Escolar Documentos
Profissional Documentos
Cultura Documentos
Joinville
2008
LUCAS FABIANO PRONER
Joinville
2008
LUCAS FABIANO PRONER
BANCA EXAMINADORA
Este trabalho tem como objetivo elaborar uma proposta de projeto de CSIRT para o
BESC. CSIRTs são grupos especializados em responder incidentes de segurança e para
defini-los é necessário pesquisar conceitos de segurança da informação, modelos de CSIRTs
existentes, requisitos e serviços prestados. Os CSIRTs proporcionam às organizações um
ambiente mais seguro através de medidas pró-ativas. A elaboração da proposta passa
por conhecer a organização e definir a estrutura organizacional do grupo. A proposta de
modelo de CSIRT para o BESC é apresentada como a colaboração deste trabalho com a
organização.
The aim of this paper is to elaborate a CSIRT (Computer Security Incident Response
Team) project proposal for BESC, Bank of the State of Santa Catarina. CSIRTs are
groups specialized in responding to security incidents and, in order to structure them,
it is necessary to search for information security concepts, existing CSIRT models, re-
quirements and services done. CSIRTs are the responsibles for making organizations
environment safer throughout proactive actions. The proposal elaboration consists in
getting to know the organization and defining the organizational structure of the group.
The CSIRT proposal model for BESC is presented as a collaboration of this paper to the
organization.
Keywords: CSIRT, BESC (Bank of the State of Santa Catarina), Information Security,
Reativity, Proactiveness.
Agradecimentos
Agradeço à minha familia pelo incentivo, pela cobrança sadia, pela estrutura
sólida e pela educação excelente que me foram proporcionadas.
Aos amigos que de uma forma direta ou indireta contribuem desde o inı́cio da
graduação.
Lista de Figuras 9
Lista de Tabelas 11
1 Introdução 12
2 Fundamentos 16
2.5 CSIRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3 CSIRT 40
3.1 Missão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.2 Divulgação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3.4 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.6 Atribuições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.1 BESC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.2 Missão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.3.1 Autoridade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.3.2 Divulgação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.3.3 Recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
4.4 Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
7
D Modelo de descrição cronológica para tratamento de incidentes 121
Lista de Figuras
3.5 Proporção de indivı́duos que já utilizaram a Internet para realizar pesquisa
de preços de produtos ou serviços, por escolaridade, renda e classe social
[CETIC, 2008] . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.10 Número de phishings relatados por mês durante 2007. [APWG, 2008] . . . 71
1 Introdução
Computadores têm mudado a face do crime bem como a forma que a segurança da in-
formação é construı́da [PROSISE, 2001]. A grande maioria dos crimes, como o roubo
de informação, espionagem, acesso não autorizado, venda e apologia aos narcóticos, pe-
dofilia e vários outros, cometidos através de computadores já são proibidos pela lei civil
brasileira. O grande diferencial nesse momento é que computadores e outras novidades
tecnológicas foram adicionados ao pacote de ferramentas do criminoso, tornando o crime
e o criminoso ainda mais dinâmico e “protegido”[SÊMOLA, 2003].
Os CSIRT que integram o FIRST prestam serviços para os mais variados tipos
de organizações, inclusive instituições financeiras, como o Banco do Estado de Santa Cata-
rina (BESC). As instituições financeiras são um alvo altamente desejado pelos criminosos.
Assim, há um grande número de bancos, operadoras de cartão de crédito e de ações, além
de outras instituições financeiras, que investem no CSIRT, objetivando responder rápido
e adequadamente aos incidentes provocados pelos criminosos do meio eletrônico.
3. Definir CSIRT
2 Fundamentos
A cada ano cresce o uso de sistemas de informação que prestam serviços para pessoas
e organizações. Estes serviços trabalham com grandes volumes de informação, sendo
muitas delas confidenciais. [SCHNEIER, 2001] Alguns destes serviços implementados em
sistemas de computadores são: transações financeiras (sejam elas bancárias ou mesmo
a compra de produtos e/ou serviços); comunicação (por exemplo, através de e-mails);
armazenamento de dados (sejam eles pessoais ou comerciais), etc.
• Cracker: É o hacker que utiliza suas habilidades com o computador para realizar
ataques mal intencionados. O cracker utiliza seus conhecimentos para danificar
dados, obter senhas de sistemas, acessar informações sigilosas, e até mesmo, se
apossar de valores de terceiros, cometendo o que é definido como crime cibernético.
• Script Kid: É um termo pejorativo, que os hackers utilizam para definir o aspirante
a hacker ou cracker. O script kid julga-se um hacker, mas não tem o conhecimento
técnico de um hacker, ele apenas utiliza-se de ferramentas desenvolvidas por hackers
para realizar ataques e invasões em sistemas. Em algumas literaturas também é
empregado o termo Lammer
1
Entenda-se por agentes externos como pessoas ou grupos de pessoas não presentes fisicamente na
organização.[SCHNEIER, 2001]
2 Fundamentos 18
Normalmente, o agente externo sabe que pode encontrar alguma falha no sis-
tema de segurança e sabe como procurar por elas. Utilizando-se de várias técnicas, con-
tando com força de vontade e tempo disponı́vel para viabilizar suas idéias, ele pode conse-
guir algum sucesso nas suas investidas, deixando muitas vezes uma imagem de insegurança
e de total falta de privacidade na Internet.[SCHNEIER, 2001]
Ante a todos esses fatos, é necessário que a organização esteja preparada para
administrar sua rede contra ataques e saiba também identificar de onde surgiram tais
ameaças - meio interno ou externo - para isso a administração da rede interna deve-se fazer
presente em todas as partes da organização e estar atenta ao mı́nimo desvio de conduta
dos seus integrantes e ao mesmo tempo monitorar todos os acessos feitos à rede vindos de
pessoas externas. Em muitas redes, a administração de sistemas é uma responsabilidade
dividida entre várias pessoas. Nesses casos, é necessário estabelecer algumas regras para
garantir a eficiência do trabalho em equipe [CERT/CC, 2007].
Há também listas de discussão públicas, onde todos tem acesso às informações
sobre segurança. Estas listas são mantidas, geralmente, por órgãos regulamentadores de
normas e padrões, governos e empresas de segurança e disponibilizadas na Internet. Com
isso os administradores envolvidos com a segurança de redes e sistemas podem buscar
informações de forma a manterem-se atualizados em relação à novas vulnerabilidades2 e
correções de segurança.
2
Endentede-se por vulnerabilidade como um ponto fraco de uma rede ou sistema, onde uma ameaça
aproveita este ponto fraco para causar danos. Cabe ressaltar que não é a vulnerabilidade a responsável
pelos danos causados, sendo apenas uma condição que permite a ação da ameaça. [CERT.BR, 2007]
2 Fundamentos 19
Manter a segurança da informação de uma organização no ambiente compu-
tacional interconectado é um grande desafio, que torna-se mais difı́cil à medida que são
lançados novos produtos à Internet e novas ferramentas de ataque são desenvolvidas. A
maioria das organizações reconhece que não existe uma solução única capaz de garantir a
segurança de sistemas e dados; ao contrário, é necessário ter uma estratégia de segurança
composta de várias camadas3 . Uma das camadas que vem sendo incluı́da por diversas
organizações nas suas estratégias é a criação de um Grupo de Resposta a Incidentes de
Segurança em Computadores, geralmente conhecido como CSIRT (do inglês Computer
Security Incident Response Team). [CERT/CC, 2007]
• Incidente de Segurança:
• Polı́tica de Segurança:
atribui direitos e responsabilidades às pessoas que lidam com os recursos computa-
cionais de uma instituição e com as informações neles armazenados. Ela também
define as atribuições de cada um em relação à segurança dos recursos com os quais
trabalham. Uma polı́tica de segurança também deve prever o que pode ou não
ser feito na rede da instituição e o que será considerado inaceitável. Tudo o que
descumprir a polı́tica de segurança é considerado um incidente de segurança. Na
polı́tica de segurança, também são definidas as penalidades às quais estão sujeitos
aqueles que não cumprirem a polı́tica [SECURITY MAGAZINE, 2004].
• Confidencialidade ou privacidade:
• Integridade de dados:
evitar que dados sejam apagados ou de alguma forma alterados, sem a permissão
do proprietário da informação. O conceito de dados nesse objetivo é mais am-
plo, englobando dados, programas, documentação, registros, fitas magnéticas, etc.
O conceito de integridade está relacionada com o fato de assegurar que os dados
não foram modificados por pessoas não autorizadas. Em termos de comunicação
de dados, integridade restringe-se à detecção (e subseqüente correção)de alterações
(deliberadas ou acidentais) nos dados transmitidos. A integridade de dados também
é um pré-requisito para os outros aspectos de segurança. Por exemplo, se a inte-
gridade de um sistema de controle de acesso a um determinado sistema operacional
pode ser violada, então a confidencialidade de seus arquivos pode ser igualmente
violada. Enquanto o objetivo da confidencialidade está mais voltado à leitura de
dados, a integridade preocupa-se mais com a gravação ou alteração de dados. [DIAS,
2000] [CERT.BR, 2007]
• Disponibilidade:
proteger os serviços de informática de tal forma que não sejam degradados ou torna-
dos indisponı́veis sem a devida autorização. Para um usuário autorizado, um sistema
2.1 Questões de segurança 23
não disponı́vel, quando se necessita dele, pode ser tão ruim quanto um sistema ine-
xistente ou destruı́do. As medidas relacionadas a esse objetivo podem ser duplicação
de equipamentos ou backup, por exemplo. Disponibilidade pode ser definida como a
garantia de que os serviços prestados por um sistema são acessı́veis, sob demanda,
aos usuários ou processos autorizados. Em termos gerais, a disponibilidade pode ir
além do escopo normal de segurança, incluindo até equipamentos tolerantes a falhas.
Em relação à segurança de informações, sua principal preocupação é prevenir que
ataques deliberados ou maliciosos evitem ou dificultem o acesso de usuários autori-
zados ao sistema. Um exemplo de ataque contra a disponibilidade é a sobrecarga
provocada por alguns internautas ao enviar enormes quantidades de solicitações de
conexão com intuito de provocar pane nos sistemas. [SCHNEIER, 2001]
• Consistência:
certificar-se de que o sistema atua de acordo com as expectativas dos usuários auto-
rizados. Se um software ou hardware passa a se comportar de maneira diferente da
usual, normalmente após alterações de hardware ou software, isso pode causar danos
irreparáveis. Por exemplo, imagine um usuário solicitando a edição de um arquivo.
Por causa de uma falha no editor de textos, o arquivo é apagado e o usuário perde
todos os seus dados. [SCHNEIER, 2001] [CERT.BR, 2007]
• Auditoria:
proteger os sistemas contra erros e atos maliciosos cometidos por usuários autoriza-
dos. Para identificar os autores e suas ações, são utilizadas trilhas de auditoria e logs,
que registram tudo que foi executado no sistema, por quem e quando. Em algumas
aplicações crı́ticas, as trilhas de auditoria podem incluir operações de restauração ao
estado inicial, auxiliando o trabalho de reconstrução do sistema original. A maioria
dos objetivos de segurança se preocupa em evitar eventos indesejados (incidentes).
2.2 Normas de segurança 24
Na prática, no entanto, nem todas as ações impróprias podem ser evitadas. Para
lidar com essas situações, é necessário monitorar as ações dos usuários, detectar
falhas de segurança e ser capaz de responsabilizar os culpados. [DIAS, 2000]
• Confiabilidade:
No que diz respeito a normas técnicas, o Brasil conta com a ABNT (Associação Brasileira
de Normas Técnicas), que estabelece padrões a serem seguidos por produtos e serviços
de várias áreas, inclusive segurança da informação. Abrange algoritmos de criptografia,
técnicas criptográficas, gerência de senhas, controle de acesso para segurança fı́sica de
instalações de processamento de dados, critérios de segurança fı́sica relativos ao armaze-
namento de dados, a microcomputadores e terminais, além das normas de segurança fı́sica
e ambiental que se aplicam a qualquer tipo de prédio, tais como as normas de combate e
prevenção de incêndios.[ABNT, 2007]
2.2 Normas de segurança 25
No âmbito internacional, existem algumas instituições cuja função básica é
estabelecer padrões, dentre elas, destacam-se:
• BS 7799:
Em 1995, o BSI (British Standards Institute lançou seu primeiro padrão de segu-
rança, BS 7799. O BS 7799 foi criado com a intenção de abranger assuntos de
segurança relacionados ao e-commerce. Em 1995 mesmo ocorreram problemas e
o padrão foi considerado inflexı́vel e não foi adotado globalmente. O momento
não era correto e questões de segurança não despertavam grande interesse naquele
tempo.[SANS, 2004]
2.2 Normas de segurança 27
• ISO/IEC 17799:
São nestas normas que a organização deve buscar pelos aspectos necessários
para criar uma boa polı́tica de segurança e fazer dela um meio eficaz na proteção de seus
2.3 Polı́tica de segurança 28
recursos. Utilizando normas torna-se mais simples e prático estabelecer regras e polı́ticas
para a organização e deixá-las mais claras ao usuários. Uma boa polı́tica de segurança
deve estar baseada em uma ou mais normas de segurança.
Isso significa que pode-se olhar o passado para ver o que o futuro tem reservado.
Os ataques terão formas diferentes - o assaltante manipulará conexões digitais e entradas
de banco de dados, em vez de “pés-de-cabra” e material para abrir fechaduras, o terrorista
visará sistemas de informações, em vez de aviões -, mas a motivação e a psicologia serão
as mesmas. Isso também significa que não precisa-se de um sistema legal completamente
diferente para lidar com o futuro. Se o futuro for igual ao passado, então um sistema legal
que funcionou no passado provavelmente funcionará no futuro.[SCHNEIER, 2001]
• Automação:
A automação rápida torna os ataques com uma taxa de retorno mı́nima em algo
lucrativo. Os invasores que eram simplesmente mı́nimos para serem notados no
mundo fı́sico podem rapidamente tornar-se uma grande ameaça no mundo digital.
Muitos sistemas comerciais simplesmente não ligam para pequenos problemas; é
mais barato ignorá-las do que consertá-las.
• Ação à distância:
A Internet não possui fronteiras ou limites naturais, dois pontos quaisquer são sem-
pre adjacentes, estejam eles do outro lado da parede ou do planeta. É tão fácil de
conectar com um computador em São Paulo a partir de um computador da Tunı́sia
quanto a partir de Joinville.
2.4 Ataques e incidentes de segurança 32
• Propagação da técnica:
A Internet abre novos meios para violar a privacidade das pessoas, normal-
mente apenas como resultados de uma das caracterı́sticas citadas. Dados em papel, mesmo
que sejam públicos, são difı́ceis de pesquisar e correlacionar. Os dados digitais podem ser
pesquisados com facilidade. Os dados em redes podem ser buscados remotamente e cor-
relacionados a outros bancos de dados.
O administrador de uma rede, por exemplo, deverá estar ciente dos seus ati-
vos, de preferência listá-los, para poder tomar o próximo passo que seria hierarquizar
estes elementos em ordem de importância para a organização. Esta ordem também leva
em consideração os efeitos, financeiros ou não, que ocorreriam caso um incidente seja
diagnosticado na rede.[CERT.BR, 2007]
Termo genérico que se refere a todos os tipos de programa que executam ações ma-
liciosas em um computador. Exemplos de códigos maliciosos são os vı́rus, worms,
bots, cavalos de tróia, rootkits, etc. A finalidade para a qual os códigos maliciosos
são gerados pode variar de código para código, da mesma forma que o tipo do dano
causado por eles pode variar de acordo com as intenções de quem o projetou. Eles se
manifestam de diversas maneiras, sendo que algumas são mais visı́veis e destrutivas
do que outras. Podendo ocorrer através da exibição de mensagens na tela, alteração
ou exclusão de determinados tipos de arquivos, diminuição da performance do sis-
tema, formatação do disco rı́gido, entre outras. É importante ressaltar que nem
todos os códigos maliciosos têm finalidade destrutiva, mas todos eles perturbam o
usuário de alguma forma. [CERT.BR, 2007]
• Engenharia Social:
• Backdoors:
São portas abertas de programas que facilitam a entrada de crackers em seu compu-
tador. Esta abertura pode ser acidental, como por exemplo, uma falha na fabricação
de um software ou proposital, quando esta porta é criada por um cavalo de tróia.
[SCHNEIER, 2001], [DIAS, 2000] Portas são caminhos nas quais são estabelecidas
as comunicações/transmissões de dados (pacotes) de computador para computador,
seja ela dentro de uma rede ou em uma comunicação externa.
• Exploit:
São mensagens não solicitadas, enviadas por e-mail pelo spammer (autor do spam),
que contém informações recheadas de bobagens, com o objetivo de apenas encher
de entulho a caixa de correio eletrônico.[SCHNEIER, 2001] O provedor de acesso à
Internet pode ser configurado para bloquear mensagens que contenham o domı́nio
da referida lista.
• Phishing:
Também conhecido como phishing scam. Mensagem não solicitada que se passa por
comunicação de uma instituição conhecida, como um banco, empresa ou site popu-
lar, e que procura induzir usuários ao fornecimento de dados pessoais e financeiros.
[FERREIRA, 2003] Inicialmente, este tipo de mensagem induzia o usuário ao acesso
a páginas fraudulentas na Internet. Atualmente, o termo também se refere à men-
sagem que induz o usuário à instalação de códigos maliciosos, além da mensagem
que, no próprio conteúdo, apresenta formulários para o preenchimento e envio de
dados pessoais e financeiros. [CERT.BR, 2007]
Negação de Serviço. É uma ameaça em que um individuo consegue gerar uma grande
quantidade de transmissão de dados, causando um excesso de pacotes, seja para
uma rede, estação ou servidor, com a finalidade de sobrecarregar a vı́tima, deixando
as suas atividades indisponı́veis (negação de serviço) ou muito lentas.[SCHNEIER,
2001], [DIAS, 2000] Este tipo de ataque não tem a intenção de corromper ou mo-
dificar dados do computador, e sim, de deixar o serviço fora do ar. Além disto, é
muito difı́cil de ser identificado e ser prevenido.
• Adware(Advertising Software):
Há ainda uma classificação dos incidentes como passivos e ativos. Passivos são
aqueles que não interferem no conteúdo do recurso que foi atacado, como por exemplo,
observação e conhecimento de informações armazenadas nos sistemas institucionais ou
análise de tráfego de uma rede. Já os ativos prejudicam diretamente o conteúdo do
recurso atacado, modificando e eliminando informações ou gerando informações falsas. Os
ataques podem ter como alvo diferentes serviços de segurança. Por exemplo, ao interceptar
uma mensagem trafegando na rede, o usuário também modificar a mensagem, ele estará
atacando a integridade do sistema. Se, após o ataque, esse usuário destruir a conexão de
rede, inviabilizando sua utilização pelos usuários autorizados, ele estará comprometendo
a disponibilidade do sistema. [DIAS, 2000]
Os ataques podem ser feitos por diversos tipos de pessoas. O primeiro tipo que
vem à mente são os crackers, em função da quantidade de artigos em jornais e revistas
que relatam histórias sobre invasões promovidas por eles em instituições como bancos,
empresas e governos. No entanto, nem todos os crackers penetram por pura diversão.
Nem sempre suas ações se restringem à penetração, podendo também causar danos aos
sistemas e dados, roubar informações confidenciais, praticar extorsão, sabotar os sistemas,
comprometer a confiabilidade da empresa no mercado, muitos deles ganham dinheiro com
isso. Em alguns casos, os próprios funcionários (e ex-funcionários) são a principal fonte
de problemas. Deve ser dada especial atenção aos funcionários de perı́odo parcial ou com
os contratados temporários, estagiários e ex-funcionários que guardam rancor contra a
empresa, por terem sido despedidos injustamente, por exemplo.[DIAS, 2000]
Deste modo, demonstra-se que não há redes de computadores com total segu-
rança, ou seja, todas elas estarão sujeitas a incidentes que causarão danos à organização.
A melhor forma de tratar/responder aos incidentes é com grupos de resposta coordenando
as atividades na organização afetada.
2.5 CSIRT
Concluindo este capı́tulo tem-se os conceitos que eram julgados como requisitos para o
inı́cio do estudo de CSIRTs. Fica comprovada a grande diversidade nas formas de ataque
e o quanto o crime eletrônico tem evoluı́do, acompanhando um cenário que exibe uma
complexidade crescente nos novos sistemas de informação.
3 CSIRT
Desde que o CERT/CC foi estabelecido, no final da década de 1980, grupos de resposta
tem surgido nos mais variados lugares do mundo, passando por órgãos governamentais
até organizações comerciais. De fato há tantos tipos de CSIRTs quanto há CSIRTs em
si, pois ao analisar-se a estrutura e o escopo de serviços dos mesmos percebe-se que não
existem dois idênticos. Esta flexibilidade na formação dos grupos é um ponto positivo
nestes dias em que a tecnologia digital muda a todo momento. [WYK, 2001]
Como muitas das ações corporativas, tornar esta idéia forte deve ser o pri-
meiro grande passo. É absolutamente vital obter o apoio da gerência de alto escalão para
desenvolver um grupo dentro da organização [WYK, 2001]. Uma vez que a organização
tenha tomado a decisão de formar um CSIRT é preciso realmente conduzir esta decisão
como se estivesse formando um empreendimento. Deve-se estar preparado para gastar
tempo produzindo documentação técnica e gerencial, procedimentos, definindo identi-
dades, selecionando e comprando ferramentas, desenvolvendo as que forem necessárias,
treinando pessoal e tomando mais uma série de cuidados com questões administrativas.
[KILLCRECE O, 2003]
3.1 Missão
Quando chega-se a um entendimento do que uma organização quer e quais são os seus
problemas é hora de desenvolver ações para iniciar-se a real implantação do CSIRT. A
primeira ação que deve ser tomada é planejar o escopo dos serviços do grupo, visto que
há uma grande variedade deles. Esta lista deve estar de acordo com as necessidades da
organização e em constante revisão e, ainda deve-se salientar que os serviços prestados
podem ir além da resposta ao incidente. [LUCAS, 2003] Existem serviços, ditos não-
emergenciais ou pró-ativos, que podem servir para ajudar a justificar a existência de um
grupo dentro do escopo de uma organização. [CERT.BR, 2007] Fica claro a necessidade
de definir um modelo de trabalho que seja adequado aos serviços que forem prestados,
otimizando assim, a equipe e maximizando os resultados.
A missão de um CSIRT deve ser algo sintético e com uma descrição sem am-
bigüidades do seu propósito e função[KILLCRECE O, 2003]. É da missão que sairá o foco
básico do grupo, que poderá incluir qualquer um destes tópicos: recuperação de sistemas,
análise de ataques e intrusões, facilitador e coordenador nas atividades de resposta a in-
cidentes, coordenador de informações, investigação de crimes virtuais, monitoramento de
sistema de detecção de intrusos, etc.
3.2 Divulgação
Um dos erros que um CSIRT pode cometer é imaginar que todos dentro da organização
tenham conhecimento que ele existe e, ainda, saibam para que ele serve ou quais os serviços
prestados. As pessoas precisam saber que o grupo existe, quais são os serviços prestados,
como ele funciona, quais são as formas mais rápidas para entrar em contato e em quais
situações ele deve ser acionado. Caso isso não ocorra muitos incidentes podem ocorrer
sem que o grupo fique sabendo ou fique sabendo tarde demais. [LUCAS, 2003]
Existem algumas práticas de divulgação que são vistas com mais constância
nos CSIRTs do mundo todo: [WEST-BROWN, 2003]
• Conferências;
• Seminários de treinamento;
• Cartazes;
3.3 Modelos de CSIRT 43
• Memorandos e e-mails;
• Webcasts
• Folhetos explicativos;
• Intranet; e
• Polı́ticas da empresa.
Para que um modelo de CSIRT seja escolhido é preciso levar em consideração alguns
fatores que irão denunciar as particularidades do grupo. Itens como os membros que
constituirão o grupo, a localização fı́sica, a disposição geográfica da organização, qual será
a posição do grupo dentro do organograma da organização, revelam quais dos modelos
poderão ser usados para ilustrar o CSIRT. [KILLCRECE O, 2003]
Ao longo do que foi estudado há muitas formas operacionais que necessitarão
ser consideradas ao estabelecer um CSIRT. O foco é discutir sobre o modelo organizacional
ou a estrutura operacional da equipe. Isto envolve a posição fı́sica da equipe, o lugar da
equipe na organização, e como o CSIRT interage com a organização. Pode também
envolver a quem o CSIRT presta contas na organização, à autoridade do CSIRT dentro
da organização, e aos fluxos de informação dentro e fora do CSIRT. Agrupando todas as
questões envolvidas é possı́vel criar modelos estruturais que representam a grande maioria
dos CSIRTs existentes.
• Grupo de Segurança:
Neste modelo, não foi dado a responsabilidade formal para as atividades de trata-
mento de incidentes a nenhum grupo ou seção da organização. Nenhum CSIRT,
propriamente dito, foi estabelecido. Pessoal disponı́vel são, geralmente, administra-
dores do sistema, da rede ou de segurança. Os esforços da resposta ao incidente não
são coordenados nem são necessariamente padronizados através da organização. Não
há nenhum grupo ou indivı́duo designado especialmente para recolher a informação
na organização dos danos ou o impacto de atividades do incidente, para analisar as
tendências, relatórios à gerência, ou para fornecer a recuperação eficaz ou etapas
protetoras. Esta é uma estratégia usual e fornece reação limitada ao incidente e não
há garantia de sucesso.
Neste modelo, a organização utiliza uma equipe de funcionários existente para for-
mar um CSIRT distribuı́do, que seja treinado formalmente para tratar das atividades
de resposta ao incidente. Há um gerente que supervisiona e coordena as ativida-
des da equipe distribuı́da. Através da organização, os indivı́duos são identificados
como as pessoas apropriadas para trabalhar na equipe distribuı́da baseada em sua
perı́cia em várias plataformas, tecnologias, e aplicações de sistemas operacionais; ou
3.3 Modelos de CSIRT 45
baseado em sua posição geográfica ou responsabilidades funcionais. Os membros
distribuı́dos da equipe podem executar deveres de CSIRTs além a suas responsa-
bilidades regulares ou poderiam ser escaladas ao trabalho nos CSIRTs em tempo
integral. O CSIRT serve como o único ponto do contato na organização com relação
ao incidente, aos relatórios ou ao diagnóstico de vulnerabilidades para partes inter-
nas e externas da organização.
Este modelo é um CSIRT inteiramente fechado e dedicado aos serviços contra in-
cidentes em uma organização de qualquer porte. Em muitos casos os membros
da equipe gastam todas as horas de trabalho no CSIRT. Entretanto, este tipo de
modelo poderia também ser prestado usando uma equipe de funcionários de meio
expediente baseando em revesamento. Há um gerente de CSIRT que é subordinado
à gerência de alto nı́vel tal como um Chief Information Officer (CIO), Chief Security
Officer (CSO), ou um Chief Risk Officer (CRO)ou algum outro gerente equivalente.
A equipe central é situada na organização e é responsável por todas as atividades
de tratamento do incidente. Como no caso do CSIRT Interno Distribuı́do, este mo-
delo serve como único ponto de contato da organização com relação a incidentes. É
ideal quando a organização possui a administração concentrada em um único ponto,
assim o CSIRT fica “ao lado” da administração da organização.
• CSIRT de Coordenação:
• Grupos Internos:
Novo conceito de grupo que vem surgindo. Estes grupos são especializados na
resposta de incidentes e prestam serviço para àquelas organizações que o contratam.
Há uma grande possibilidade de obter-se sucesso no tratamento de incidentes quando
dentro da organização já exista uma equipe que cuide da segurança da informação.
Caso essa equipe não exista o trabalho do grupo será muito maior e gastará mais
tempo. Estes grupos podem ser contratados para realizar atividades pró-ativas na
organização.
• Grupos de Assistência:
Muitas das organizações que vendem tecnologia como a Sun Microsystems, Micro-
soft, Hewlett Packard, etc. operam seus próprios grupos de resposta. Estes grupos
não realizam todas as atividades comuns em um outro tipo de grupo. Elas geral-
mente limitam-se a analisar vulnerabilidades encontradas em seus produtos para
então: documentar as caracterı́sticas de vulnerabilidades; determinar as causas das
vulnerabilidades; recomendar ações de reação; produzir atualizações; distribuir as
atualizações; e analisar os prejuı́zos. Esta lista de atividades pode variar de acordo
com o grupo, mas em geral todos realizam pelo menos estas citadas.
• Grupos Ad Hoc:
São grupos não muito eficientes, pois não possuem nenhum procedimento previsto
em caso de incidentes e não possuem uma estrutura totalmente formada. Eles
limitam-se a profissionais da segurança que trabalham na organização que atuam
como grupo de resposta somente quando necessário sem haver uma consciência de
formar um escopo de atividades que visam prevenir ou tratar adequadamente de
incidentes na organização. Não possuem atividades nem recursos definidos. Agem
de acordo com a situação.
3.4 Requisitos
Há muitas maneiras eficientes de manter o grupo atualizado com as mudanças constantes
da tecnologia e o grande número de vulnerabilidades reportadas por fabricantes e desen-
volvedores. Para um CSIRT ter sucesso no tratamento de incidentes essas atualizações
devem ser definidas como uma das principais atividades realizadas, e não como algo se-
cundário e de pouca importância. [WYK, 2001] [KILLCRECE O, 2003] Algumas das
formas para atender esses requisitos são:
• Treinamento:
• Dados de Incidentes:
Outra fonte útil de dados são os outros grupos e profissionais das organizações.
Estes grupos frequentemente possuem membros que se envolvem em situações de
incidentes similares e estão aptos a compartilhar informações técnicas e operacionais
de como tratar ou se proteger de incidentes. Este contato pode ser mediado pelo
FIRST, por exemplo. [CERT/CC, 2007]
• Automação:
Outra preocupação ao criar um CSIRT é decidir quais tipos de serviços e atividades este
irá prover depois de constituı́do. Este processo também envolve nomear responsáveis e
definir cada atividade a ser desenvolvida, o que nem sempre é uma tarefa fácil. [CERT.BR,
2007]
Há muitos serviços que um CSIRT pode oferecer. Cada CSIRT é diferente
e, consequentemente, pode prover diferentes serviços. Estes serviços serão baseados na
missão, propósito e definição do grupo. Como já mencionado, prover uma resposta ao in-
cidente é o único pré-requisito para que o grupo seja considerado um CSIRT. [CERT/CC,
2007]
Os três grupos de serviços que um CSIRT pode prover são definidos como
[CERT/CC, 2007]:
• Serviços Reativos:
Estes serviços tem como principal caracterı́stica responder ao incidente logo após
este ter ocorrido. Esta resposta vem de várias formas como: reportar o incidente,
3.5 Definição de serviços 51
detectar o ataque, identificar o invasor, etc. Serviços reativos são o foco de trabalho
de um CSIRT.
• Serviços Pró-ativos:
Este serviço tem aumentado e tem sido bem visto dentro dos CSIRTs. São in-
dependentes das atribuições de resposta aos incidentes, estão, geralmente, ligados
a outras áreas e, quando feitos pelo CSIRT, contam com a experiência e conheci-
mento do grupo. Nessa categoria de serviços medidas são tomadas para evitar riscos
e aumentar a segurança da organização.
Triagem e classificação
A triagem é feita sobre todos os contatos realizados com o CSIRT, não impor-
tando a forma como ele foi realizado (telefone, e-mail, fax, malote, presença
fı́sica, etc.). Por isso da importância desse processo. Nele o CSIRT conhece
todos os que fazem contato e, mais importante do que isso, sabem o que está
acontecendo na organização e onde acontece, o CSIRT tem uma visão espacial
de todas as suas atividades. [LUCAS, 2003]
• Comunicação de incidente;
• Relatório de vulnerabilidade;
• Comunicação de vı́rus; e
• Requisição de informações.
Tendo definido como as informações chegarão até o CSIRT e como elas serão
classificadas dentro dele é necessário se preparar para responder a cada uma das soli-
citações. No caso de incidentes, o tratamento pode ser feito de várias formas ou seguir
várias estratégias, dependendo do modelo de cada CSIRT.
3.5 Definição de serviços 56
Estratégias de resposta
Sempre que um sistema é afetado e opta-se por substituı́-lo pelo seu backup,
é fundamental que o incidente não se repita com a nova estrutura, pois, pos-
sivelmente, ela tera a mesma vulnerabilidade que já foi explorada no sistema
original, e já é de conhecimento do invasor. Algumas sugestões simples podem
garantir o funcionamento do novo sistema: [KILLCRECE S, 2003]
Uma vez que a situação do incidente tenha sido contida e as causas verificadas
é o momento de reparar as vulnerabilidades exploradas. Esses reparos podem
ser feitos através da reconfiguração dos sistemas, atualizando o anti-vı́rus, ins-
talando os pacotes de atualização de software, bloqueando portas e serviços não
utilizados ou ainda, providenciar alterações no sistema ou aplicações. Sempre
que houver a necessidade da instalação de algo novo, mesmo que seja um pa-
cote de atualizações, é recomendável fazer a instalação em ambiente de testes
para verificar o impacto dessa atualização no sistema como um todo. [LUCAS,
2003]
Assim que um incidente for tratado, todas as informações sobre ele devem
3.5 Definição de serviços 59
ser compiladas de forma que a consulta futura seja simplificada. Há variadas formas de
guardas informações, o importante mesmo é criar um padrão para que todas elas sejam
guardas de maneira uniforme. Tal padronização além de beneficiar o grupo, traz vantagens
no momento em que é necessário compartilhá-las com outros CSIRTs.
Trabalhar com as informações pode ser um desafio para novos CSIRTs, pois
ainda é difı́cil perceber quais informações são relevantes e como elas precisam
ser armazenadas, acessadas, usadas e distribuı́das. A forma como todas as
informações são tratadas deve ser uma preocupação do grupo, visto que muitas
vezes elas precisam ser recuperadas para novo uso do grupo ou até mesmo para
compartilhá-la com outros grupos.
Cada CSIRT precisa decidir quais informações deverão ser guardadas e qual
forma isso deve acontecer. Isso ajudará, inclusive, a saber se os processos de
resposta estão sendo aplicados de forma eficiente, se há alguma deficiência
3.5 Definição de serviços 60
gerencial e também pode determinar certas necessidades em diferentes nı́veis
dos processos. [KILLCRECE O, 2003]
Figura 3.3: Resumo de fraude denunciada e analisada pelo APWG. [APWG, 2008]
Figura 3.4: Relatório conclusivo de fraude denunciada e analisada pelo APWG. [APWG,
2008]
3.6 Atribuições
Além de obter o total apoio da gerencia da organização, de selecionar qual o modelo que o
CSIRT terá e os serviços providos para a comunidade da organização é preciso encontrar
as atribuições apropriadas para ele. Há muitas maneiras de encontrar estas atribuições
para um grupo de resposta. Cada atribuição possui as seguintes caracterı́sticas:
• Atribuições Corporativas:
• Atribuições de TI:
• Atribuições Hı́bridas:
Um CSIRT financiado por uma organização maior (pai) que custeia o grupo em
suas atividades cotidianas como treinamento, distribuição de alertas, etc. No en-
tanto ao ocorrer um incidente quem arca com as despesas durante a resposta é
a organização envolvida com o incidente. Estes custos podem incluir gastos com
viagens, equipamentos, custo com as pessoas envolvidas, etc. O grupo garante a
resposta ao incidente e devolve à organização seu sistema de negócio recuperado e
em funcionamento normal. O cuidado que esse tipo de CSIRT requer é em relação
em manter sigilo sobre a organização afetada, pois, pelo menos, a organização que
custeia o CSIRT terá acesso aos dados. Dependendo da área de negócio da orga-
nização o gerente responsável prefere não relatar os incidentes aos grupos e tenta
respondê-los internamente. Este tipo de atitude pode trazer mais problemas para
a organização pois trata-se de um problema que eles não estão aptos a resolver de
imediato. [WYK, 2001]
A figura 3.5 mostra que quase a metade das pessoas que já utilizaram a Internet
declararam ter realizado pesquisas de preço de produtos ou serviços pela rede (45%) em
2007, enquanto apenas 16% informou ter completado uma compra via web. Este dado
demonstra que a Internet já se consolidou como ferramenta para comparação de custos e
levantamento da disponibilidade de bens e serviços, mesmo que a finalização do processo
3.7 Estatı́sticas sobre uso e segurança de computadores 67
de aquisição do produto não ocorra por meio dela. Este comportamento se reforça quando
analisa-se os hábitos de compra dos indivı́duos de classes sociais e faixas de renda mais
altas. Entre os que recebem mais de 10 salários mı́nimos, o percentual de uso da rede
para pesquisa de preços chega a 80%, e na classe A, a 82%, o que sugere que esses
consumidores não realizam compras sem antes fazer uma investigação pela rede. O grau
de escolaridade também influencia diretamente no uso da Internet para a comparação de
preços: o percentual varia de 23% entre indivı́duos menos escolarizados para 68% entre
pessoas com ensino superior. [CETIC, 2008]
Figura 3.5: Proporção de indivı́duos que já utilizaram a Internet para realizar pesquisa
de preços de produtos ou serviços, por escolaridade, renda e classe social [CETIC, 2008]
Figura 3.6: Proporção de indivı́duos que compraram produtos e serviços pela Internet nos
úlitmos 12 meses, por escolaridade, renda e classe social [CETIC, 2008]
Figura 3.8: Número de SPAMs relatados durante o primeiro trimestre de 2007 [CGI.BR,
2008]
Figura 3.9: Número de SPAMs relatados durante o primeiro trimestre de 2008 [CGI.BR,
2008]
Figura 3.10: Número de phishings relatados por mês durante 2007. [APWG, 2008]
Ao final tem-se todas as definições, atribuições e justificativas que podem ser aplicadas
a um CSIRT. A partir do entendimento destes conceitos e atribuições deve-se chegar a
um consenso entre os membros/fundadores do grupo e os diversos gerentes da organização
sobre quais são as melhores opções quanto a tipo de CSIRT, serviços prestados, atribuição
e responsáveis pelo grupo, ainda deve-se buscar quais as expectativas da organização
relacionadas ao CSIRT. Assim, tem-se uma organização que conta com um grupo de
profissionais especialmente treinados para responder e tratar de incidentes, tão logo estes
ocorram.
O modelo de CSIRT que será proposto ao BESC deve refletir suas necessidades
e sua realidade, a estrura organizacional do grupo deve se parecer com a estrutura or-
ganizacional do banco, os serviços disponibilizados pelo grupo devem ser absorvidos pelo
banco. Todas essas questões serão respeitadas e tangidas a partir da combinação entre a
teoria vista até esse capı́tulo e a realidade encontrada no BESC a partir do capı́tulo 4.
73
4.1 BESC
De acordo com o que foi discutido ao longo do capı́tulo 3, a elaboração de uma proposta
de modelo inicia pela busca em conhecer a organização para qual se pretende modelar um
CSIRT. Saber os detalhes da organização ajuda no momento da definição da estrutura
do grupo e dos serviços oferecidos. Assim, esse item mostra a realidade encontrada no
BESC.
Os produtos que hoje fazem parte do portifólio BESC continuarão sendo ofere-
cidos aos clientes do Estado de Santa Catarina. Adicionalmente, os produtos do portifólio
do Banco do Brasil serão repassados aos clientes BESC, que, no inı́cio, não terão conta
no Banco do Brasil. Ao consistir um processo de incorporação nestes princı́pios o Banco
do Brasil preocupa-se com questão de segurança bancária, visto que este episódio pode
servir de alavanca para tentativas de fraudes em todos os meios, inclusive o eletrônico.
4.2 Missão
É baseado na missão que o grupo definirá todos os serviços que proverá durante
sua existência, assim como os recursos que serão necessários. A missão, neste momento,
deve ser um guia para definir o grau de especialização desses serviços e quais são as
prioridades dentro do grupo. Desta forma, seguindo a pesquisa realizada no capı́tulo 3, o
próximo passo para a construção do projeto é escolher o modelo mais adequado (observar
item 3.3) à organização.
Diante das decisões tomadas com relação à posição que o CSIRT ocupará na
organização, o modelo de CSIRT a ser seguido mais uma vez é refinado. Além de verificar
que o CSIRT será centralizado, agora é possı́vel concluir que ele será interno. Portanto,
a proposta de modelo de CSIRT para o BESC será o modelo divulgado pelo CERT/CC
chamado de CSIRT Interno e Centralizado, modelo que a partir daqui será chamado
simplesmente de CSIRT Centralizado.
4.3.1 Autoridade
Como visto durante o estudo dos itens 3.3 e 3.6, autoridade diz respeito ao controle que
o CSIRT terá sobre suas ações e as ações de terceiros, dentro da organização, quando
de assuntos relacionados à segurança da informação e, principalmente, à resposta de
incidentes de segurança em computadores. A autoridade define a relação básica que o
CSIRT terá com a organização para a qual prestará serviços. Normalmente, o CSIRT que
está em processo de formação não tem autoridade alguma sobre a organização, apenas
divulga relatórios e avisos e faz sugestões e recomendações. As decisões são tomadas pelos
executivos da organização. [KILLCRECE O, 2003]
4.3.2 Divulgação
Observando a figura 4.1, percebe-se que a divulgação já faz parte do processo
Desenvolver Planos de Implementação. Porém, antes de chegar a este passo na criação
do CSIRT BESC, é preciso definir os serviços que serão prestados e os recursos para a
atuação do grupo.
4.3.3 Recursos
Para que o grupo possa iniciar as suas atividades e alcançar sua missão a organização de-
verá se preocupar com questões de investimento material e pessoal, principalmente. Para
definir quais recursos serão necessários é preciso observar alguns pontos no funcionamento
do grupo. Os serviços prestados e a localização do grupo também são itens importantes.
[KILLCRECE S, 2003]
No que se refere a espaço fı́sico o grupo necessita de uma sala onde haja espaço
para as cinco pessoas trabalharem simultaneamente e, preferencialmente, num ponto fora
das dependências da organização. A preocupação com a colocação do grupo em lugar
externo à organização se dá pela possibilidade de haver um incidente fı́sico na organização
4.3 Estrutura organizacional 87
(um incêndio, por exemplo). Caso o CSIRT esteja alocado junto à organização, o incidente
pode inviabilizar as atividades do grupo, que não poderá responder a qualquer emergência.
É importante que o espaço conte com uma sala reservada para reuniões do grupo com os
gestores da organização ou entre os membros do próprio grupo.
Computador portátil 5
Impressora 1
Fotocopiadora 1
Digitalizadora (Scanner ) 1
Linha telefônica digital 2
Aparelho de fax 1
Celular 5
no-break 1
Gravador de voz 3
Fragmentador de papel 1
Além dos itens da tabela 4.1, ainda é necessário acesso redundante à Internet,
ambiente bancário para testes e um carro disponı́vel para eventuais atendimentos fora de
Florianópolis. É preciso estudar junto aos administradores do banco se há viabilidade
de adquirir um gerador de eletricidade. A rede de dados deve ser separada da rede da
organização, contar com criptografia de dados, firewall, proteção contra vı́rus, e uma
polı́tica de backup de suas informações segura e eficiente.
Figura 4.7: Swimlane - Processos do CSIRT BESC de acordo com a classe de serviços
Alguns itens são essenciais para o sucesso na resposta de um incidente. Mais es-
pecificamente, pode-se citar o manuseio das informações que chegam ao CSIRT. [CERT/CC,
4.4 Serviços 90
2007] Um CSIRT costuma receber inúmeros tipos de informação e precisa segmentá-las
em diferentes tipos e nı́veis de prioridade. É a partir dessa segmentação que o CSIRT
dará encaminhamento ao que foi enviado e, caso seja uma comunicação de incidente ini-
ciar o procedimento de resposta. Todas as informações que chegam ao CSIRT devem ser
armazenadas para consulta futura do próprio grupo e outros CSIRTs, logo o armazena-
mento deve seguir um padrão. No caso especı́fico do CSIRT BESC é importante que a
padronização no armazenamento das informações permita a troca eletrônica dos dados
com o CSIRT do Banco do Brasil, visto que ambos trabalharão conjuntamente.
A segunda forma de detecção faz parte de uma linha de serviços pró-ativos que
o CSIRT BESC vai implementar e incrementar ao longo de sua existência. A princı́pio,
este processo está presente no workflow da figura 4.8 e é importante para a manutenção
da segurança da organização, mas não é prioridade na fase de implantação do grupo.
4.4 Serviços 92
4.4.2 Triagem e encaminhamento
Conforme já discutido no item 4.3, o CSIRT BESC é um CSIRT interno e centralizado,
o que faz do resultado do processo de triagem uma ótima ferramenta para conhecer exa-
tamente o que está sendo reportado ao grupo. Além da freqüência e tipos mais comuns
de eventos, facilitando a montagem de estatı́sticas sobre esses contatos. Essa é uma das
formas do grupo que pode identificar quais os sistemas mais crı́ticos e os mais atacados,
ou ainda, qual tipo de incidente frenqüentemente ocorre na organização procurando uma
maneira de minimizar essa repetição.
Para que um evento possa ser triado ele precisa, necessariamente, ter passado
pelo processo de detecção, onde já foi constatado tratar-se realmente de um novo evento
que aguarda por uma resposta eficiente. A figura 4.9 apresenta o workflow com todos os
passos envolvidos na triagem e no encaminhamento de um evento. Essa triagem possui
dois processos que são a chave para um bom resultado: categorizar e correlacionar evento
e priorizar evento.
0 Lixo
1 Pedido de informações e treinamentos
2 Relatório de vulnerabilidade
3 Incidente envolvendo apenas uma área, comunicação de código
malicioso
4 Incidente envolvendo mais de uma área, indisponibilidade
de algum serviço ao cliente
5 Incidente na infraestrutura de rede do banco, página na
Internet, envolvendo todas as áreas, perdas financeiras,
indisponibilidade de todos ou da maioria dos serviços
Ainda sobre o workflow da figura 4.9, é possı́vel perceber que sempre é deixado
um fluxo de informações “em aberto”, visto que a qualquer momento do processo é possı́vel
receber uma nova informação que faça com que o grupo perceba que se trata de um
evento já respondido ou que não seja de sua responsabilidade. A colocação desses fluxos é
intencional para evidenciar a dinâmica que ocorre durante o recebimento das informações.
Tendo definido como as informações chegarão até o CSIRT e como serão classi-
ficadas, é necessário se preparar para responder a cada uma das solicitações. Independente
de o contato ser feito para solicitar um treinamento para uma determinada área ou para
comunicar um grave incidente, o CSIRT deve possuir um esquema de resposta pronto que
seja, ao menos, um referencial para determinar as ações a serem tomadas. O processo
de resposta é um item delicado e complexo,e provavelmente terá que sofrer freqüentes
atualizações pelo grupo.
Essa é uma fase bastante crı́tica, pois é o momento onde o CSIRT BESC
será colocado à prova. Nesse momento o CSIRT BESC mostrará se sua eficiência é
satisfatória. Para atingir a eficiência desejada é necessário que o grupo tenha meios de
buscar informações em repositórios confiáveis. No item 3.5.1 já foi discutido alguns meios
de buscar informações sobre a exploração de vulnerabilidades e repositórios de dados sobre
incidentes. Para o CSIRT BESC todas essas fontes deverão ser consideradas e consultadas,
mas há um reforço extremamente importante para contribuir com o sucesso do grupo: a
experiência e base de informações do CSIRT do Banco do Brasil. O workflow da figura
4.10 mostra a troca de informações que existirá entre o processo de resposta, seja ela
técnica ou gerencial, e as organizações externas, incluindo o CSIRT do Banco do Brasil.
Todo o processo de resposta gera subsı́dios para compor diversas ações para
a finalização do processo de resposta, conforme a segunda parte do workflow da fase se
4.4 Serviços 96
resposta, que é vista na figura 4.11. A prática da resposta é sucedida por uma série de
ações necessárias para manter a ordem dentro da organização e para prover uma possı́vel
manutenção no CSIRT BESC.
Essa etapa da resposta pode ser efetuada pelo próprio grupo, a correção ser encaminhada
ao suporte de tecnologia ou ser efetuada em conjunto.
Durante a resposta técnica é feita uma análise sobre a tecnologia que cerca
o evento relatado. Toda a questão de software e hardware é levantado pelo grupo. O
modus opernandi 3 do incidente é verificado e todas as informações serão levadas para o
momento onde a estratégia de resposta técnica será decidida. É nesse processo, chamado
“estratégia técnica de resposta”, onde a troca de informações passa a ser importante. Para
o CSIRT BESC, é nesse momento em que a experiência do CSIRT do Banco do Brasil
faz a diferença, adicionando mais recursos e informações que, ao longo de sua existência,
acumulou e aprendeu.
A figura 4.12 também mostra que, além do CSIRT do Banco do Brasil, outras
organizações e repositórios de dados poderão ser consultados. Tudo depende do cenário
que o incidente desenha no momento. A mesma figura mostra ainda, que a troca de
informações continua durante a coordenação da resposta técnica, ou seja, em quanto o
trabalho de resposta é efetivamente realizado o CSIRT BESC mantém o contato com as
partes externas para garantir o sucesso dos procedimentos adotados.
Após um processo de análise sobre um evento, pode ser percebido falhas ad-
ministrativas no processo afetado. Quando isso ocorre cabe ao CSIRT BESC levantar
todas infomações disponı́veis e repassar aos administradores das áreas envolvidas. O mo-
mento de decisão do que e como fazer para recuperar a organização do incidente em
andamento pode contar com o apoio de outras organizações, informações de repositórios
e a experiência do CSIRT que atua no banco que controlará o BESC a partir do segundo
semestre de 2008.
É notável que o CSIRT BESC caminha na direção certa para a sua implantação
e para iniciar os seus trabalhos. Fatores chaves já estão definidos. Desde os requisitos e
a missão do grupo até a padronização das atividades e documentação das informações,
assim, o inı́cio das atividades passa a depender, basicamente, da organização, porém
o escopo das atividades ainda pode ser ampliado, dando ao CSIRT maior destaque e
justificando ainda mais a sua criação. Diante dessa realidade novos serviços passam a ser
definidos visando uma maior eficiência na prevenção e na recuperação de incidentes de
segurança com computadores.
Os serviços reativos são processos dirigidos aos pedidos de assistência, aos relatos de
incidentes e a qualquer ameaça contra a organização assistida pelo CSIRT. Um processo
reativo pode ser iniciado a partir da comunicação de alguém externo ao grupo ou por
alguma das formas de monitoramento utilizadas pelo grupo. [CERT.BR, 2007] Em se
tratando de atividades reativas o CSIRT BESC pode prover, além da detecção, triagem
e resposta a incidentes, serviços conforme segue.
• Alertas e notificações:
Uma das preocupações do CSIRT BESC será em divulgar seus serviços e suas atri-
buições, conforme 3.2 e 4.2. Paralelamente a esse processo de divulgação, o grupo
deve criar uma sistemática para disseminar informações que descrevam os métodos
de ataque utilizados, vulnerabilidades exploradas, chamar a atenção para a ação de
determinados tipo de vı́rus, etc..
Nesse contexto, alertas e notificações podem ser emitidos como reação a um deter-
minado problema, fazendo com que toda a comunidade afetada com o problema
tenha noção do que realmente ocorreu, o que motivou tal problema e como se pro-
4.4 Serviços 103
• Tratando vulnerabilidades:
Dentro do que se espera de um CSIRT, discutido no item 3.4, o CSIRT BESC deve
prestar atenção a todos os canais de comunicação conhecidos e confiáveis. [LU-
CAS, 2003] Participar de fóruns, listas de notı́cias, assinando canais RSS, boletins
eletrônicos e qualquer outra forma de receber informações que divulguem novidades
sobre tecnologia e segurança, é a forma mais rápida de obter informação sobre as
mais recentes publicações de vulnerabilidades, novas formas de ataque, nova disse-
minação de vı́rus, ferramentas que auxiliam na proteção, etc..
• Seguir a tecnologia:
Ainda observando o que foi apresentado no item 3.4, um CSIRT deve acompanhar
o desenvolvimento de novas tecnologias e pesquisas, principalmente quando essas
tangem seguraça da informação. [CERT.BR, 2007] O CSIRT BESC, aproveitando
a estrutura montada para receber os anúncios e notı́cias, pode fazer uma triagem
das mensagens recebidas para identificar quais delas falam sobre novas tecnologias,
pesquisas e outras novidades.
Essa ação busca criar um meio para disponibilizar informações abrangentes e fáceis
de encontrar sobre como implementar mais segurança no dia-a-dia dos usuários e
colaboradores da organização. [WEST-BROWN, 2003] O CSIRT BESC já possui
um espaço na Intranet do BESC onde fará a divulgação de seus serviços, do que é o
grupo e dos formulários disponı́veis. Nesse mesmo espaço o CSIRT BESC colocará
4.4 Serviços 106
materiais e documentação sobre tudo que possa auxiliar efetivamente o usuário a
melhorar a segurança das informações com que trabalha.
Os serviços incluı́dos nessa categoria não são uma exclusividade dos CSIRTs e nem foram
criados para atender a uma necessidade especı́fica desses grupos. Eles são todos serviços
já conhecidos e utilizados por muitas organizações que buscam melhorar a segurança de
um modo geral. A novidade para os serviços dessa categoria é a forma como um grupo
pode levar para todos os usuários e colaboradores um pouco de sua experiência prática
no combate aos incidentes de segurança em computadores. [KILLCRECE O, 2003]
• Plano de recuperação:
• Conscientização:
• Treinamento:
Conhecer o BESC era uma necessidade para traçar as definições de um modelo de CSIRT.
Foi baseado na estrutura organizacional e na realidade encontrada no banco, que o modelo
começou a ser esboçado, porém ainda foi necessário mais um item para propor um modelo
de CSIRT: a missão do grupo. Só a partir dessas duas informações combinadas é que
questões como autoridade, recursos e serviços são definidos. Tão importante quanto
conhecer a organização e constituir a missão do grupo foi o embasamento encontrado nos
capı́tulos 2 e 3.
5 Considerações finais
Computer Security Incident Response Team é um conceito criado, originalmente, para tra-
tar situações adversas, como é o caso de um incidente de segurança em uma organização.
Dependendo do foco de negócio da organização, esses incidentes podem ser ainda mais
prejudiciais. A segurança da informação vem sendo cada vez mais uma constante na busca
dos princı́pios para a continuidade dos planos de negócios de qualquer organização. Se a
informação sempre foi a “alma do negócio”, hoje, em um mundo que apresenta uma reali-
dade muito mais dinâmica e globalizada, as informações ı́ntegras, confiáveis e disponı́veis
são elementares.
Para as organizações que pretendem criar o seu CSIRT, a melhor tática é buscar
material divulgado pelo CERT/CC e pelo CERT.BR. Estes dois CSIRTs de coordenação
buscam guiar o inı́cio das atividades de um grupo de resposta, bem como fornecer guias e
recomendações das melhores práticas no momento de elaboração do projeto de um CSIRT.
O modelo proposto será levado ao BESC para avaliação, para que então uma
consulta ao Banco do Brasil, para oficialização da parceria neste processo, seja feita. Há
uma grande expectativa em torno da implantação deste projeto por parte do autor desse
trabalho, uma vez que os gestores do BESC que estiveram envolvidos durante todo o
desenvolvimento deste trabalho demonstraram grande interesse em implantá-lo e com-
preenderam a necessidade de um CSIRT para o Banco do Estado de Santa Catarina. O
mesmo ocorreu com a equipe do Centro de Operações de Segurança do Banco do Brasil.
113
6 Referências Bibliográficas
1. ABNT - Associação Brasileira de Normas Técnicas.
Disponı́vel em: http://www.abnt.org.br.
7. CERVO, L.Amado e Berviam, Pedro A.. Metodologia Cientı́fica. 5a Ed., São Paulo,
Prentice Hall. 2002.
10. CGI.BR - Comitê Gestor da Internet no Brasil. Criado para coordenar e integrar
todas as iniciativas de serviços Internet no paı́s.
Disponı́vel em: http://www.cgi.br/
6 Referências Bibliográficas 114
11. CSI/FBI - Computer Crime and Security Survey. Pesquisa anual realizada pelo
Computer Security Institute em parceria com o Federal Bureau of Investigation.
2007.
16. GONÇALVES, Luı́s Rodrigo de Oliveira. Histórico sobre o surgimento das Normas
de Segurança. 2002. Artigo (Programa de Engenharia de Sistemas e Computação)
- Universidade Federal do Rio de Janeiro, Rio de Janeiro. 2002.
18. KILLCRECE, Georgia et al.. Organizational Models for Computer Security Incident
Response Teams (CSIRTs). 1a Ed. Pittsburgh. CMU/SEI. 2003.
19. KILLCRECE, Gerogia et al.. State of the Practice of Computer Security Incident
Response Teams (CSIRTs). 1a Ed. Pittsburgh. CMU/SEI. 2003.
20. LUCAS, Julie e Moeller, Brian. The Effective Incident Response Team. 1a Ed.,
Boston, Addison Wesley. 2003.
26. STALLINGS, William. Cryptography and Network Security: Principles and Prac-
tice. 3rd Edition. Prentice-Hall. 2002.
28. WEST-BROWN, Moira J et al.. Handbook for Computer Security Incident Response
Teams (CSIRTs). 2a Ed. Pittsburgh. CMU/SEI. 2003.
version 5.2
April 2000
cert@cert.org
Note that our policy is to keep any information specific to your site
confidential unless we receive your permission to release that
information.
cert@cert.org
Affected Machine(s)
(duplicate for each host)
7. hostname and IP...........:
8. timezone..................:
9. purpose or function of the host (please be as specific
as possible).............:
iQEVAwUBRgQe460QcgBVZevOAQLD3Qf/VrmBnd1dqdXsDxdC+7GnLZahyl8tlA1A
TaknUgZlf9S/oN5WKdw+0GoN9dfvpw/kVGOs85O+yKVjEFCN/4XpD4ScTT4VlPWK
UNgIQAejNyKX+y6XX7b4iWeGH5o3sGlI0hqyIoIBpsDv+c84uisVcWh1HMftGW1S
w5xhhJ83bHJoFF9C7pwgAnV3eOzGc7LOMpBZyic0qZ7CHGTOuh//+Jgvivv3bPpW
eng8KcPALBRdal0NNde79iRZpI20RRVtUbiMkG3JTDmnWylcUAdmQZLcqYeZo1oJ
rg43Y4E/b9j5BH96Ezsf4MCJjU5zKh1FTaNrAR+GHl1skNoBhgLvkg==
=7k1O
-----END PGP SIGNATURE-----
120
Indentificação do incidente: