CSIRTs e CERTs

Uma organização que decida criar uma equipa CERT/CSIRT deve inicialmente definir de forma clara e compreensível o que pretende alcançar com a criação da equipa, que papel requer da equipa (ou seja, especifica o seu âmbito, poderes, responsabilidades e serviços operados) e deve também assegurá-lo de forma adequada na organização.

Âmbito de actividade

O âmbito da actividade é normalmente a área do ciberespaço em que a equipa está qualificada para actuar e sobre a qual tem os poderes e responsabilidades relevantes definidos pelo fundador. Com base no âmbito de actividade declarado, a equipa é então contactada, por exemplo, pelos atacados, e aborda problemas na esfera da sua influência. O âmbito de actividade de uma equipa pode ser definido como rede(s) específica(s), sistema(s) autónomo(s), domínio(s) de nome, mas há também equipas que listam a sua perícia, serviço específico, etc. como o âmbito de actividade.  

Serviços

Para que uma equipa seja oficialmente designada por CERT/CSIRT, precisa de oferecer principalmente um serviço de resolução ou coordenação de incidentes de segurança dentro do seu âmbito definido, cumprindo assim a ideia de "resposta" utilizada nas siglas CERT/CSIRT, ou seja, esta equipa precisa de ser capaz de responder a um incidente de segurança. Contudo, a equipa pode oferecer uma série de outros serviços de muitas áreas, tais como formação, aviso de ataques actuais, vulnerabilidades de SO, auditorias de segurança, consultas SW, recomendações de regras básicas de segurança, desenvolvimento e operação de ferramentas de monitorização do tráfego de rede e serviços e muito mais.

Membros da equipa

A área que tem uma influência decisiva sobre a qualidade da equipa é o seu pessoal. Em cada rede operada, existe normalmente um departamento ou grupo de técnicos que são responsáveis pelo funcionamento e desenvolvimento da rede e serviços e que também se ocupam de aspectos de segurança (geralmente "pessoal informático", "pessoal de segurança", "administradores", etc.). Estas são geralmente as pessoas certas para integrar uma equipa CERT/CSIRT ou para serem designadas para a construir. Contudo, é aconselhável ter outros tipos de peritos na equipa (como um advogado, ou, no caso de equipas nacionais e governamentais, pode ser útil um oficial de ligação dos meios de comunicação social, um gestor, um sociólogo, etc.). Depende do foco, do ambiente, dos serviços oferecidos e do papel da equipa.

De um ponto de vista "externo", uma equipa torna-se uma equipa CERT/CSIRT quando é aceite como tal por outras equipas CERT/CSIRT globais existentes. O caminho para obter o estatuto de equipa CERT/CSIRT não é complicado, no início é suficiente para declarar claramente o seguinte

1.     Informações básicas de contacto - nome da equipa, nome da organização que dirige a equipa, endereço(s) de correio electrónico da equipa onde os incidentes de segurança podem ser comunicados ou a equipa pode ser contactada, número(s) de telefone da equipa, endereço da sede, nomes dos membros da equipa, horários de trabalho para os quais a equipa pode ser contactada, etc.

2.     Âmbito de actividade da equipa - define o que é da responsabilidade da equipa e qual é o seu papel. Isto, claro, depende da equipa que é. É possível criar equipas de aproximadamente os seguintes tipos:

·      interno - serve e é responsável por uma rede específica (por exemplo, por uma gama específica de endereços IP, domínios), normalmente criada pelo operador de rede,

·      coordenação - uma equipa cuja principal tarefa é coordenar a resolução de incidentes de segurança, não tem de os abordar de uma forma direccionada,

·      fornecedor - uma equipa que se ocupa da resolução de incidentes de segurança que afectam um produto específico (SW),

·      nacional, governamental - casos especiais baseados nos princípios das duas primeiras equipas mencionadas (interna e coordenação), o seu âmbito e papel dependem do fundador e muitas vezes também da legislação de um determinado país.

3.     Serviços oferecidos - a equipa CERT/CSIRT deve fornecer pelo menos um serviço de resolução de incidentes de segurança.

Depois de uma equipa CSIRT/CERT recentemente estabelecida ter tratado dos passos acima referidos e estabelecido uma política básica de equipa para lidar com incidentes de segurança, que inclui a classificação da gravidade do incidente, regras de resposta ao incidente, contabilização dos membros da equipa, regras de comunicação com o autor do relatório do incidente de segurança, etc., está no bom caminho para ser aceite pelas equipas adjacentes. Uma parte natural e necessária é a necessidade de se familiarizar com as regras básicas acordadas pela comunidade CSIRT e de as seguir.

Logo no início da criação de uma equipa do tipo CERT/CSIRT é também a criação dos seus antecedentes técnicos e organizacionais, sem os quais nenhuma equipa pode funcionar eficazmente.

O contexto técnico significa, por exemplo, um instrumento de gestão eficaz dos relatórios de incidentes de segurança, que permite a monitorização de todo o seu ciclo de vida, ou seja, quando o relatório foi enviado, por quem, em que fases do incidente, porquê, como se processou, quem pediu a quem cooperar, qual a gravidade do incidente e que procedimentos de escalonamento lhe foram aplicados, etc. Para esta área, as equipas utilizam normalmente vários sistemas chamados de bilhética, por exemplo, RTIR[1] , OTRS[2] . Outras ajudas importantes no domínio das ferramentas técnicas são vários IDS (Intrusion Detection System), sistemas de auditorias de segurança de redes e equipamentos, sistemas de análise forense, monitorização do tráfego de rede (netflow), etc.

O contexto organizacional representa precisamente a mencionada "prontidão" para o problema, ou seja, a definição das regras básicas para o funcionamento da equipa, para que cada membro da equipa conheça o seu papel, deveres e responsabilidades, a política de resolução de incidentes de segurança, regras de comunicação, partilha e intercâmbio de informação, cooperação, etc. A base nesta área é geralmente uma gestão de incidentes bem gerida.

No momento em que a equipa recém-formada gere o acima exposto, ou seja, é capaz de se descrever a si própria e às suas actividades e de as levar a cabo. Pode participar na cooperação a nível nacional e internacional.