NIC.br

Ir para o conteúdo
20 SET 2019

8º Fórum Brasileiro de CSIRTs reforça importância da maturidade dos grupos de tratamento de incidentes




Evento apresentou estudos de casos, ferramentas capazes de detectar e responder a incidentes de segurança e a tradução do guia TLP do FIRST, entre outros temas


O 8º Fórum Brasileiro de CSIRTs discutiu nos dias 9 e 10 de setembro, em São Paulo, como aumentar a maturidade dos grupos de tratamento de incidentes de segurança e destacar a sua importância para o dia a dia dos profissionais de TI. Realizado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o evento reuniu mais de 200 participantes e trouxe estudos de casos, promoveu discussões sobre ferramentas capazes de detectar e responder a incidentes de segurança e apresentou, de forma inédita, a tradução do Padrão do FIRST sobre TLP (Traffic Light Protocol).

Traduzido pelo CERT.br em conjunto com o CAIS/RNP, o Padrão do FIRST sobre TLP reúne um conjunto de designações utilizado para garantir que informações sensíveis sejam compartilhadas com o público apropriado. Ao apresentar o documento, Cristine Hoepers (CERT.br) destacou que o protocolo foi criado para encorajar o compartilhamento de informações e facilitar a indicação dos limites de compartilhamento. “São padrões que permitem criar interpretações consistentes entre comunidades diferentes e reduzir as ambiguidades inerentes à cultura ou idioma dos CSIRTs envolvidos no compartilhamento de informações”, ressaltou.

Com quatro diferentes classificações, o TLP apresenta indicadores para limitar a divulgação das informações. De forma geral, o TLP:RED se refere a informações que não devem ser divulgadas; o TLP:AMBER, divulgação limitada, restrita às organizações dos participantes; o TLP:GREEN, divulgação limitada, restrita à comunidade; e o TLP:WHITE, divulgação não limitada. A documentação recém-lançada em português está disponível no endereço: https://www.first.org/tlp/docs/tlp-v1-pt-br.pdf

Durante o evento, Hoepers ainda abordou como a maturidade dos grupos de profissionais de segurança é importante para o mercado e apresentou dois trabalhos internacionais de grande relevância para esta área: o documento CSIRT Services Framework do FIRST e o modelo de maturidade SIM3. O CSIRT Services Framework é um documento de referência sobre os serviços que um CSIRT pode oferecer, e está sendo escrito por um grupo de profissionais do qual Cristine faz parte. “Este framework padroniza termos e descreve as funções relativas a cada serviço, isto auxiliará times a melhor definirem o perfil de profissionais e o tipo de atividade a ser desempenhada”, pontuou Cristine. Já o modelo SIM3, já utilizado na Europa e no Japão, reúne parâmetros que podem ser utilizados para medir o grau de maturidade de um CSIRT. Este modelo pode tanto ser utilizado para fazer uma auto avaliação, como ser utilizado por comunidades nacionais ou regionais de CSIRTs para indicar a maturidade dos grupos naquela comunidade.

Uma das formas de avaliar a maturidade de uma organização está na maneira como ela se relaciona com a comunidade. Nesse sentido, o MISP, ferramenta utilizada para a troca de informações sobre ameaças, foi discutido e apresentado durante o evento. Carlos Borges (Câmara Interbancária de Pagamentos - CIP) detalhou os propósitos da plataforma, que é composta por padrões abertos, e discutiu vários casos de uso do MISP. Para Borges, “é fundamental entender a principal ameaça à organização e mapear isso de modo estrutural”. O especialista explicou como mapear as ameaças com modelos diversos modelos de mapeamento de ameaças existentes. A adoção do MISP também foi abordada no evento por Antonio Carlos de Moraes, Rodrigo Rosa e Samara Braz, do CSIRT Petrobras.

Estudos de caso   
Abrindo os estudos de casos do 8º Fórum de CSIRTs, André Borges (Banco Fibra) falou sobre a migração do datacenter do Banco Fibra para a nuvem. Borges citou ferramentas de software livre que podem ajudar neste processo, e ressaltou a importância dos desenvolvedores trazerem questões de segurança para o seu dia a dia. Assim como Borges, Carlos Caetano (PCI Security Standards Council) chamou atenção para a falta de profissionais com capacitação de programação segura no mercado e apresentou um novo framework para desenvolvimento de software seguro para sistemas de pagamento.

A metodologia utilizada pela Cemig para centralização de logs da organização foi apresentada no evento por José Lopes de Oliveira Junior (Cemig), que explicou ainda a criação de políticas de uso do SIEM com o objetivo de aprimorar a detecção de incidentes. Lopes reforçou a necessidade do cruzamento de dados entre logs e netflows para prover a visão privilegiada do ambiente e a necessidade da criação de critérios para tratar os dados recebidos e, dessa forma, gerar informações relevantes que tragam insights mais positivos para as organizações.

Jerônimo Zucco (Fundação Universidade de Caxias de Sul - UCS) discorreu sobre a coleção de ferramentas ELK (Elasticsearch, Logstash e Kibana) que é capaz de detectar incidentes, fazer análises de negócios e segurança. Zucco mostrou na prática como utilizar essa ferramenta, filtrando os logs e criando dashboards, e também trouxe ao evento alguns casos de vazamentos de dados nos últimos anos envolvendo bases expostas de Elasticsearch.

Boas práticas

A adoção de boas práticas, como o uso de SPF, DKIM e DMARC, também foi destaque nas apresentações de Giordanno Azevedo Costa Martins (CADE) e José Durval Campello Neto (Tempest Security Intelligence).

Martins enfatizou como o phishing pode impactar as organizações e apresentou um estudo de caso ocorrido com o CADE, em que um fraudador assumiu as credenciais de um usuário e passou a enviar e-mails maliciosos através desta conta. O caso levou os profissionais de segurança do conselho a adotarem medidas para entender a extensão do problema e seguirem boas práticas de segurança para reduzir o impacto do incidente e reduzir as chances de que o problema aconteça novamente, como regras mais restritivas no AntiSpam e o uso de SPF, DKIM e DMARC.

Em sua apresentação, Campello Neto (Tempest) comentou técnicas utilizadas por fraudadores para atacar usuários de Internet, como URLs únicas, restrição por dispositivos e restrição por origem, e comentou sobre casos reais de campanhas maliciosas utilizando os métodos apresentados durante a palestra. Assim como Martins, reforçou a utilização de SPF, DKIM e DMARC como boas práticas. Campello pontuou ainda a necessidade de analisar os métodos utilizados pelos fraudadores para, assim, conseguir tomar ações mais efetivas, além de compartilhar estas informações com a comunidade de profissionais de segurança.

Para prevenir ataques de comprometimento de credenciais é essencial ressaltar a importância da implantação de mecanismos de verificação em duas etapas. O CERT.br disponibiliza o Fascículo Verificação em Duas Etapas onde são apresentados detalhes dessa boa prática e os principais cuidados que se deve tomar ao utilizá-la.

Sistemas de nuvem

O uso de sistema na nuvem foi destaque tanto nas apresentações de Borges do Banco Fibra como na de Willian Lopes Bitencourt (Getnet). Bitencourt mostrou os resultados de um estudo sobre métodos de aquisição de evidências e novas técnicas forenses que possibilitam ter vestígios mínimos na investigação de crimes e incidentes que ocorram em sistemas em nuvem. Ele também promoveu reflexões sobre a falta de integridade em alguns processos de aquisição de evidências e incompatibilidade com as ferramentas convencionais.

Tratamento e resposta a incidentes

O 8º Fórum de CSIRTs contou ainda com a apresentação de Democlydes Divino Pereira de Carvalho (CTIR Gov), que abordou o Plano Nacional de Tratamento e Resposta a Incidentes Computacionais (PNTIR) - que entrará em consulta pública para que os profissionais de segurança contribuam para aprimorar essa iniciativa.

Entre as metas do plano estão: estimular o compartilhamento de informações de incidentes e vulnerabilidades cibernéticos, baseado na mútua confiança, tanto do setor público, quanto do privado; estimular a criação e atuação de equipes de tratamento e resposta de incidentes cibernéticos; fortalecer o centro de tratamento e resposta de incidentes cibernéticos do governo; estabelecer protocolos referentes à prevenção, monitoramento, tratamento e a resposta a incidentes computacionais; entre outros. Carvalho também pontuou que um dos maiores desafios do plano é estabelecer um treinamento regular para integrantes das ETIRs/CSIRTs, destacando a falta de profissionais capacitados.

Os slides e fotos do evento estarão disponíveis em breve em https://cert.br/forum2019.