2. Equipas CERT/CSIRT

2.11. RESUMO / PRINCIPAIS RESULTADOS DO CAPÍTULO

ℹ️

RESUMO

·       A diferença entre uma equipa de segurança regular e uma equipa CERT/CSIRT está principalmente no envolvimento na infra-estrutura de segurança global, na partilha de informação dentro desta infra-estrutura e na observância dos procedimentos formais estabelecidos.

·      requisito básico de uma comunidade é que a equipa CERT/CSIRT declare publicamente as suas informações de contacto e as suas regras de actividade:

o   que é o seu operador,

o   que são os seus membros,

o   a forma e quando é possível chegar à equipa,

o   quais os serviços que oferece,

o   âmbito de actividade (AS número[1] , rede, domínios, serviços), em que a equipa está qualificada para actuar e de que forma, ou seja, definindo os seus poderes e responsabilidades. Com base no âmbito de actividade, a equipa é então contactada (por exemplo, pelos atacados) e aborda as questões (incidentes) a ela associadas.

·       Âmbito de actividade da equipa - define o que é da responsabilidade da equipa e qual é o seu papel. Isto, claro, depende da equipa que é. É possível criar equipas de aproximadamente os seguintes tipos:

o   interno - serve e é responsável por uma rede específica (por exemplo, por uma gama específica de endereços IP, domínios), normalmente criada pelo operador de rede,

o   coordenação - uma equipa cuja principal tarefa é coordenar a resolução de incidentes de segurança, não tem de os abordar de uma forma direccionada,

o   fornecedor - uma equipa que se ocupa da resolução de incidentes de segurança que afectam um produto específico (SW),

o   nacional, governamental - casos especiais baseados nos princípios das duas primeiras equipas mencionadas (interna e de coordenação), o seu âmbito e papel dependem do fundador e muitas vezes também da legislação de um determinado país.

·       As equipas CERT/CSIRT não têm uma hierarquia oficial que tornaria uma equipa superior a outra. Todas as equipas são iguais em termos de funcionamento, comunicação, cooperação e troca de informação e não estão limitadas nestas áreas.

·       CERT/CSIRT nacional actua como uma espécie de último recurso - a última instância onde é possível pedir intercessão, assistência e intervenção.

·      Uma CERT/CSIRT governamental concentra-se geralmente na área da administração estatal e auto-governo e na resolução de incidentes que ameaçam a segurança do Estado e dos seus serviços. Uma CERT/CSIRT governamental pode tomar a forma de uma equipa interna com a possibilidade de intervenção directa no caso de um problema. A sua existência é geralmente apoiada por legislação.


🗝️

PALAVRAS-CHAVE A LEMBRAR

·       Equipa CSIRT

·       Equipa CERT

·       Tratamento de incidentes

·       Hierarquia das equipas

·       Âmbito de actividade


PERGUNTAS DE VERIFICAÇÃO DE CONHECIMENTOS       

·       Que é uma equipa CSIRT/CERT?

·       Como é criada e estabelecida uma equipa CSIRT/CERT?

·       Em que se concentra a equipa nacional do CSIRT?

·       Em que se concentra a equipa do CSIRT do governo?

·       Quais são os requisitos básicos da comunidade para uma equipa CERT/CSIRT?




[1] AS - Sistema Autónomo. Um sistema autónomo é um conjunto de redes IP e encaminhadores sob gestão técnica comum, o que representa uma política comum de encaminhamento para a Internet.