista até esse capı́tulo e a realidade encontrada no BESC a partir do capı́tulo 4.
 73

4 Proposta de Modelo de CSIRT para o

BESC
Os CSIRTs são uma excelente forma para a troca de informações e de recursos entre as
organizações que os mantêm. Os grupos são organizados de tal modo que as informações
sejam disponibilizadas facilmente entre eles, contando com o auxı́lio de fóruns ou outros
CSIRTs de coordenação. [FIRST, 2007] O primeiro fórum mundial criado para fomentar
a troca de informação e recursos entre os grupos é o FIRST, sendo hoje o principal
representante dessa categoria de associados. O Brasil conta com o CERT.BR, um CSIRT
de coordenação que mantém o elo entre os grupos nacionais. Por sua vez, o CERT.BR é
membro do CERT/CC, primeiro e principal CSIRT de coordenação do mundo, também
membro do FIRST. [CERT.BR, 2007]

Através dessa estrutura mundialmente difundida, porém unida pelos pontos

comuns de contato, um CSIRT traz mais benefı́cios para qualquer organização preocupada
com a segurança. Esses pontos servem, principalmente, para padronizar a forma como
os CSIRTs devem armazenar e trocar dados sobre incidentes e outros assuntos. Tal
padronização se faz importante pela grande diversidade de grupos de resposta existentes
no mundo. [FIRST, 2007] Ao se criar um CSIRT, a estrutura organizacional do grupo
varia de acordo com fatores pertinentes ao meio onde esse grupo será inserido, além de
variar conforme o que é esperado desse grupo.

De modo geral, a estrutura de um CSIRT contém traços que o torna seme-

lhante quando visto externamente, o que origina, por exemplo, a classificação apresentada
no item 3.3. No entanto, quando analisado em todos seus detalhes percebe-se que cada
grupo é único e moldado de acordo com a sua missão. Seguir um dos modelos divulgados
pelo CERT/CC para construir um CSIRT é uma ótima opção, mas sempre buscando
personalizar os serviços prestados e adequar a estrutura à realidade encontrada na orga-
nização, conforme estudado no item 3.5.

Procurando demonstrar como é o funcionamento da fase de criação de um

CSIRT, buscou-se montar, através de um workflow, o fluxo de etapas que deverão ser
seguidas até o estabelecimento formal do grupo, para que, a partir de então, os processos
4 Proposta de Modelo de CSIRT para o BESC 74
e os serviços defindos sejam iniciados. A figura 4.1 informa as etapas que são necessárias
para a criação do CSIRT.

Figura 4.1: Workflow - Etapas do processo de criação do CSIRT do BESC

É possı́vel perceber que conhecer a organização e definir uma missão para o

grupo é o ponto de partida para o inı́cio da criação do projeto. Após esses dois processos
iniciais, o projeto passa pela fase de identificação dos requisitos e dos serviços, para só
então desenvolver os planos de ação do CSIRT. Todos esses processos terão a contribuição
do CSIRT do Banco do Brasil para garantir que os dois grupos possam trabalhar de forma
harmônica, em parceria.

A manutenção e a avaliação do CSIRT também já foram mapeadas e farão

parte da rotina do grupo quando este estiver estabelecido. A figura 4.2 define as principais
atividades de manutenção que o grupo deverá desempenhar. Os três processos mostrados
contribuirão para a eficiência do grupo e deverão contar com a experiência do CSIRT do
Banco do Brasil.

Já os processos de avaliação e de melhoramento do CSIRT do BESC poderão

ser iniciados de duas formas: através de uma medida pró-ativa, que tem como objetivo
avaliar de forma constante todos as ações do CSIRT, ou através de uma revisão de conduta,
que é uma medida reativa a uma falha encontrada durante a resposta a um incidente de
segurança. Toda essa seqüência será melhor entendida através no workflow mostrado na
figura 4.3.
4 Proposta de Modelo de CSIRT para o BESC 75

Figura 4.2: Workflow - Etapas do processo de manutenção do CSIRT do BESC

Figura 4.3: Workflow - Etapas do processo de avaliação e manutenção do CSIRT do BESC

Este capı́tulo, a partir deste ponto, tem o objetivo de justificar as escolhas

feitas para a construção do modelo de CSIRT que será proposto ao BESC, conforme o
mateiral estudado. O projeto de CSIRT proposto para o BESC encontra-se no apêndice
A, sendo este o documento que será efetivamente entregue aos administradores do banco
4.1 BESC 76
para a avaliação e a criação do grupo de resposta dentro da instituição.

4.1 BESC

De acordo com o que foi discutido ao longo do capı́tulo 3, a elaboração de uma proposta
de modelo inicia pela busca em conhecer a organização para qual se pretende modelar um
CSIRT. Saber os detalhes da organização ajuda no momento da definição da estrutura
do grupo e dos serviços oferecidos. Assim, esse item mostra a realidade encontrada no
BESC.

Para realizar o seu trabalho, o BESC se vale da estrutura das agências e do

suporte administrativo/operacional da Direção Geral - DIRGE. O banco comercial é um
banco de varejo presente em todos os municı́pios do Estado de Santa Catarina. O aten-
dimento é feito exclusivamente pelo BESC em 137 desses municı́pios, possuindo agências
também em Brası́lia (DF), Curitiba (PR), Porto Alegre (RS) e Rio de Janeiro (RJ).
Conta com mais de um milhão de clientes, entre correntistas, poupadores e investidores,
desenvolvendo suas operações de modo integrado com as demais empresas que compõem
o Sistema Financeiro BESC (SFBESC)1 , amparado por convênios operacionais. [BESC,
2007]

Em abril de 2002, para o processo de saneamento do BESC, foi assinado um

Acordo Coletivo de Trabalho (ACT) pelos empregados da instituição, formalizando o
Programa de Dispensa Incentivada (PDI), ao qual aderiram 4.406 empregados. Até 31 de
dezembro de 2007, foram desligados 3.635 empregados com o amparo daquele programa.
Na mesma data, o total de funcionários era de 3.126, dos quais 2.098 oriundos do concurso
de 2004, o que representou uma renovação de 67,11% do quadro. [BESC, 2007] Isso indica
uma grande redução no quadro de funcionários, influenciando na construção de um CSIRT
limitado quanto ao número de pessoas.

O BESC, por ser uma instituição financeira, busca incrementar o nı́vel de

segurança e se preparar para eventuais incidentes. Por essa razão, assim como outras
instituições brasileiras e mundiais desse ramo, o BESC deve buscar no CSIRT uma forma
1
BESC S.A. Crédito Imobiliário (BESCRI), BESC Financeira S.A. - Crédito, Financiamento e Inves-
timentos (BESCREDI), BESC Distribuidora de Tı́tulos e Valores Mobiliários S.A (BESCVAL) e BESC
S.A. Arrendamento Mercantil (BESC LEASING)
4.1 BESC 77
de responder aos incidentes que possam ocorrer. Com o processo de incorporação do
BESC pelo Banco do Brasil, definido para o segundo semestre de 2008, é possı́vel utilizar-
se de algumas informações e experiências para fortalecer o CSIRT do BESC. A rede do
Banco do Brasil já conta com um CSIRT desde 2004, trata-se do Centro de Operações de
Segurança (COS), inserido na Diretoria de Gestão de Segurança. O grupo está localizado
centralizado em Brası́lia - DF, e conta com aproximadamente 30 colaboradores.

O CSIRT do BESC é desenhado em um momento em que o Banco do Brasil

inicia os estudos para, primeiramente, avaliar os produtos e os serviços do BESC. Quase
paralelamente a essa avaliação, o Banco do Brasil também realiza o mapeamento dos
processos de tecnologia do BESC.

O BESC, como um banco regional e, por muitos anos, também um banco

social, desenvolveu produtos e sistemas voltados ao serviço público estadual e municipal,
sendo essa uma das suas maiores caracterı́sticas. Outra caracterı́stica exclusiva do BESC é
sua abrangência geográfica. Dentro do Estado, seu atendimento abrange desde os grandes
centros urbanos como Joinville (487.003 habitantes), Florianópolis (396.723 habitantes) e
Blumenau (292.972 habitantes), até os menores municı́pios como Santiago do Sul (1.450
habitantes) e Lageado Grande (1.461 habitantes). [IBGE, 2008]

Tal estrutura de atuação será mantida, obrigatoriamente, até o segundo semes-

tre de 2013 o que acarreta para o Banco do Brasil estabelecer mecanismos para coordenar
todos os processos que continuarão sendo realizados sob a marca BESC. A importância
dessa coordenação se dá pelo fato do Banco do Brasil tornar-se responsável por todas as
ações tomadas e pelos fatos ocorridos.

Os produtos que hoje fazem parte do portifólio BESC continuarão sendo ofere-
cidos aos clientes do Estado de Santa Catarina. Adicionalmente, os produtos do portifólio
do Banco do Brasil serão repassados aos clientes BESC, que, no inı́cio, não terão conta
no Banco do Brasil. Ao consistir um processo de incorporação nestes princı́pios o Banco
do Brasil preocupa-se com questão de segurança bancária, visto que este episódio pode
servir de alavanca para tentativas de fraudes em todos os meios, inclusive o eletrônico.

Diante da realidade encontrada a formalização de um CSIRT para o BESC,

que atue como um “irmão mais novo” do CSIRT do Banco do Brasil. Esse “irmão” não
será dependente do grupo de Brası́lia, mas será um parceiro. Ambos trabalharão juntos
e com os mesmos objetivos, trocando informações e repassando experiências.
4.1 BESC 78
Assim como ocorre no Banco no Brasil, o CSIRT do BESC pedenderá dos
recursos de tecnologia. Logo, é interessante fazer um levantamento da área tecnológica
do BESC, avaliando a situação do parque tecnológico e verificando se há previsão de
investimentos. O sucesso do CSIRT dependerá demasiado da capacitação dessa área.

4.1.1 Superintendência de tecnologia

A área de tecnologia do BESC é gerenciada pela Superintendência de Tecnologia, perten-

cente à Diretoria de Planejamento. Esta superintendência é responsável pelo desenvolvi-
mento e manutenção dos sistemas internos, pela manutenção da rede de dados, etc. A
figura 4.4 mostra como a Superintendência de Tecnologia está inserida dentro da orga-
nização.

Figura 4.4: Organograma da diretoria de planejamento. Adaptada de [BESC, 2007]

A partir do segundo semestre de 2004, o Sistema Financeiro BESC estabe-

leceu como uma de suas prioridades a modernização de seu parque tecnológico. Para
4.1 BESC 79
tanto, adquiriu naquele perı́odo um novo computador central de grande porte, além de
microcomputadores desktop, ATM/Cash Dispenser e ampliação da capacidade da rede
para comunicação de dados.

No mesmo perı́odo iniciou-se um processo que contempla a adaptação, nas

estações de trabalho, para o uso de softwares livres. Além disso, houve a implantação
definitiva do Regulamento de Segurança e Uso da Informática, do Plano de Contingência
de Continuidade dos Negócios e a submissão ao Comitê de Informática, para definição de
prioridades, das demandas de sistemas informatizados que requeiram acima de 100 horas
de recursos alocados.

A principal medida de melhoria na área de Tecnologia da Informação (TI)

ocorreu com a criação de um site de contingência como continuação do projeto de mo-
dernização da plataforma de mainfraime iniciada em 2004. Nesse sentido, em 2006,
foi instalada outra célula de processamento, permitindo a implantação do site de con-
tingência externa localizado nas dependências do Data Center da Brasil Telecom, em
Florianópolis/SC. A aquisição de um equipamento Libra 585 para o site principal possi-
bilitou a transformação do Libra 580 em “site-backup”.

Em 2007 o BESC investiu na compra de diversos equipamentos visando me-

lhorar seu parque tecnológico, tais quais:

• Substituição de 1.000 estações de trabalho.

• Substituição de 1.500 terminais de caixa.

• Substituição de 260 servidores da rede agências.

• Substituição de 120 Cash Dispenser por ATMs.

• Aquisição de servidores corporativos de plataforma baixa.

• Melhoria da infra-estrutura do CPD com no-breaks, grupo gerador, refrigeração e

instalações elétricas.

• Aquisição de licenças de uso do MS-Windows 2003, SQL 2000.

• Aquisição de pacotes de software de mercado.

Algumas diretrizes de segurança, implementadas pela tecnologia, são constan-

temente auditadas pela área responsável por tal tarefa, o Comitê de Auditoria Interna.
4.1 BESC 80
Um dos objetivos é verificar se há vulnerabilidades ou falhas nos processos, o que resulta
em recomendações para as respectivas correções. Portanto, seguindo a recomendação do
capı́tulo 3, conhecer o Comitê de Auditoria é necessário para continuar o processo de
construção do projeto do CSIRT do BESC.

4.1.2 Comitê de auditoria

Criado em 4 de outubro de 2004 o Comitê de Auditoria somente começou a atuar a

partir de 28 de fevereiro de 2005, seguindo os dispositivos da Resolução n.o 3.198 do
Conselho Monetário Nacional. Para compor esse Comitê foram designados três membros
independentes em relação ao corpo executivo. [BESC, 2007]

O Comitê está subordinado ao Conselho de Administração e trabalha para-

lelamente com a Auditoria Externa e os Conselhos Fiscais das Empresas do Sistema
Financeiro BESC. Tem por objetivo assessorar o referido Conselho no desempenho de
suas atribuições, relacionadas ao acompanhamento das práticas contábeis adotadas na
elaboração das demonstrações financeiras das empresas do SFBESC e na avaliação da
efetividade das auditorias independente e interna. A figura 4.5 mostra o organograma da
presidência do BESC, onde encontra-se a área da Auditoria Interna

No BESC, o trabalho da auditoria interna é o que mais se assemelha à função

de um CSIRT, tendo aı́ uma primeira boa motivação para abrigar o grupo. A auditoria é
a responsável por acompanhar todos os incidentes dentro do banco, independente de sua
natureza. Com relação ao que foi apresentado no item 3.3, a auditoria interna do BESC
pode ser comparada a um misto entre o grupo ad hoc, pois age de acordo com a situação,
sem nenhuma estratégia pré-definida, e o grupo de assistência, pois, além de não realizar
todos os serviços de um CSIRT, divulga polı́ticas de boas práticas, faz recomendações,
investiga as causas de um incidente e sugere alterações nos sistemas buscando ampliar a
segurança.

A partir deste ponto tem-se um panorama da organização que patrocinará

o CSIRT. Sabe-se a dimensão do banco, seu público alvo, sua capilaridade e como se
encontra as áreas correlacionadas ao trabalho de um CSIRT, além da real incorporação
do Banco do Brasil. Consciente de tudo isso a proposta de projeto tem condições de
tomar forma e ser aceita pelos administradores do banco.
4.2 Missão 81

Figura 4.5: Organograma da presidência. Adaptada de [BESC, 2007]

4.2 Missão

Após fazer o lenvamentamento da situação da organização, conforme visto no capı́tulo

3, a próxima ação é planejar o escopo dos serviços do grupo, visto que há uma grande
variedade desses serviços que podem ser prestados. Esta lista deve estar de acordo com as
necessidades da organização e em constante revisão, assim como coerentes com a missão
do grupo. A missão deve ser divulgada de forma ampla, como, por exemplo, na página
da Internet ou na Intranet do grupo, juntamente com a descrição dos serviços. Essa
divulgação é incentivada, como pode ser verificado no item 3.2, porque todas as pessoas
da organização ou que procuram a ajuda do grupo devem saber exatamente para que o
CSIRT foi formado e como ele poderá ajudar nos momentos crı́ticos. [CERT.BR, 2007]

A missão do grupo deve, conforme descreve o item 3.1, ser apresentada de

forma concisa, não ambı́gua e com as descrições básicas de seus serviços. Sua função é
demonstrar o foco do CSIRT, que pode englobar qualquer dos serviços que um grupo
possa desenvolver. Assim, é comum que um CSIRT, quando avance no escopo de serviços
oferecidos, adapte sua missão para englobar seus novos objetivos. [LUCAS, 2003]
4.3 Estrutura organizacional 82
A missão para o CSIRT do BESC é definida como:

“Ser responsável por receber e analisar os incidentes de segurança em compu-

tadores envolvendo toda a rede BESC. Servir como um ponto único para comunicação de
incidentes e divulgação de recomendações e alertas. Trabalhar na prevenção de incidentes
de segurança em computadores.” Os principais serviços prestados pelo CSIRT do BESC
são:

1. Atender e acompanhar a incidentes de segurança;

2. Orientar os colaboradores do BESC no reparo a danos causados por incidentes de

segurança;

3. Divulgar recomendações e alertas;

4. Disseminar informações sobre ações preventivas relativas à segurança dos recursos

computacionais;

5. Auxiliar na educação e no treinamento para usuários de sistemas.

É baseado na missão que o grupo definirá todos os serviços que proverá durante
sua existência, assim como os recursos que serão necessários. A missão, neste momento,
deve ser um guia para definir o grau de especialização desses serviços e quais são as
prioridades dentro do grupo. Desta forma, seguindo a pesquisa realizada no capı́tulo 3, o
próximo passo para a construção do projeto é escolher o modelo mais adequado (observar
item 3.3) à organização.

4.3 Estrutura organizacional

A estrutura organizacional do BESC, conforme o item 4.1, demonstra que no municı́pio

de Florianópolis concentra-se a administração de todos serviços, produtos e recursos, a
auditoria interna, entre outros, em um único ponto, na cidade de Florianópolis - SC,
apesar da organização ter 100% de cobertura nas cidades catarinenses, além de outros
municı́pios fora do Estado. Tal estrutura é chamada de administração centralizada, onde
todos os postos de atendimento, os colaboradores e os parceiros se submetam a um único
ponto, que gerencia toda a administração do banco, a DIRGE. [BESC, 2007]
4.3 Estrutura organizacional 83
De acordo com o item 3.3, um modelo que, atende organizações onde exista
algum tipo de centralização na tomada de decisões, é o CSIRT Centralizado. [CERT/CC,
2007] Especificamente no caso do BESC este é um modelo eficiente, pois proporciona um
ponto único de contato e de disseminação de informação e cultura, ponto esse que é “ao
lado” da administração do banco. Uma recomendação do CERT/CC, que foi levada em
consideração, é que o modelo centralizado seja adotado por organizações menores, onde
exista uma administração concentrada.

Assim, percebe-se que o BESC já possui uma caracterı́stica de administração

que é semelhante a um dos modelos de CSIRT estudados pelo CERT/CC, o CSIRT
Centralizado. Outra caracterı́stica que deve ser observada é onde o grupo trabalhará na
organização. Diante disso, o grupo deve ser alocado em um ponto onde tenha facilidade
e agilidade para se relacionar com as áreas que, provavelmente, tenham alguma rotina
de trabalho em comum. Sob esse aspecto, já foi percebido no inı́cio deste capı́tulo que
o CSIRT trabalhará em paralelo com a Auditoria Interna do BESC, pois é essa a área
que acompanha todas as recuperações de incidentes e divulga recomendações atualmente.
A princı́pio o grupo estará inserido dentro da Superintendência de Auditoria Interna
conforme mostra a figura 4.6. No entanto, tal posição dentro do organograma pode variar
sempre que os administradores do BESC e os membros do CSIRT entenderem que há
motivação, mesmo depois do grupo implantado.

Diante das decisões tomadas com relação à posição que o CSIRT ocupará na
organização, o modelo de CSIRT a ser seguido mais uma vez é refinado. Além de verificar
que o CSIRT será centralizado, agora é possı́vel concluir que ele será interno. Portanto,
a proposta de modelo de CSIRT para o BESC será o modelo divulgado pelo CERT/CC
chamado de CSIRT Interno e Centralizado, modelo que a partir daqui será chamado
simplesmente de CSIRT Centralizado.

Esse é um modelo dedicado à organização, localizado em um ponto único,

que possui toda a responsabilidade de receber os relatórios e as informações, além de
proceder conforme o resultado da análise. Neste modelo há um gerente ou um coordenador
responsável pelo grupo, e uma de suas responsabilidades é manter os administradores do
banco informados sobre tudo o que acontece no CSIRT e na organização no que tange
o grupo. [WEST-BROWN, 2003] O grupo de respostas a incidentes de segurança em
computadores do BESC passa a ser chamado de CSIRT BESC.
4.3 Estrutura organizacional 84

Figura 4.6: Organograma do BESC após a implantação do CISRT. Adaptada de [BESC,

2007]

4.3.1 Autoridade

Como visto durante o estudo dos itens 3.3 e 3.6, autoridade diz respeito ao controle que
o CSIRT terá sobre suas ações e as ações de terceiros, dentro da organização, quando
de assuntos relacionados à segurança da informação e, principalmente, à resposta de
incidentes de segurança em computadores. A autoridade define a relação básica que o
CSIRT terá com a organização para a qual prestará serviços. Normalmente, o CSIRT que
está em processo de formação não tem autoridade alguma sobre a organização, apenas
divulga relatórios e avisos e faz sugestões e recomendações. As decisões são tomadas pelos
executivos da organização. [KILLCRECE O, 2003]

A maioria dos CSIRTs formados (34%, segundo pesquisa do CERT/CC) possui

autoridade total. Neste caso as decisões podem ser tomadas exclusivamente pelo grupo
e essas devem ser acatadas pela organização sem passar pela aprovação dos responsáveis
da organização. [CERT/CC, 2007]

No caso do BESC, um CSIRT com autoridade compartilhada apresenta-se

como a opção mais coerente com as atividades da organização. Assim todas as decisões
tomadas com relação à segurança da informação e às atividades de resposta a incidentes
4.3 Estrutura organizacional 85
são tomadas em conjunto, com a aprovação de todas as partes envolvidas.

Para o BESC este tipo de autoridade compartilhada se faz necessária pois

o banco possui diversos órgãos reguladores externos,2 que estão sempre divulgando no-
vas normas, além das constantes auditorias externas obrigatórias. Assim, o CSIRT não
pode tomar uma decisão crı́tica sem observar tais normas e orientações que ficam sob a
responsabilidade dos gestores dos produtos e serviços bancários.

Desconsiderando, momentaneamente, os órgãos reguladores, ainda é possı́vel

justificar a autoridade compartilhada com o seguinte exemplo: hipoteticamente o BESC
possui um servidor de aplicação que é responsável pela manutenção dos recursos de pou-
pança e de CDB/RDB (aplicação, resgate, abatimento do IR, rendimento, saldo, extrato,
etc.). Ao ocorrer um incêndio na sala desse servidor e a solução que o CSIRT apresenta
é colocar as máquinas de contingência para funcionar, existe uma para o sistema de pou-
pança e outra para o sistema de CDB/RDB. Por qualquer questão técnica ou operacional
num primeiro momento apenas um dos dois servidores de contingência pode ser ligado.
Qual dos dois é mais importante para a organização? Só quem pode decidir em tal si-
tuação são os gestores do produto, não cabendo ao CSIRT nenhum tipo de orientação ou
responsabilidade sobre isso.

Outro motivo para que exista a autoridade compartilhada é a questão de re-

cursos, sejam financeiros, de pessoal ou outros. O grupo precisa ter liberdade para buscar
mais investimentos por parte da organização sempre que achar necessário, bem como a
organização tem a responsabilidade de fiscalizar o grupo quanto ao uso dos recursos dis-
ponı́veis. [KILLCRECE O, 2003] Baseado na realidade esperada para o CSIRT BESC,
fica estabelecido um regime de autoridade compartilhada entre o grupo e as demais áreas
do banco envolvidas nos assuntos em questão, sendo necessário o acordo entre todas as
partes para a tomada de uma decisão.

4.3.2 Divulgação

O grau de entendimento sobre o CSIRT entre os gestores do BESC, os funcionários e os

parceiros externos (fornecedores, prestadores de serviços, etc.) é proporcional à divulgação
feita pelo grupo, conforme apresenta o item 3.2. Campanhas de divulgação atentando para
a existência do CSIRT, bem como para os guias de boas práticas e para a polı́tica de uso
2
Banco Central do Brasil, Ministério da Fazenda, Ministério Público, Governo Estadual, etc..
4.3 Estrutura organizacional 86
e segurança, devem fazer parte do cotidiano do grupo e não serem encerradas logo após a
implantação do CSIRT.

Normalmente uma combinação das práticas citadas em 3.2 funciona melhor

nas organizações. No BESC, o grupo pode contar facilmente com a divulgação através
de e-mail, Intranet (onde deverá ser construı́do um portal) e seminários de treinamento.
Uma alternativa é contar com o auxı́lio ao Departamento de Marketing do banco para a
elaboração de peças criativas, bem-humoradas e de bom impacto. Um cuidado que deve
ser tomado é a renovação das peças de divulgação: os colaboradores devem tê-las em
mente para que sempre lembrem do grupo. Uma certeza na questão da publicidade do
CSIRT é que quanto mais clara e objetiva for a divulgação, melhores serão os resultados.

Observando a figura 4.1, percebe-se que a divulgação já faz parte do processo
Desenvolver Planos de Implementação. Porém, antes de chegar a este passo na criação
do CSIRT BESC, é preciso definir os serviços que serão prestados e os recursos para a
atuação do grupo.

4.3.3 Recursos

Para que o grupo possa iniciar as suas atividades e alcançar sua missão a organização de-
verá se preocupar com questões de investimento material e pessoal, principalmente. Para
definir quais recursos serão necessários é preciso observar alguns pontos no funcionamento
do grupo. Os serviços prestados e a localização do grupo também são itens importantes.
[KILLCRECE S, 2003]

Deseja-se que, após concluı́do a fase de implantação, o grupo trabalhe em três

turnos no esquema “24 X 7”, ou seja, 24 horas por dia e 7 dias por semana, sendo preciso
quatro pessoas para definir os turnos de trabalho e também os perı́odos de descanso.
Mais uma pessoa é necessária para coordenar o grupo, receber o treinamento necessário
e repassar as informações. Assim, a organização deverá, a princı́pio, alocar cinco pessoas
trabalhando exclusivamente para o grupo.

No que se refere a espaço fı́sico o grupo necessita de uma sala onde haja espaço
para as cinco pessoas trabalharem simultaneamente e, preferencialmente, num ponto fora
das dependências da organização. A preocupação com a colocação do grupo em lugar
externo à organização se dá pela possibilidade de haver um incidente fı́sico na organização
4.3 Estrutura organizacional 87
(um incêndio, por exemplo). Caso o CSIRT esteja alocado junto à organização, o incidente
pode inviabilizar as atividades do grupo, que não poderá responder a qualquer emergência.
É importante que o espaço conte com uma sala reservada para reuniões do grupo com os
gestores da organização ou entre os membros do próprio grupo.

Além do ambiente e do pessoal destinado a trabalhar para o grupo, é preciso

se preocupar com os equipamentos básicos para realizar as atividades do dia-a-dia. A
tabela 4.1 mostra quais são os itens necessários para o inı́cio das atividades do CSIRT
BESC.

Tabela 4.1: Lista de equipamentos para o CSIRT BESC

Descrição Quantidade

Computador portátil 5
Impressora 1
Fotocopiadora 1
Digitalizadora (Scanner ) 1
Linha telefônica digital 2
Aparelho de fax 1
Celular 5
no-break 1
Gravador de voz 3
Fragmentador de papel 1

Além dos itens da tabela 4.1, ainda é necessário acesso redundante à Internet,
ambiente bancário para testes e um carro disponı́vel para eventuais atendimentos fora de
Florianópolis. É preciso estudar junto aos administradores do banco se há viabilidade
de adquirir um gerador de eletricidade. A rede de dados deve ser separada da rede da
organização, contar com criptografia de dados, firewall, proteção contra vı́rus, e uma
polı́tica de backup de suas informações segura e eficiente.

Todos os itens citados satisfazem as necessidades iniciais do CSIRT BESC,

porém outros recursos poderão se fazer necessários, assim a organização deverá estar
pronta para receber os pedidos e avaliar o quão importante é a solicitação. Para finalizar,
a questão do treinamento deve ser um investimento constante e, sempre que possı́vel, com
o maior número de membros do grupo, pois, é a partir do treinamento que as melhores
práticas serão conhecidas e disseminadas.
4.4 Serviços 88
4.4 Serviços

O principal objetivo de um CSIRT é receber, analisar e responder a incidentes de segurança

de computadores, logo, esse processo deve ser muito bem definido e documentado, assim
como já foi estudado no item 3.5. O grupo precisa estar preparado para iniciar suas
atividades recebendo todo o tipo de informação, para na seqüência analisar cada uma
delas. A minoria das informações recebidas são comunicados de incidentes. Pedidos de
informação e relatórios são os dados mais comuns enviados a um CSIRT. [CERT.BR,
2007]

Conforme apresentado no item 2.4, um incidente pode ser de diferentes pro-

porções, se apresentar de inúmeras formas e trazer várias conseqüências. Assim, o CSIRT
deve sempre estar pronto para receber e analisar o mais rápido possı́vel todas as in-
formações. É dessa análise que dependerá o sucesso do grupo em responder o incidente.
Os canais de comunicação com os demais grupos devem funcionar sem falhas e os dados
de outros incidentes devem estar armazenados de forma padronizada, a fim de simplifi-
car a busca, de acordo com o que será mostrado no item 4.4.4. [CERT/CC, 2007] Usar
o conhecimento de outros CSIRTs para construir um processo de resposta completo é
um procedimento extremamente benéfico, como mostra a experiência do CERT/CC que
auxilia diversos grupos pelo mundo.

Visando proporcionar maior entendimento sobre os processos envolvidos e veri-

ficar quem é o responsável por tais, a figura 4.7 mostra um diagrama swimlane, do CSIRT
BESC, que separa os processos de acordo com o ator envolvido e a classe de serviço a
que pertence. Usando como base esse swimlane, outros diagramas de workflow serão
apresentados, detalhando melhor cada classe de serviço (detecção, triagem e resposta).
4.4 Serviços 89

Figura 4.7: Swimlane - Processos do CSIRT BESC de acordo com a classe de serviços

Alguns itens são essenciais para o sucesso na resposta de um incidente. Mais es-
pecificamente, pode-se citar o manuseio das informações que chegam ao CSIRT. [CERT/CC,
4.4 Serviços 90
2007] Um CSIRT costuma receber inúmeros tipos de informação e precisa segmentá-las
em diferentes tipos e nı́veis de prioridade. É a partir dessa segmentação que o CSIRT
dará encaminhamento ao que foi enviado e, caso seja uma comunicação de incidente ini-
ciar o procedimento de resposta. Todas as informações que chegam ao CSIRT devem ser
armazenadas para consulta futura do próprio grupo e outros CSIRTs, logo o armazena-
mento deve seguir um padrão. No caso especı́fico do CSIRT BESC é importante que a
padronização no armazenamento das informações permita a troca eletrônica dos dados
com o CSIRT do Banco do Brasil, visto que ambos trabalharão conjuntamente.

4.4.1 Detectando eventos

Um CSIRT só começa a funcionar efetivamente quando inicia o recebimento de informações

através dos meios previamente definidos. Infomação é o combustı́vel de um grupo, pois é
somente com a existência dela que os demais processos terão vida. Assim, torna-se muito
importante padronizar o modo como as informações chegam até o CSIRT, para que delas
o grupo possa tomar as ações devidas. [CERT.BR, 2007]

O processo de detecção de eventos pode ser desenhado de várias formas, o

importante é padronizar esse serviço. Há a detecção de forma reativa (perceber o incidente
depois que o evento ocorre) e a pró-ativa (perceber uma vulnerabilidade antes que ela seja
explorada). Buscando criar um padrão para o CSIRT BESC, a figura 4.8 apresenta um
workflow construı́do para apresentar o funcionamento desse serviço.

Figura 4.8: Workflow - Processos do serviço de detecção de eventos do CSIRT BESC

De acordo com o workflow de detecção de eventos, uma informação sobre

incidente poderá chegar até o CSIRT BESC, basicamente, de duas formas: através do
4.4 Serviços 91
contato de alguém externo ao grupo ou através de algum processo de monitoramento
desenvolvido pelo próprio CSIRT.

A primeira forma de detecção é a que precisa de maior atenção, visto que

envolve pessoas externas ao cotidiano do grupo. Dessa maneira é necessário criar de
formas claras e objetivas para os usuários ou o suporte da organização relatar um possı́vel
incidente. E-mail e formulário eletrônico, no portal do grupo na Intranet, são as maneiras
que um usuário encontrará para relatar um evento suspeito. Segundo o CERT/CC é dessa
forma que a maioria dos CSIRTs trabalha.

O apêndice B apresenta o formulário, baseado em padrão texto, desenvolvido

pelo CERT/CC para a comunicação de incidentes ao grupo. O formulário CSIRT BESC
segue esses padrões e foi criado com intuito de induzir as pessoas a fornecer todas as
informações necessárias para uma avaliação inicial do evento. O apêndice C apresenta o
layout do formulário, que estará disponı́vel na Intranet do BESC (portal do grupo), poderá
ser enviado por e-mail ou encaminhado por fax. Cada relato gera um identificador único,
chamado log id, que deve ser utilizado nas buscas e na indexação com outros formulários.

A partir das informações descritas no formulário para comunicar incidente,

inicia-se uma triagem prévia, que identifica se o evento relatado ou detectado é realmente
responsabilidade do CSIRT BESC ou não. Sendo responsabilidade do CSIRT BESC é
necessário verificar se é um relato redundante, uma vez que um mesmo incidente pode
ser comunicado por mais de um usuário. Caso seja uma nova situação é necessário triar
o evento de acordo com o que será visto no item 4.4.2. Se o evento não é de responsa-
bilidade do CSIRT BESC, ele deverá ser encaminhado para a área correta, ou devolvido
para o autor do relato. Uma das maneiras mais rápidas de perceber se o evento é de
responsabilidade do CSIRT BESC é tentar encaixá-lo em um dos itens da tabela 4.2, que
será discutida no item 4.4.2.

A segunda forma de detecção faz parte de uma linha de serviços pró-ativos que
o CSIRT BESC vai implementar e incrementar ao longo de sua existência. A princı́pio,
este processo está presente no workflow da figura 4.8 e é importante para a manutenção
da segurança da organização, mas não é prioridade na fase de implantação do grupo.
4.4 Serviços 92
4.4.2 Triagem e encaminhamento

Conforme já discutido no item 4.3, o CSIRT BESC é um CSIRT interno e centralizado,
o que faz do resultado do processo de triagem uma ótima ferramenta para conhecer exa-
tamente o que está sendo reportado ao grupo. Além da freqüência e tipos mais comuns
de eventos, facilitando a montagem de estatı́sticas sobre esses contatos. Essa é uma das
formas do grupo que pode identificar quais os sistemas mais crı́ticos e os mais atacados,
ou ainda, qual tipo de incidente frenqüentemente ocorre na organização procurando uma
maneira de minimizar essa repetição.

Para que um evento possa ser triado ele precisa, necessariamente, ter passado
pelo processo de detecção, onde já foi constatado tratar-se realmente de um novo evento
que aguarda por uma resposta eficiente. A figura 4.9 apresenta o workflow com todos os
passos envolvidos na triagem e no encaminhamento de um evento. Essa triagem possui
dois processos que são a chave para um bom resultado: categorizar e correlacionar evento
e priorizar evento.

Figura 4.9: Workflow - Processos do serviço de triagem de um evento do CSIRT BESC

Conforme mostra o workflow, o primeiro processo na fase de triagem traz uma

relação de interação com o CSIRT do Banco do Brasil. Além dos argumentos descritos
na introdução do capı́tulo 4 e na introdução do item 4.1, tal interação é explicada com
a necessidade de comparação para correlacionar o evento que está sendo triado com o os
eventos já tratados pelos CSIRTs. A troca de informações entre os dois grupos impõe
mais eficiência ao processo, principalmente para o CSIRT BESC, uma vez que estará em
inı́cio de operações e sua base de incidentes estará bem incompleta.
4.4 Serviços 93
A triagem pode ser feita manualmente, através de ferramentas especializadas
ou através das duas formas em conjunto. [KILLCRECE O, 2003] Para o CSIRT BESC,
pelo menos no inı́cio de suas atividades, o processo de triagem será manual de acordo com
as categorias e as prioridades propostas no modelo, e buscará balancear o trabalho do
grupo, pois, em um perı́odo de crise, a triagem deve ser usada para diminuir a prioridade
de serviços complementares e elevar a prioridade dos serviços de resposta.

Para o CSIRT BESC, baseado nas classificações do CERT/CC, apresentada

no item 3.5.1, criou-se um padrão para triagem, onde toda comunicação com o grupo será
classificada de acordo com o assunto, concatenado com o log id do evento. O número do
log id é gerado de forma sequêncial pelo sistema responsável por armazenar os dados dos
contatos. A tabela 4.2 mostra a classificação criada para o CSIRT BESC.

Tabela 4.2: Tabela de classificação das informações para o CSIRT BESC

Tipo de contato Código adotado

Pedido de informações INF#

Solicitação de treinamento TRE#
Material encaminhado para divulgação DIV#
Relatório de vulnerabilidades VUL#
Comunicação de código malicioso MAL#
Comunicação de incidente INC#

Além de classificar um contato com o CSIRT pelo assunto é preciso atribuir

um valor de prioridade a ele, assim como mostra o workflow da figura 4.9. Priorizar
evento é o segundo processo dentro dessa fase e uma das finalidades é atribuir um valor
para cada evento, assim, quando houver vários sendo recebidos em um mesmo momento,
todos os membros saberão qual evento é mais importante. Há uma grande variedade de
formas de identificar a prioridade de um evento reportado ao CSIRT. A regra para quem
está categorizando um contato é seguir exatamente a tabela criada pelo próprio CSIRT.
[LUCAS, 2003]

O CSIRT BESC, que é um CSIRT centralizado e atende uma organização com

escopo definido, pode trabalhar com uma tabela de prioridades que tenha somente quatro
ou cinco nı́veis de classificação. Desse modo, a tabela 4.3 mostra os nı́veis de prioridade
e cada descrição. A tabela foi construı́da de forma a evitar ambigüidades e tornar o
processo de classificação fácil e rápido, assim como ocorre com a tabela 3.1, usada pelo
4.4 Serviços 94
CERT/CC.

Tabela 4.3: Tabela de prioridades para o CSIRT BESC

Nı́vel ou Prioridade Descrição do evento

0 Lixo
1 Pedido de informações e treinamentos
2 Relatório de vulnerabilidade
3 Incidente envolvendo apenas uma área, comunicação de código
malicioso
4 Incidente envolvendo mais de uma área, indisponibilidade
de algum serviço ao cliente
5 Incidente na infraestrutura de rede do banco, página na
Internet, envolvendo todas as áreas, perdas financeiras,
indisponibilidade de todos ou da maioria dos serviços

Ainda sobre o workflow da figura 4.9, é possı́vel perceber que sempre é deixado
um fluxo de informações “em aberto”, visto que a qualquer momento do processo é possı́vel
receber uma nova informação que faça com que o grupo perceba que se trata de um
evento já respondido ou que não seja de sua responsabilidade. A colocação desses fluxos é
intencional para evidenciar a dinâmica que ocorre durante o recebimento das informações.

Tendo definido como as informações chegarão até o CSIRT e como serão classi-
ficadas, é necessário se preparar para responder a cada uma das solicitações. Independente
de o contato ser feito para solicitar um treinamento para uma determinada área ou para
comunicar um grave incidente, o CSIRT deve possuir um esquema de resposta pronto que
seja, ao menos, um referencial para determinar as ações a serem tomadas. O processo
de resposta é um item delicado e complexo,e provavelmente terá que sofrer freqüentes
atualizações pelo grupo.

4.4.3 Processo de resposta

O processo de resposta a um incidente deve ser montado em conformidade com as in-

formações disponı́veis e, se possı́vel, com um plano já definido para aquele tipo de in-
cidente. A circunstância do incidente é o fator chave que determinará os rumos da
recuperação. É muito difı́cil seguir qualquer plano pré-definido sem observar as parti-
4.4 Serviços 95
cularidades que envolvem o incidente. [PROSISE, 2001]

O CSIRT precisa conhecer, além dos sistemas diretamente afetados, os sistemas

que são afetados de modo indireto, se há conseqüências para os clientes ou parceiros
da organização atacada, se o problema pode evoluir ou se espalhar por outras áreas.
Qualquer informação é de grande importância, por isso, além de documentar todos os
passos que estão sendo tomados durante a resposta, também devem ser documentadas
todas as informações que chegam ao grupo. A documentação das ações tomadas pode ter
o formato de relatório, descrição cronológica direta ou qualquer outro método que venha
a ser definido pelo próprio grupo. [KILLCRECE S, 2003]

Um exemplo de descrição cronológica direta, já considerando as métricas cria-

das para o CSIRT BESC, é apresentado no apêndice D. O modelo de descrição cronológica
é eficiente e clara, porém pode absorver muito tempo do grupo para tomar nota de cada
ação bem como do horário. Uma alternativa sugerida é o grupo dispor de gravadores de
voz, para que o relatório seja feito através da transcrição das gravações.

Todas as informações reunidas, desde o momento da detecção do evento até

o relatório de descrição cronológica, são fundamentais para que o CSIRT construa a sua
própria base de respostas a incidentes. Tais informações também são importantes para
que todas as áreas envolvidas, os gestores, os diretores e quem mais precise, tenham um
relatório completo e oficial. A figura 4.10 apresenta o workflow da primeira parte da fase
de resposta a um evento triado.

Essa é uma fase bastante crı́tica, pois é o momento onde o CSIRT BESC
será colocado à prova. Nesse momento o CSIRT BESC mostrará se sua eficiência é
satisfatória. Para atingir a eficiência desejada é necessário que o grupo tenha meios de
buscar informações em repositórios confiáveis. No item 3.5.1 já foi discutido alguns meios
de buscar informações sobre a exploração de vulnerabilidades e repositórios de dados sobre
incidentes. Para o CSIRT BESC todas essas fontes deverão ser consideradas e consultadas,
mas há um reforço extremamente importante para contribuir com o sucesso do grupo: a
experiência e base de informações do CSIRT do Banco do Brasil. O workflow da figura
4.10 mostra a troca de informações que existirá entre o processo de resposta, seja ela
técnica ou gerencial, e as organizações externas, incluindo o CSIRT do Banco do Brasil.

Todo o processo de resposta gera subsı́dios para compor diversas ações para
a finalização do processo de resposta, conforme a segunda parte do workflow da fase se
4.4 Serviços 96

Figura 4.10: Workflow - Processos de resposta de um evento do CSIRT BESC (primeira

parte)

resposta, que é vista na figura 4.11. A prática da resposta é sucedida por uma série de
ações necessárias para manter a ordem dentro da organização e para prover uma possı́vel
manutenção no CSIRT BESC.

Entre as diversas ações tomadas a partir da resposta, a mais importante para

o CSIRT BESC é observar se há necessidade de revisão de conduta. Se durante a resposta
a um incidente, o grupo perceber a necessidade de alterar ou criar algum procedimento
interno, tal necessidade vai ser refletida na fase de manutenção do CSIRT BESC. Dentro
da estrutura proposta, a revisão de conduta é inserida no diagrama mostrado na figura
4.3.

Considerando que a fase de resposta é crı́tica para um CSIRT, é importante

detalhá-la melhor. Logo, os dois processos que serão expandidos para diminuir o nı́vel de
abstração são: responder tecnicamente ao evento e responder gerencialmente ao evento.

A figura 4.12 é apresentada para detalhar os principais procedimentos execu-

tados durante fase de resposta técnica, que será coordenada pela equipe do CSIRT BESC.
4.4 Serviços 97

Figura 4.11: Workflow - Processos de resposta de um evento do CSIRT BESC (segunda

parte)

Essa etapa da resposta pode ser efetuada pelo próprio grupo, a correção ser encaminhada
ao suporte de tecnologia ou ser efetuada em conjunto.

Durante a resposta técnica é feita uma análise sobre a tecnologia que cerca
o evento relatado. Toda a questão de software e hardware é levantado pelo grupo. O
modus opernandi 3 do incidente é verificado e todas as informações serão levadas para o
momento onde a estratégia de resposta técnica será decidida. É nesse processo, chamado
“estratégia técnica de resposta”, onde a troca de informações passa a ser importante. Para
o CSIRT BESC, é nesse momento em que a experiência do CSIRT do Banco do Brasil
faz a diferença, adicionando mais recursos e informações que, ao longo de sua existência,
acumulou e aprendeu.

A figura 4.12 também mostra que, além do CSIRT do Banco do Brasil, outras
organizações e repositórios de dados poderão ser consultados. Tudo depende do cenário
que o incidente desenha no momento. A mesma figura mostra ainda, que a troca de
informações continua durante a coordenação da resposta técnica, ou seja, em quanto o
trabalho de resposta é efetivamente realizado o CSIRT BESC mantém o contato com as
partes externas para garantir o sucesso dos procedimentos adotados.

É importante perceber que na fase da resposta técnica está previsto a iden-

3
Expressão em latim que significa “modo de operação”. É a forma como alguém ou algo realiza
determinada ação.
4.4 Serviços 98

Figura 4.12: Workflow - Responder tecnicamente a um evento

4.4 Serviços 99
tificação de que o evento faz parte do escopo de serviços do CSIRT BESC ou, se faz, é
um novo relato de evento que havia sido relatado e encerrado (respondido). Outro ponto
interessante é a previsão da necessidade de revisar os procedimentos, que tornará o CSIRT
BESC cada vez mais robusto na realização se seus serviços.

Lembrando o swimlane apresentado na figura 4.7, existe um processo, na fase

de resposta, onde o CSIRT BESC troca informações com o usuário afetado pelo evento.
No workflow de detalhamento da resposta técnica (figura 4.12) há uma chamada para a
aquisição de novas informações, representando essa troca de informações entre o CSIRT
e o usuário. Essa mesma chamada também prevê a realização de uma nova análise do
incidente, caso o problema não tenha sido resolvido de forma integral ou satisfatória.

O segundo processo (responder gerencialmente ao evento) é ampliado na figura

4.13, que mostra o workflow de detalhamento desse tipo de resposta. A resposta gerencial
envolve a administração da organização, ou seja, os gestores do BESC. O CSIRT BESC
ajudará nessa fase repassando as informações levantadas, porém, as decisões são tomadas
pelo gestor responsável pela área afetada.

Após um processo de análise sobre um evento, pode ser percebido falhas ad-
ministrativas no processo afetado. Quando isso ocorre cabe ao CSIRT BESC levantar
todas infomações disponı́veis e repassar aos administradores das áreas envolvidas. O mo-
mento de decisão do que e como fazer para recuperar a organização do incidente em
andamento pode contar com o apoio de outras organizações, informações de repositórios
e a experiência do CSIRT que atua no banco que controlará o BESC a partir do segundo
semestre de 2008.

Os passos da resposta gerencial são semelhantes aos da resposta técnica. As

diferenças ficam por conta dos parceiros que atuaram junto ao CSIRT BESC na resposta
e nos responsáveis pelas tomadas de decisão.

A partir do momento em que o grupo percebe a necessidade de resposta ge-

rencial, automaticamente a área administrativa passa a ser a responsável pelas ações a
serem seguidas. O papel do CSIRT será de buscar informações e mediar as relações entre
o BESC e as fontes externas.
4.4 Serviços 100

Figura 4.13: Workflow - Responder gerencialmente a um evento

4.4 Serviços 101
Os executores das decisões tomadas pelos gestores variam conforme a ação
a ser tomada. Isso fica claro no swimlane apresentado na figura 4.7, onde, na fase de
resposta, a resposta de competência do gestor implica em uma ação da área de tecnologia
ou do próprio CSIRT BESC.

A figura 4.13 evidencia a responsabilidade das decisões recaı́rem sobre os gesto-

res, visto que não há mais troca de informações com partes externas. Do mesmo modo que
ocorre com a resposta técnica, há uma chamada para a aquisição de novas informações.
Essa mesma chamada também prevê a realização de uma nova análise do incidente, caso
o problema não tenha sido resolvido de forma integral ou satisfatória.

Ambas as respostas implicam na avaliação dos procedimentos adotados durante

a resposta. Caso perceba-se uma falha ou qualquer outro motivo que traga a necessidade
de alteração nos processos utilizados durante a resposta, uma revisão na conduta se faz
necessária está prevista, visando a constante melhoria dos serviços prestados pelo CSIRT
BESC ao longo de sua atuação.

4.4.4 Padronização para armazenar e compartilhar informações

As recomendações de alguns CSIRTs de coordenação, dentre eles o CERT/CC, é que a

captura e armazenamento das informações inicie desde o primeiro contato da área atacada
com o grupo. Dentro dessa recomendação o CSIRT BESC já está cumprindo com os
requisitos principais. Já foi definido um formulário padrão, detalhado no apêndice C,
que padroniza a comunicação de um incidente dentro da organização. Há também a
definição da classificação de um relato de acordo com o assunto, apresentado na tabela
4.2, e outra classificação quanto à prioridade, apresentado na tabela 4.3. Para facilitar o
entendimento do processo de resposta a um incidente padronizou-se que todas as ações
devem ser descritas em relatório cronológico, apresentado no apêndice D.

No decorrer da apresentação dos workflows de funcionamento do CSIRT BESC

percebe-se a presença de um item chamado “arquivo”. Ao longo das figuras 4.8, 4.9, 4.11,
4.12 e 4.13 existe a presença de um repositório de dados, onde todas as informações sobre
incidentes são inseridas e catalogadas. Para que tudo que é colhido pelos formulários
definidos seja guardado de forma correta e ordenada é preciso investir na criação de um
sistema de administração de dados.
4.4 Serviços 102
A criação de ferramentas personalizadas para armazenar as informações de
um CSIRT se dá pelo fato das ferramentas prontas que estão disponı́veis no mercado não
atenderem aos requisitos especı́ficos do grupo. Alguns itens que são mostradas na tabela
4.4 podem ser utilizadas pelo CSIRT BESC para a criação de uma aplicação própria, que
irá gerenciar os formulários e relatórios já definidos, bem como os que possam ser criados.
[CERT/CC, 2007] [KILLCRECE S, 2003]

É notável que o CSIRT BESC caminha na direção certa para a sua implantação
e para iniciar os seus trabalhos. Fatores chaves já estão definidos. Desde os requisitos e
a missão do grupo até a padronização das atividades e documentação das informações,
assim, o inı́cio das atividades passa a depender, basicamente, da organização, porém
o escopo das atividades ainda pode ser ampliado, dando ao CSIRT maior destaque e
justificando ainda mais a sua criação. Diante dessa realidade novos serviços passam a ser
definidos visando uma maior eficiência na prevenção e na recuperação de incidentes de
segurança com computadores.

4.4.5 Serviços reativos complementares

Os serviços reativos são processos dirigidos aos pedidos de assistência, aos relatos de
incidentes e a qualquer ameaça contra a organização assistida pelo CSIRT. Um processo
reativo pode ser iniciado a partir da comunicação de alguém externo ao grupo ou por
alguma das formas de monitoramento utilizadas pelo grupo. [CERT.BR, 2007] Em se
tratando de atividades reativas o CSIRT BESC pode prover, além da detecção, triagem
e resposta a incidentes, serviços conforme segue.

• Alertas e notificações:

Uma das preocupações do CSIRT BESC será em divulgar seus serviços e suas atri-
buições, conforme 3.2 e 4.2. Paralelamente a esse processo de divulgação, o grupo
deve criar uma sistemática para disseminar informações que descrevam os métodos
de ataque utilizados, vulnerabilidades exploradas, chamar a atenção para a ação de
determinados tipo de vı́rus, etc..

Nesse contexto, alertas e notificações podem ser emitidos como reação a um deter-
minado problema, fazendo com que toda a comunidade afetada com o problema
tenha noção do que realmente ocorreu, o que motivou tal problema e como se pro-
4.4 Serviços 103

Tabela 4.4: Recursos para a ferramenta de um CSIRT.

Habilidades para: Suporte para: Informações de entrada:

modificar a categoriza- representação padroniza- informações do contato

ção inicial de um comu- da das informações de um
nicado. incidente (IODEF)
acessar e ler todas as importar listagem de vul- data e hora dos aconteci-
mensagens relacionadas nerabilidades do dicioná- mentos
rio CVE
responder aos contatos atividades relacionadas infomação dos sistemas
via e-mail com a ações da justiça
atribuir ações e redis- criptografia de dados formas de resolução e
tribuir para outros mem- estratégias usadas
bros
buscar, ordenar, cruzar recomendações
referências, e encontrar
semelhanças entre máquinas
IPs, tipos de ataque, da-
tas e nomes em diferentes
ataques
gerar relatórios e esta- acompanhamento das ações
tı́sticas
iniciar, encerrar e re- custos apurados por
abrir casos encerrados incidente
acessar a tabela de estra- levantamento de tempo
tégias recomendadas, adi- gasto na resposta a um
cionar e alterar estraté- ou mais incidentes
gias
lembrar de tarefas em (mais informações de en-
aberto a mais de um deter- trada podem ser consul-
minado perı́odo tadas nos formulários
que são apresentados nos
apêncides)
4.4 Serviços 104
teger do mesmo. [LUCAS, 2003] Esse tipo de comunicação também será usada
pelo CSIRT BESC para comunicar outro CSIRT sobre algum problema que possa
envolver aquele grupo.

• Tratando vulnerabilidades:

O tratamento de vulnerabilidades ocorre quando o CSIRT recebe, de alguma forma,

a comunicação que um software ou um hardware, que é utilizado dentro da orga-
nização, tenha alguma falha que permita sua utilização sem permissão por terceiros.
[KILLCRECE O, 2003] Esse serviço também foi mapeado para o CSIRT BESC.
Conforme a tabela de classificação 4.2 e a tabela 4.3 de prioridades, o relato e o
acompanhamento de vulnerabilidades já estão previstos e serão implementados.

O CSIRT BESC tem a obrigação de fazer consultas regulares no dicionário CVE,

apresentado no item 3.5.1. O grupo pode usufruir da ferramenta mostrada na figura
3.2 para buscar por vulnerabilidades nos sistemas de terceiros que são utilizados pelo
BESC, como sistemas operacionais, navegadores, servidores, etc..

Os serviços reativos englobam, basicamente, todas as atividades de resposta,

ou seja, o processo básico de um CSIRT. Desse modo os serviços ditos adicionais para
um grupo de resposta são os pró-ativos e também a manutenção da segurança. O CSIRT
BESC deve implementar alguns desses serviços já no inı́cio de seus trabalhos.

4.4.6 Serviços pró-ativos

Os serviços pró-ativos são definidos para fortalecer a estrutura e os processos de segu-

rança de uma organização, buscando diminuir as chances de um ataque. Na maioria dos
casos as medidas pró-ativas trabalham buscando por falhas ou vulnerabilidades antes que
elas sejam descobertas por pessoas mal intencionadas e usadas contra a organização ou
ainda, trabalham para tratar as vulnerabilidades já descobertas por outras instituições
que tratam de segurança ou do desenvolvimento de sistemas. [KILLCRECE S, 2003]
Ainda observando a classificação da figura 3.1, o CSIRT BESC implementará algumas
atitudes preventivas.
4.4 Serviços 105
• Anúncios:

Dentro do que se espera de um CSIRT, discutido no item 3.4, o CSIRT BESC deve
prestar atenção a todos os canais de comunicação conhecidos e confiáveis. [LU-
CAS, 2003] Participar de fóruns, listas de notı́cias, assinando canais RSS, boletins
eletrônicos e qualquer outra forma de receber informações que divulguem novidades
sobre tecnologia e segurança, é a forma mais rápida de obter informação sobre as
mais recentes publicações de vulnerabilidades, novas formas de ataque, nova disse-
minação de vı́rus, ferramentas que auxiliam na proteção, etc..

• Seguir a tecnologia:

Ainda observando o que foi apresentado no item 3.4, um CSIRT deve acompanhar
o desenvolvimento de novas tecnologias e pesquisas, principalmente quando essas
tangem seguraça da informação. [CERT.BR, 2007] O CSIRT BESC, aproveitando
a estrutura montada para receber os anúncios e notı́cias, pode fazer uma triagem
das mensagens recebidas para identificar quais delas falam sobre novas tecnologias,
pesquisas e outras novidades.

• Serviço de detecção de invasões:

Um CSIRT pode ficar responsável por acompanhar, analisar e responder os logs

gerados por sistemas de detecção de intrusões (IDS). A tarefa pode não ser muito
simples, porém é uma estratégia de monitoramento que auxilia muito uma insti-
tuição a identificar possı́veis princı́pios ou tentativas de ataques. [PROSISE, 2001]
No decorrer das atividades do CSIRT BESC, o grupo tem a tarefa de mapear as
ferramentas IDS já existentes e avaliar se há necessidade de alguma alteração na
atual forma de atuação dessas ferramentas. O grupo ainda, pode, caso haja neces-
sidade, requisitar que ele seja o único a fazer a análise dos logs gerados por essas
ferramentas.

• Divulgação de informações de segurança:

Essa ação busca criar um meio para disponibilizar informações abrangentes e fáceis
de encontrar sobre como implementar mais segurança no dia-a-dia dos usuários e
colaboradores da organização. [WEST-BROWN, 2003] O CSIRT BESC já possui
um espaço na Intranet do BESC onde fará a divulgação de seus serviços, do que é o
grupo e dos formulários disponı́veis. Nesse mesmo espaço o CSIRT BESC colocará
4.4 Serviços 106
materiais e documentação sobre tudo que possa auxiliar efetivamente o usuário a
melhorar a segurança das informações com que trabalha.

Os serviços pró-ativos ajudam a prevenir eventos ou problemas que possam

ocorrer, protegendo os sistemas em produção contra ataques e ameaças. O CSIRT BESC,
assim como qualquer outro grupo, deve buscar implementar o maior número de serviços
pró-ativos, buscando diminuir as chances de que um incidente ocorra na organização para
quem ele trabalha. Economicamente, os serviços pró-ativos são muito mais baratos que
o incidente e sua recuparação, afinal, um incidente além de comprometer os sistemas,
compromete também a imagem e a marca da organização.

4.4.7 Manutenção da segurança

Os serviços incluı́dos nessa categoria não são uma exclusividade dos CSIRTs e nem foram
criados para atender a uma necessidade especı́fica desses grupos. Eles são todos serviços
já conhecidos e utilizados por muitas organizações que buscam melhorar a segurança de
um modo geral. A novidade para os serviços dessa categoria é a forma como um grupo
pode levar para todos os usuários e colaboradores um pouco de sua experiência prática
no combate aos incidentes de segurança em computadores. [KILLCRECE O, 2003]

Esses serviços são desenhados buscando incorporar as lições aprendidas com a

resposta a incidentes, com o tratamento das vulnerabilidades e com o monitoramento dos
sistemas. Dependendo da estrutura e das responsabilidades de um CSIRT ele pode ser
o total responsável pelos serviços de manutenção da segurança, compartilhar tal respon-
sabilidade com a organização ou ainda, não executar nenhum desses serviços. [WEST-
BROWN, 2003] Para o CSIRT BESC os serviços de manutenção poderão ser efetuados
pelo grupo, pela organização ou por uma ação conjunta, dependendo somente do mo-
mento.

• Plano de recuperação:

Baseado nas experiências vividas dentro do CSIRT e da organização e, também

na realidade encontrada é possı́vel criar novas estratégias de recuperação contra
certos tipos de ataques, mesmo que eles ainda não tenham ocorrido na organização.
[PROSISE, 2001] Para o CSIRT BESC esse é um serviço que, de certa maneira,
já era previsto no item 4.4.3. Durante o processo de resposta já é percebido a
4.4 Serviços 107
necessidade de permitir a criação de uma estratégia para um incidente que está
acontecendo naquele momento. A diferença, nesse caso, é que o CSIRT BESC pode
passar a pesquisar e criar novas estratégias ou planos de recuperação antes que eles
ocorram, tornando assim, o processo de resposta mais ágil e eficiente.

• Conscientização:

Ao longo do funcionamento de um CSIRT, ele pode identificar quais áreas ou pes-

soas da organização precisam de uma atenção especial quanto à conscientização da
necessidade em ampliar a segurança. [KILLCRECE O, 2003] Tendo o CSIRT BESC
alguma autonomia, ele pode buscar formas de preparar e fazer com que as pessoas
ou áreas entendam a importância de seguir as boas práticas divulgadas e as polı́ticas
de segurança. Uma das formas de conscientizar é demonstrar como as atitudes da-
quela pessoa podem influenciar para que um incidente, ou pelo menos a tentativa
desse, ocorra.

• Treinamento:

O treinamento de colaboradores é uma importante arma que a organização tem

para criar uma cultura de segurança e conhecimento dos processos envolvidos. O
treinamento é uma forma de conscientização, onde os colaboradores percebem a sua
devida importância no processo. [LUCAS, 2003] O CSIRT BESC pode auxiliar a
organização a modelar os cursos baseado na sua experiência. Por exemplo, é extre-
mamente interessante que todos os colaboradores saibam o que é e as consequências
de um ataque de SPAM, vı́rus, worm ou engenharia social.

Os serviços de manutenção da segurança podem ser implementados sem a

presença de um grupo de resposta na organização. Eles são, na sua maioria, serviços que
já poderiam estar definidos na polı́tica de segurança da organização. A entrada de um
CSIRT nesse processo agrega conhecimento prático dos serviços e do processo como um
todo. Ações para a manutenção da segurança não descritas aqui podem, e devem, ser
implementadas para garantir o envolvimento de todos no processo de criar um ambiente
seguro para as informações que são trabalhadas pelos colaboradores.
4.5 Considerações parciais 108
4.5 Considerações parciais

Conhecer o BESC era uma necessidade para traçar as definições de um modelo de CSIRT.
Foi baseado na estrutura organizacional e na realidade encontrada no banco, que o modelo
começou a ser esboçado, porém ainda foi necessário mais um item para propor um modelo
de CSIRT: a missão do grupo. Só a partir dessas duas informações combinadas é que
questões como autoridade, recursos e serviços são definidos. Tão importante quanto
conhecer a organização e constituir a missão do grupo foi o embasamento encontrado nos
capı́tulos 2 e 3.

A modelagem dos serviços em diagramas workflow trouxe clareza para o pro-

cesso como um todo. Observando os diagramas, ficou claro como o funcionamento de
um CSIRT obedece ciclos regulares que respeitam a seguinte ordem: detecção, reação e
aprendizado. Desse ciclo, o aprendizado torna o grupo dinâmico e eficiente, refletindo na
boa prestação dos serviços de todos os serviços, inclusive os pró-ativos e de manutenção
da segurança.

O diagrama swimlane, apresentado na figura 4.7, especifica a relação interna e

externa tı́pica de um CSIRT, assim como define quem é o responsável por cada processo,
delineando a rotina de trabalho que existirá assim que o CSIRT BESC entrar em funcio-
namento. As diferentes fases existente no CSIRT também ficam evidenciadas, englobando
os processos pertencentes a cada uma delas.

É a partir do estudo detalhado, apresentado ao longo desse capı́tulo, que a

Proposta de Projeto de CSIRT para o BESC foi elaborada. A proposta foi montada de
forma direta e sucinta para atingir o seu objetivo, que é apresentá-la aos administradores
e gestores. Por se tratar de um documento dirigido para uma maioria de pessoas da área
administrativa, os detalhes de implementação do CSIRT foram omitidos e serão devida-
mente levantados no momento pertinente: a implementação. Finalmente, o trabalho está
a um passo de seu objetivo, que é a elaboração da proposta apresentada no apêndice A.
 109

5 Considerações finais
Computer Security Incident Response Team é um conceito criado, originalmente, para tra-
tar situações adversas, como é o caso de um incidente de segurança em uma organização.
Dependendo do foco de negócio da organização, esses incidentes podem ser ainda mais
prejudiciais. A segurança da informação vem sendo cada vez mais uma constante na busca
dos princı́pios para a continuidade dos planos de negócios de qualquer organização. Se a
informação sempre foi a “alma do negócio”, hoje, em um mundo que apresenta uma reali-
dade muito mais dinâmica e globalizada, as informações ı́ntegras, confiáveis e disponı́veis
são elementares.

Em relação à proteção das informações os desafios são enormes tornam-se cada

vez mais complexos, uma vez que a facilidade de contato com um computador, a falta
de privacidade e os mecanismos de pesquisa por informações vão aumentam vertiginosa-
mente. Segurança da informação compreende um conjunto de medidas que visa proteger
e preservar informações e sistemas de informações.

Para uma instituição financeira pública, como o BESC, proporcionar um am-

biente seguro para as informações que estão sob sua responsabilidade é um requisito de
negócio. O BESC desempenha um papel fundamental na sociedade catarinense e todas
as suas ações devem ser tomadas para preservar a marca e a imagem do banco, que são
consideradas os principais ativos da organização. Ou seja, a marca e a imagem são re-
levantes para o negócio e, como tal, têm seu valor. Suas principais contribuições para o
negócio consistem na contribuição para dois fatores de sucesso nas empresas: reputação
e competitividade.

Do ponto de vista administrativo, o BESC passa por um momento singular

em sua história: ser incorporado por um banco público federal. Essa realidade é inédita
no Brasil. Até o momento a fusão de bancos era feita através de do sistema de “compra e
venda”, ou seja, a instituição compradora absorvia toda a carteira de clientes e o portifólio
de produtos da instituição comprada, fazendo prevalecer sua filosofia e regras de mercado.

No acordo de incorporação firmado entre o BESC e o Banco do Brasil diver-

sos compromissos foram assumidos, como por exemplo, manter ativa a marca do banco
5 Considerações finais 110
estadual, as contas dos clientes e toda a rede de atendimento. O acordo de incorporação
se contrapõe aos processos de aquisição realizados pelos bancos privados.

A incorporação foi desenhada através de quatro grandes momentos: o polı́tico,

o jurı́dico, o de avaliação, o operacional. A fase operacional requer maior planejamento,
pois envolve diretamente os poupadores e os correntistas e é uma fase propı́cia para a
criação de um CSIRT dentro da estrutura do BESC. Para um banco que pretende manter
a estrutura do banco incorporado, estabelecer uma relação de parceria é peça-chave para
todo o processo. Assim, diversas ações estão sendo desenvolvidas para que haja, entre os
envolvidos, a maior transparência possı́vel.

A segurança da informação no Banco do Brasil é algo reconhecidamente essen-

cial. Um exemplo disso é a criação de um grupo de resposta em 2004. Conforme visto ao
longo do trabalho, criar um CSIRT é trabalhoso e depende de outras áreas da organização
e é exatamente aqui que o CSIRT BESC é proposto. O responsável por formular e im-
plantar um grupo no BESC compatı́vel com o CSIRT do Banco do Brasil deverá conhecer
a estrutura, as áreas e as pessoas do banco estadual.

O projeto apresentado inicia uma aproximação dos nı́veis de segurança da

informação entre as duas instituições, tornando padrão o processo de resposta a um in-
cidente, independente do banco em que ele ocorra. O projeto atende a necessidade do
Banco do Brasil de descobrir, no BESC, processos que sejam semelhantes aos existentes
em sua rotina. É através desses processos que a transparência e tranqüilidade na fase
operacional da incorporação serão alcançadas.

Com a incorporação, não é difı́cil imaginar que criminosos se aproveitem da

fragilidade e da ingenuidade dos clientes para induzi-los a fornecer dados sigilosos de suas
contas bancárias, com a desculpa de que o “cadastro precisa ser atualizado no novo banco”,
por exemplo. Mais uma vez, fica claro que uma atuação em conjunto é extremamente
necessária, e por esta razão o CSIRT BESC apresenta-se como uma solução sólida e que
servirá de base para outras ações futuramente. No entanto, cabe ressaltar que um avanço
nos serviços prestados pelos dois CSIRTs é de extrema importância nos próximos cinco
anos, tempo mı́nimo que durará a atual situação entre o BESC e o Banco do Brasil.

Do ponto de vista acadêmico, o tratamento a incidentes de segurança se torna

realmente eficiente quando há uma equipe dedicada a promover estratégias de recuperação,
de tratamento de vulnerabilidades e de conscientização. Nesse caso o tratamento a in-
5 Considerações finais 111
cidentes de segurança será eficiente se o CSIRT reunir serviços reativos, pró-ativos e de
manutenção da segurança.

Ao estudar os modelos de CSIRT, é possı́vel perceber que o conceito desses

grupos de resposta é altamente flexı́vel e, muito provavelmente, irá se encaixar em qualquer
tipo de organização. A flexibilidade na sua criação é uma qualidade que torna o CSIRT
eficaz no seu propósito, porém faz com que não haja um padrão a ser seguido nesse
momento inicial.

Para as organizações que pretendem criar o seu CSIRT, a melhor tática é buscar
material divulgado pelo CERT/CC e pelo CERT.BR. Estes dois CSIRTs de coordenação
buscam guiar o inı́cio das atividades de um grupo de resposta, bem como fornecer guias e
recomendações das melhores práticas no momento de elaboração do projeto de um CSIRT.

É recomendável, por experiência do autor desse trabalho, que o contato com

outros CSIRTs seja intermediado por alguém de confiança de ambas instituições. Nesse
caso, por exemplo, a parte interessada em buscar informações para elaborar um projeto de
CSIRT deve apresentar-se formalmente ao CERT.BR e informar de sua intenção. Assim,
o grupo de coordenação poderá costurar o contato com os demais grupos de resposta.
O autor, não seguindo tal recomendação, iniciou uma tentativa de contato diretamente
com os CSIRTs brasileiros através de e-mail. Das poucas respostas obtidas, uma parte
solicitava que o contato fosse feito diretamente com o CERT.BR, outra sugeria a visita
ao seu sı́tio, pois lá estavam as informações que poderiam ser divulgadas. Uma parcela de
grupos ignorou o contato. Outra parcela comunicou ao CERT.BR um possı́vel ataque de
engenharia social, o que poderia ter gerado sérias complicações. O mal entendido só pôde
ser desfeito graças à intervenção do orientador do trabalho à época, o Professor Charles
Christian Miers. O contato com o Banco do Brasil foi mediado pelos próprios responsáveis
pelo processo de incorporação, os quais identificaram as pessoas chaves dentro do banco
e repassaram o contato para o autor.

Os objetivos do trabalho foram todos atingidos. O principal deles era apresen-

tar uma proposta de modelo de CSIRT para o BESC e o resultado pode ser observado no
apêndice A. Esta proposta visa trazer diversos benefı́cios ao BESC, e o mais importante
dentre eles é preparar a organização para tratar um incidente de forma rápida, eficiente e
padronizada.

No capı́tulo 2, o estudo sobre os fundamentos de segurança da informação foi

5 Considerações finais 112
essencial para o entendimento do capı́tulo seguinte, onde foi apresentada uma pesquisa
acerca de CSIRTs: seus modelos, seus principais serviços, suas atribuições, entre outros.
Também no capı́tulo 3, as estatı́sticas foram importantes para demonstrar o lado prático
de um CSIRT. O encerramento se deu através do capı́tulo 4, juntamente com o apêndice
A, quando o modelo de CSIRT foi elaborado usando a teoria estudada nos capı́tulos
anteriores. Os workflows produzidos proporcionaram um entendimento real do processo
e facilitaram a identificação de seus requisitos, suas conseqüências e seus resultados.

O modelo proposto será levado ao BESC para avaliação, para que então uma
consulta ao Banco do Brasil, para oficialização da parceria neste processo, seja feita. Há
uma grande expectativa em torno da implantação deste projeto por parte do autor desse
trabalho, uma vez que os gestores do BESC que estiveram envolvidos durante todo o
desenvolvimento deste trabalho demonstraram grande interesse em implantá-lo e com-
preenderam a necessidade de um CSIRT para o Banco do Estado de Santa Catarina. O
mesmo ocorreu com a equipe do Centro de Operações de Segurança do Banco do Brasil.
 113

6 Referências Bibliográficas
1. ABNT - Associação Brasileira de Normas Técnicas.
Disponı́vel em: http://www.abnt.org.br.

2. APWG - Anti Phishing Working Group.

Disponı́vel em: http://www.antiphishing.org.

3. AUSCERT - Australian Computer Emergency Responce Team. Disponı́vel em:

http://www.auscert.org.au.

4. BESC - Banco do Estado de Santa Catarina. Relatório de Gestão 2007.

5. CERT/CC - CERT Coordination Center. Desenvolvido pelo Software Engineering

Institute (SEI). Apresenta documentação sobre CSIRT.
Disponı́vel em: http://www.cert.org.

6. CERT.BR - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança

no Brasil. Centro mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil.
Apresenta informações e documentação sobre CSIRT.
Disponı́vel em: http://www.cert.br.

7. CERVO, L.Amado e Berviam, Pedro A.. Metodologia Cientı́fica. 5a Ed., São Paulo,
Prentice Hall. 2002.

8. CETIC - Centro de Estudos sobre as Tecnologias da Informação e da Comunicação.

Responsável pela produção de indicadores e estatı́sticas sobre a disponibilidade e
uso da Internet no Brasil.
Disponı́vel em http://www.cetic.br.

9. CHUVAKIN, Anton. FTP Attack Case Study.

Disponı́vel em: http://www.linuxsecurity.com/

10. CGI.BR - Comitê Gestor da Internet no Brasil. Criado para coordenar e integrar
todas as iniciativas de serviços Internet no paı́s.
Disponı́vel em: http://www.cgi.br/
6 Referências Bibliográficas 114
11. CSI/FBI - Computer Crime and Security Survey. Pesquisa anual realizada pelo
Computer Security Institute em parceria com o Federal Bureau of Investigation.
2007.

12. CVE - Common Vulnerabilities and Exposures. Dicionário padronizado de conheci-

mento público sobre vulnerabilidades. Disponı́vel em: http://cve.mitre.org/

13. DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Ja-

neiro: Axcel Books do Brasil, 2000.

14. FERREIRA, Fernando Nicolau Freitas. Segurança da Informação. Rio de Janeiro,

Editora Ciência Moderna. 2003.

15. FIRST - Forum Incident Response and Security Teams.

Disponı́vel em: http://www.first.org/

16. GONÇALVES, Luı́s Rodrigo de Oliveira. Histórico sobre o surgimento das Normas
de Segurança. 2002. Artigo (Programa de Engenharia de Sistemas e Computação)
- Universidade Federal do Rio de Janeiro, Rio de Janeiro. 2002.

17. IBGE - Instituto Brasileiro de Geografia e Estatı́stica.

Disponı́vel em: http://www.ibge.gov.br/home/

18. KILLCRECE, Georgia et al.. Organizational Models for Computer Security Incident
Response Teams (CSIRTs). 1a Ed. Pittsburgh. CMU/SEI. 2003.

19. KILLCRECE, Gerogia et al.. State of the Practice of Computer Security Incident
Response Teams (CSIRTs). 1a Ed. Pittsburgh. CMU/SEI. 2003.

20. LUCAS, Julie e Moeller, Brian. The Effective Incident Response Team. 1a Ed.,
Boston, Addison Wesley. 2003.

21. PROSISE, Chris e Mandia, Kevin. Incident Response: Investigating Computer

Crime. New York, Osborne/McGraw-Hill. 2001.

22. SANS - The SANS Security Policy Project. Disponı́vel em:

http://sans.org/newlook/resources/policies/policies.htm.

23. SCHNEIER, B. Segurança.com. 1a Ed., Rio de Janeiro, Campus. 2001.

6 Referências Bibliográficas 115
24. SEI - Software Engineering Institute. Disponı́vel em:
http://www.sei.cmu.edu/publications/documents/03.reports/03hb002.html.

25. SÊMOLA, Marcos. Gestão da Segurança da Informação: Uma Visão Executiva.

Rio de Janeiro. Campus. 2003.

26. STALLINGS, William. Cryptography and Network Security: Principles and Prac-
tice. 3rd Edition. Prentice-Hall. 2002.

27. TERENA - TI Directory of European CSIRTs. Disponivel em:

http://www.ti.terena.nl/teams.

28. WEST-BROWN, Moira J et al.. Handbook for Computer Security Incident Response
Teams (CSIRTs). 2a Ed. Pittsburgh. CMU/SEI. 2003.

29. WYK, R. K.; FORNO, R. Indedent Response. O Reilly, 2001.

 116

A Proposta CSIRT BESC (Suprimido)

Documento de Proposta de Implantação

de um CSIRT no BESC

ESTRUTURA PARA O ESTABELECIMENTO DE UM

GRUPO DE RESPOSTA A INCIDENTES DE COMPUTADORES
NA REDE BESC - CSIRT BESC

O presente documento apresenta uma descrição da proposta de implantação de

um CSIRT para o BESC, fixando-se, principalmente, na descrição das fases de implantação
desse modelo. Além disso, são apresentados os recursos necessários, bem como os serviços
que serão disponibilizados. O objetivo desse documento é relatar os recursos que o BESC
necessitará durante a implantação do modelo proposto, viabilizando seu bom andamento.
A Proposta CSIRT BESC (Suprimido) 117
Conteúdo suprimido para evitar quebra de sigilo.
 118

B Formulário formato texto para reportar

incidentes - Padrão CERT/CC

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

version 5.2
April 2000

CERT(R) Coordination Center

Incident Reporting Form

CERT/CC has developed the following form in an effort to gather

incident information. If you believe you are involved in an incident,
we would appreciate your completing the form below. If you do not
believe you are involved in an incident, but have a question, send
email to:

cert@cert.org

Note that our policy is to keep any information specific to your site
confidential unless we receive your permission to release that
information.

We would appreciate any feedback or comments you have on this Incident

Reporting Form. Please send your comments to:

cert@cert.org

Submit this form to: cert@cert.org

If you are unable to send email, fax this form to: +1 412 268 6989

Your contact and organizational information

1. name......................:
2. organization name.........:
3. sector type (such as banking, education, energy or
public safety)...........:
4. email address.............:
5. telephone number..........:
6. other.....................:

Affected Machine(s)
(duplicate for each host)
7. hostname and IP...........:
8. timezone..................:
9. purpose or function of the host (please be as specific
as possible).............:

Source(s) of the Attack

(duplicate for each host)
10. hostname or IP...........:
11. timezone.................:
12. been in contact?.........:

13. Estimated cost of handling

incident (if known).....:

14. Description of the incident (include dates, methods of

intrusion, intruder tools involved, software versions
and patch levels, intruder tool output, details of
vulnerabilities exploited, source of attack, or any
other relevant information):

Copyright 2004 Carnegie Mellon University

B Formulário formato texto para reportar incidentes - Padrão CERT/CC 119

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.2.1 (GNU/Linux)

iQEVAwUBRgQe460QcgBVZevOAQLD3Qf/VrmBnd1dqdXsDxdC+7GnLZahyl8tlA1A
TaknUgZlf9S/oN5WKdw+0GoN9dfvpw/kVGOs85O+yKVjEFCN/4XpD4ScTT4VlPWK
UNgIQAejNyKX+y6XX7b4iWeGH5o3sGlI0hqyIoIBpsDv+c84uisVcWh1HMftGW1S
w5xhhJ83bHJoFF9C7pwgAnV3eOzGc7LOMpBZyic0qZ7CHGTOuh//+Jgvivv3bPpW
eng8KcPALBRdal0NNde79iRZpI20RRVtUbiMkG3JTDmnWylcUAdmQZLcqYeZo1oJ
rg43Y4E/b9j5BH96Ezsf4MCJjU5zKh1FTaNrAR+GHl1skNoBhgLvkg==
=7k1O
-----END PGP SIGNATURE-----
 120

C Formulário para comunicação sobre

incidente - Padrão CSIRT BESC
(Suprimido)
Formulário suprimido para evitar quebra de sigilo.
 121

D Modelo de descrição cronológica para

tratamento de incidentes

Indentificação do incidente:

Nome do membro responsável:

27/10/2007 - 18:45 Evento MAL0041 reportado pelo administrador de rede via

e-mail.
27/10/2007 - 18:47 Incidente MAL0041 classificado com prioridade 3.
27/10/2007 - 18:48 Membro João da Silva é encaminhado até a sala de administração
de redes para acompanhar o processo de resposta.
27/10/2007 - 18:59 Membro João da Silva chega na sala de administração de redes e
é comunicado pelo funcionário matricula 13.271-3 que há suspeita de vı́rus em um dos
computadores da área.
.
.
.
27/10/2007 - 20:12 Concluiu-se que a máquina infectada não foi danificada e não há
mais vestı́gios do código malicioso. A recuperação está concluı́da. O MAL0041 encer-
rado.
27/10/2007 - 20:13 João da Silva retorna à sala do CSIRT BESC.