| CSIRTs no Brasil: disseminadores da cultura de segurançaMódulo Security Magazine Luis Fernando Rocha 26.05.2003 Entre os dias 07 e 09 de abril desse ano, os principais representantes de grandes redes de internet estiveram reunidos, em São Paulo, na reunião conjunta do GTER (Grupo de Trabalho de Engenharia e Operação de Redes) e com o GTS (Grupo de Trabalho de Segurança), ligados ao Comitê Gestor da Internet no Brasil (CG-I.Br), órgão governamental responsável por todas as iniciativas de serviços Internet no país. Dois dos principais grupos de resposta a incidentes de segurança (CSIRTs) no Brasil estiveram presentes: o NIC BR Security Office (NBSO) e o Centro de Atendimento a Incidentes de Segurança (CAIS), ligado à Rede Nacional de Ensino e Pesquisa (RNP). Para se ter uma idéia da importância desses grupos, o NBSO é o responsável por receber, analisar e responder a incidentes de segurança em computadores envolvendo redes conectadas à Internet brasileira. Já o CAIS é o grupo de resposta a incidentes da RNP, rede constituída nos 27 estados brasileiros, conectando milhares de computadores em mais de 800 instituições. No evento, esses grupos analisaram um cenário preocupante: as últimas estatísticas oficiais divulgadas pelo NBSO revelam um aumento progressivo dos incidentes de segurança no Brasil. Assim, a constituição de mais CSIRTs no país foi apontada como uma das principais ações para prevenção e combate a essa realidade crescente. Vantagens de um CSIRT Sempre que uma instituição necessita alocar recursos em tecnologia, estudos para sua viabilização são realizados. Cristine Hoepers, Analista de Segurança Sênior do NBSO, cita um dos principais argumentos para garantir o investimento em um CSIRT. "A grande vantagem de uma instituição possuir um CSIRT é que ela terá um grupo dedicado exclusivamente para lidar com incidentes de segurança e sua prevenção", diz. A especialista explica ainda que profissionais dedicados exclusivamente à área estão gabaritados a analisar de forma correta possíveis incidentes. "Com o treinamento adequado este grupo é capaz de prover recuperação rápida e eficaz em casos de Incidentes de Segurança, com a vantagem de geralmente fazer a recuperação preocupando-se com fatores como a preservação de evidências e entendimento das razões do incidente, tendo assim maiores condições de avaliar a extensão do problema", afirma. Liliana Velásquez Solha, Gerente do CAIS e a primeira latino-americana membro do Comitê Gestor do FIRST (Forum of Incident Response and Security Teams), compartilha da mesma visão de Hoepers. Nesse assunto, ela acrescenta uma importante questão. "CSIRT é, ou devia ser, sinônimo de "confiança" para o usuário/cliente: confiança de que as informações enviadas serão tratadas com sigilo, de que o incidente notificado será atendido com rapidez e competência, e na veracidade das informações divulgadas ou repassadas pelo CSIRT", diz Por último, Hoepers acrescenta um ponto fundamental. "Como o grupo está sempre atualizado no que diz respeito à segurança da informação, ele também é o candidato natural a fazer o trabalho pró-ativo e organizar boletins internos para a instituição, atuando como ponto central no que diz respeito à segurança", finaliza. Custos e Equipamentos Tanto Liliana quanto Hoepers afirmam que a estimativa dos custos para criação de um CSIRT dependerá dos serviços a serem prestados e do tamanho do grupo a ser instituído. "O custo dependerá dos serviços que serão inicialmente oferecidos por ele, dos recursos necessários para prover e dar suporte a tais serviços, dos custos administrativos e da estrutura", diz Liliana. Hoepers cita outros fatores importantes. "Um CSIRT precisa ter uma rede isolada do resto da instituição e uma infra-estrutura adequada para desenvolver suas funções. Também é essencial que as instalações do grupo possuam segurança física e sejam separadas de outros departamentos ou setores. Além disso, é interessante o acesso a sistemas similares àqueles utilizados pela comunidade por ele atendida. O usual é que o grupo conte com um laboratório onde possa fazer testes com os sistemas utilizados pela instituição". Com relação aos equipamentos necessários, Liliana fala que o grupo deve incluir sistemas operacionais e software similares aos utilizados pela comunidade atendida pelo grupo. "Também caberá ao CSIRT definir e validar o conjunto de ferramentas a ser usado em suas atividades. Em condições ideais, ele deverá contemplar: ferramentas de antivírus, de criptografia, verificação de integridade, de compressão, análise forense, análise de vulnerabilidade, dentre outros", explica. Em relação às necessidades de hardware, Liliana cita equipamentos individuais para membros da equipe (estações de trabalho e/ou laptops), equipamentos da infra-estrutura de rede local, equipamentos de testes e equipamentos que abrigam sistemas estreitamente relacionados às atividades do CSIRT (tais como sistema robusto de atendimento a incidentes, armazenamento e backup de dados). "Idealmente, o laboratório de testes deverá incluir dispositivos de rede e plataformas de hardware usadas nas redes que estão no seu escopo de atuação", completa. A especialista do CAIS enumera ainda outros custos adicionais referentes à infra-estrutura de um CSIRT:
Para completar a lista, Hoepers recomenda a leitura de documentos disponibilizados pelo NBSO. "Para aqueles que estiverem planejando a criação de um CSIRT, recomendamos a leitura dos Documentos sobre Grupos de Resposta a Incidentes de Segurança listados em nossa página. Ali podem ser encontradas diversas discussões sobre o assunto e sobre o processo de criação". Perfil do Profissional Além das etapas de obtenção de recursos e disponibilização de equipamentos para o grupo trabalhar, outro ponto fundamental para a boa fluência de um CSIRT é a formação correta de sua equipe de profissionais. Assim, é consenso entre os profissionais que atuam na área um requisito básico: a ética profissional. "O relacionamento entre os CSIRTs se dá na base da confiança mútua e quando existe a mínima chance de um grupo possuir em seu quadro um profissional que tenha tido, em alguma fase de sua carreira, um envolvimento com atividades de hacking, o grupo todo passa a não ser considerado confiável", diz Cristine Hoepers. Já Liliana Velásquez, do CAIS, enumera outras habilidades e competências desejáveis. "É preciso ter senso comum, diplomacia, liderança, comprovada capacidade de trabalho em equipe, habilidade de seguir procedimentos e políticas, e facilidade de comunicação verbal e escrita", diz. Quanto à parte técnica, as duas especialistas são uníssonas: o profissional necessita de sólidos conhecimentos de protocolos TCP/IP e experiência em administração de redes. CSIRTs no Brasil Gradativamente, o número de grupos de resposta a incidentes de segurança no país vem aumentando. O NBSO disponibiliza em seu site as informações de contato de alguns desses grupos. No entanto, Hoepers revela algumas dificuldades nesse processo. "Não é fácil contabilizar, pois algumas instituições criaram seus grupos de forma independente e ainda não estão cooperando com a comunidade de CSIRTs. Mantemos uma página com as informações de contato de diversos grupos que têm cooperado com o NBSO e que concordaram em ter seus nomes listados", diz. Já Liliana vê progressos no aumento desses grupos, apesar das dificuldades. "O CAIS tem constatado que, nos últimos dois anos, a comunicação e a cooperação entre estes grupos têm ocorrido com mais fluência, embora ainda de maneira muito tímida, longe do ideal", afirma. Referências Confira mais detalhes sobre o assunto nos sites listados abaixo: fonte: http://www.modulo.com.br/index.jsp?page=3&catid=7&objid=1969&pagecounter=0&idiom=0 |