Trabalhar com segurança da informação é priorizar ações preventivas e um gerenciamento efetivo de riscos. Afinal, um dos maiores ativos da atualidade é a informação em nuvem. Qualquer ameaça à integridade desses dados pode representar prejuízos expressivos para pessoas físicas e jurídicas. Ainda assim, quando não é possível prever ou impedir que essas falhas corrompam os sistemas, a área de TI também conta com um escopo de trabalho corretivo chamado de “metodologias de resposta a incidentes”.
Em linhas gerais, esse conceito define as boas práticas de atuação de uma Equipe de Resposta a Incidentes de Segurança em Sistemas Computacionais (CSIRT – Computer Security Incident Response Team), com o objetivo de reagir de maneira adequada aos perigos e ameaças que corromperam uma rede.
Até 2020, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) compilou todos os incidentes reportados à instituição, sendo registrados no primeiro ano, 1999, 3.107 incidentes e no último, 2020, 665.079 mil incidentes.
De janeiro a dezembro desse período de avaliação final, dos 665.079 incidentes reportados, chamou atenção a variedade das ameaças encontradas:
- Fraude (segundo Houaiss, “qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro”. Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem): 4,60%
- Scan (notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador): 59,85%
- Worm (notificações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede): 20,15%
- Web (um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet): 3,99%
- Invasão (um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede): 0,18%
- DoS (DoS -Denial of Service: notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede): 10,25%
- Outros (notificações de incidentes que não se enquadram nas categorias anteriores): 0,97%
De lá para cá, os cibercrimes têm se sofisticado ainda mais, requerendo uma atuação dos times de segurança da informação cada vez mais incisiva e com aplicação efetiva das metodologias de respostas a incidentes.
Neste artigo vamos conversar mais sobre tais documentos e sobre a importância de uma equipe especializada nessa área, em qualquer negócio.
O que são as metodologias de resposta a incidentes?
Como mencionamos anteriormente, as metodologias de resposta a incidentes descrevem boas práticas que devem ser seguidas pelas equipes de segurança da informação para uma atuação estratégica e efetiva, em caso de alguma ameaça.
Existem diretrizes na literatura acadêmica que orientam as equipes de Resposta a Incidentes de Segurança em Sistemas Computacionais (CSIRT) na formulação dos seus planos de segurança em TI, entretanto, é importante que cada uma delas elabore um escopo específico, avaliando as demandas e necessidades particulares de um entidade da informação.
O CERT do Banco Societe Generale, da França, por exemplo, disponibiliza guias práticos sobre formas de estruturar a resposta a incidentes em alguns casos específicos. Esses documentos, chamados de IRM (Incident Response Methodologies), podem servir de base para que CSIRTs desenvolvam seu planejamento e metodologias próprias de resposta a incidentes do local onde trabalham.
Além disso, os autores Kenneth Wyk e Richard Forno descrevem os modelos de resposta a incidentes de segurança compostos pelas seguintes etapas:
1) Identificação – etapa que detecta a existência de um incidente de segurança, por meio de notificações externas ou por ferramentas de monitoramento de rede, como os IDS (sistema de detecção de intrusão)
2) Coordenação – ocorre após a identificação de um incidente e de suas consequências. Aqui são sugeridas possíveis planos de ação para conter a ameaça ou torná-la menos prejudicial. Reconhecendo o perigo e sua origem, os profissionais de TI podem ter insights sobre como driblá-lo.
3) Mitigação – etapa destinada a isolar o incidente e, por meio do plano de ação desenvolvido na etapa anterior, avaliar a extensão do dano causado pela ameaça à rede.
4) Investigação – é como se fosse uma gestão de conhecimento para futuros incidentes. Essa etapa coleta e analisa as evidências do risco à segurança da informação ocorrido no momento, com o intuito de gerar relatórios para possíveis novos ataques e para o que deve ser feito para conter o perigo atual.
5) Educação – etapa que verifica se as metodologias de resposta a incidentes implementadas realmente foram efetivas.
Qual a função das metodologias de resposta a incidentes?
O objetivo das metodologias de resposta a incidentes é oferecer documentação base, para que equipes CSIRTs tenham uma orientação empírica, teórica e prática acerca das ameaças e possíveis incidentes à instituição de informação a qual estão associadas.
Em outras palavras, as metodologias são documentos previamente estipulados que direcionam os planos de segurança da informação, com o propósito de informar o que fazer caso algum incidente aconteça na rede, possibilitando que os times de TI tenham uma resposta mais rápida caso as ameaças sejam efetivadas na rede.
De forma análoga, podemos dizer que as metodologias são “bulas de remédio”, que o profissional TI designado para esta área precisa seguir para conter uma ameaça à rede. O plano é feito para ser seguido e executado, entretanto, no caminho pode sofrer alterações, uma vez que a vida prática é muito diferente da vida planejada.
Dessa forma, as metodologias de resposta a incidentes devem levar em conta diretrizes estabelecidas no mercado, como os 15 tipos diferentes de incidentes, publicados sob a licença Creative Commons Attribution 3.0
- IRM-1 : Worm infection
- IRM-2 : Windows intrusion
- IRM-3 : Unix intrusion
- IRM-4 : Distributed Denial of Service
- IRM-5 : Malicious Network Behaviour
- IRM-6 : Website Defacement
- IRM-7 : Windows Malware Detection
- IRM-8 : Blackmail
- IRM-9 : Malware on smartphone
- IRM-10 : Social Engineering
- IRM-11 : Information Leakage
- IRM-12 : Insider Abuse
- IRM-13 : Phishing
- IRM-14 : Scam
- IRM-15 : Trademark Infringement
Como precisam também estar em consonância com as singularidades de cada entidade da informação.
A metodologia de resposta a incidente para de uma organização deve ser um plano, pautado em análises e dados mensuráveis de ameaças, que seja capaz de tornar o trabalho das CSIRTs realmente bem-sucedido.
O que são Incidentes de Segurança?
De acordo com o CERT.br, os incidentes de segurança podem ser descritos como:
“Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores”.
Portanto, tudo aquilo que coloca um sistema de informação em risco, sendo a gravidade do incidente medida de acordo com o impacto que ele tem nos processos da organização.
Para esses casos, o tratamento das ameaças é previamente estipulado pelas metodologias de resposta a incidentes
O que é Resposta a Incidentes de Segurança?
Também segundo o CERT.br, a Resposta a Incidentes de Segurança é:
“Uma metodologia organizada para gerir consequências de uma violação de segurança de informação”.
Ou seja, um planejamento de atuação contra qualquer tipo de evento que coloque em risco os sistemas de informação.
Como executar metodologias de resposta a incidentes?
A Escola Superior de Redes, uma das maiores referências em capacitação em tecnologia do Brasil e mundo, oferece o curso “Tratamento de Incidentes de Segurança (EaD), para profissionais de TI que desejam se especializar na estruturação de um CSIRT (Computer Security Incident Response Team) efetivo.
Neste curso, o profissional aprende a tratar incidentes de segurança, reconhecendo conceitos, as fases de tratamento de incidentes de segurança, além de realizar exercícios práticos e simulações de casos.
Ao final dos conteúdos programáticos o aluno sai preparado para iniciar a criação de um grupo de atendimento a incidentes de segurança (Computer Security Incident Response Team CSIRT) e para implementar metodologias de resposta a incidentes de segurança da informação.