SOC, CERT, CSIRT: a qual pertences?
Em 1988, Robert Tappan introduziu na Internet o chamado “worm Morris”. É provável que não soubesse que estava a fazer história. Em 24 horas, o worm tinha infetado 10% dos sistemas então ligados e inutilizado uma boa parte deles.
As equipas de resposta a incidentes têm sido designadas por diferentes nomes e, de certa forma, especializaram-se ou diversificaram-se
Este ataque deu origem a um dos conceitos que, mais de 30 anos depois, continua válido e em evolução: a Equipa de Resposta a Emergências Informáticas (CERT).
Desde então, as equipas de resposta a incidentes têm sido designadas por diferentes nomes e, de certa forma, especializaram-se ou diversificaram-se, o que levou ao aparecimento de variadas e diferentes metodologias, procedimentos, capacidades e até objetivos. CERT é uma marca registada da Carnegie Mellon University (CMU), CSIRT (Computer Security Incident Response Team) é um conceito taxonómico sem restrições de utilização.
Um CERT recolhe e divulga informações de segurança, um CSIRT responde a incidentes.
Para utilizar uma definição formal, a própria CMU explica que um CSIRT é “uma unidade organizacional à qual é atribuída a responsabilidade de coordenar e apoiar a resposta a um incidente de segurança informática”, por oposição ao que considera um CERT, que designa como “o estudo de problemas com implicações generalizadas na cibersegurança e o desenvolvimento de métodos e ferramentas avançados”.
Por outras palavras, enquanto um CERT recolhe e divulga informações de segurança, um CSIRT responde a incidentes.
Muito mais recentes são os SOC (Centros de Operações de Cibersegurança), unidades encarregadas de monitorizar, detetar e analisar ameaças através da supervisão contínua de redes, sistemas, aplicações e dispositivos.
Assim, inicialmente, cada serviço deve centrar-se (especializar-se) numa área específica:
- CERT: prevenção, por exemplo, procura de vulnerabilidades, sensibilização dos colaboradores, partilha de informação sobre ameaças ou incidentes. Em suma, evitar a ocorrência de incidentes de segurança.
- SOC: deteção, identificando qualquer atividade suspeita ou anómala que possa indicar um incidente de segurança e dando prioridade à análise e resposta de acordo com a criticidade do evento detetado.
- CSIRT: reação, ações tomadas em resposta a um incidente de segurança depois de este ter sido detetado
Com o tempo, os intervenientes no mercado e um certo preconceito de confirmação por parte de alguns clientes mancharam esta orientação e são frequentemente oferecidos serviços que parecem combinar todas estas capacidades numa espécie de pedra filosofal da segurança.
Lembram-se do episódio de Dom Quixote em que os capuzes acabam como dedais?
Ou se está num pavimento ou no outro, mas se se fica no meio, é-se atropelado
Separar as funções de prevenção, deteção e resposta em diferentes equipas ou fornecedores é a estratégia mais eficaz por várias razões:
- Especialização e foco:
- Prevenção: Conhecer as mais recentes vulnerabilidades e técnicas de ataque e saber como mitigar esses riscos antes que se tornem problemas.
- Deteção: análise de dados, padrões de comportamento, deteção de intrusões e, em suma, identificação rápida de qualquer atividade suspeita ou anómala.
- Reação: competências e capacidades de coordenação de incidentes e crises, gestão da comunicação, contenção de ameaças, recuperação de sistemas e capacidade de tomar decisões rápidas e eficazes em cenários de crise.
- Eficiência:
- Cada equipa opera independentemente, mas de forma coordenada, o que reduz o tempo de resposta a incidentes e melhora as capacidades de deteção.
- As equipas concentradas na prevenção não são distraídas pela necessidade de responder a incidentes em curso, o que lhes permite implementar controlos e melhorias sem interrupções.
- Redução os conflitos de interesses:
- Se uma única unidade ou equipa tratar de todas as funções, pode haver conflitos de interesses, especialmente quando se trata de identificar e comunicar falhas nas medidas de prevenção que eles próprios implementaram. A separação permite uma visão mais objetiva e crítica dos controlos de segurança.
- Uma equipa de deteção independente da equipa de prevenção pode avaliar de forma mais imparcial a eficácia das políticas e tecnologias implementadas.
- Melhoria da capacidade de reação:
- Em caso de incidente, uma equipa de reação especializada pode atuar imediatamente sem esperar que sejam libertados os mesmos recursos que estão a tratar da prevenção ou da deteção. Isto reduz o tempo de contenção e minimiza o impacto dos incidentes.
- Além disso, a existência de uma equipa de reação separada permite a execução de simulacros e exercícios de resposta a incidentes sem interromper as atividades de prevenção ou monitorização.
- Desenvolvimento de estratégias complementares:
- A separação permite que as equipas de prevenção e deteção desenvolvam e melhorem estratégias que se complementam sem se sobreporem. Por exemplo, enquanto a equipa de prevenção pode concentrar-se em melhorar as configurações de segurança, a equipa de deteção pode afinar os alertas para identificar quaisquer violações que possam ter passado despercebidas.
- Isto cria uma “defesa em profundidade”, em que várias camadas de segurança trabalham em conjunto para proteger a organização.
- Clareza das funções e responsabilidades:
- Com funções claramente definidas e separadas, é mais fácil atribuir responsabilidades e responsabilização. Cada equipa sabe exatamente o que se espera dela, facilitando a avaliação do desempenho e a implementação de melhorias contínuas.
- Isto também ajuda a evitar a “partilha de culpas”, em que um incidente pode ser mal gerido devido à confusão sobre quem deveria ter agido num determinado momento.
O primeiro passo não nos leva onde queremos ir, mas tira-nos de onde estamos
A IZERTIS tem uma equipa de resposta a incidentes (CSIRT) altamente experiente e qualificada
Começar com a aquisição de serviços de resposta a incidentes (CSIRT) de um fornecedor especializado será a melhor estratégia para uma empresa na maioria dos casos, especialmente quando se procura estabelecer uma estratégia de segurança robusta e reativa desde o início.
A nossa equipa está também preparada para intervir imediatamente em caso de incidente
A IZERTIS tem uma equipa de resposta a incidentes (CSIRT) altamente experiente e qualificada que se mantém a par das últimas ameaças, técnicas e procedimentos. Os nossos clientes têm acesso imediato a esta experiência sem a necessidade de desenvolver internamente uma equipa com estas capacidades.
- Ajudamos as organizações a determinar a sua aptidão para ativar as suas capacidades de resposta.
- Fornecemos uma capacidade de resposta de ação rápida a incidentes críticos, centrada na contenção e remoção.
- Apoiamos a análise da situação, participamos em comités de crise e aconselhamos a administração na tomada de decisões.
- Levamos a cabo processos de investigação no âmbito de um incidente e com base nos níveis de criticidade do impacto.
A nossa equipa está também preparada para intervir imediatamente em caso de incidente, minimizando o tempo de inatividade e o impacto do incidente. As primeiras horas após um ataque são as mais críticas.
Por último, fica a questão, porque é que lhe chamam incidente quando (não) querem dizer crise?