Aperfeiçoamento de um CSIRT governamental Lições aprendidas em 12 meses

1º Fórum Brasileiro de CSIRTs

São Paulo – SP

26/03/2012

Centro de Tratamento de Incidentes de Rede da Administração Pública Federal – CTIR Gov

Objetivo

Apresentar o conjunto de lições aprendidas

ao longo do processo de aperfeiçoamento

vivido pelo CTIR Gov no decorrer de um ano.

1/17

Sumário

• Ambientação

• Lições Aprendidas

1. Desenhe sua estratégia

2. Estabeleça suas premissas

3. Crie sua metodologia

4. Avalie seus resultados

5. Melhore seu processo continuamente

• Conclusões e trabalhos futuros

2/17

CTIR Gov

• Centro de Tratamento de Incidentes de Redes de Computadores da

Administração Pública Federal

Nome do CSIRT

• Presidência da República (PR)

• Gabinete de Segurança Institucional (GSI)

• Departamento de Segurança da Informação e Comunicações (DSIC)

Subordinação

Ambientação

3/17

Público-Alvo

• Redes de Computadores da Administração Pública Federal Brasileira

Contatos

• ctir@ctir.gov.br

• http://www.ctir.gov.br

Por que 12 meses?

Ambientação

4/17

“ITS’s são sistemas destinados a controlar e

registrar o andamento de cada atividade

desenvolvida por uma dada equipe.”

(VINCENT et al., 2005, p.1)

Período de implantação de um Issue Tracking System (ITS) no CTIR Gov

Issue Tracking Systems (ITS)

Ambientação

5/17

Destinam-se principalmente a:

Registrar um evento (notificação);

Atribuir um responsável pela atividade;

Determinar as partes envolvidas; e

Rastrear as mudanças ocorridas.

No contexto de um CSIRT podem:

Automatizar etapas;

Manipular Templates;

Suportar diversos processos;

Aumentar a produtividade; e

Reduzir erros nas notificações.

1. Desenhe sua estratégia

Lições aprendidas

1.1 - Conheça seu público-alvo

- Defina quais serviços irá oferecer

- Conceito de valor para os “clientes”

1.2 - Conheça suas potencialidades e limitações

- Competências da equipe

- Número de atividades vs recursos disponíveis

1.3 - Conheça seu papel

- CSIRT de coordenação

- Limites de atuação

6/17

2. Estabeleça as suas premissas

Lições aprendidas

2.1 - É compensatório o uso de um ITS?

- Facilitar os processos

- Reduzir os erros mais comuns

- Possibilitar a rastreabilidade e o controle dos incidentes

2.2 - Avalie:

- Riscos

- Infraestrutura

- Continuidade dos negócio

7/17

3. Crie sua Metodologia

Lições aprendidas

8/17

Compreensão

detalhada do

processo

Avaliação e

melhoria do

Processo

Descrição de

cada passo

Nesta etapa foram descritos os detalhes

de cada fase do tratamento de

incidentes.

Uma vez mapeados, os processos foram

revisados e aperfeiçoados.

Já redefinidos, os processos foram

detalhadamente documentados.

3.1 - Ambiente Anterior

3. Crie sua Metodologia

Lições aprendidas

9/17

Criação de fila

Programação

de Scripts

Criação de

Templates

Agrupamento de notificações de mesma

natureza ou categoria.

Códigos que definem o comportamento do ITS

de acordo com os dados da notificação.

Apresentam a solução mais provável para um

dado incidente

3.2 - ITS

Validação da

Proposta

Antes de entrar em produção, o processo é

checado como um todo e testado em ambiente

separado.

4. Avalie seus resultados

Lições aprendidas

10/17

0

200

400

600

800

1000

1200

1400

1600

2011-03 2011-04 2011-05 2011-06 2011-07 2011-08 2011-09 2011-10 2011-11 2011-12 2012-01 2012-02

694

1105

1378

1457

1218

1329

1206

1082

1301

1116

1415

862

Criados Resolvidos Pendentes Rejeitados

4.1 – Distribuição de notificações por mês de criação e status

Lições aprendidas

4. Avalie seus resultados

11/17

4% 4% 6%

7%

11%

26%

42%

Abuso de SMTP Redirecionamento de malware

Hospedagem de Artefatos Hospedagem de Malware

Análise de Malware Desfiguração de Sítio

Geral

4.2 – Distribuição de notificações por categoria de incidente

Lições aprendidas

4. Avalie seus resultados

12/17

391

187

89

55

27 22 12 8 3 2 0

50

100

150

200

250

300

350

400

450

1 2 3 4 5 6 7 8 9 10

Número de conexões de rede por malware 731

29 14 12 9 4 0

100

200

300

400

500

600

700

800

HTTP MSSQL SMTP FTP MYSQL SMTP/SSL

Serviços utilizados nas conexões de rede

4.3 – Dados relativos à análise de malware

Lições aprendidas

4. Avalie seus resultados

13/17

0

100

200

300

400

500

600

700

800

US DE FR RU IT CN NL GB TR ES

4.4 – Distribuição de notificações por destinatário estrangeiro

Lições aprendidas

5. Melhore o processo continuamente

14/17

5.1 - Processos

- Análise das novas demandas

- Criação de novas filas

- Aperfeiçoamento dos processos já existentes

5.2 – Scripts

- Ajustes no grau de automatização

- Realização de tarefas repetitivas

5.3 – Templates

- Avaliação dos resultados conforme a mensagem

- Aperfeiçoamento / Correções

Conclusões

Objetivos atingidos

- Aperfeiçoamento, compreensão e documentação dos processos

- Diminuição do número de erros nas notificações

- Facilidade no treinamento de novos integrantes

- Ganho de eficiência nas atividades rotineiras

- Concentração dos dados sobre incidentes

- Custo/Benefício compensatório

Conclusões e trabalhos futuros

15/17

Trabalhos futuros

Correlacionamento dos dados

Interpretação das informações

Georreferenciamento

Conclusões e trabalhos futuros

16/17

Referências

Best Practical

http://www.bestpractical.com/rt/

RT Wiki

http://www.requesttracker.wikia.com/wiki/HomePage

Conclusões e trabalhos futuros

17/17

http://www.ctir.gov.br

ctir@ctir.gov.br

INOC-DBA: 10954*810

Centro de Tratamento de Incidentes de Rede da Administração Pública Federal – CTIR Gov

OBRIGADO!