CSIRTs e CERTs

CERT (Equipa de Resposta a Emergências Informáticas) e CSIRT (Equipa de Resposta a Incidentes de Segurança Informática). Embora cada um destes acrónimos tenha um significado ligeiramente diferente e principalmente uma génese histórica ligeiramente diferente, ambos os acrónimos podem hoje em dia ser entendidos como o mesmo tipo de equipa - uma equipa que está no seu âmbito de actividade claramente definido responsável por lidar com incidentes de segurança e (ciber)ameaças, do ponto de vista dos utilizadores ou outras equipas, o local a que se podem dirigir com o incidente de segurança detectado, com um pedido de cooperação, troca de informações, assistência, etc.

As equipas CERT/CSIRT são criadas a nível de organizações individuais que medeiam o funcionamento da Internet (ISP - Internet Service Providers), bem como organizações que utilizam o ambiente da Internet para o seu negócio principal (tais como empresas de TI, fornecedores de conteúdos, bancos).

O dever básico de cada equipa do CSIRT é responder a uma ameaça e cooperar na resolução de incidentes. Uma equipa CSIRT aborda geralmente um problema que ocorre no seu âmbito de actividade (por exemplo, a sua própria infra-estrutura de rede), ou seja, onde tem possibilidades reais de intervir.

Um CERT/CSIRT de uma determinada rede (organização) é geralmente um ponto de contacto a que os utilizadores podem recorrer com um problema de segurança identificado (ou apenas um problema suspeito) que diz respeito a uma rede informática ou a um dos serviços operados. Uma equipa profissional CERT/CSIRT deve rever cada relatório (incluindo um potencial) incidente de segurança recebido e, se possível, remediar o problema.

Não é nada de revolucionário que não exista na prática, cada grande organização, fornecedor de Internet ou fornecedor de serviços dirige uma equipa de segurança. A diferença entre uma equipa de segurança regular e uma equipa CERT/CSIRT está principalmente no envolvimento na infra-estrutura de segurança global, na partilha de informação dentro desta infra-estrutura e na observância dos procedimentos formais estabelecidos.

A existência de pelo menos uma equipa oficial CERT/CSIRT é desejável em cada rede operada, especialmente nas grandes redes (de trânsito, regionais, universitárias), ou seja, ao nível dos grandes ISP, mas também ao nível dos bancos ou prestadores de serviços.

As equipas de topo globais dentro de cada Estado têm um papel significativo e específico - as chamadas equipas nacionais e governamentais, às quais será dedicado um subcapítulo separado.

Globalmente, as equipas CERT/CSIRT existentes podem ser vistas como uma infra-estrutura que trata de problemas de segurança na Internet. No trabalho, uma equipa CERT/CSIRT baseia-se principalmente na sua experiência, procedimentos pré-preparados e comprovados e na cooperação e troca de informação com outras equipas CERT/CSIRT.

O requisito básico de uma comunidade é que a equipa CERT/CSIRT declare publicamente as suas informações de contacto e as suas regras de actividade:

·      que é o seu operador,

·      que são os seus membros,

·      a forma e quando é possível chegar à equipa,

·      quais os serviços que oferece,

·      âmbito de actividade (AS número[1] , rede, domínios, serviços), em que a equipa está qualificada para actuar e de que forma, ou seja, definindo os seus poderes e responsabilidades. Com base no âmbito de actividade, a equipa é então contactada (por exemplo, pelos atacados) e aborda as questões (incidentes) a ela associadas.

O conceito de abordar um incidente de segurança pode ter diferentes especificidades dependendo das configurações da equipa e da sua política interna - pode ser uma simples eliminação de um ataque (destruição da origem do problema, por exemplo, desligando o sistema informático comprometido da rede), rastreando o atacante, retomada rápida do funcionamento do serviço/rede infectado, etc.

Dependendo das actividades da equipa na resolução de um incidente de segurança, as equipas podem ser descritas como internas (institucionais) ou de coordenação. O tipo interno da equipa tem normalmente a possibilidade de intervenção directa (desligar a fonte do problema, introduzir filtragem de tráfego na rede, etc.), o tipo de coordenação da equipa não tem a possibilidade de intervenção directa, as suas actividades centram-se na comunicação, cooperação e mediação de informação (são normalmente equipas nacionais, que serão discutidas a seguir).

No caso de abordar um incidente específico, os participantes tentam abordá-lo directamente na fonte, ou seja, com quem está mais próximo da fonte ou do destino do incidente e podem intervir da forma mais eficaz possível (administrador da rede ou dos serviços finais). A situação ideal ocorre quando a fonte e o alvo se encontram no âmbito de uma equipa CSIRT, porque é muito fácil e rápido encontrar um perito específico no local do problema. O perito pode então também abordar o problema de forma eficaz e as suas reacções são previsíveis, uma vez que publicou voluntariamente as suas regras do jogo. Este procedimento de comunicação é muito flexível, devido ao facto de a comunicação não passar por diferentes níveis. É rápido e preciso. Então a reacção pode ser a mesma. No entanto, se a vítima não conseguir encontrar uma contrapartida adequada (quer porque não existe, quer porque não dá qualquer informação útil sobre si própria, recusa-se a abordar o problema ou simplesmente não reage), uma "alavanca" seria apropriada. Isso pode ser normalmente, em certa medida, fornecido por equipas de topo - nacionais e governamentais.