Tratamento de Incidentes de Segurança Tratamento de Incidentes de Segurança Tratamento de Incidentes de Segurança Rio de Janeiro Escola Superior de Redes 2015 Copyright © 2015 – Rede Nacional de Ensino e Pesquisa – RNP Rua Lauro Müller, 116 sala 1103 22290-906 Rio de Janeiro, RJ Diretor Geral Nelson Simões Diretor de Serviços e Soluções José Luiz Ribeiro Filho Escola Superior de Redes Coordenação Luiz Coelho Coordenação Acadêmica de Segurança e Governança de TI Edson Kowask Edição Lincoln da Mata Revisão técnica Jácomo Picolini Equipe ESR (em ordem alfabética) Adriana Pierro, Celia Maciel, Cristiane Oliveira, Derlinéa Miranda, Elimária Barbosa, Evellyn Feitosa, Felipe Nascimento, Lourdes Soncin, Luciana Batista, Luiz Carlos Lobato, Renato Duarte e Yve Abel Marcial. Capa, projeto visual e diagramação Tecnodesign Versão 2.0.0 Este material didático foi elaborado com fins educacionais. Solicitamos que qualquer erro encon- trado ou dúvida com relação ao material ou seu uso seja enviado para a equipe de elaboração de conteúdo da Escola Superior de Redes, no e-mail [email protected]. A Rede Nacional de Ensino e Pesquisa e os autores não assumem qualquer responsabilidade por eventuais danos ou perdas, a pessoas ou bens, originados do uso deste material. As marcas registradas mencionadas neste material pertencem aos respectivos titulares. Distribuição Escola Superior de Redes Rua Lauro Müller, 116 – sala 1103 22290-906 Rio de Janeiro, RJ http://esr.rnp.br [email protected] Dados Internacionais de Catalogação na Publicação (CIP) C416t Ceron, João Tratamento de Incidentes de Segurança / João Ceron. – Rio de Janeiro: RNP/ESR, 2014 208 p. : il. ; 27,5 cm. ISBN 978-85-63630-46-9 1. Segurança de computador. 2. Internet – medidas de segurança. 3. Centro de estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT). 4. Grupo de Resposta a Incidentes de Segurança (CSIRT). I. Título.. CDD 005.8 Sumário Escola Superior de Redes A metodologia da ESR ix Sobre o curso  x A quem se destina x Convenções utilizadas neste livro x Permissões de uso xi Sobre o autor xii 1. Definições e fundamentos de CSIRTs Introdução 1 Contextualização histórica  2 Identificando CSIRTs pelo mundo 3 Definição de CSIRT 3 Exercício de fixação 1 – Conhecendo CSIRTs 4 Abrangência operacional e missão do CSIRT 5 Serviços de CSIRTs 6 Aspectos operacionais de um CSIRT 10 Tipos 10 Modelos 11 Autonomia  11 Definição de incidente 12 Passos para criação de um CSIRT 13 Fóruns de CSIRTS  13 iii Roteiro de Atividades 1 15 Atividade 1.1 – Criação de um CSIRT 15 Atividade 1.2 – Nome e sigla 15 Atividade 1.3 – Abrangência operacional 15 Atividade 1.4 – Missão 15 Atividade 1.5 – Estrutura organizacional  15 Atividade 1.6 – Serviços  16 Atividade 1.7 – Incidente de segurança  17 2. Gerenciamento do CSIRT Introdução 19 Código de conduta 19 Equipe 21 Treinamento e desenvolvimento da equipe 24 Terceirização de serviços  24 Contratação  25 Procedimentos de ingresso e desligamento 27 Requisitos estruturais 28 Comunicação  31 Fatores de sucesso  33 Roteiro de Atividades 2 37 Atividade 2.1 – Entrevista coletiva 37 Atividade 2.2 – Contratação  37 Atividade 2.3 – Desligamento  38 Atividade 2.4 – Entrevista de emprego 38 Atividade 2.5 – Comunicando-se com a imprensa 39 Atividade 2.6 – Avaliação de incidente 39 Atividade 2.7 – Procedimentos 40 Atividade 2.8 – Gerenciamento de CSIRT 40 3. Riscos e ameaças Introdução 41 Análise de risco 41 Ameaças associadas a segurança de sistemas  44 iv Comprometimento de sistemas 45 Phishing 46 Desfiguração 47 Ataques de força bruta 47 Varredura em redes (Scan) 48 Negação de serviço (DoS e DDoS) 48 Malwares 50 Outros riscos 53 APT 54 Roteiro de Atividades 3 57 Atividade 3.1 – Análise de riscos  57 Atividade 3.2 – Ameaças de segurança 57 Atividade 3.3 – Comprometimento de sistemas 58 Atividade 3.4 – Ataques web 58 Atividade 3.5 – Ataques de força bruta 59 Atividade 3.6 – Atuando com APTs 59 Atividade 3.7 – Ataques de negação de serviço (DoS) 60 4. Processo de tratamento de incidentes Introdução 61 Metodologia para resposta a incidentes 62 Preparação  63 Contenção  68 Erradicação 70 Recuperação 70 Avaliação 72 Recursos adicionais  73 Roteiro para avaliação inicial de um incidente 73 Procedimentos  74 Roteiro de atividades 4 77 Atividade 4.1 – Notificação de incidentes 77 Atividade 4.2 – Preparação 77 Atividade 4.3 – Detecção  78 Atividade 4.4 – Contenção 78 Atividade 4.5 – Erradicação 79 v Atividade 4.6 – Recuperação  79 Atividade 4.7 – Monitoração de acessos  79 5. Aspectos operacionais da resposta a incidentes Introdução 81 Aspectos operacionais da resposta a incidente 81 Identificação 82 Mensagens de e-mail  83 Análise de cabeçalho 84 Atividade 5.1 – Análise de cabeçalho de e-mail 87 Atividade 5.2 – Utilizando o protocolo SMTP 88 Sincronismo de tempo 90 Atividade 5.3 – Padronização do formato data e hora 92 Priorização  93 Categorização  94 Atividade 5.4 – Classificação e triagem de incidentes 95 Atribuição  96 Escalação de incidentes  97 Notificação de incidentes 98 Boas práticas para a notificação de incidentes de segurança 103 Roteiro de atividades 5 105 Atividade 5.1 – Utilizando PGP 105 Atividade 5.2 – PGP Web-of-Trust 106 Atividade 5.3 – Notificação de incidentes 106 Atividade 5.4 – Identificar informações relevantes em uma notificação recebida 106 6. Identificação de contatos Introdução 109 Identificação de contatos 110 Traduzir domínios de redes para endereços IP (domínio > IP) 110 Traduzir o endereço IP para domínios de redes (IP > domínio) 111 Serviço WHOIS 111 National Internet Registry 112 Domínios de rede 113 Exercício de fixação 116 Endereçamento IP 116 vi