Medidas de Controlo de Incidentes de Segurança Informática

Transcrição

1 Medidas de Controlo de Incidentes de Segurança Informática Política de actuação do CERT.PT para mitigação de impacto de incidentes de segurança informática Serviço CERT.PT Abril de 2010

2 Medidas de Controlo de Incidentes de Segurança Informática Política de actuação do CERT.PT para mitigação de impacto de incidentes de segurança informática Serviço CERT.PT INT/2010/CERT.PT v.3 Abril de 2010

3 ÍNDICE 1 INTRODUÇÃO ÂMBITO CRITÉRIOS TIPOS DE INCIDENTE DE SEGURANÇA COMUNICAÇÃO COM ENTIDADES DA RCTS MEDIDAS DE CONTROLO DE INCIDENTES REINCIDÊNCIA MÚLTIPLOS INCIDENTES SUSPENSÃO E/OU LEVANTAMENTO DE MEDIDAS CONTACTOS REGISTADOS DA INSTITUIÇÃO CONTACTOS DO CERT.PT... 8 i

4 LISTA DE TABELAS Tabela 1 - Gravidade por tipo de incidente... 2 Tabela 2 - Tempo esperado entre interacções... 3 Tabela 3 - Medida de controlo por tipo de incidente... 5 Tabela 4 - Entidade competente para determinação de medida de Controlo... 6 ii

5 1 INTRODUÇÃO A principal actividade do CERT.PT é o tratamento de incidentes de segurança informática. As medidas de controlo dos incidentes constituem uma ferramenta necessária para mitigar rapidamente os efeitos de incidentes de segurança e também para aumentar a probabilidade de resolução dos mesmos. Neste sentido, passamos a definir o âmbito de aplicação deste serviço, assim como a identificar a tipologia de incidentes mais relevantes e os critérios e medidas a aplicar tendo em vista a sua resolução, e menor impacto negativo possível. Entende-se por fim que os incidentes de segurança na rede consubstanciados, designadamente, no uso indevido da mesma, configuram também uma violação aos termos da Carta do Utilizador da RCTS (AUP), pelo que serão tratados nos termos do previsto neste documento e na referida AUP. 2 ÂMBITO O âmbito de aplicação do presente documento restringe-se à comunidade servida pela RCTS - Rede Ciência, Tecnologia e Sociedade, tal como definida tecnicamente no documento disponível no endereço Internet na secção Constituency, sempre que esteja em causa a aplicação de medidas de controlo de incidentes. No que toca a coordenação e aconselhamento, o CERT.PT estende esses serviços também ao espaço nacional, e em particular (através de canais próprios) à Rede Nacional de CSIRTs. O CERT.PT é um serviço integrante da RCTS - Rede Ciência, Tecnologia se Sociedade, enquanto rede de investigação e ensino nacional cujo planeamento, gestão e operação é da responsabilidade da FCCN. 1

6 3 CRITÉRIOS O critério de decisão quanto à medida de controlo a aplicar numa dada situação será ditada pelos seguintes factores: (a) tipo de incidente e gravidade associada (ver capítulos 4 e 6); e (b) contexto do incidente (ver capítulo 8). A prioritização nos meios de comunicação utilizados dependerá da resposta por parte da(s) instituição(ões) envolvidas (ver capítulos 5 e 7). 4 TIPOS DE INCIDENTE DE SEGURANÇA O CERT.PT adopta, para efeitos de classificação de gravidade de incidentes de segurança, a seguinte tabela em que se faz corresponder a cada tipologia um grau de gravidade entre 1 (mínima) e 3 (máxima). Incidente Gravidade Falsidade informática 3 Interferência em sistema de informação 3 Acesso ilegítimo a sistema de informação 2 Interferência em dados 2 Recolha não autorizada de informação sobre sistema de informação 1 Violação de direitos de autor 1 Mensagem de correio electrónico não solicitada Outra violação (da política) de segurança informática 1 A determinar em função das características do incidente (*) Tabela 1 - Gravidade por tipo de incidente 2

7 (*) A determinação sobre a gravidade do incidente, caso esta não seja ditada pela tabela acima, será feita pelo CERT.PT em função de factores como: Potencial de risco para a RCTS ou redes externas Potencial de risco para a segurança de pessoas, bens ou organizações Abrangência Mediante esta avaliação, a classificação de seriedade do incidente será dada a conhecer à entidade da RCTS que vier a ser notificada pelo CERT.PT, bem como as acções que se esperam da referida entidade. O grau de gravidade associado a cada incidente pode ser alterado pela FCCN, em função de outras características que se venham a conhecer do incidente de segurança analisado. De acordo com a gravidade de cada incidente, estabelece-se um valor de referência que determinará o tempo durante o qual se espera uma resposta para uma determinada acção pendente. O tempo de resposta é entendido como um tempo de referência, pelo que pode variar em função de cada situação concreta. A resposta inicial pode passar por diligências como a escalagem do incidente ou simples notificação suplementar. Gravidade Tempo de Resposta Esperado Entre Interacções 1 2 dias úteis 2 1 dia útil 3 2h Tabela 2 - Tempo esperado entre interacções 5 COMUNICAÇÃO COM ENTIDADES DA RCTS Quando houver necessidade de notificar uma instituição sobre a necessidade de imposição de uma medida de controlo de tráfego por parte da FCCN, deverá ser seguido o seguinte processo: 1. Primeiramente a instituição causadora do incidente será contactada, normalmente por , solicitando-se: a. a tomada de medidas tendentes à resolução do incidente, e 3

8 b. resposta a eventuais questões levantadas no ; 2. Caso não se obtenha resposta dentro do período previsto (ver Tempo de Resposta Esperado Entre Interacções ), ou esta não permita prever a resolução atempada do incidente, e havendo suspeita de que esteja este ainda em curso, será feito o contacto por telefone, dando conta da situação e das medidas de controlo de incidente que poderão aplicar-se, sendo mencionado um prazo a partir do qual poderão ser aplicadas; 3. Caso não se obtenha resposta à diligência do ponto anterior que permita prever a resolução atempada do incidente dentro do período previsto (ver Tempo de Resposta Esperado Entre Interacções ), e havendo suspeita de que esteja este ainda em curso, será feita notificação via fax à instituição das medidas de controlo de tráfego a aplicar, sendo essas medidas no sentido da contenção de prejuízos e/ou danos causados pela situação declarada. Após envio de notificação, serão realizadas as reconfigurações técnicas necessárias para dar seguimento às medidas de controlo de tráfego. A notificação à instituição das medidas de controlo de tráfego a aplicar, será enviada via , e também via fax ou correio expresso, para os contactos apropriados (ver cap Contactos registados da Instituição ), tendo no seu conteúdo um relatório técnico explicativo devidamente fundamentado. 6 MEDIDAS DE CONTROLO DE INCIDENTES As medidas de controlo de tráfego são de caracter técnico e variam conforme os casos em análise. As medidas a aplicar neste âmbito implicam a realização de configurações técnicas, as quais deveram causar o menor impacto negativo possível para a instituição, e têm como objectivo a limitação de prejuízos e/ou danos causados pelo incidente. O quadro seguinte enumera as medidas de controlo de incidentes que o CERT.PT poderá adoptar para situações em que esse incidente esteja a ser perpetrado, no todo ou em parte, por elementos da sua comunidade constituinte. Incidente (isolado) Medida a aplicar Falsidade informática Corte a conectividade IP/Porta (um ou vários pares) Interferência em sistema informático Corte a conectividade de 4

9 um ou vários IPs Acesso ilegítimo a sistema informático Interferência em dados Recolha não autorizada de informação sobre sistema de informação Violação de direitos de autor Mensagem de correio electrónico não solicitada Outra violação (da política) de segurança informática Corte a conectividade de um ou vários IPs Corte a conectividade de um ou vários IPs Corte a conectividade IP/Porta (um ou vários pares) Corte a conectividade de um ou vários IPs Corte a conectividade IP/Porta (um ou vários pares) A determinar, dependendo da situação Tabela 3 - Medida de controlo por tipo de incidente Identifica-se na tabela seguinte a entidade competente para a determinação das medidas a aplicar: Medida Corte a conectividade IP/Porta (um ou vários pares) Corte a conectividade de um ou vários IPs Corte total de acesso Entidade competente Determinação do gestor de serviço CERT.PT Determinação do gestor de serviço CERT.PT Aprovação do Conselho Executivo da FCCN 5

10 Tabela 4 - Entidade competente para determinação de medida de Controlo 7 REINCIDÊNCIA Nos casos em que se venham a detectar várias ocorrências de um mesmo tipo de incidente para a mesma institução (ou bloco de endereços), a escalagem da situação reflectir-se-á nos meios de comunicação utilizados pelo CERT.PT para notificar a instituição alegadamente transgressora. A medida de controlo a aplicar não será agravada, uma vez que uma repetição de um mesmo incidente não significa, usualmente, uma ameaça mais abrangente. Assim sendo, a escalagem terá como efeito: 1) Nos casos em que se enviaria inicialmente notificação por , tentar-se-á de imediato o contacto telefónico; 2) Nos casos em que se notificaria a instituição por telefone, avisar-se-á por fax a instituição em causa da entrada em efeito da medida de controlo no período apropriado (ver Tempo de Resposta Esperado Entre Interacções). Esta escalagem tem por objectivo minimizar os tempos de resposta das instituições, bem como reduzir o número de interacções possível. Note-se que, em casos sem escalagem, estão previstas 3 interacções contacto por , seguido (em caso de ausência de resposta útil) de contacto por telefone, seguido (em caso de ausência de resposta útil) de contacto por fax, notificando da medida de controlo a aplicar, tal como descrito no capítulo 5. Note-se ainda que, entre cada uma destas interacções, está previsto um tempo máximo de resposta definido pela Tabela 2 no capítulo 4. De acordo com a escalagem descrita acima, o número de interacções fica reduzido a 2 no caso 1). No caso 2), haverá lugar apenas a uma interacção (o envio do fax comunicando a medida de controlo a aplicar). 8 MÚLTIPLOS INCIDENTES Nos casos em que se venha a detectar mais que um tipo de incidente para a mesma instituição (ou bloco de endereços), a escalagem da situação reflectir-se-á na medida de controlo a aplicar, uma vez que a diversificação de actividade maliciosa aponta, usualmente, para uma situação de compromisso de segurança mais grave que o caso isolado, justificando medidas de controlo de maior abrangência. 6

11 A escalagem terá como efeito: Nos casos em que se adoptaria CORTE A CONECTIVIDADE IP/PORTA (UM OU VÁRIOS PARES) para incidentes isolados, adoptar-se-á CORTE A CONECTIVIDADE DE UM OU VÁRIOS IPS; Nos casos em que se adoptaria CORTE A CONECTIVIDADE DE UM OU VÁRIOS IPS para incidentes isolados, adoptar-se-á o CORTE TOTAL DE ACESSO, mediante análise que leve a concluir que a situação em causa é de extrema gravidade, e uma vez obtida aprovação superior (ver tabela Autoridade Necessária ). 9 SUSPENSÃO E/OU LEVANTAMENTO DE MEDIDAS As medidas de controlo de tráfego serão suspensas e/ou levantadas logo que verifique que o incidente foi tratado de forma adequada, tendo daí resultado a cessação do tráfego indevido. O CERT.PT manterá um registo actualizado do estado das medidas de controlo de incidente aplicadas, podendo fornecer essa informação aos contactos credenciados para o efeito. 10 CONTACTOS REGISTADOS DA INSTITUIÇÃO Para efeitos de aplicação dos termos do presente documento, designadamente para efeitos de notificação sobre uma situação que possa vir a justificar a imposição de uma medida de controlo de tráfego, entende-se por contactos registados da instituição : Os contactos indicados pela instituição na descrição tipo RFC2350, dos seus serviços de segurança informática, presentes no directório de contactos do CERT.PT ; Os contactos administrativos e técnicos das entidades utilizadoras da RCTS constantes da base de dados da FCCN. Para efeitos de notificação sobre uma medida de controlo de tráfego que tenha sido decidida e aplicada, notificar-se-á para além dos contactos registados da instituição o responsável máximo da instituição. 7

12 11 CONTACTOS DO CERT.PT Os contactos do CERT.PT encontram-se publicados em 8