A Computer Emergency Response Team (CERT) é um grupo de especialistas em segurança da informação responsável pela proteção contra, detecção e resposta a incidentes de cibersegurança de uma organização. Uma CERT pode focar na resolução de incidentes como violações de dados e negação de serviço ataques, bem como fornecer alertas e diretrizes de tratamento de incidentes. Os CERTs também conduzem campanhas contínuas de conscientização pública e se envolvem em pesquisas destinadas a melhorar os sistemas de segurança.
A equipe original de resposta a incidentes de segurança informática, o Computer Emergency Response Team Coordination Center (CERT/CC), foi criado no final de 1988 na Carnegie Mellon University em Pittsburgh, Pennsylvania.
Qual é o papel de uma equipe de resposta a emergências?
Independentemente de serem chamadas de CERT, CSIRT, IRT ou qualquer outro nome similar, o papel de todas as equipes de resposta a emergências em computadores é bastante comparável. Todas essas organizações estão tentando atingir as mesmas metas relacionadas à resposta a incidentes de segurança informática para recuperar o controle e minimizar danos, fornecendo ou auxiliando na resposta e recuperação eficaz de incidentes e evitando que incidentes de segurança informática voltem a ocorrer.
Em geral, uma equipe de resposta a incidentes é responsável por proteger a organização de problemas de computador, rede ou segurança cibernética que ameaçam uma organização e suas informações. Um modelo universal de resposta a incidentes que está em uso há muito tempo é o modelo "proteger, detectar e responder":
Este artigo faz parte de
>/i>Guia Útil para resposta a incidentes de segurança cibernética
- que também inclui:
- /span>Criar um plano de resposta a incidentes com este modelo gratuito
- Como construir uma equipe de resposta a incidentes para a sua organização
- /span>Resposta a incidentes: How to implement a communication plan
Download1
Download this entire guide for FREE now!
Protect
This refers to making sure an organization has taken the necessary measures and precautions to secure itself before any cybersecurity problems arise. This area focuses on proactive strategies rather than reactive strategies. Some of those protection strategies are:
- Create an organizational incident response plan.
- Perform risk assessments or analysis.
- Create an up-to-date asset inventory management
- Implement vulnerability scanning tools and intrusion detection systems (IDS).
- Prover treinamento de conscientização de segurança para todos os funcionários.
- Configuração, vulnerabilidade e gerenciamento de patches
- Desenvolver planos de segurança, políticas, procedimentos e materiais de treinamento de resposta a incidentes.
- Detalhe diretrizes para os usuários sobre quais questões de segurança devem ser relatadas e esboce um processo para fazer um relatório.
- Criar playbooks de resposta a incidentes para tipos de incidentes comuns.
- Implemente medidas defensivas internas e externas que são regularmente atualizadas com base nas ameaças atuais.
- Reavaliar a eficácia dos procedimentos toda vez que um incidente ocorre.
< forte>Detectar forte>
Incidentes não podem ser respondidos a menos que sejam detectados. Na verdade, a detecção de incidentes de segurança pode levar semanas ou meses para muitas organizações realizarem. Uma estratégia comum de detecção é implementar uma arquitetura de rede defensiva usando tecnologia como roteadores, firewalls, sistemas de detecção e prevenção de intrusão, monitores de rede e centros de operações de segurança (SOC).
Detecção eficaz leva tempo e esforço. Também requer um alto nível de compreensão de como a rede de uma organização realmente funciona. Perguntas comuns que precisam ser respondidas antes de desenvolver uma estratégia de detecção incluem:
- Que aplicações estão sempre em uso?
- Como é o tráfego normal da rede?
- Quais protocolos de rede estão em uso?
- Que protocolos de rede nunca devem aparecer na rede?
- Quais são os padrões normais de utilização de largura de banda, incluindo volume e direcção?
- Que dispositivos devem estar ligados à rede?
- Quem são os proprietários do sistema e dos dados dessas máquinas e dispositivos ligados?
Para determinar se uma rede não está funcionando corretamente, se está hospedando aplicações indesejadas ou experimentando padrões anormais de tráfego, é necessário ser capaz de caracterizar completamente como a rede e os sistemas conectados a ela devem funcionar. Se a operação adequada de um sistema não for entendida, então não é possível saber quando esse sistema não está operando como pretendido.
O gerenciamento do sistema requer que cada parte de uma rede deve ser documentada e baselada. Isto pode ser feito com:
- Um programa de gerenciamento de ativos de software (SAM) que estabelece o que deve estar lá e quem o possui, bem como quais aplicações e funções de negócio são suportadas por cada ativo. Adicionalmente, verificações regulares em relação à linha de base de ativos devem ser realizadas.
- Um programa de gerenciamento de aplicativos e segurança que inclui proprietários de aplicativos, usuários autorizados, caracterização da transferência de dados e outros tráfegos pelos quais os aplicativos são responsáveis.
- Mudanças, configuração e programas de gerenciamento de patches para saber que a rede está configurada da forma como deve estar.
- Uma linha de base de utilização de largura de banda e verificações rotineiras de largura de banda em relação à linha de base.
- Baselines de fluxo da rede e monitoramento contínuo para capturar desvios da linha de base.
Com as práticas de proteção e detecção, é importante entender que todos os elementos desses modelos de processo devem ser construídos com antecedência antes que qualquer atividade de resposta possa ocorrer. Muitas organizações falham em planejar a resposta ao incidente ou falham em implementar qualquer estratégia de proteção e detecção e, portanto, não podem saber se suas redes e sistemas são seguros ou não.
> forte>Respond>/strong>>>p>Após um incidente de segurança de computador ter sido detectado, a resposta formal ao incidente pode começar. Responder a um incidente de segurança de computador tem alguns passos. O primeiro passo é quando a equipe recebe um relatório de um incidente de um constituinte, como um usuário, parceiro de negócios ou membro da equipe do centro de operações de segurança. Os membros da equipe então analisam o relatório do incidente para entender o que está acontecendo e criam uma estratégia imediata para recuperar o controle e impedir que mais danos ocorram. Finalmente, a estratégia é transformada em um plano que é então implementado para se recuperar do incidente e retornar às operações normais o mais rápido possível.
O National Institute of Standards and Technology (NIST) desenvolveu seu próprio modelo de resposta ao incidente que se tornou popular entre os respondentes ao incidente, especialmente dentro do US Federal Executive Branch. O modelo NIST usa os termos "conter, erradicar e recuperar" para descrever seu modelo e processo de resposta ao incidente. O NIST Special Publication Computer Security Incident Handling Guide, SP-800-61 descreve esse modelo de resposta ao incidente em detalhes.
história doCERT
Segundo um incidente com worm na Internet em novembro de 1988 que desabilitou 10% da Internet, a Agência de Projetos de Pesquisa Avançada de Defesa (DARPA) deu ao Instituto de Engenharia de Software (SEI) da Universidade Carnegie Mellon a responsabilidade de criar um centro para coordenar as comunicações entre especialistas em segurança e informática durante emergências e ajudar a prevenir a ocorrência de futuros incidentes de segurança informática. O worm da Internet que precipitou a criação da primeira equipe de resposta a emergências computacionais do mundo acabou ficando conhecido como o Robert Morris Worm.
O worm Morris recebeu o nome de seu criador, Robert Tappan Morris, um estudante de pós-graduação da Universidade Cornell, que liberou o worm no campus do Massachusetts Institute of Technology (MIT) em uma aparente tentativa de disfarçar a origem do worm. De acordo com seu criador, o verme Morris Worm não tinha a intenção de ser destrutivo, mas foi escrito para destacar falhas de segurança de software nas variantes da Berkeley Software Distribution (BSD) do UNIX. Ironicamente, o verme em si continha uma falha de software que o fazia replicar-se muito mais rápido do que o pretendido, fazendo com que as máquinas que infectava abrandassem ou parassem sob as exigências do verme, contribuindo para a descoberta do verme.
Além dos danos causados pelo verme Morris, houve três efeitos duradouros da libertação do verme:
- Um efeito do verme Morris foi a criação do CERT/Centro de Coordenação no Software Engineering Institute (SEI). O SEI, fundado em 1984, é um centro de pesquisa e desenvolvimento (FFRDC) com financiamento federal e foi selecionado pela DARPA para levantar o Centro de Coordenação CERT porque ele poderia atuar como um terceiro neutro na coordenação de esforços, particularmente com fornecedores de software, na eliminação de falhas de software que se tornam problemas de segurança.
- Um outro efeito do verme Morris foi que Robert Tappan Morris tornou-se a primeira pessoa a ser julgada e condenada sob a Lei de Fraude e Abuso de Computador (CFAA) de 1986. O estudante de 24 anos de informática recebeu uma sentença de três anos de liberdade condicional, 400 horas de serviço comunitário, uma multa de $10.000, mais os custos de sua liberdade condicional, por um total de $13.326,
- O terceiro efeito do Verme Morris, e talvez o mais abrangente, é que ele estimulou o pensamento e a pesquisa sobre a proteção de infra-estrutura crítica. O Morris Worm destacou problemas com o pobre design e engenharia de software, falhas de software negligenciadas ou ignoradas que se tornam vulnerabilidades de segurança e más práticas de segurança que permanecem problemas significativos hoje. Mesmo que não houvesse intenção maliciosa, o lançamento do Morris Worm mostrou que a Internet não era necessariamente um lugar onde se pudesse confiar que todos tivessem os melhores interesses de todos os outros em mente.
Além do Morris Worm, desde sua criação em 1988, o Centro de Coordenação CERT passou a ser um dos principais institutos de segurança informática do mundo. Desde a criação do CERT/CC a Internet cresceu de cerca de 60.000 computadores em 1998 para mais de um bilhão de hosts anunciados no sistema de nomes de domínio (DNS) em janeiro de 2019.
algumas das áreas onde o Centro de Coordenação CERT tem demonstrado liderança incluem:
- Contribuindo para o desenvolvimento de mais de 50 equipes de resposta a incidentes em todo o mundo.
- Facilitando o desenvolvimento de métodos de resposta a incidentes e a educação.
- Becoming a member of the Forum of Incident Response and Security Teams (FIRST).
- Criando numerosos métodos e ferramentas de avaliação de segurança.>Leading in developing graduate cybersecurity education.
- Conducting insider threat research and education.
- Directing malware analysis and defense methods.
- Publicando relatórios de vulnerabilidade e um banco de dados de vulnerabilidades.
CERTs vs. CSIRTs
O termo CERT foi escolhido como identificador para a Equipe de Resposta a Emergências Informáticas do Instituto de Engenharia de Software. O SEI é um centro de pesquisa e desenvolvimento com financiamento federal administrado pela Carnegie Mellon University, que registrou e é proprietário do nome "CERT". Hoje, o SEI aponta que o designador do CERT não é mais uma sigla, mas um símbolo de marca registrada. O SEI não usa mais o nome Computer Emergency Response Team para se referir à Divisão CERT do SEI. O SEI agora se refere à sua divisão CERT como o Centro de Coordenação CERT ou CERT/CC.
Due to Carnegie Mellon's trademarked ownership over the CERT title, eles encorajaram outras organizações de resposta a incidentes a usar o termo Computer Security Incident Response Team (CSIRT) em vez de CERT. Portanto, toda documentação de resposta a incidentes de segurança informática, publicações e cursos de educação do SEI e CERT/CC usam o termo CSIRT para se referir a organizações de resposta a incidentes de propriedade independente ou que administram organizações de resposta a incidentes.
As a result of the trademarked CERT name, other acronyms came into common use to describe teams with similar incident response functions:
- Computer Security Incident Response Team (CSIRT).
- Incident Response Team (IRT).
- United States Computer Emergency Readiness Team (US-CERT).
- Computer Security Incident Response Capability or Center (CSIRC).
- Computer Incident Response Capability or Center (CIRC).
- Computer Incident Response Team (CIRT).
- Incident Handling Team (IHT).
- Incident Response Center or Incident Response Capability (IRC).
- Incident Response Team (IRT).
- Security Emergency Response Team (SERT).
- Security Incident Response Team (SIRT).
Another possible naming approach is to precede any of the above terms with an organizational designation or to add a suffix. Exemplos poderiam incluir "Amazon SIRT" para se referir à equipe de resposta a incidentes específicos na Amazon ou "CERT-MX" para se referir a um centro de resposta técnica no México.
P>Even embora a Carnegie Mellon University tenha imposto sua propriedade do termo CERT no passado, o SEI recentemente aposentou o domínio cert.org e consolidou sua presença na web sob o domínio sei.cmu.edu.
Uma equipe de resposta a incidentes de segurança em computadores estabelecida pode solicitar uma licença para usar o designador do CERT do SEI sem nenhum custo. A obtenção de uma licença para usar o designador de CERT também permite que uma equipe de resposta a incidentes seja listada no site do SEI como um usuário autorizado do designador de CERT e exiba um crachá CERT de "usuário autorizado" em seu próprio site.
Como se tornar um profissional certificado de resposta a incidentes
As equipes de resposta a incidentes de segurança em computadores são tipicamente supervisionadas por gerentes de equipe que precisam ter certeza de que seus membros de equipe estão apropriadamente treinados e qualificados para responsabilidades de resposta a incidentes. Profissionais de resposta a incidentes com treinamento ou certificações adequadas podem ajudar uma organização a atingir suas metas de proteção, detecção, gerenciamento e mitigação de incidentes, assim como minimizar o tempo que leva para se recuperar de um incidente. Eles devem estar bem versados em técnicas e vetores de ataque comuns, bem como nas ferramentas, políticas e procedimentos necessários para responder efetivamente a emergências relacionadas à cibersegurança.
Desde que o tratamento de incidentes evolui e requer um forte conhecimento de tecnologia e procedimentos, o treinamento regular dos membros da equipe de resposta a incidentes é fortemente encorajado. Além disso, há vários programas de qualificação para os manipuladores de incidentes de segurança informática. Todas estas certificações requerem a realização de um exame e podem ter requisitos mínimos de experiência antes de serem consideradas.
Um exemplo disto é o programa de Certificação Global de Garantia da Informação (GIAC) formado pelo SANS Institute. Este programa oferece 30 diferentes certificações incluindo o GIAC Certified Incident Handler (GCIH). O processo de obtenção da certificação GCIH abrange as etapas básicas do processo de tratamento de incidentes, a detecção de aplicações maliciosas e atividade de rede, a educação de técnicas de ataque comuns, a análise de vulnerabilidades do sistema e da rede e a melhoria contínua do processo de descoberta das causas raiz dos incidentes.
Outro exemplo é o CERT-Certified Computer Security Incident Handler Certification (CSIH) que é oferecido pelo Software Engineering Institute (SEI), sede do CERT/CC. O exame CSIH abrange proteção de infraestrutura, detecção de eventos e incidentes, triagem e análise de incidentes e capacidades sustentáveis de resposta a incidentes.
Nalguma destas certificações tem qualquer pré-requisito de treinamento necessário para a realização do exame, embora tanto o SANS Institute quanto o SEI ofereçam uma série de cursos básicos e avançados de tratamento de incidentes que fariam um bom currículo de treinamento, além de certificação profissional para um tratador de incidentes.
O que é US-CERT?
US-CERT é um acrônimo que significa Equipe de Prontidão para Emergências em Computadores dos Estados Unidos. O uso da palavra "prontidão" teve a intenção de dar uma indicação de seu foco em ser proativo, ou "pronto", para emergências, ao invés de ser reativo e concentrado na resposta. A missão declarada do US-CERT diz: "O US-CERT é responsável por analisar e reduzir as ameaças e vulnerabilidades cibernéticas, disseminar informações de alerta de ameaças cibernéticas e coordenar as atividades de resposta a incidentes"."Em setembro de 2003, o Departamento de Segurança Interna (DHS) dos EUA anunciou uma parceria com o Centro de Coordenação CERT do Software Engineering Institute para criar o US-CERT como "ponto de coordenação para prevenção, detecção e resposta a ataques cibernéticos através da Internet"
Em 2017, o DHS racionalizou sua estrutura organizacional, transferindo o US-CERT, juntamente com outras funções operacionais, para o National Cybersecurity Communications and Integration Center (NCCIC). O NCCIC operou como a entidade sobrevivente até novembro de 2018. Nessa época, a Cybersecurity and Infrastructure Security Agency (CISA) foi criada como uma agência independente dentro do DHS e incorporou o NCCIC, incluindo o que era o US-CERT, à sua Divisão de Cibersegurança.
As de agora, todas as páginas web associadas ao domínio us-cert.gov agora levam a páginas web com a marca CISA. A URL www.us-cert.gov agora vai para uma página web da CISA que anuncia o NCCIC como "o centro de integração operacional, de resposta a incidentes e de defesa cibernética mais importante do país"
>
> forte>Capacidades>>>p> A CISA atua como o conselheiro de risco para os Estados Unidos em relação a ameaças e incidentes de segurança on-line ou virtuais. Isto é executado através da combinação de pesquisa e desenvolvimento com inteligência de ameaças e política governamental. As capacidades da organização incluem monitoramento e proteção da rede federal, resiliência da infra-estrutura e comunicações de emergência.
Adicionalmente, o CISA fornece conhecimento sobre cibersegurança e melhores práticas para outras organizações governamentais, a fim de proteger os recursos da nação.
O que é uma Equipe de Resposta a Emergências Comunitárias?
Há outro tipo de organização que comumente usa o acrônimo CERT. É também uma organização de resposta a incidentes, mas tem um foco e um círculo eleitoral diferente em mente. É a Equipe de Resposta a Emergências Comunitárias (CERT).
Um programa de equipe de resposta a emergências comunitárias é administrado pelo Departamento de Segurança Nacional (DHS) dos EUA e é projetado para educar e treinar o público americano sobre preparação e resposta a desastres. Algumas das habilidades ensinadas por esta organização CERT incluem como responder com segurança a desastres naturais e causados pelo homem, organizar a resposta básica a desastres, preparar-se para emergências, realizar busca e resgate e administrar primeiros socorros.