Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
I<strong>de</strong>ntificação <strong>de</strong> máquinas reinci<strong>de</strong>ntes. Esta métrica indica a taxa <strong>de</strong> reincidência na<br />
geração <strong>de</strong> inci<strong>de</strong>ntes em <strong>de</strong>terminado host. Po<strong>de</strong> ser usada como indicador qualitativo<br />
do tratamento e pós-tratamento <strong>de</strong> inci<strong>de</strong>ntes. A interpretação <strong>de</strong>sse dado po<strong>de</strong> levantar<br />
diversas hipóteses, tais como: a fase <strong>de</strong> isolamento e <strong>de</strong>sinfecção está sendo ineficaz; no<br />
caso dos inci<strong>de</strong>ntes <strong>de</strong> vírus/worm po<strong>de</strong> indicar inexperiência ou <strong>de</strong>sleixo do usuário no<br />
uso do recurso, propiciando novas infecções com facilida<strong>de</strong>; <strong>de</strong>ntre outros.<br />
A automatização proporcionada pelo TRAIRA simplifica o procedimento <strong>de</strong> tratamento<br />
dos principais inci<strong>de</strong>ntes, pois a equipe <strong>de</strong> help<strong>de</strong>sk apenas recebe o en<strong>de</strong>reço<br />
MAC dos dispositivos suspeitos i<strong>de</strong>ntificados pelo sistema e realiza o tratamento das<br />
máquinas. A resposta às notificações que envolvem contenção automática é praticamente<br />
instantânea, quando comparada à abordagem manual em que cada inci<strong>de</strong>nte era resolvido<br />
em cerca <strong>de</strong> 30 minutos. Tal <strong>de</strong>mora ensejava, por vezes, o não atendimento <strong>de</strong> algumas<br />
notificações por restrições <strong>de</strong> tempo da equipe. A economia <strong>de</strong> tempo na i<strong>de</strong>ntificação e<br />
contenção da máquina comprometida representa um ganho qualitativo fundamental frente<br />
às instituições externas que reportam inci<strong>de</strong>ntes, bem como em celerida<strong>de</strong> e precisão em<br />
relação ao cessamento da propagação <strong>de</strong> ativida<strong>de</strong>s maliciosas na re<strong>de</strong> interna.<br />
5. Trabalhos correlatos<br />
A literatura apresenta uma série <strong>de</strong> trabalhos que versam sobre a <strong>de</strong>finição <strong>de</strong> políticas<br />
<strong>de</strong> segurança e tratamento dos inci<strong>de</strong>ntes [Ceron et al. 2009, Scarfone et al. 2008,<br />
Werlinger et al. 2007, Lun<strong>de</strong>ll 2009], porém, no melhor <strong>de</strong> nosso conhecimento, poucos<br />
<strong>de</strong>les têm se preocupado com a automatização do procedimento a fim <strong>de</strong> minorar custos<br />
e reduzir o tempo <strong>de</strong> tratamento dos inci<strong>de</strong>ntes.<br />
De maneira geral, a maioria dos CSIRTs usa sistemas <strong>de</strong> help<strong>de</strong>sk customizados<br />
(também conhecidos como sistemas <strong>de</strong> chamados) para tratar seus inci<strong>de</strong>ntes, a fim <strong>de</strong><br />
melhor aten<strong>de</strong>r às <strong>de</strong>mandas do processo <strong>de</strong> tratamento <strong>de</strong> inci<strong>de</strong>ntes [Kaiser et al. 2006].<br />
Dois sistemas bem conhecidos são o Request Tracker (RT) [BestPractical 2011] e o Open<br />
Source Ticket Request System (OTRS) [OTRS 2011]. Existe ainda uma extensão para<br />
o RT chamada Request Tracker for Inci<strong>de</strong>nt Response (RTIR), que se concentra na resposta<br />
aos inci<strong>de</strong>ntes <strong>de</strong> segurança (classificação <strong>de</strong> inci<strong>de</strong>ntes, geração <strong>de</strong> estatísticas,<br />
etc.). Até nosso conhecimento, nenhuma <strong>de</strong>ssas ferramentas, no entanto, atua especificamente<br />
na automatização do processo <strong>de</strong> tratamento e resposta a inci<strong>de</strong>ntes. Outros<br />
frameworks e ferramentas específicos incluem o SIRIOS [KLINGMÜLLER 2005], que<br />
apresenta algumas funcionalida<strong>de</strong>s interessantes, como a <strong>de</strong> gerenciamento <strong>de</strong> contatos <strong>de</strong><br />
segurança <strong>de</strong> uma instituição e a possibilida<strong>de</strong> <strong>de</strong> troca <strong>de</strong> informações <strong>de</strong> segurança com<br />
outros CSIRTs. O SANS Institute <strong>de</strong>senvolveu o Orion [Jarocki 2010], uma distribuição<br />
em Live-CD baseada no BackTrack para o tratamento <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> segurança. Apesar<br />
<strong>de</strong> prover boas ferramentas para tratamento, o Orion ainda lida precariamente com a<br />
contenção <strong>de</strong> inci<strong>de</strong>ntes em re<strong>de</strong>s.<br />
Em [Kaiser et al. 2006] os autores propõem um gerenciamento semiautomatizado<br />
dos inci<strong>de</strong>ntes <strong>de</strong> segurança, on<strong>de</strong> os inci<strong>de</strong>ntes menos importantes<br />
são tratados pelo próprio usuário envolvido, ao passo que os inci<strong>de</strong>ntes mais sérios são<br />
encaminhados para uma equipe <strong>de</strong> segurança qualificada. Para possibilitar ao usuário<br />
não-especializado tratar um inci<strong>de</strong>nte, a instituição <strong>de</strong>ve prover documentação suficiente<br />
e compreensível sobre as questões técnicas e organizacionais relacionadas. Os autores<br />
39