(cap 5.1) 5. Tratamento de Incidentes de Segurança
Este capítulo do documento será um guia a ser usado antes, durante, e depois de um incidente de segurança de computador que aconteça em host, rede, site, ou ambiente de multi-site. A filosofia de operação no caso de uma brecha de segurança de computador é reagir conforme um plano. Isto é verdade se a brecha é o resultado de um ataque de intruso externo, dano não intencional, um estudante testando algum programa novo para explorar uma vulnerabilidade de software, ou um empregado enfadado. Cada um dos possíveis tipos de eventos, como esses listados, deveriam ser previstos com antecedência por planos de contingência adequados.
Segurança de computador tradicional, enquanto bastante importante no plano global de segurança do site, normalmente presta pouca atenção em como agir de fato uma vez que um ataque ocorra. O resultado é que quando um ataque está ocorrendo, são tomadas muitas decisões com pressa e podem estar prejudicando a identificação da fonte do incidente, a coleta de evidências para serem usadas em esforços de prossecução, preparar para a recuperação do sistema, e protegendo os dados valiosos contidos no sistema.
Um dos mais importantes, mas freqüentemente ignorados, benefícios paro tratamento eficiente do incidente é a economia. Quando ambos pessoal técnico e administrativo respondem a um incidente, isto requer recursos consideráveis. Se treinados para lidar com incidentes eficazmente, menos tempo de pessoal é requerido quando um acontece.
Devido à Internet a maioria dos incidentes não estão restritos a um único local. Vulnerabilidade de sistemas operacionais aplicam-se (em alguns casos) para vários milhões de sistemas, e muitas vulnerabilidades são exploradas dentro da própria rede. Então, é vital que todos os sites com partes envolvidas sejam informados o mais cedo possível.
Outro benefício é relacionado a relações públicas. Notícias sobre incidentes de segurança de computadores tendem a danificar a imagem de uma organização entre os clientes atuais ou potenciais. O tratamento eficiente de incidentes minimiza a exposição negativa.
Um benefício final de tratamento incidente eficiente é relacionado a assuntos legais. É possível que num futuro próximo organizações possam ser consideradas responsáveis porque um de seus nodos foi usado para lançar um ataque à rede. Em uma situação semelhante, podem ser processadas as pessoas que desenvolvem remendos ou workarounds, caso estes sejam ineficazes, resultando em comprometimento dos sistemas, ou se danificam os mesmos. Sabendo sobre vulnerabilidades do sistema operacional e padrões de ataques, e tomando medidas apropriadas para se opor a estas ameaças potenciais, é crítico para evitar possíveis problemas legais.
As seções neste capítulo provêem um esboço e ponto de partida para criar a política de seu site para tratar incidentes de segurança. As seções são:
1. preparando e planejando (quais são as metas e objetivos no tratamento de um incidente).
2. notificação (quem deveria ser contactado no caso de um incidente).
* Os gerentes locais e pessoal
* Agências investigativas e executoras da lei
* Grupos que tratam de incidentes de segurança de computador
* Locais afetados e envolvidos
* Comunicações internas
* Relações públicas e imprensa
3. identificando um incidente (é um incidente e oquanto é sério).
4. tratamento (o que deveria ser feito quando um incidente acontece).
* Notificação (quem deveria ser notificado sobre o incidente)
* Protegendo evidências e logs de atividades (que registros deveriam ser mantidos de antes, durante, e depois do incidente)
* Contenção (como o dano pode ser limitado)
* Erradicação (como eliminar as causas do incidente)
* Recuperação (como restabelecer serviço e sistemas)
* Seqüência (que ação deveriam ser tomadas depois do incidente)
5. conseqüências (quais as implicações de incidentes passados).
6. resposta administrativa para incidentes.
O resto deste capítulo detalhará os assuntos envolvidos em cada dos tópicos importantes listados acima, e provê alguma direção sobre o que deveria ser incluído em uma política do site para tratar incidentes.