CSIRT: o que são os grupos de Resposta a Incidente de Segurança?

Você já ouviu falar em grupos que estão preparados para receber e analisar incidentes de seguranças nos computadores e redes? Eles são os chamados CSIRT e têm grande importância na resolução de problemas e vulnerabilidades.

Um CSIRT pode prestar tanto serviços para comunidades empresariais ou governamentais como também para um país ou uma grande rede de pesquisa.

Que tal entender mais sobre os grupos de Resposta a Incidente de Segurança? Reunimos algumas informações importantes sobre o CSIRT pra você, confira em nosso artigo!

O que é um CSIRT?

Um CSIRT, Computer Security Incident Response Team, ou Grupo de Resposta a Incidentes de Segurança, é uma organização que recebe, analisa e responde notificações e atividades relacionadas a problemas de segurança em computadores.

Eles são grupos técnicos responsáveis por empresas específicas, que contratam esses serviços, ou grupos maiores. Um CSIRT pode ser um grupo formal ou um “ad hoc”.

Os grupos formais têm a resposta a incidente como sua função principal, já o “ad hoc” se reúne apenas quando há algum incidente de segurança em andamento para ser respondido.

Um CSIRT tem por objetivo manter a segurança da informação das organizações no ambiente computacional, contando com várias camadas de segurança nas estratégias para proteção dos sistemas e dados.

O CSIRT passa a ter cada vez mais importância devido ao aumento das empresas que sofrem incidentes de segurança e o ganho de consciência por parte das organizações quanto às necessidades de práticas de gerenciamento de riscos.

Além disso, novas leis têm surgido, como a Lei Geral de Proteção de Dados, a LGPD, afetando a maneira que as organizações passam a tratar e proteger suas informações e de seus clientes.

Um CSIRT pode exercer tanto funções reativas, quanto proativas, auxiliando na proteção e segurança das organizações. 

Para os serviços reativos, podemos citar alertas de segurança, tratamento de vulnerabilidades, tratamento de incidentes de segurança e tratamento de artefatos, como worms, vírus, trojans, entre outros.

Já para os proativos, incluem-se os anúncios de segurança, gerenciamento e auditoria, configuração e manutenção de ferramentas, aplicações e infraestrutura de segurança, desenvolvimento de ferramentas de segurança, serviços de detecção de intrusão, atualização tecnológica para detectar novas atividades que comprometam os sistemas e divulgação de informações relacionadas à segurança.

Não existe funções padronizadas para cada CSIRT e cada time define e escolhe seus serviços com base nas necessidades da organização e comunidade que ele atende.

O tratamento de incidentes prestado pelo CSIRT é composto pela notificação, análise, categorização e resposta. Ao receber notificações, o CSIRT é habilitado para servir como um ponto central de notificações de problemas locais.

As informações recebidas pelo CSIRT podem determinar tendências e padrões para traçar estratégias mais qualificadas de prevenção.

A análise de incidente vai mais a fundo, observando as prioridades e ameaças e pesquisando táticas para sua resposta e erradicação.

Já a resposta pode assumir diversas formas, seja com divulgação de recomendações enviadas para os membros da comunidade ou a implementação direta pelo CSIRT dos passos nos sistemas afetados.

Existem diversos grupos de CSIRT atuando nos vários estados do Brasil e eles podem ser encontrados no site do Cert.br. O CSIRT principal do Brasil é justamente o Cert.br, o Centro de Estudos, Respostas e Tratamentos de Incidentes de Segurança no Brasil.

Os CSIRTs nacionais trabalham em conjunto com os Centros de Análises de Redes e agrupam dados para traçar tendências de atividades relacionadas aos incidentes, buscando prevenir ameaças e antecipando os importantes alertas de segurança.

Estruturas de CSIRT

Os CSIRTs possuem diferentes tamanhos e características, servindo à diversas comunidades. Confira alguns desses tipos!

  • CSIRT interno ou centralizado: esses prestam um serviço de tratamento de incidentes para as organizações que os financiam e os mantêm. Pode ser um grupo que atende empresa, uma agência de governo, banco ou universidades, por exemplo, e todos os recursos estão contidos na unidade dedicada.
  • CSIRT distribuído: em um CSIRT distribuído existem várias equipes que são independentes para as respostas, exigindo coordenação.
  • CSIRT nacional: são os que prestam respostas diretamente ao país. Podemos citar o JPCERT/CC, centro do Japão e o SingCERT, de Singapura.
  • Centros de coordenação: são aqueles que coordenam, organizam e facilitam o tratamento entre os diversos CSIRTs espalhados e equipes distribuídas.

O que são incidentes de segurança?

Não podemos falar de CSIRT sem entender o que ele responde, certo? Os incidentes de segurança podem ser definidos e especificados para cada organização em relação aos seus componentes.

Esses incidentes são eventos adversos, confirmados ou sob suspeita relacionado à segurança dos sistemas de computação ou das redes de computadores ou a violação de políticas de segurança, explícitas ou não.

São muitos os incidentes reportados por ano sobre os sistemas. Só em 2018, foram mais de 650 mil problemas nos sistemas computacionais, de acordo com o Cert.br.

Muitos são os tipos de ataques sofridos, como scan, DoS,DDoS, web, fraude e invasões. O scan, que representou mais da metade dos ataques do ano de 2018, diz sobre notificações de varreduras em redes de computadores.

Eles são utilizados para identificar alvos e associa vulnerabilidades aos serviços habilitados em um computador.

Já os DoS, Denial of Service, são as notificações de ataques de negação de serviço, quando um atacante malicioso utiliza um computador para tirar de operação um serviço de outro computador ou rede.

Os worms são as notificações de atividades maliciosas relacionadas ao processo automatizado de propagação de códigos maliciosos na rede; a invasão diz sobre ataques de pessoas não autorizadas a computadores ou redes.

Segundo o Cert.br, o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, incidentes incluem atividades como tentativas, com sucesso ou não, de ganhar acesso não autorizado a sistemas, dispositivos, serviços, dados ou redes.

Além de interrupção indesejada ou negação de serviço, uso não autorizado de sistema para processamento ou armazenamento de dados e/ou modificações nas características de hardware, firmware ou software de sistemas, sem consentimento prévio.

As Respostas a Incidentes de Segurança é o processo que descreve como uma organização deverá lidar com seus incidentes, sejam ataques cibernéticos, violação de dados, presenças de usuários maliciosos, roubo de dados, entre outros.

A ideia é solucionar e gerenciar os ciberataques da forma mais rápida possível e minimizando custos.

As Respostas de Incidente de Segurança são conduzidas pelas equipes responsáveis, ou seja, um CSIRT selecionado para tal função. A resposta do CSIRT deve estar no Plano de Resposta a Incidentes (IRP), indicando procedimentos, ferramentas, tecnologias e recursos para a execução.

Um IRP inclui instruções para diversos cenários e, de acordo com o Instituto SANS, fonte de treinamento em segurança de informações, seis são as etapas para respostas efetivas aos incidentes. São elas:

1. Preparação

A primeira etapa prepara os usuários e a equipe de segurança para lidar com os potenciais incidentes do ambiente. Aqui se inclui a definição de políticas, ferramentas, procedimentos e plano de comunicação.

2. Identificação

Nessa etapa as equipes de segurança consolidam informações vindas de diversas fontes e determinam se o evento é verdadeiramente um incidente de segurança.

3. Contenção

Após a identificação de um incidente, ele precisa ser contido e isolado para que não afete outros sistemas e prejudique ainda mais o ambiente. É justamente isso que faz a terceira etapa, fazendo a contenção de curto prazo e ações, como backup de sistemas.

4. Erradicação

Refere-se a encontrar a raiz do incidente, remover a ameaça dos sistemas afetados e restaurá-los para que voltem em seu estado original.

5. Recuperação

Essa etapa permite que os sistemas afetados retornem ao seu ambiente de produção após passarem por testes e validações, garantindo que as ameaças não permaneçam no ambiente.

6. Lições aprendidas

Para fechar o ciclo de Respostas a Incidentes, a última etapa atualiza o Plano de Respostas com a documentação do incidente e sua análise e ações realizadas para seu tratamento.

Essa ação contribui para o aprendizado da equipe e melhora os esforços futuros de detecção, prevenção, resposta e atuação aos incidentes.

Qual a importância de um CSIRT em uma organização?

Mesmo com boas estratégias de segurança e infraestrutura, nem sempre é possível estar livre de ações maliciosas dentro da empresa. Por isso, é preciso estar preparado para dar respostas aos incidentes de forma rápida e eficaz.

A capacidade da organização de reconhecer, analisar e responder danos reduz prejuízos e diminui custos de recuperação e de danos à imagem do negócio.

Contar com um CSIRT dá mais base e suporte no apoio para respostas e recuperações dos problemas nas áreas computacionais e de rede. Além disso, equipes como essa estão melhores preparadas para soluções e erradicações de vulnerabilidades.

É importante ressaltar que não há uma localização hierárquica estabelecida para um CSIRT dentro da estrutura do negócio. Eles podem ser parte dos grupos de TI já existentes ou podem trabalhar em conjunto com auditorias ou em ambientes externos ao negócio.

Como criar um CSIRT?

Agora que você sabe mais sobre o CSIRT, suas funções e o funcionamento de Respostas a Incidentes, é possível que você esteja se perguntando como criar um CSIRT para ter em sua organização, certo?

Embora as operações do CSIRT sejam diferentes e dependem de características de cada organização, existem algumas práticas que podem ser aplicadas a todos os CSIRTs. Confira então alguns passos importantes!

1. Obtenção de apoio e aprovação da administração

Sem apoio da administração da empresa, é muito difícil criar mecanismos eficazes de Resposta a Incidentes. Por isso, esse apoio é essencial e inclui alocação de recursos materiais, financeiros e dedicação de trabalho, afinal, é preciso de pessoas da organização para os planejamentos e construção desse projeto.

2. Determinação de planos do desenvolvimento estratégico

É preciso pensar em como o desenvolvimento do CSIRT deve ser gerenciado e quem fará parte desse processo. Aqui, é preciso pensar em prazos, membros do grupo, comunicação entre o CSIRT e empresa, armazenamento e divulgação de informações, entre outros.

3. Coleta de informações relevantes

Para criar um CSIRT é preciso reunir as informações para determinar as necessidades da organização para serviços e resposta a incidentes. 

Analise os incidentes já reportados pela empresa e então determine o que a equipe terá que oferecer e qual deverá ser o nível de conhecimento exigido dos membros do CSIRT.

Obter o máximo de informações a respeito das vulnerabilidades, ações e problemas sofridos na organização é essencial para iniciar o trabalho.

4. Idealização da visão do CSIRT

Com informações sobre a empresa fica claro as necessidades da comunidade atendida em relação a respostas de incidentes, sendo possível identificar os componentes que serão chave do CSIRT.

Dessa forma, é possível definir a visão, objetivos e funções desse grupo, que devem ser seguidos para se obter sucesso.

Para a visão é preciso ter clareza sobre quem o CSIRT prestará serviço e suporte, o que ele pode fazer por essa comunidade e como será feito.

Além disso, entram aqui também a estrutura e organização do grupo, definição da estrutura necessária para operação e modelos de financiamento e manutenção.

Mais do que criar a visão, comunique-a para a gerência e comunidade e busque com que todos entendam a importância do CSIRT.

5. Implementação do CSIRT

Depois de aprovado o plano e definidas algumas regras, é hora de iniciar a implementação da equipe de Respostas a Incidentes.

Para isso é preciso contratar e treinar pessoal, buscar equipamentos e montar a infraestrutura, desenvolver políticas e recomendações e implementar sistemas e especificações.

6. Anúncio do CSIRT

Quando o CSIRT estiver operando na empresa, é preciso anunciar seu funcionamento para a comunidade. Divulgue informações relevantes para que as notificações passem a ser comunicadas para esse grupo.

7. Avaliação da eficácia

Após estar em operação por algum tempo, é importante avaliar a eficácia da equipe do CSIRT e de seus resultados para melhoria dos processos. Em conjunto com a gerência e comunidade, deve-se desenvolver métricas e mecanismos para avaliação.

Algumas informações úteis que podem ser coletadas são: número de incidentes reportados, tempo de resposta ou de vida de cada incidente, número que incidentes resolvidos, informações fornecidas à comunidade sobre segurança e técnicas de prevenção e práticas de segurança implantadas, por exemplo.

Tamanho do CSIRT

Um dos desafios para a criação de um CSIRT é sobre a definição de seu tamanho de equipe e de colaboradores. Não existem regras para tal e é preciso se basear nas informações e necessidades de cada empresa.

Além disso, o tamanho da equipe de CSIRT deve ser baseado nos recursos disponíveis. Para criar times como esse é preciso avaliar os incidentes recorrentes na organização e buscar profissionais capacitados para tal problema.

Se a organização sofre muito ataques com vírus, por exemplo, é preciso ter colaboradores capacitados para resolver tais ações.

Diversos membros podem trabalhar em um CSIRT, incluindo diversidade de conhecimentos técnicos e de personalidades. Para esse time é preciso membros com capacidade de resolver problemas, com boa capacidade de comunicação e habilidade de lidar sob pressão, de forma rápida e eficaz.

Custo do CSIRT

Outro ponto muito questionado para a criação do CSIRT é o custo que ele vai representar para a empresa.

Essa é outra questão difícil de prever, afinal, a quantidade de recursos despendidos dependerá do número de pessoas no time e nos recursos disponibilizados para tal equipe.    

Antes de implementar o CSIRT é importante avaliar o financeiro da empresa e definir quanto poderá ser investido nessa equipe de segurança.

Porém, é importante frisar que esse não é um gasto, mas um investimento importante para manter a segurança, integridade e proteção das informações e dados da empresa e dos clientes que estão armazenados nos diversos sistemas.

Se o orçamento permitir, é possível contratar pessoal externo e criar um time do zero, preenchendo os requisitos necessários que são importantes para o CSIRT.

Caso isso não seja possível, a empresa pode trabalhar com pessoas já componentes da equipe e treinar esses colaboradores.

Dar treinamentos a respeito do CSIRT é essencial para alinhar sistemas e organização, procedimentos operacionais e políticas padrões, políticas de divulgação das informações, entre outros.

Como podemos perceber, o CSIRT é uma área importante e estratégica das organizações. Reconhecer incidentes, identificá-los no tempo correto, realizar sua análise e remediação é essencial para manter a segurança e proteção dos dados.

Empresas que cuidam de sua segurança têm grande diferencial no mercado, afinal, ter dados roubados ou vazados, sejam da organização ou dos clientes, causam diversos transtornos, prejuízos financeiros e para a imagem e podem ser irreversíveis.

Cuidar das vulnerabilidades e estar pronto para responder os ataques de forma rápida e minimizar os erros coloca as empresas em diferentes patamares no mercado e o CSIRT dá essa possibilidade.

Como já citamos, mesmo com diferentes ações, é praticamente impossível estar 100% protegido o tempo todo, por isso, não só prevenir os problemas, é preciso remediá-los quando eles acontecem.

Contar com o CSIRT dá a possibilidade de rápida remediação e faz com que as organizações criem estruturas e diretórios para ataques futuros e informações que podem ser compartilhadas com diversas equipes especializadas.

Você já conhecia o CSIRT ou já viu alguma empresa que atua com ele? Conseguiu perceber seu diferencial para a área de segurança?

Aproveite que agora você sabe um pouco mais sobre o CSIRT, suas funções e formas de implementação e fique ainda mais por dentro do tema cibersegurança!


Compartilhe com um amigo!