22 – 26 de maio, 2006 - Cidade de Guatemala, Guatemala
Tutorial de Segurança de Redes
Segunda-Feira 22 de maio de 2006
"Criação de Equipes de Resposta a Incidentes de Segurança em Computadores"
As redes de computadores têm revolucionados a forma de fazer negócios, uma vez que introduziram riscos potenciais. As mudanças no modo em como a sociedade faz uso da tecnologia traz consigo novas possibilidades de invasão.
Na maioria dos casos, os administradores de redes ou sistemas não contam com pessoas e nem com experiência para se defender contra os ataques e reduzir os danos.
As organizações podem responder de diferentes formas como defesa contra as ameaças de segurança na Internet, seja mantendo-se atualizada com as últimas mudanças de sistemas operacionais e as atualizações dos produtos, instalação de defesas perimetrais e internas como roteadores, firewalls, scanners e sistemas detectores de invasão, com novas políticas e procedimentos de segurança, lançando alertas de segurança, capacitando os funcionários, clientes ou membros da organização.
Um CSIRT (Computer Security Incident Response Team – Equipe de Resposta a Incidentes de Segurança em Computadores) é uma Organização ou equipe que fornece serviços e suporte para prevenir, gerenciar ou responder aos incidentes de segurança computacional.
Em geral:
É um ponto de contato para o relato de problemas locais e de sua gama de ação.
Assite à organização e em geral à comunidade de computação na prevenção e gerenciamento de incidentes de seguranças em computadores.
Compartilha informações e experiências com o CSIRT/CC, outras equipes de respostas e outros sites e organizações adequeados.
A criação de um CSIRT é um dos passos que as organizações podem dar para fornecer uma estratégia mais rápida de resposta, para a qual terá que identificar claramente as ações e decisões chaves a serem consideradas para o planejamento e implementação deste na organização.
Para poder implementar com sucesso um CSIRT, a organização deve reunir a informação necessãria para ela (tipos de problemas, pontos críticos, processos, etc), identificar a gama de ação e os serviços que proporcionará, a forma em que será estruturada, os equipamentos de infra estrutura, obter recursos (incluindo pessoal, experiência e financiamento), autoridades, ente outras coisas, baseando suas ações em uma visão global dos requisitos de sua organização e na missão que possui de criação desta equipe.
Pode-se aprender com a experiência de outros CSIRT, como por exemplo: MxCERT, SingCERT, CanCERT, CERT NASK, etc.
Cada equipe determina:
- A gama de serviços que proporcionará: horários, políticas, modo de operação, prioridades, ferramentas e equipamento, responsáveis, etc.
- O nível de suporte que dará a cada um dos serviços: alocação de recursos, extensão e profundidade do serviço proporcionado, etc.
O plano de criação de um CSIRT, também há de ser retro alimentado por outros especialistas em segurança, outros CSIRT, provedores de serviços de Internet e outros grupos da mesma organização.
Pode-se também pensar em modelos alternativos de CSIRT, os quais podem atender aspectos muito específicos de segurança, podem ser equipes locais, virtuais, centralizadas, combinadas, etc. Os que podem evolucionar de acordo com as mudanças e necessidades que surgem e são avaliadas, seja a curto ou longo prazo.
Não devemos esquecer que a constante avaliação crítica e promoção de melhoras contínuas são um ponto importante para o crescimento do CSIRT.
Para obter maiores informações, favor consultar:
FIRST:
http://www.first.org/about/organization/teams/index.html
TERENA:
http://www.ti.terena.nl/teams/index.html
Site Security Hanbook
http://www.ietf.org/rfc/rfc2196.txt
NSS Security Improvement Modules
Avoiding the Trial-by-fire Approach to Security Incidents
|
