9º Fórum Brasileiro de CSIRTs destaca importância de métricas de maturidade dos Grupos de Segurança e Resposta a Incidentes
Evento também abordou o cenário nacional e ações prioritárias de segurança a partir dos dados coletados pelo CERT.br
Como medir e aprimorar o nível de maturidade dos Grupos de Segurança e Resposta a Incidentes (CSIRT). O assunto foi destaque no 9º Fórum Brasileiro de CSIRTs, que aconteceu pela primeira vez no formato on-line e contou com a presença de mais de 500 participantes remotos. Realizado pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o evento promoveu nessa quarta (9) e quinta-feira (10) diversas palestras sobre tratamento de incidentes e resiliência das organizações, além de um terceiro dia dedicado aos mini-tutoriais sobre a plataforma MISP (MISP - Open Source Threat Intelligence Platform, Malware Information Sharing Project).
A palestra de abertura foi ministrada por Don Stikvoort (Open CSIRT Foundation), que é um dos pioneiros globais na área de tratamento de incidentes, autor de várias das principais publicações da área e um dos líderes que idealizou o TF-CSIRT, uma organização de cooperação entre CSIRTs que iniciou na Europa e hoje tem escopo global. Stikvoort explicou de forma detalhada como funciona o SIM3 (Security Incident Management Maturity Model), um modelo para medir o nível de maturidade dos CSIRT que é amplamente adotado mundo afora. Stikvoort apresentou desde o histórico da criação dos CSIRTs até o conceito do que é maturidade.
"A maturidade é uma indicação do quão bem uma equipe governa, documenta, executa e mede sua função. Um dos critérios mais importantes para estabelecer um bom nível de maturidade é dar a devida atenção às pessoas incríveis que trabalham em CSIRTs. Percebo que isso ainda é pouco valorizado", destacou Stikvoort, reforçando ainda outras questões que envolvem a avaliação de maturidade, como uma sólida configuração organizacional e validação de processos.
O modelo de maturidade SIM3 foi escrito por Don Stikvoort em 2008 com o objetivo de aprimorar a maturidade dos CSIRTs, e contempla 44 parâmetros em 4 categorias e 5 níveis de maturidade. Na apresentação no 9º Fórum Brasileiro de CSIRTs, Stikvoort destacou alguns desses parâmetros, entre eles, o treinamento de comunicação.
"Não estou falando de e-mails, mas de comunicação por telefone, pessoalmente, que deve ser feita por membros de CSIRTs o tempo todo. Muitas equipes investem bastante em profissionais com ótimas habilidades técnicas, porém a comunicação é vital. O trabalho dos CSIRTs envolve mais comunicação do que a maior parte das atividades da área de tecnologia".
Stikvoort reforçou ainda que o SIM3 busca ser um modelo de maturidade neutro. "O SIM3 não diz como fazer as coisas, isso fica a seu critério. O que o SIM3 coloca são perguntas, esse modelo faz com que você se questione", ponderou. “Por fazer perguntas sobre o que você tem, também ajuda como um guia para novos CSIRTs já definirem seus processos e mecanismos desde a concepção”, acrescentou. Por fim, Stikvoort apresentou abordagens básicas para aumentar o nível de maturidade dos CSIRTs, desde a mais tradicional, até ações aprimoradas, e aproveitou para divulgar uma nova funcionalidade do SIM3, que é uma ferramenta online para que os times possam fazer uma auto avaliação do seu nível de maturidade, disponível no sítio da Open CSIRT Foundation: https://sim3-check.opencsirt.org/.
Ações prioritárias de segurança no Brasil
Em palestra no evento, Cristine Hoepers e Klaus Steding-Jessen (CERT.br/NIC.br) avaliaram o cenário nacional e ações prioritárias de segurança a partir dos dados coletados pelo CERT.br.
Hoepers fez uma breve explanação, em sua abertura, sobre o contexto brasileiro de acesso e uso da Internet e a maneira como os usuários estão migrando cada vez mais para os smartphones e outros dispositivos como as smartTVs. “Temos uma proporção muito expressiva de brasileiros conectados e o IX.br de São Paulo tem um dos maiores tráfegos Internet do mundo, portanto, sempre teremos um número expressivo de incidentes de segurança se comparados a outros países. É importante levarmos em conta esse contexto ao analisar quaisquer dados”, comentou.
Incidentes de segurança são reportados ao CERT.br de forma voluntária por administradores de redes e os dados do primeiro semestre de 2020 foram apresentados no 9º Fórum Brasileiro de CSIRTs. Neste período a maior parte das notificações de incidentes e dos dados capturados nos honeypots e em fontes de Inteligência foram relacionados com a busca por serviços que permitem autenticação apenas por conta e senha, abarcando tanto serviços para acesso remoto a sistemas, quanto serviços de envio e recebimento de e-mails. Cristine destacou que “os atacantes sempre vão escolher o caminho mais fácil e, hoje em dia, sistemas que utilizam apenas senhas são a norma, e este é o caminho que leva à maior parte dos golpes e ao comprometimento de servidores, de elementos de rede e de dispositivos IoT”. Foi destacado, também, que este comprometimento de dispositivos IoT está relacionado com os incidentes de negação de serviço (DoS). Hoepers complementa que “a maioria absoluta das notificações de DoS foi de ataques do tipo UDP flood, gerados por botnets IoT, como Mirai e Bashlite, que infectam tanto dispositivos como IoT, quanto roteadores de banda larga”.
Também foi discutida a categoria de tentativas de fraudes, principalmente páginas falsas, que representaram 96% de todas as notificações desta categoria. Foi observado um aumento se comparado com o primeiro semestre de 2019, mas em comparação com o segundo semestre houve uma redução nas tentativas de fraude reportadas. “Apesar de terem ocorrido fraudes relacionadas com o tema da COVID-19 neste primeiro semestre, elas representaram menos de 1% das notificações de páginas falsas. O maior aumento foi em páginas falsas para furto de credenciais de serviços de documentos em nuvem, streaming de vídeo, webmail e redes sociais”, pondera Cristine.
O que priorizar para diminuir os riscos? Klaus Steding-Jessen reforçou que para reduzir o risco o mais importante é investir no básico: manter os sistemas operacionais atualizados, ter múltiplos fatores de autenticação – chaves criptográficas, tokens, entre outros –, e receber e tratar as notificações. Steding-Jessen reforça que “não ter serviços somente com senha de frente para a Internet é essencial e, ao investir nessas três medidas, estamos focando no princípio de Pareto: 80% dos incidentes seriam provenientes de 20% das causas. Isso reduziria em pelo menos 80% os incidentes de segurança reportados ao CERT.br”. Para os que querem investir em algo além do básico, a recomendação foi adotar protocolos modernos – criptografia forte, DNSSEC, segurança e reputação de e-mail, protocolo IPv6 e segurança de roteamento.
Além das palestras sobre a maturidade de CSIRTs e o cenário brasileiro e ações prioritárias de segurança, o 9º Fórum Brasileiro de CSIRTs contou com dois estudos de casos: o primeiro deles sobre técnicas de comunicação e evasão do malware brasileiro Astaroth, e o segundo abordou as lições aprendidas com os vazamentos de dados de titulares de cartão. A programação do evento trouxe ainda palestras sobre o Threat Hunting (abordagem interativa para procura, identificação e compreensão de adversários de rede), e análise do tráfego de rede com flows no contexto de segurança com o uso do TC Nimbus, do Team Cymru. Na sexta-feira (11), último dia do Fórum, os participantes dedicaram-se ao Workshop MISP, tutorial do qual participaram mais de 350 profissionais que estão implementando a plataforma de compartilhamento de inteligência de ameaças em suas organizações. Reveja a agenda e os slides de algumas das palestras, que já foram disponibilizados: https://cert.br/forum2020/agenda/.
