Post on 08-Feb-2019
Aperfeiçoamento de um CSIRT governamental Lições aprendidas em 12 meses
1º Fórum Brasileiro de CSIRTs
São Paulo – SP
26/03/2012
Centro de Tratamento de Incidentes de Rede da Administração Pública Federal – CTIR Gov
Objetivo
Apresentar o conjunto de lições aprendidas
ao longo do processo de aperfeiçoamento
vivido pelo CTIR Gov no decorrer de um ano.
1/17
Sumário
• Ambientação
• Lições Aprendidas
1. Desenhe sua estratégia
2. Estabeleça suas premissas
3. Crie sua metodologia
4. Avalie seus resultados
5. Melhore seu processo continuamente
• Conclusões e trabalhos futuros
2/17
CTIR Gov
• Centro de Tratamento de Incidentes de Redes de Computadores da
Administração Pública Federal
Nome do CSIRT
• Presidência da República (PR)
• Gabinete de Segurança Institucional (GSI)
• Departamento de Segurança da Informação e Comunicações (DSIC)
Subordinação
Ambientação
3/17
Público-Alvo
• Redes de Computadores da Administração Pública Federal Brasileira
Contatos
• ctir@ctir.gov.br
• http://www.ctir.gov.br
Por que 12 meses?
Ambientação
4/17
“ITS’s são sistemas destinados a controlar e
registrar o andamento de cada atividade
desenvolvida por uma dada equipe.”
(VINCENT et al., 2005, p.1)
Período de implantação de um Issue Tracking System (ITS) no CTIR Gov
Issue Tracking Systems (ITS)
Ambientação
5/17
Destinam-se principalmente a:
Registrar um evento (notificação);
Atribuir um responsável pela atividade;
Determinar as partes envolvidas; e
Rastrear as mudanças ocorridas.
No contexto de um CSIRT podem:
Automatizar etapas;
Manipular Templates;
Suportar diversos processos;
Aumentar a produtividade; e
Reduzir erros nas notificações.
1. Desenhe sua estratégia
Lições aprendidas
1.1 - Conheça seu público-alvo
- Defina quais serviços irá oferecer
- Conceito de valor para os “clientes”
1.2 - Conheça suas potencialidades e limitações
- Competências da equipe
- Número de atividades vs recursos disponíveis
1.3 - Conheça seu papel
- CSIRT de coordenação
- Limites de atuação
6/17
2. Estabeleça as suas premissas
Lições aprendidas
2.1 - É compensatório o uso de um ITS?
- Facilitar os processos
- Reduzir os erros mais comuns
- Possibilitar a rastreabilidade e o controle dos incidentes
2.2 - Avalie:
- Riscos
- Infraestrutura
- Continuidade dos negócio
7/17
3. Crie sua Metodologia
Lições aprendidas
8/17
Compreensão
detalhada do
processo
Avaliação e
melhoria do
Processo
Descrição de
cada passo
Nesta etapa foram descritos os detalhes
de cada fase do tratamento de
incidentes.
Uma vez mapeados, os processos foram
revisados e aperfeiçoados.
Já redefinidos, os processos foram
detalhadamente documentados.
3.1 - Ambiente Anterior
3. Crie sua Metodologia
Lições aprendidas
9/17
Criação de fila
Programação
de Scripts
Criação de
Templates
Agrupamento de notificações de mesma
natureza ou categoria.
Códigos que definem o comportamento do ITS
de acordo com os dados da notificação.
Apresentam a solução mais provável para um
dado incidente
3.2 - ITS
Validação da
Proposta
Antes de entrar em produção, o processo é
checado como um todo e testado em ambiente
separado.
4. Avalie seus resultados
Lições aprendidas
10/17
0
200
400
600
800
1000
1200
1400
1600
2011-03 2011-04 2011-05 2011-06 2011-07 2011-08 2011-09 2011-10 2011-11 2011-12 2012-01 2012-02
694
1105
1378
1457
1218
1329
1206
1082
1301
1116
1415
862
Criados Resolvidos Pendentes Rejeitados
4.1 – Distribuição de notificações por mês de criação e status
Lições aprendidas
4. Avalie seus resultados
11/17
4% 4% 6%
7%
11%
26%
42%
Abuso de SMTP Redirecionamento de malware
Hospedagem de Artefatos Hospedagem de Malware
Análise de Malware Desfiguração de Sítio
Geral
4.2 – Distribuição de notificações por categoria de incidente
Lições aprendidas
4. Avalie seus resultados
12/17
391
187
89
55
27 22 12 8 3 2 0
50
100
150
200
250
300
350
400
450
1 2 3 4 5 6 7 8 9 10
Número de conexões de rede por malware 731
29 14 12 9 4 0
100
200
300
400
500
600
700
800
HTTP MSSQL SMTP FTP MYSQL SMTP/SSL
Serviços utilizados nas conexões de rede
4.3 – Dados relativos à análise de malware
Lições aprendidas
4. Avalie seus resultados
13/17
0
100
200
300
400
500
600
700
800
US DE FR RU IT CN NL GB TR ES
4.4 – Distribuição de notificações por destinatário estrangeiro
Lições aprendidas
5. Melhore o processo continuamente
14/17
5.1 - Processos
- Análise das novas demandas
- Criação de novas filas
- Aperfeiçoamento dos processos já existentes
5.2 – Scripts
- Ajustes no grau de automatização
- Realização de tarefas repetitivas
5.3 – Templates
- Avaliação dos resultados conforme a mensagem
- Aperfeiçoamento / Correções
Conclusões
Objetivos atingidos
- Aperfeiçoamento, compreensão e documentação dos processos
- Diminuição do número de erros nas notificações
- Facilidade no treinamento de novos integrantes
- Ganho de eficiência nas atividades rotineiras
- Concentração dos dados sobre incidentes
- Custo/Benefício compensatório
Conclusões e trabalhos futuros
15/17
Trabalhos futuros
Correlacionamento dos dados
Interpretação das informações
Georreferenciamento
Conclusões e trabalhos futuros
16/17
Referências
Best Practical
http://www.bestpractical.com/rt/
RT Wiki
http://www.requesttracker.wikia.com/wiki/HomePage
Conclusões e trabalhos futuros
17/17
http://www.ctir.gov.br
ctir@ctir.gov.br
INOC-DBA: 10954*810
Centro de Tratamento de Incidentes de Rede da Administração Pública Federal – CTIR Gov
OBRIGADO!