Saiba como criar um CSIRT
Arquivo do Clipping 2002
Veículo: Módulo Security Magazine
Data: 28/08/2002
Assunto: Segurança
Você sabe o que significa um CSIRT? Em inglês a sigla CSIRT significa Computer Security Incident Response Team. Em português, ela é traduzida para Grupo de Resposta a Incidentes de Segurança.
No Brasil, uma das maiores referências nesta área é o NIC BR Security Office (NBSO), criado em 1997 pelo Comitê Gestor da Internet no Brasil para coordenar e prover informações sobre incidentes de segurança existentes na web brasileira.
Nesta semana, o NBSO publicou dois importantes documentos abordando aspectos gerais dos CSIRTs. Sobre o assunto, conversamos com Cristine Hoepers, analista de segurança sênior do NBSO. Nesta entrevista, Hoepers revela as principais questões que envolvem a criação, o desenvolvimento e a manutenção de um grupo de resposta a incidentes de segurança. Confira.
Módulo Security Magazine: O que significa em termos gerais um CSIRT?
Cristine Hoepers: Um CSIRT é um grupo ou organização que provê serviços e suporte para um público bem definido, para prevenção, tratamento e resposta a incidentes de segurança. O público, ou comunidade atendida, é definido pelo próprio CSIRT. Alguns grupos atendem somente a administradores de redes, enquanto outros prestam serviços a um número mais amplo de pessoas dentro da instituição em que foram formados.
Módulo: Por que criar um CSIRT? Há alguma exigência para sua criação (tamanho de rede, ramo de atividade de empresa ou instituição)?
Cristine: Cada instituição deve fazer uma análise de sua estrutura e avaliar se há interesse em instalar um CSIRT. O nosso trabalho tem sido mostrar as vantagens de uma instituição criar o seu CSIRT. O grupo pode ter pessoal dedicado em tempo integral ou ser formado por diversas pessoas que já atuam na instituição e que dedicam tempo parcial às tarefas de um CSIRT.
Hoje em dia, qualquer instituição que julgar necessária a instalação de um grupo de resposta a incidentes deve fazê-lo. No Brasil ainda são poucas as instituições que tem um grupo dedicado às tarefas de um CSIRT, mas no exterior podemos ver CSIRTs que atendem países, universidades, bancos, operadoras de cartão de crédito e até a Cruz Vermelha americana.
Módulo: Quais as vantagens da criação de um CSIRT?
Cristine: A grande vantagem de uma instituição possuir um CSIRT é que ela terá um grupo dedicado exclusivamente para lidar com incidentes de segurança e sua prevenção.
Com o treinamento adequado este grupo é capaz de prover recuperação rápida e eficaz em casos de incidentes de Segurança, com a vantagem de geralmente fazer a recuperação preocupada com fatores como a preservação de evidências e entendimento das razões do incidente, tendo assim maiores condições de avaliar a extensão do problema.
Como o grupo está sempre atualizado no que diz respeito à segurança da informação, ele também é o candidato natural a fazer o trabalho pró-ativo e organizar boletins internos para a instituição, atuando como ponto de central no que diz respeito à segurança.
Módulo: Vocês têm algum indicativo sobre a quantidade de CSIRTs no Brasil? Existe troca de informações entre os já existentes?
Cristine: Podemos contabilizar cerca de 15 grupos brasileiros que têm exercido as funções básicas de um CSIRT.
A comunicação entre estes grupos não é muito fluida, em parte por uma questão cultural. Este é um ponto que sempre frisamos: o pessoal de segurança deve criar redes de confiança e cooperar com os grupos em que confia. Ou seja, incentivamos a comunicação entre os grupos desde que exista confiança mútua.
O NBSO já promoveu algumas reuniões em que estes grupos tiveram chances de se conhecer e trocar informações; o que esperamos é que a cooperação ocorra naturalmente entre os grupos, pois não se pode forçar este tipo de atitude.
Módulo: Em janeiro de 1999, o GT-S do Comitê Gestor publicou um documento relacionado ao tema. O que falta para o crescimento desses grupos no país?
Cristine: As áreas de segurança e resposta a incidentes ainda estão em desenvolvimento no país. Nós tivemos um grande avanço nos últimos anos: em 1999 tínhamos três, talvez quatro, grupos de resposta a incidentes no país, hoje contamos com 15.
De qualquer forma é importante frisar que se um grupo é criado sem o apoio total da instituição dificilmente ele terá sucesso. Nós acreditamos que quanto mais grupos de resposta a incidentes forem criados, melhor será a situação - mas desde que estes grupos tenham apoio e condições para desenvolver seu trabalho.
Módulo: Qual o papel do NBSO neste processo?
Cristine: O NBSO tem feito diversas ações com a intenção de fomentar a criação de grupos de resposta a incidentes, como palestras esclarecendo qual o papel de um grupo de resposta a incidentes e a tradução de parte do material de referência na área.
Nós também auxiliamos, de forma individual, grupos que estejam se formando ou que queiram melhorar sua atuação. Normalmente, nos reunimos com as partes interessadas procurando ver qual o melhor modelo de CSIRT, quais as necessidades da instituição, entre outros itens.
Módulo: Qual material de consulta para referência na hora da criação de um CSIRT no país?
Cristine: Toda a documentação sobre implantação de CSIRTs está disponível na Internet. O NBSO reuniu links para este material em nossa página.
Grupos em fase de criação são encorajados a entrar em contato conosco, não só para obter auxílio, mas também para que possamos iniciar o processo de trabalho cooperativo e para que possamos apresentar estes grupos para os outros já existentes.
Módulo: Que tipo de profissional está habilitado para atuar nesta área? Quais são os requisitos exigidos (conhecimento de software, hardware etc)?
Cristine: É consenso entre os profissionais que atuam em CSIRTs que o requisito básico é a ética. O relacionamento entre os CSIRTs se dá na base da confiança mútua e quando existe a mínima chance de um grupo possuir em seu quadro um profissional que tenha tido, em alguma fase de sua carreira, um envolvimento com atividades de hacking, o grupo todo passa a não ser considerado confiável.
Quanto à parte técnica, é importante que o profissional tenha sólidos conhecimentos de TCP/IP e experiência com administração de redes. Além disso, é preciso que a instituição permita que o pessoal do CSIRT tenha acesso a sistemas similares àqueles utilizados pela comunidade atendida pelo CSIRT. O usual é que o grupo conte com um laboratório onde possa fazer testes e instalar os sistemas com os quais poderá lidar em casos de incidentes.
Módulo: Qual o custo para criação de um CSIRT? Há necessidade de compra de máquinas e software específicos?
Cristine: O CSIRT precisa ter uma infra-estrutura de rede isolada do resto da organização, assim como precisa de servidores exclusivos, de acesso restrito ao pessoal do CSIRT. É muito importante que os dados do CSIRT sejam tratados da forma mais segura possível.
Quanto a software, normalmente os CSIRTs desenvolvem seus próprios sistemas de tracking de incidentes e sistemas para armazenamento das informações. Não se tem conhecimento de nenhum CSIRT que utilize um produto sem nenhuma alteração ou adição feita pelo grupo. As características do trabalho de resposta a incidentes são muito peculiares e ainda não existem softwares voltados para esta área.
Módulo: Quais são as referências no exterior sobre grupos de resposta a incidentes de segurança?
Cristine: Para quem busca treinamento, aconselhamos que vejam os cursos dados pelo pessoal do AusCERT (http://www.auscert.org.au/) e do CERT Coordination Center (http://www.cert.org/csirts/).
Para listas de CSIRTs pode-se consultar os seguintes sites:
Grupos filiados ao FIRST
Grupos da região da Ásia e Pacífico
Grupos Europeus
Fonte: Módulo Security Magazine
