NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. 12º Fórum de CSIRTs reuniu mais de 700 pessoas em debates sobre gestão de incidentes de segurança
13 AGO 2024

12º Fórum de CSIRTs reuniu mais de 700 pessoas em debates sobre gestão de incidentes de segurança




Participantes do encontro, que aconteceu entre 29 e 30 de julho na capital paulista, tiveram a oportunidade de acompanhar mais de 20 palestras e estudos de casos

Realizado desde 2012, o Fórum Brasileiro de CSIRTs se consolidou como um dos principais espaços de discussão no país sobre temas ligados ao tratamento de incidentes de segurança e à resiliência de organizações diante de ameaças online. A cada ano, o público do evento, organizado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), tem crescido, sinalizando sua relevância como ambiente de troca de experiências e de networking para a comunidade de CSIRTs.

A 12ª edição do Fórum reuniu 739 pessoas, 66% a mais do que no ano anterior – em 2023, o número de participantes já era 54% maior do que o de 2022. Quem esteve presente no encontro, que aconteceu dias 29 e 30 de julho na capital paulista, teve a oportunidade de acompanhar mais de 20 palestras e estudos de casos apresentados por organizações de governo, infraestruturas críticas, instituições de ensino e pesquisa, setor financeiro, fornecedores de software e de serviços, entre outros. Confira os principais destaques:

Gestão de vulnerabilidades
Durante palestra na segunda-feira (29), Cristine Hoepers, Gerente-geral do CERT.br, falou sobre o desafio de tratar o número crescente de vulnerabilidades que têm comprometido a segurança de empresas e instituições. Ao contextualizar o problema, Cristine apresentou dados que mostram que é inviável para uma organização corrigir todas as vulnerabilidades que estão presentes em seu parque e enfatizou a necessidade de saber priorizar quais patches aplicar primeiro, de modo a corrigir as falhas com maior risco de serem exploradas e que possam causar o maior impacto negativo nas organizações.

“Gestão de vulnerabilidades é a prática de identificar, priorizar e corrigir vulnerabilidades. E esse priorizar é o ponto de falha maior hoje em dia. As organizações não estão conseguindo pensar em qual técnica usar para priorizar as ações”, comentou, acrescentando que é importante ter uma política que defina claramente como lidar com vulnerabilidades – e não apenas aplicar patches com base em escores de severidade como o CVSS (Common Vulnerability Scoring System) –, além de integrar estas políticas a um programa de gestão de riscos.


(Foto: Ricardo Matsukawa/Divulgação NIC.br)

A gerente-geral do CERT.br apresentou, então, os padrões existentes para informar decisões de risco para priorização de patches, como EPSS (Exploit Prediction Scoring System) e SSVC (Stakeholder-Specific Vulnerability Categorization), destacando recomendações que reforçam a necessidade de a organização assumir o controle das decisões de priorização de aplicação de patches.

Cenário de Ataques no Brasil
Piotr Kijewski, CEO da ShadowServer Foundation, uma organização sem fins lucrativos cuja missão é fazer a Internet um ambiente mais seguro, assumiu a palestra de abertura do evento. O keynote speaker fez uma introdução sobre o trabalho desenvolvido pela ShadowServer, como os dados críticos de segurança são coletados pela organização e de que maneira podem beneficiar os CSIRTs que os utilizam.

"No Brasil, 60% dos Sistemas Autônomos recebem dados fornecidos pela ShadowServer. Os provedores de grande porte o recebem diretamente, o que representa aproximadamente 180 ASNs, mas infelizmente temos outros 10 mil Sistemas Autônomos de menor porte que ainda não o fazem, e são os que mais precisam da nossa ajuda. Se você está em uma organização que não recebe os nossos dados diretamente, inscreva-se em nosso site, obtenha os dados de forma gratuita e use-os", recomendou.

São aproximadamente 200 milhões de monitorados todos os dias pela ShadowServer, o que requer uma infraestrutura robusta, com um conjunto de equipamentos que chega ao valor de 40 milhões de dólares. Em relação ao Brasil, a organização disponibiliza, em média, informações sobre 12 milhões de diferentes eventos todos os dias.

"Em termos de , o Brasil ocupa a segunda ou terceira posição em âmbito mundial, na frente da China, por exemplo, da Alemanha, Reino Unido ou Japão. Todos os dias, identificamos por volta de 2 milhões de dispositivos expostos no Brasil, proporção bem superior às da Argentina e da Venezuela, o que não é exatamente uma surpresa, considerando as dimensões brasileiras, de infraestrutura."

Kijewski detalhou dados sobre os cenários brasileiro e latino-americano coletados pela ShadowServer, que a organização disponibiliza de forma gratuita, por meio de estatísticas (https://www.shadowserver.org/statistics/) e relatórios enviados diretamente aos interessados que se inscrevem pelo site.

Riscos e oportunidades nas configurações de serviços em URLs do setor público
Com o objetivo de promover a melhoria na gestão de riscos de segurança da informação no contexto dos serviços de hospedagem web, e-mail e resoluções de nomes em organizações públicas federais, estaduais e municipais, o Tribunal de Contas da União (TCU) analisou 14 mil URLs (.gov.br; .jus.br; .leg.br; .mp.br; .def.br; e .tc.br) utilizando como parâmetro a ferramenta TOP (Teste os Padrões – https://top.nic.br/), mantida pelo NIC.br. Os resultados, apresentados por Carlos Renato Araujo Braga, Auditor Federal de Controle Externo (AUFC) do TCU, apontam que 93% dos sites implementam apenas um dos 31 controles de segurança; 40% implementam metade dos controles analisados e apenas 4% implementam 20 deles.

“Quando olhamos os resultados e comparamos com as licitações de TI feitas pelos órgãos a fim de contratar serviços de segurança na Internet, não encontramos nada – ou muito pouco – sobre a aplicação de protocolos de segurança que existem há décadas. Isso é má aplicação de dinheiro público, pois não se gasta com soluções baratas e sem manutenção, mas sim com técnicas avançadas que não serão efetivas sem que o básico seja feito primeiro”, destacou Braga.

Os dados apresentados por Braga mostram que 2% dos sites implementam todos os controles de conexão segura na web; 87% implementam parcialmente; e 12% não implementam qualquer um dos testados. Os dados são parecidos com os que usam criptografia (6%, 82% e 12%, respectivamente), mas drasticamente diferentes dos que aplicam cabeçalhos de segurança HTTP – nenhum dos 14 mil sites verificados implementa todos os tipos deste controle, 16% implementam parcialmente e 84% não implementam.

Sobre o DNSSEC, 19% das URLs reduzem o risco de manipulação de dados e domínios forjados, mas 81% não aplicam o protocolo. O IPv6, versão mais atual do Protocolo de Internet, é utilizado apenas por 8% dos sites em sua totalidade, 35% utilizam parcialmente e 57% não utilizam. Por fim, apenas 8% dos serviços de e-mail estão completamente protegidos contra phishing, 83% parcialmente e 9% totalmente desprotegidos.

Detecção de incidentes com flows de rede
Flow de Rede (netflow) é um método de gerência e monitoramento de redes, de baixo impacto sobre a infraestrutura, e que permite ter uma visão do ambiente de rede, prever tendências de tráfego e identificar comportamentos suspeitos. “Com ele, é possível obter uma visão detalhada da rede, auxiliar a planejar o crescimento dela, identificar anomalias de tráfego, ataques e comprometimentos à infraestrutura, auxiliar na investigação de incidentes e produzir relatórios estatísticos sobre o uso de redes”, explicou Alexandre Berto Nogueira, analista de redes do CSIRT da Unicamp.

Segundo Nogueira, para começar a coleta, é importante avaliar o parque de ativos, verificar os protocolos que serão utilizados, documentar a rede e os pontos de coleta, instalar o coletor de flow (como o nfdump, por exemplo). “Não deixe de se aprofundar na leitura e interpretação e estudar ferramentas de análise gráficas”.

A Unicamp trabalha com uso de flows desde 2015, com relatórios diários e análises pontuais para a identificação de ataques ou investigações, além de usá-los para gerência de rede e acompanhamento do crescimento de tráfego e uso de prefixos de rede.

 (Foto: Ricardo Matsukawa/Divulgação NIC.br)

Impacto da Resolução CD-ANPD nº 15/2024 na atuação dos CSIRTs
Em 26 de abril de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 15/2024 que regulamenta o processo de comunicação de incidentes de segurança, previsto no artigo 48 da Lei Geral de Proteção de Dados (LGPD). O texto, que passou por consulta pública, estabelece várias regras como prazo para comunicação, insumos para classificação do que vem a ser risco ou dano relevante, medidas preventivas a serem adotadas pela ANPD no curso do processo, obrigação legal de registro de incidente, dentre outras.

“Infelizmente não é uma resolução muito divulgada, mas que tem grande impacto no trabalho dos CSIRTs. O documento regulamenta o que é dano e risco relevante, além de estabelecer critérios para avaliar a gravidade do risco ou dano”, explicou Guilherme Ochsendorf, advogado do time de Resposta a Incidentes da Opice Blum.

Na avaliação de Vinícius Azevedo, também advogado do time de Resposta a Incidentes da Opice Blum, os CSIRTs devem contribuir para a elaboração do comunicado à ANDP fornecendo informações essenciais sobre o incidente, como a descrição da causa raiz, as medidas adotadas para corrigi-las; medidas técnicas e administrativas de segurança utilizadas para a proteção dos dados pessoais, adotados antes e após o incidente; e as medidas técnicas e administrativas de segurança que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente sobre os titulares.

“Temos visto as autoridades basearem suas decisões em cima de frameworks de referência (como Normas ISSO/IEC 27035, NIST 2.0 Cybersecurity Framework, NIST SP 800-61 e SP 800-171), por isso sugerimos que sejam utilizados na comunicação”. Ele também reforçou a importância do investimento em educação e treinamento para que uma equipe multidisciplinar saiba lidar da melhor forma com esses eventos: “Estar preparado é fundamental para uma ação rápida e assertiva”.

Outros temas
Com extensa programação, o 12º Fórum de CSIRTs apresentou ainda uma visão geral de como criar e operar um CSIRT, os perigos da confiança cega em soluções de segurança, a interação entre os CSIRTs e o Estado em casos de crimes, as atividades de prevenção conduzidas pelo CTIR Gov no âmbito Governamental, simulado de gestão de crise de incidente cibernético, a tomada de decisão de acionamento do fluxo emergencial de tratamento de vulnerabilidades em situações de incerteza, entre diversos outros assuntos. Para conferir a programação do evento na íntegra, incluindo os materiais disponibilizados pelos palestrantes, acesse: https://forum.cert.br/#agenda. Na sequência do evento, houve ainda o 5º Workshop MISP, também com a agenda e alguns materiais disponíveis em: https://forum.cert.br/#agenda-misp.

Sobre o CERT.br
O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil é um Grupo de Resposta a Incidentes de Segurança (CSIRT) de responsabilidade nacional de último recurso, mantido pelo NIC.br. Sua missão é aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet no País. Para atingir esse objetivo, além de atividades de tratamento a incidentes, o Centro também investe na conscientização sobre os problemas de segurança, no auxílio ao estabelecimento de novos CSIRTs no Brasil e no aumento da consciência situacional sobre ameaças na Internet, sempre respaldados por uma forte integração estabelecida com as comunidades nacional e internacional de CSIRTs. Mais informações em https://cert.br/.

Sobre o Núcleo de Informação e Coordenação do Ponto BR – NIC.br
O Núcleo de Informação e Coordenação do Ponto BR — NIC.br (https://nic.br/) é uma entidade civil de direito privado e sem fins de lucro, encarregada da operação do domínio .br, bem como da distribuição de números IP e do registro de Sistemas Autônomos no País. O NIC.br implementa as decisões e projetos do Comitê Gestor da Internet no Brasil - CGI.br desde 2005, e todos os recursos arrecadados provêm de suas atividades que são de natureza eminentemente privada. Conduz ações e projetos que trazem benefícios à infraestrutura da Internet no Brasil. Do NIC.br fazem parte:  Registro.br (https://registro.br/), CERT.br (https://cert.br/), Ceptro.br (https://ceptro.br/), Cetic.br (https://cetic.br/), IX.br (https://ix.br/) e Ceweb.br (https://ceweb.br/), além de projetos como Internetsegura.br (https://internetsegura.br/) e Portal de Boas Práticas para Internet no Brasil (https://bcp.nic.br/). Abriga ainda o escritório do W3C Chapter São Paulo (https://w3c.br/).

Sobre o Comitê Gestor da Internet no Brasil – CGI.br
O Comitê Gestor da Internet no Brasil, responsável por estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil, coordena e integra todas as iniciativas de serviços Internet no País, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Com base nos princípios do multissetorialismo e transparência, o CGI.br representa um modelo de governança da Internet democrático, elogiado internacionalmente, em que todos os setores da sociedade são partícipes de forma equânime de suas decisões. Uma de suas formulações são os 10 Princípios para a Governança e Uso da Internet (https://cgi.br/resolucoes/documento/2009/003). Mais informações em https://cgi.br/.

Contatos para a Imprensa – NIC.br:

Weber Shandwick
https://webershandwick.com.br/
PABX: (11) 3027-0200 / 3531-4950
Milena Oliveira - moliveira@webershandwick.com – (11) 98384-3500
Paula Boracini - pboracini@webershandwick.com – (11) 98123-5235

Assessoria de Comunicação – NIC.br
Carolina Carvalho - Gerente de Comunicação - carolcarvalho@nic.br
Ana Nascimento - Coordenadora de Comunicação – ananascimento@nic.br

Flickr: https://flickr.com/NICbr/
Twitter: https://twitter.com/comuNICbr/
YouTube: https://youtube.com/nicbrvideos
Facebook: https://facebook.com/nic.br
Telegram: https://telegram.me/nicbr
LinkedIn: https://linkedin.com/company/nic-br/
Instagram: https://instagram.com/nicbr/ 

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso