Como funciona um time de respostas a incidentes

Computer Security Incident Response Team (CSIRT), ou Grupo de Resposta a Incidentes de Segurança, é o time responsável por analisar e responder, com o máximo de precisão, os incidentes de segurança de uma rede computacional. Quando ocorre um incidente de segurança, o CSIRT deve ser acionado imediatamente para efetuar as verificações necessárias, pois o tempo de resposta é determinante para minimizar as consequências e proteger as informações críticas, seja de uma empresa, de um órgão governamental ou até mesmo de um país.

Atividades CSIRT

Não existe um conjunto padronizado de funções ou serviços providos por um CSIRT pois eles se baseiam nas necessidades da organização que atende. Por isso, alguns podem contribuir para diversos serviços de segurança, mesmo que executados por outros departamentos da organização, através de análise de riscos, planejamento de continuidade do negócio e disaster recovery. Outros podem dedicar-se ao trabalho de disseminação da cultura de segurança da Informação, através de ações de conscientização e treinamentos.

Incidentes de segurança

Segundo o Cert.br, incidentes incluem atividades como:

• tentativas (com ou sem sucesso) de ganhar acesso não autorizado a sistemas ou a seus dados
• interrupção indesejada ou negação de serviço
• uso não autorizado de um sistema para processamento ou armazenamento de dados
• modificações nas características de hardware, firmware ou software de um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema

E como determinar a severidade de um incidente de segurança? A resposta reúne diversos aspectos como os recursos necessários para lidar com ele, o impacto/dano que pode gerar, se a organização é um alvo em específico e qual a origem do ataque. Com essas informações em mãos é possível classificar quão crítico é o ataque.

Perfil profissional para atuar em um CSIRT

É desejável que o profissional que atua em um CSIRT possua um perfil com qualidades interpessoais e técnicas específicas.

Habilidades interpessoais desejáveis:

• Discernimento para levantar os pontos mais relevantes ao analisar uma situação
• Capacidade de seguir normas e políticas
• Habilidade de lidar com estresse e trabalho sob pressão
• Comunicação oral e escrita de qualidade
• Trabalho em equipe
• Integridade e confiança para manter a reputação da equipe

Conhecimentos técnicos indispensáveis:

• Infraestrutura de redes e protocolos;
• Funcionamento da internet e deep web
• Protocolos de aplicação e serviços
• Princípios de Segurança
• Riscos e ameaças a redes e sistemas de computadores
• Tecnologias de criptografia e certificação digital
• Segurança de host
• Recentes estratégias de ataque e vulnerabilidades, além de ameaças emergentes e formas de combatê-las

Nenhum ambiente está 100% seguro contra intrusões ou outras ações maliciosas e por isso a atuação de um CSIRT é tão importante. A demora ou ineficiência no tratamento de um incidente de segurança só aumentará os danos e perdas de uma violação.