Certamente você já ouviu falar em equipes preparadas para receber e analisar incidentes de segurança nos computadores e redes, mas você sabia que eles são os chamados CSIRT e desempenham um papel de grande importância na resolução de problemas e vulnerabilidades.

Reunimos algumas informações importantes sobre o CSIRT para você entender mais sobre as equipes de Resposta a Incidente de Segurança, vamos lá?

Um CSIRT – Computer Security Incident Response Team, ou equipe de Resposta a Incidentes de Segurança, será responsável por receber, analisar e responder notificações e atividades relacionadas a problemas de segurança da informação e tem como objetivo manter a segurança da informação, contando com várias estratégias para proteção dos sistemas e dados.

Um CSIRT pode ser uma equipe formal ou uma ad hoc. As equipes formais têm a resposta a incidente como sua função principal, são destinados exclusivamente para essa função, já o ad hoc se apresenta somente quando ocorre algum incidente de segurança.

Devido ao aumento de incidentes de segurança o CSIRT passa a ter cada vez mais importância, ganhando mercado devido a conscientização por parte das organizações quanto às necessidades de práticas de gerenciamento de riscos.

Entre as funções do CSIRT, podemos verificar tanto funções reativas, quanto proativas, para auxiliar na proteção e segurança das organizações. Os serviços reativos se tipificam por se tomar atitudes por reação aos acontecimentos, ou seja, começar a agir após o incidente, já os serviços proativos, se antecipam aos problemas trazendo uma espécie de manual com as soluções e atitudes que devem ser tomadas caso ocorra um incidente.

O tratamento de incidentes prestado pelo CSIRT é composto pela notificação, análise, categorização e resposta, não existem funções padronizadas, cada time define e escolhe seus serviços com base nas necessidades das organizações.

 

Estruturas de CSIRT

Os CSIRTs possuem diferentes estruturas, se adequando ao tamanho e características das organizações. Vejamos alguns:

  • CSIRT interno ou centralizado: prestam serviço de tratamento de incidentes para as organizações que os contratam.
  • CSIRT distribuído: existem várias equipes que são independentes para as respostas, exigindo coordenação.
  • CSIRT nacional: são os que prestam respostas diretamente ao país. Podemos citar o JPCERT/CC, centro do Japão e o SingCERT, de Singapura.
  • Centros de coordenação: são aqueles que coordenam, organizam e facilitam o tratamento entre os diversos CSIRTs espalhados e equipes distribuídas.

 

Qual a importância de um CSIRT em uma organização?

Mesmo com boas estratégias de segurança e infraestrutura, contar com um CSIRT, deixara a organização mais preparadas para soluções e erradicações de ameaças, uma vez que nem sempre é possível estar livre de ações maliciosas.

Afinal, equipes como essa, tem capacidade de reconhecer, analisar e responder danos de forma rápida reduzindo prejuízos, diminuindo custos de recuperação e de danos à imagem do negócio.

 

Plano de resposta a incidentes (IRP)

Muitos são os tipos de ataques sofridos, como, DoS, DDoS, fraude e invasões.

Segundo o Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) são considerados incidentes quaisquer atividades como tentativas, com sucesso ou não, de ganhar acesso não autorizado a sistemas, dispositivos, serviços, dados ou redes.

A ideia do IRP é solucionar e gerenciar os ciberataques da forma mais rápida possível, indicando procedimentos, ferramentas, tecnologias e recursos para a execução minimizando tempo e custos.

Um IRP inclui instruções para diversos cenários e, de acordo com o Instituto SANS, podemos identificar seis etapas para respostas efetivas aos incidentes. São elas:

1. Preparação

Esta etapa visa preparar os usuários e a equipe de segurança para lidar com os potenciais incidentes do ambiente. Nessa fase deve ser incluída a definição de políticas de segurança, ferramentas, procedimentos e plano de comunicação.

2. Identificação

Aqui será definido os critérios que vão ativar o CSIRT, as equipes de segurança consolidam informações vindas de diversas fontes e determinam se o evento é verdadeiramente um incidente de segurança.

3. Contenção

A terceira etapa inicia-se após a identificação de um incidente, afinal ele precisa ser contido e isolado para que não afete outros sistemas e prejudique ainda mais o ambiente.

Essa fase podemos ter dois tipos de contenção, de curto prazo e de longo prazo. A de curto prazo caracteriza-se por ser uma resposta imediata, a fim de impedir que o ataque cause danos, diferente da contenção de longo prazo que abrange o restabelecimento do sistema afetado após a neutralização dos arquivos maliciosos e vulnerabilidades que viabilizaram o ataque.

4. Erradicação

Inicia-se encontrando a raiz do incidente, removendo a ameaça dos sistemas afetados e restaurando-os mediante a aplicação do plano de resposta e incidente.

5. Recuperação

Essa etapa permite que os sistemas afetados retornem ao seu funcionamento padrão após passarem por testes e validações, garantindo que as ameaças não permaneçam no ambiente e será momento que deverá ocorrer uma varredura para se certificar que não houve perdas ou como ocorrerá a recuperação de possíveis dados perdidos.

6. Lições aprendidas

Para encerrar o ciclo de Respostas a Incidentes, a última etapa será atualizar o IRP documentando o incidente, sua análise e ações realizadas para seu tratamento. Essa ação prepara a organização para lidar com futuros transtornos, contribuindo para o aprendizado da equipe.

 

Qual custo do CSIRT?

Essa é uma questão difícil de prever, afinal, dependerá da quantidade de recursos na equipe, o importante é avaliar o financeiro da empresa e definir qual valor poderá ser investido.

Após a definição do orçamento, será possível determinar se ocorrerá a contratação de um time externo, criar um time do zero ou utilizar pessoas que façam parte do time de colaboradores da empresa mediante treinamento específico para capacitá-los.

Tenha em mente que é praticamente impossível estar 100% protegido o tempo todo e empresas que cuidam de sua segurança têm grande diferencial no mercado, afinal, ter dados roubados ou vazados, podem causar diversos transtornos que podem ser irreversíveis, por isso, além de prevenir os problemas, é preciso estar preparado remediá-los caso eles ocorram.

Vale ressaltar, que implementação de um CSIRT não é um gasto e sim um investimento que manterá a segurança, integridade e proteção das informações e dados armazenados nos diversos sistemas da organização.

 

Quer saber mais como criar um CSIRT ou IRP? Entre em contato conosco.