Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Diante <strong>de</strong>ste cenário <strong>de</strong> problemas reais, este trabalho <strong>de</strong>screve o <strong>de</strong>senvolvimento<br />
e avaliação <strong>de</strong> uma ferramenta, chamada TRAIRA (Tratamento <strong>de</strong> Inci<strong>de</strong>ntes <strong>de</strong><br />
Re<strong>de</strong> Automatizado), que automatiza as principais etapas do processo <strong>de</strong> tratamento <strong>de</strong><br />
inci<strong>de</strong>ntes <strong>de</strong> segurança (<strong>de</strong>tecção e contenção da máquina interna causadora do inci<strong>de</strong>nte).<br />
A ferramenta <strong>de</strong>senvolvida foi avaliada em um ambiente real, na re<strong>de</strong> <strong>de</strong> campus<br />
da Universida<strong>de</strong> Fe<strong>de</strong>ral da Bahia (UFBA), on<strong>de</strong> é utilizada como base do processo <strong>de</strong><br />
tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança gerados pela instituição há aproximadamente um<br />
ano, ajudando a equipe <strong>de</strong> segurança a tratar e respon<strong>de</strong>r uma média <strong>de</strong> 30 notificações<br />
<strong>de</strong> inci<strong>de</strong>ntes por semana. O baixo custo <strong>de</strong> implantação e execução da ferramenta indica<br />
a viabilida<strong>de</strong> <strong>de</strong> sua aplicação prática em outros ambientes corporativos.<br />
O restante <strong>de</strong>ste artigo está estruturado da seguinte maneira. A seção 2 <strong>de</strong>staca os<br />
principais <strong>de</strong>safios acerca do processo <strong>de</strong> tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança; fatores<br />
motivadores para <strong>de</strong>senvolvimento da ferramenta . Em seguida, <strong>de</strong>screvemos a arquitetura<br />
e funcionamento da ferramenta TRAIRA (seção 3), bem como os resultados obtidos<br />
mediante sua utilização em ambientes reais (seção 4). Por fim, discutimos trabalhos correlatos<br />
quanto à automatização do processo <strong>de</strong> tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança na<br />
seção 5 e apresentamos as consi<strong>de</strong>rações finais e trabalhos futuros na seção 6.<br />
2. Fases e <strong>de</strong>safios no tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança<br />
O guia para tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança do NIST (do inglês, National Institute<br />
of Standards and Technology) [Scarfone et al. 2008] <strong>de</strong>compõe o processo <strong>de</strong> resposta a<br />
inci<strong>de</strong>ntes em quatro fases: Preparação, Detecção e Análise, Contenção, Mitigação e<br />
Recuperação e Ações Pós-Inci<strong>de</strong>nte. A fase <strong>de</strong> Preparação envolve o estabelecimento e<br />
treinamento <strong>de</strong> um grupo <strong>de</strong> resposta a inci<strong>de</strong>ntes, aquisição <strong>de</strong> ferramentas e recursos necessários,<br />
armazenamento dos registros <strong>de</strong> ativida<strong>de</strong>s dos sistemas para futuras auditorias<br />
etc. A fase <strong>de</strong> Detecção e Análise visa <strong>de</strong>tectar ou i<strong>de</strong>ntificar a existência <strong>de</strong> um inci<strong>de</strong>nte.<br />
A fase Contenção, Mitigação e Recuperação, por sua vez, objetiva evitar que os efeitos<br />
do inci<strong>de</strong>nte se propaguem ou afetem outros recursos da re<strong>de</strong>, e restaurar o funcionamento<br />
normal dos serviços afetados. Por fim, a etapa Ações Pós-Inci<strong>de</strong>nte consiste em avaliar o<br />
processo <strong>de</strong> tratamento <strong>de</strong> inci<strong>de</strong>ntes e verificar a eficácia das soluções adotadas.<br />
Cada uma <strong>de</strong>stas fases requer ações específicas <strong>de</strong> mitigação ou controle. Por<br />
exemplo, na fase <strong>de</strong> <strong>de</strong>tecção e análise, <strong>de</strong>ve-se registrar os recursos afetados (no caso<br />
<strong>de</strong> inci<strong>de</strong>ntes contra a organização) ou a origem do inci<strong>de</strong>nte (no caso <strong>de</strong> inci<strong>de</strong>ntes<br />
originados na organização). Na fase <strong>de</strong> contenção e mitigação <strong>de</strong>ve-se isolar os sistemas<br />
diretamente relacionados ao inci<strong>de</strong>nte e efetuar o tratamento do recurso em questão<br />
(<strong>de</strong>sinfecção <strong>de</strong> uma máquina contaminada com vírus/worm, remoção <strong>de</strong> um artefato malicioso,<br />
recuperação <strong>de</strong> uma página web modificada, etc). No entanto, alguns serviços<br />
comumente utilizados na configuração <strong>de</strong> re<strong>de</strong>s, a exemplo do NAT e DHCP, po<strong>de</strong>m dificultar<br />
consi<strong>de</strong>ravelmente a consecução <strong>de</strong>ssas ações corretivas.<br />
A técnica <strong>de</strong> NAT visa traduzir os en<strong>de</strong>reços IP utilizados na re<strong>de</strong> interna em um<br />
en<strong>de</strong>reço IP (ou faixa <strong>de</strong> en<strong>de</strong>reços) utilizado na re<strong>de</strong> externa (Internet). Os en<strong>de</strong>reços IP<br />
internos são, portanto, <strong>de</strong>sconhecidos dos equipamentos externos, tal qual o número <strong>de</strong><br />
um ramal <strong>de</strong> um telefone é escondido quando efetuada uma ligação via PABX. Assim, a<br />
re<strong>de</strong> externa <strong>de</strong>sconhece o verda<strong>de</strong>iro emissor do pacote. No que tange ao tratamento <strong>de</strong><br />
inci<strong>de</strong>ntes <strong>de</strong> segurança, a principal dificulda<strong>de</strong> adicionada pelo NAT consiste em <strong>de</strong>ter-<br />
31