Equipa de resposta a incidentes de segurança informática (CSIRT)

Uma equipa de resposta a incidentes de segurança informática, ou CSIRT, é um grupo de profissionais de TI que fornece a uma organização serviços e suporte que envolvem a avaliação, gestão e prevenção de emergências relacionadas com cibersegurança, bem como a coordenação dos esforços de resposta a incidentes.

O principal objectivo de um CSIRT é responder a incidentes de segurança informática de forma rápida e eficiente, recuperando assim o controlo e minimizando os danos. Isso envolve seguir as quatro fases de resposta a incidentes do National Institute of Standards and Technology (NIST):

  1. preparação
  2. detecção e análise
  3. contenção, erradicação e recuperação
  4. actividade pós-incidente

Para isso, os CSIRTs podem assumir muitas responsabilidades, incluindo as seguintes:

  • criar e actualizar planos de resposta a incidentes;>manter e comunicar informações a entidades internas e externas;>li>identificar, avaliar e analisar incidentes;>coordenar e comunicar os esforços de resposta;
  • incidentes imediatos;
  • relatar incidentes;>gerir auditorias;
  • rever políticas de segurança; e> recomendar mudanças para prevenir incidentes futuros.

Uma suposição central desta definição é que um CSIRT é uma entidade organizada com uma missão, estrutura e papéis e responsabilidades definidos. Esta suposição exclui qualquer atividade ad hoc ou informal de resposta a incidentes que não tenha um eleitorado definido ou papéis e responsabilidades documentados. Essa suposição é motivada pela crença de que, sem uma capacidade formalizada de resposta a incidentes, não é possível dar uma resposta eficaz a incidentes.

O Fórum de Equipes de Resposta a Incidentes e Segurança, uma associação internacional de equipes de resposta a incidentes, lançou o "PRIMEIRO CSIRT Framework". Este documento detalhado se baseia na orientação do Centro de Coordenação de Equipes de Resposta a Emergências de Computador (CERT/CC) que tem sido usada desde o final da década de 1980. A estrutura também delineia áreas de serviço que os CSIRTs poderiam oferecer aos seus componentes, incluindo gerenciamento de eventos de segurança da informação, gerenciamento de incidentes infosec, gerenciamento de vulnerabilidades, conscientização situacional e transferência de conhecimento.

Este artigo é parte de

>/i>Guia Útil para resposta a incidentes de cibersegurança

  • >
  • Que também inclui:
  • Crie um plano de resposta a incidentes com este modelo gratuito
  • > Como construir uma equipe de resposta a incidentes para a sua organização
  • /span>/span>Resposta a incidentes: How to implement a communication plan

Download1

Download this entire guide for FREE now!

CSIRT attributes and processes

While every CSIRT is unique to its organization, in general, CSIRTs have three attributes that differentiate them from other incident response teams: their mission statement, constituency and list of services.

Mission statement

The CSIRT mission is a statement of purpose or its reason for existing. A CSIRT's mission defines its areas of responsibility and serves to set expectations with its constituency.

An example CSIRT mission statement may be: "It is the mission of XYZ CSIRT to protect XYZ Corp. by creating and maintaining the capability of detecting, responding and resolving computer and information security incidents."

Constituency

A CSIRT constituency must be clearly defined. Esta é a base de clientes ou destinatários dos serviços de resposta a incidentes. O círculo eleitoral é assumido como único para um determinado CSIRT e é freqüentemente sua organização matriz.

>> forte>Lista de serviços

A missão do CSIRT é realizada através da prestação de serviços CSIRT ao seu círculo eleitoral. Os CSIRTs podem oferecer vários serviços, mas existem serviços fundamentais que um CSIRT deve oferecer para ser considerado uma equipe formal de resposta a incidentes. Em seu nível mais básico, um CSIRT deve ser capaz de fazer o seguinte:

  • Receber>forte> um relatório de incidente de um constituinte. Para receber um relatório de incidente de um constituinte do CSIRT, o constituinte precisa primeiro saber que o CSIRT existe. Os constituintes também precisam entender o que o CSIRT faz e como seus serviços são acessados, assim como os níveis de serviço e qualidade que ele pode esperar. Assim, o CSIRT precisa ter definido sua missão e serviços, anunciar-se ao seu eleitorado e publicar orientações sobre como os serviços incidentes são solicitados. Isso inclui a publicação de uma política de resposta ao incidente, processos, procedimentos, formulários e recursos necessários para informar e habilitar os círculos eleitorais a arquivar relatórios de incidentes.
  • > forte>Analisar> forte>> um relatório de incidente para validar e entender o incidente. Uma vez recebido um relatório de incidente, o CSIRT analisa o relatório para validar que um incidente ou outro tipo de atividade que se enquadra na missão do CSIRT realmente ocorreu. O CSIRT então determina se ele entende o relatório e o incidente suficientemente bem para criar uma estratégia de resposta inicial que cumpra os objetivos de recuperar o controle e minimizar os danos. Parte de ser capaz de analisar um relatório de incidente e responder eficientemente é ter uma equipe que possa executar uma variedade de tarefas. Os membros do CSIRT devem ter planos, políticas e procedimentos escritos que documentem suas funções e responsabilidades específicas.
  • > forte>Fornecer suporte de resposta ao incidente.de como o CSIRT está organizado e dos serviços oferecidos, um CSIRT pode fornecer suporte de resposta a incidentes através do seguinte:

>

    • serviços de resposta a incidentes no local fornecidos diretamente ao componente;
    • serviços de resposta a incidentes fornecidos por e-mail ou telefone; ou
    • serviços de resposta a incidentes coordenados que combinam e alocam os esforços de equipes de resposta a incidentes múltiplos através de múltiplos componentes.

Em algumas situações, o CSIRT de uma organização pode apenas desenvolver e supervisionar estratégias e serviços de resposta a incidentes em vez de implementá-los. Por exemplo, outros grupos ou departamentos, tais como engenheiros de rede ou proprietários de sistemas e dados, podem executar a estratégia de resposta com o CSIRT gerenciando o esforço.

CSIRT structures

Como um CSIRT é estruturado depende das necessidades de sua organização mãe. Por exemplo, considere se é necessária uma cobertura 24/7, a disponibilidade de funcionários treinados, se são necessários membros da equipe em tempo integral ou parcial, e custos operacionais.

Existem várias estruturas CSIRT comuns, incluindo as seguintes:

  • CSIRT centralizado. Em um CSIRT centralizado, uma única equipe de resposta a incidentes serve a toda a organização, e todos os recursos de resposta a incidentes estão contidos dentro da unidade dedicada. Este modelo é bem adequado para pequenas organizações ou organizações com escopo geográfico limitado.
  • >forte>SIRT distribuída>>forte>>. Em um CSIRT distribuído, existem várias equipes de resposta a incidentes independentes. A distribuição dos recursos do CSIRT pode depender do amplo escopo geográfico da organização ou da localização de suas principais instalações. Outros atributos que incluem se uma empresa é organizada por uma estrutura de unidade de negócios ou simplesmente pela distribuição de funcionários e ativos de informação também podem influenciar a distribuição do CSIRT. Adicionalmente, a maioria dos modelos CSIRT distribuídos requerem um CSIRT.
  • >forte>>Coordenação CSIRT>forte>. Este CSIRT gere outros CSIRTs, muitas vezes subordinados. Este CSIRT coordena atividades de resposta a incidentes, fluxo de informações e fluxo de trabalho entre equipes distribuídas. Um CSIRT coordenador pode não fornecer nenhum serviço independente de resposta a incidentes em si. Em vez disso, ele se concentra no uso eficiente e eficaz de recursos nas equipes distribuídas. Por exemplo, o CERT/CC, a equipe de resposta a emergências por computador do Software Engineering Institute (SEI), é um CSIRT coordenador que orquestra atividades entre CSIRTs nacionais, governamentais e regionais.
  • > forte>Hybrid CSIRT>> forte>. Um CSIRT híbrido combina atributos de CSIRTs centralizados e distribuídos. O componente central do CSIRT é freqüentemente em tempo integral, e o componente distribuído é composto por especialistas no assunto (PMEs) que podem não estar ligados a atividades de resposta a incidentes, exceto quando necessário, durante eventos de segurança. Neste modelo, quando o CSIRT central detecta um evento potencial, ele analisa o incidente e determina as necessidades de resposta. Então, os especialistas CSIRT apropriados e distribuídos podem ser chamados para ajudar nessas atividades. Embora um CSIRT híbrido dependa de PMEs que não são membros do CSIRT em tempo integral, ele é definitivamente uma equipe formal de resposta a incidentes. As unidades híbridas de especialistas CSIRT distribuídos são designadas como profissionais de resposta a incidentes com funções e responsabilidades definidas e recebem treinamento formal de resposta a incidentes. Eles também podem ser requisitados para obter e manter certificações de manipuladores de incidentes.
  • >forte>CSIRT/SOC hybrid>forte>. Neste modelo híbrido especializado, o centro de operações de segurança (SOC) é responsável por receber todos os alertas, alarmes e relatórios indicando potenciais incidentes. Se o SOC necessitar de ajuda com análises adicionais, o CSIRT é activado. Em geral, o SOC atua como um front end para o CSIRT, realizando a detecção de incidentes, e depois passa os incidentes para o CSIRT para tratar.
  • >forte>SOCT de fontes externas>>forte>>. Um CSIRT de fontes externas pode ser uma opção útil para as empresas que não têm recursos ou pessoal para construir uma equipe interna. Este modelo CSIRT envolve a contratação de uma equipe interna de CSIRT com empreiteiros em vez de funcionários ou terceirização de tarefas e serviços CSIRT que podem ser apenas ocasionalmente necessários, como forenses digitais.

Como construir um CSIRT

Desenvolver uma estratégia eficaz de resposta a incidentes significa que uma organização pode detectar e responder a um incidente de computador ou infosec de uma forma que limite os danos e mantenha os custos de recuperação tão baixos quanto possível.

Ao desenvolver uma equipe de resposta a incidentes, considere o seguinte:

  • Decida que tipos de antecedentes técnicos, funções e responsabilidades são necessários.
  • Atribua um líder de equipe para supervisionar os esforços do CSIRT, assim como comunicar incidentes e progresso à liderança executiva.
  • Determine o modelo organizacional CSIRT adequado e as horas de funcionamento necessárias para a equipe.
  • Criar planos, políticas e procedimentos de segurança para uma variedade de ameaças e incidentes potenciais.
  • Fornecer aos membros do CSIRT educação e treinamento de conscientização de rotina sobre cibersegurança.
  • Conduzir avaliações de risco em todo o sistema.>Identificar ativos de resposta a incidentes críticos, incluindo dados, processos de negócios, tecnologia e pessoas.
  • Dispor de um plano de gerenciamento de ativos bem documentado.
  • Implemente um programa de gerenciamento de configuração para assegurar que todo o software seja corrigido e quaisquer atualizações sejam testadas e aplicadas em tempo hábil.
  • Execute uma arquitetura de rede defensiva usando roteadores, firewalls, sistemas de detecção e prevenção de intrusão (IDSes/IPSes), monitores de rede e operações de segurança.

CSIRT papéis dos membros

Um CSIRT a funcionar eficazmente requer um conjunto de membros com várias habilidades e responsabilidades. No entanto, não há uma abordagem de tamanho único. As organizações precisam de pessoal e treinar os funcionários para atender suas necessidades específicas de resposta a incidentes de segurança.

Fatores transversais afetam a organização das funções CSIRT, incluindo o perfil de risco da organização e a estrutura CSIRT. Em geral, os membros do CSIRT incluem o seguinte:

  • CSIRT team lead. Esta função executiva, tipicamente ocupada pelo diretor de segurança da informação (CISO), comunica incidentes com os executivos da suíte C e coordena o orçamento do CSIRT.
  • Gerente de incidentes. Esta função coordena as reuniões do CSIRT, assegura a responsabilidade dos membros do CSIRT em toda a organização e determina se os resultados dos incidentes devem ser escalados para os executivos.
  • >forte>Suportando a equipe CSIRT. Essas funções técnicas, tais como analista de segurança, encarregado de incidentes, chefe de turno ou investigador forense, são responsáveis pela detecção de incidentes, resposta e atividades de relatório.
  • >forte>Cross-funcionais funções CSIRT. Para realizar sua missão, um CSIRT freqüentemente incorpora profissionais legais, de recursos humanos (RH) e de relações públicas (RP) na equipe. Por exemplo, um membro da equipe jurídica aconselha sobre possíveis ações judiciais de acionistas ou funcionários, assim como o processo de divulgação de incidentes. Um papel de RH no CSIRT gerencia questões de pessoal e comunica incidentes aos funcionários. A equipe de RP trata de comunicados à imprensa; comunicações de funcionários, parceiros, clientes e partes interessadas; e perguntas da mídia sobre incidentes de segurança./ul>

As habilidades e responsabilidades dos membros do CSIRT

A equipe CSIRT desempenha um papel crítico na manutenção da missão e do serviço do CSIRT. Um CSIRT eficaz requer que os membros da equipe mantenham uma gama diversificada de habilidades técnicas e não técnicas.

Technical skills

CSIRT staff precisa de uma linha de base de habilidades técnicas e conhecimentos de segurança para realizar tarefas diárias. Uma compreensão geral dos princípios de segurança, vulnerabilidades, programação e protocolos de rede constituem esta linha de base. Além disso, a equipe CSIRT deve ser treinada nas seguintes habilidades técnicas para lidar com incidentes:

  • identificar táticas e técnicas de intrusão;
  • segurar comunicações CSIRT através de criptografia;
  • analisar incidentes para determinar como responder efetivamente; e
  • manter registros e relatórios de incidentes.

Habilidades não-técnicas

CSIRT o trabalho é baseado em serviços. Assim, toda a equipe CSIRT deve demonstrar diplomacia e comunicar competência nas interações com os constituintes.

  • >
  • > forte>>Vontade de seguir instruções. A equipe deve estar familiarizada com procedimentos e políticas CSIRT definidas e a importância de mantê-las.
  • >> forte>Comunicação. A equipe deve demonstrar habilidades efetivas de comunicação escrita e interpessoal necessárias para cumprir deveres tais como documentar relatórios de incidentes ou apresentar briefings técnicos.
  • Colaboração. Devido à natureza cooperativa da estrutura CSIRT, os membros devem ser jogadores de equipe comprometidos para garantir a moral coletiva, produtividade e agilidade.
  • Gestão do tempo. A equipe deve entender como usar os critérios fornecidos para priorizar várias atividades CSIRT e determinar quando pedir ajuda à gerência.
  • > forte> raciocínio analítico. O pessoal do CSIRT precisa de pensar fora da caixa para antecipar técnicas de ataque e resolução de problemas em situações potencialmente voláteis.
  • > forte>Gestão do stress. A natureza exigente da resposta a incidentes e o risco de queima da equipe de segurança justificam atenção especial ao gerenciamento do estresse, bem como ao equilíbrio entre trabalho e vida pessoal.
  • > forte>Aprendizagem contínua. A resposta a incidentes é uma área de especialização em constante mudança. Assim, os membros do CSIRT devem ser pessoas inquisitivas e abraçar oportunidades para desenvolver suas habilidades através de treinamento, certificação ou mentoria.

CSIRT management

É importante ter um CSIRT disperso e bem gerenciado. A maioria dos CSIRTs são estruturados para manter o monitoramento 24 horas por dia, 7 dias por semana. Isto é feito dividindo as horas de operação em três turnos, cada um com um lead de turno designado. Durante seus turnos, os chefes de turno devem comunicar seu trabalho e seus resultados com outros chefes de turno. Estas informações devem então ser transmitidas ao líder da equipe CSIRT ou ao membro da equipe executiva para manter a transparência com o resto da organização.

As empresas maiores devem não apenas separar os funcionários por tempo, mas também por localização geográfica. Empresas menores podem achar mais econômico terceirizar processos CSIRT para depois do horário de trabalho.

SOC vs. CSIRT vs. CERT

As organizações podem empregar um ou mais dos três principais tipos de equipes de resposta a incidentes: CSIRTs, SOCs e CERTs. Algumas vezes, esses termos são usados como sinônimos, embora existam diferenças, dependendo do uso que a organização faz do(s) termo(s).

O mais único dos três é o SOC. Esta instalação dedicada monitora e defende tecnologia e hardware e atua como um centro de comando e controle para uma organização, região ou país. Ele protege redes, servidores, aplicações e pontos finais. As responsabilidades de um SOC, entretanto, vão além das de apenas resposta a incidentes.

Imagem comparando CSIRT, CERT e SOC Embora um CSIRT, CERT e SOC sejam considerados tipos separados de equipes de resposta a incidentes, eles têm metas e responsabilidades sobrepostas.

CSIRT, CERT e a equipe de resposta a incidentes de computador (CIRT), menos frequentemente utilizada, são frequentemente usadas de forma intercambiável. Em geral, CSIRTs, CERTs e CIRTs lidam todos com resposta a incidentes, embora suas tarefas específicas possam variar de acordo com a organização. A terminologia usada por uma organização deve ser definida adequadamente, juntamente com as metas, estrutura e uso dos recursos necessários para responder adequadamente aos incidentes.

É importante notar que CERT é uma marca registrada da Carnegie Mellon University (CMU). As organizações podem usar a marca CERT após obterem a autorização. Entretanto, algumas organizações -- provavelmente sem saber que é marca registrada -- ainda a utilizam para definir suas equipes de resposta a incidentes.