Gestão de riscos: conheça o CSIRT e a aplicação nos negócios

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

O chamado CSIRT, nome designado internacionalmente a ser o grupo de respostas a incidentes de segurança, traz consigo uma enorme representatividade organizacional de inúmeras estruturas espalhadas ao redor do mundo, cada qual com a sua específica nomeação.

O CSIRT poderá ser um grupo ou organização que provê serviços e suporte a um público bem definido, para prevenção, tratamento e respostas a incidentes, podendo ser, por exemplo, um ponto central de contato, um provedor de informações para seu público assim como um intermediador na troca de informações com outros CSIRT’s.

Ultimamente vivenciam-se alguns problemas no cenário atual que fazem os desafios dos CSIRTS serem cada vez mais extensos. Prova disto é a complexidade crescente de novos sistemas, o grande número de vulnerabilidades, a incapacidade e ineficiência dos firewalls para barrar ataques, a facilidade de se ocultar os passos de uma invasão (engenharia social, por exemplo), comunicação rápida e eficiente entre os invasores (eles possuem seus próprios grupos), dificuldade em acompanhar as atualizações, raros CSIRT’s estabelecidos, além da falta de um melhor direcionamento legislativo. Tudo isso dentre outros inúmeros fatores se tornam o conjunto de um grande desafio a todos os CSIRT’s distribuídos pelo mundo. Fazendo assim com que o nascimento desta nova geração de CSIRT’s almeje grandes conquistas, mas que entendam esta nova cultura de um mundo não diferente do real, mas que sofreu esta metamorfose de informações, onde hoje não é mais o estereótipo da tradicional, ingênua e tangível ameaça.

O Grupo de Resposta a Incidentes para a Internet, é mantido pelo Comitê Gestor da Internet no Brasil e tem forte ligação ao CERT. Tem sido um importante fomentador da disseminação dos processos de gerenciamento de resposta a incidentes no Brasil, alimentando inclusive a lista de grupos espalhados pelo mundo. O CERT (http://www.cert.br/ ) mantém em seus sites uma lista atualizada de grupos de resposta a incidentes e seus respectivos contatos.

A sigla CSIRT provém da RFC 2350, documento que contém uma descrição geral e padronizada das atividades desenvolvidas por esse grupo, mas além desta sigla existem outros acrônimos usados por outros grupos espalhados pelo mundo como demonstrado na tabela abaixo.

Acrônimos de alguns grupos:

CSIRT

Computer Security Incident Response Team

CERT

Computer Emergency Response Team

CIRC

Computer Incident Response Capability

CIRT

Computer Incident Response Team

IRC

Incident Response Center ou Incident Response Capability

IRT

Incident Response Team

SERT

Security Emergency Response Team

SIRT

Security Incident Response Team

A estrutura organizacional

Como em todo início de um novo projeto, não basta dispor dos melhores profissionais com a melhor estrutura física e recursos, se não tiver o elemento fundamental que é o planejamento.

O escopo de todo este planejamento deverá transcender as barreiras das intimidações, inseguranças e falta de apoio. Sim, a tarefa não é fácil, pelo simples fato de lidarmos com pessoas de diversas opiniões e suas ideologias. É gratificante na medida em que você consegue vender a ideia, convencendo os “stakeholders” de que vale a pena criar um CSIRT.

Para iniciar todo esse processo relevante às questões organizacionais, deve-se literalmente conhecer a organização. A identificação dos recursos e riscos é fundamental, para que se possa saber, por exemplo, se a organização irá aproveitar uma estrutura preexistente ou se irá demandar a aquisição de uma nova estrutura que abrigará o CSIRT para execução de suas atividades, o que exigirá novos custos, mas justificável dada à importância de sua aplicabilidade. Os riscos decorrentes devem ser considerados, sim! Caso não se tenha uma estrutura independente, ou seja, que esteja sendo compartilhada, a criação deste CSIRT poderia afetar negativamente em algum aspecto em nível de disponibilidade e produtividade. Outro fator de risco seria a preparação deste “novo setor” em virtude ao aumento de ataques sofridos, em decorrência de a organização ser mais visada, após a divulgação da existência ativa de seu CSIRT. São inúmeras as variantes a serem analisadas para cada tipo de organização. Cada caso é um caso.

O conhecimento prévio de outras organizações que possuem CSIRT é um fator importante a ser considerado. Se for criar um CSIRT e sua organização é do segmento educacional, por exemplo, nada mais conveniente que pesquisar informações de outras que possuem um CSIRT implantado algum tempo. Conversar com os responsáveis, trocar ideias de estudos de caso, como iniciaram, os desafios e atalhos. Em suma, entender os princípios elementares do que é,como e o que faz um CSIRT.

Preparação operacional

Quando se fala em tratamento de incidentes, o ideal é que o nivelamento de conhecimentos e capacitação de toda equipe CSIRT esteja padronizado. Como referenciado em tópicos anteriores, é interessante sim que haja uma segmentação em grupos especializados dentro do CSIRT, onde é natural que alguns entendam mais de uma área do que outro. Praticamente impossível encontrar alguém hoje que detenha conhecimentos e domínio absoluto de banco de dados, redes, linguagens de programação, criptografia, onde centralizássemos tudo em uma só pessoa. Não vamos encontrar isso, certamente. Mas conseguir com que haja este nivelamento de conhecimentos de toda equipe sobre o processos e procedimentos da política adotada, isso sim é possível e deve ser exigido. Para que não haja, por exemplo, o comprometimento de evidências em determinado incidente, no qual um dos integrantes, não estando em sintonia com estes conhecimentos, colocaria “tudo a perder”. Estas diferentes etapas empregadas pelo CSIRT quanto ao tratamento de incidentes podem ser divididos da seguinte forma:

csirt_incidentes

Alicerces legais

Geralmente temos o hábito de reclamar das coisas que somos proibidos de realizar, seja por alguma norma ou demais regras, assim como questionar porque o outro pode e você não, sem antes compreender porque aquilo foi originado, firmando-se como algo irrevogável. E quase que engessados pela acomodação ou pela morosidade com que tudo aquilo que nos faça favorecer por direito ocorre, fingimos não ter acontecido, ou deixamos de lado até cair no esquecimento, ficando por isso mesmo os fatos decorrentes nos diversos aspectos que decorrem em nossas vidas. Consequentemente o tratamento das leis no âmbito tecnológico, segue a mesma tônica, ou seja, passam despercebidas, ou são ignoradas, mal interpretadas, não levando até onde devem chegar para um questionamento correto e coerente de direito.

Infelizmente as leis no contexto tecnológico, são incompletas, inconsistentes, voláteis, em função da constante transformação com que tudo ocorre, nesta área do conhecimento. Tais leis, são ao mesmo tempo confusas e conflitantes além de inadequadas e obsoletas, no que tange o tratamento às questões virtuais. Destaca-se então aqui, o papel importante do CSIRT neste cenário, que não é ficar somente retrucando compulsivamente aquilo que não concorda ou que acha que deveria ser diferente ou tratado de forma mais flexível, mas sim ajudar a criar novas leis, a buscar atualizações e readequações às já existentes. Enfim, estar buscando a constante melhoria no que rege legalmente ao ambiente em que trabalham e são de certa forma, submetidos a respeitar.

Não é novidade que muitos processos que caem em julgamento, e perante pleno tribunal, ficam à mercê de respostas evasivas ou simplesmente sem resposta. Ocorrendo novas protelações, adiamentos até que um novo estudo, uma nova dinâmica e lógica daquilo que esta sendo julgado esteja mais coerente com a realidade da situação envolvida entre as partes. É importante que o CSIRT sinta esta realidade, que viva de forma concreta as leis em si, e principalmente esteja preparado para entender aquilo que o envolve.

Saber o que é legislação faz parte desta dinâmica inerente às atividade executadas pela equipe CSIRT em certos momentos. E segundo o portal da câmara dos deputados a legislação é algo democrático de direito, sendo originária de processo legislativo que constrói, a partir de uma sucessão de atos, fatos e decisões políticas, econômicas e sociais, um conjunto de leis com valor jurídico, no plano nacional e internacional, para assegurar estabilidade governamental e segurança jurídica às relações sociais entre cidadãos, instituições e empresas.

Os aspectos legais aparentemente trazem consigo a impressão de serem complicados, incompreensíveis, precursores de explicações embasadas a fatos e teorias inócuas, que pouco colaboram no entendimento e resolução daquilo que se espera resolver, arbitrário ao “bem” ou ao “mal”. O usuário assim fica inerte, à mercê do poder judiciário, deixando de entender que simplesmente a legislação é um consenso coletivo de políticas locais que podem fazer do assunto tratado, um problema ou um desafio. E o CSIRT , com isso deverá saber, dançar conforme a música, estando ciente das leis já existentes ao que lhe convêm, assim como aquelas que estão em processo de existência ou mudança.

Escopo técnico

Não é regra para que ser um excelente engenheiro hoje, o profissional deve ter sido um pedreiro ou mestre de obras ontem. Mas que além de toda teoria assimilada em anos de estudo, a prática do contato técnico na experiência de entender como funciona, certamente agregará vantagens competitivas e, sobretudo gerenciais que produzem uma visão diferenciada daquilo que o envolverá no dia a dia de seu trabalho enfrentando novos desafios.

Focado neste pensamento é que o CSIRT transcenderá ao fato de combater um incidente devendo familiarizar-se com os conceitos técnicos por de trás destes incidentes de segurança em computadores, com a terminologia técnica utilizada em incidentes, na compreensão de como os intrusos agem entendendo quais vulnerabilidades são exploradas e inteirar-se em como outros grupos de segurança estão fazendo para combater as ameaças que surgem.

Vulnerabilidades e alertas

As vulnerabilidades são conhecidas como grande causa da maioria de incidentes de segurança. E resulta ser muito importante que a equipe CSIRT e demais funcionários compreendam porque tais vulnerabilidades existem e como tratá-las. As vulnerabilidades não podem ser evitadas do nada (lei da natureza); mas seu impacto acontece frequentemente pelo mau uso dos recursos, por pressões sofridas ou imprudências que se tornam problemas agravantes e generalizadas.

É natural que os CSIRT’s sejam envolvidos em vários estágios diferentes do ciclo de vida relativa a uma vulnerabilidade. Quase sempre se busca “o culpado” após o incidente ter ocorrido anunciando as consequências que determinada vulnerabilidade, depois de descoberta, causou. E logo após as investigações, ou durante ela, descobrem-se gargalos que vão se tornando buracos e depois crateras, tamanha as falhas que vieram alastrando-se por falta de comunicações, orientações e direcionamento correto, sejam pela equivocada centralização de atividades que muitos acham ainda ser a solução definitiva e mais plausível por às vezes funcionar em determinado setor, seja pela burocratização imatura e incoerente aos processos decorrentes.

A importância do CSIRT conhecer quais são as fontes de informação existentes, buscando ajuda interna (sabendo explorar os potenciais de sua equipe) e de outros CSIRT’s (sabendo buscar extrair a troca de experiências e lições aprendidas), faz com que tornem as coisas melhores, e não piores do que já estejam.

Mas vamos aqui entender que a caminhada é longa e difícil, pelo fato de que todos os sistemas e demais aplicações existentes possuírem deslizes, erros, falhas em sua programação. Até mesmo grandes empresas, vez ou outra divulgam novas patchs, hotfix, atualizações para suprirem as brechas já utilizadas que estão no mercado e produção. E não é diferente também com as redes de computadores que são sistemas bastante complexos e que também contêm erros e inconsistências.

Para se ter uma razoável ideia do cenário ao qual qualquer equipe CSIRT irá confrontar, a Sophos uma das líderes no mercado de controle em segurança, divulgou em seu diário de notícias, que – existem cerca de novas 9500 infecções de sites web no mundo – um aumento de mais de 1000 infecções diárias, quando comparado à abril de 2007. Um total de 304.000 web-pages que hospedam código malicioso foram identificadas em maio.

csirtPortanto, o CSRIT que hoje não souber trabalhar com as pressões diárias, com as demandas e exigências de seu cliente e com as chamadas leis da natureza, poderá ser forte candidato a ser sufocado pela enxurrada de vulnerabilidades e alertas que o cercará diante sua rotina de trabalho no combate aos incidentes.

Para maiores detalhes deste vasto mundo dos incidentes de segurança e os  obstáculos que um Grupo de Resposta a Incidentes possui, poderão ser encontrados no livro: Criando um CSIRT – “Computer Security Incident Response Team” e entendendo seus desafios .

[Webinsider]

…………………………

Leia também:

…………………………

Conheça os cursos patrocinadores do Webinsider

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *