Medidas de

Controlo de
Incidentes de
Segurana
Informtica
Poltica de actuao do CERT.PT para mitigao de
impacto de incidentes de segurana informtica

Servio CERT.PT

Abril de 2010

Medidas de
Controlo de
Incidentes de
Segurana
Informtica
Poltica de actuao do CERT.PT para mitigao de
impacto de incidentes de segurana informtica

Servio CERT.PT

INT/2010/CERT.PT v.3
Abril de 2010

NDICE

INTRODUO ................................................................................................... 1

MBITO .............................................................................................................. 1

CRITRIOS .........................................................................................................2

TIPOS DE INCIDENTE DE SEGURANA ....................................................2

COMUNICAO COM ENTIDADES DA RCTS ............................................3

MEDIDAS DE CONTROLO DE INCIDENTES.............................................4

REINCIDNCIA ................................................................................................6

MLTIPLOS INCIDENTES .............................................................................6

SUSPENSO E/OU LEVANTAMENTO DE MEDIDAS ...............................7

10

CONTACTOS REGISTADOS DA INSTITUIO ..........................................7

11

CONTACTOS DO CERT.PT .............................................................................8

LISTA DE TABELAS

Tabela 1 - Gravidade por tipo de incidente ................................................................................... 2

Tabela 2 - Tempo esperado entre interaces ............................................................................... 3
Tabela 3 - Medida de controlo por tipo de incidente ................................................................... 5
Tabela 4 - Entidade competente para determinao de medida de Controlo .......................... 6

ii

CONTROLO DE INCIDENTES NA RCTS

INTRODUO

A principal actividade do CERT.PT o tratamento de incidentes de segurana informtica.

As medidas de controlo dos incidentes constituem uma ferramenta necessria para mitigar
rapidamente os efeitos de incidentes de segurana e tambm para aumentar a probabilidade
de resoluo dos mesmos.
Neste sentido, passamos a definir o mbito de aplicao deste servio, assim como a
identificar a tipologia de incidentes mais relevantes e os critrios e medidas a aplicar tendo
em vista a sua resoluo, e menor impacto negativo possvel.
Entende-se por fim que os incidentes de segurana na rede consubstanciados,
designadamente, no uso indevido da mesma, configuram tambm uma violao aos termos
da Carta do Utilizador da RCTS (AUP), pelo que sero tratados nos termos do previsto
neste documento e na referida AUP.

MBITO

O mbito de aplicao do presente documento restringe-se comunidade servida pela

RCTS - Rede Cincia, Tecnologia e Sociedade, tal como definida tecnicamente no
documento disponvel no endereo Internet http://www.ti.terena.nl/teams/cert-pt.html,
na seco Constituency, sempre que esteja em causa a aplicao de medidas de controlo
de incidentes.
No que toca a coordenao e aconselhamento, o CERT.PT estende esses servios tambm
ao espao nacional, e em particular (atravs de canais prprios) Rede Nacional de
CSIRTs.
O CERT.PT um servio integrante da RCTS - Rede Cincia, Tecnologia se Sociedade,
enquanto rede de investigao e ensino nacional cujo planeamento, gesto e operao da
responsabilidade da FCCN.

CONTROLO DE INCIDENTES NA RCTS

CRITRIOS

O critrio de deciso quanto medida de controlo a aplicar numa dada situao ser ditada
pelos seguintes factores: (a) tipo de incidente e gravidade associada (ver captulos 4 e 6); e
(b) contexto do incidente (ver captulo 8).
A prioritizao nos meios de comunicao utilizados depender da resposta por parte da(s)
instituio(es) envolvidas (ver captulos 5 e 7).

TIPOS DE INCIDENTE DE SEGURANA

O CERT.PT adopta, para efeitos de classificao de gravidade de incidentes de segurana, a

seguinte tabela em que se faz corresponder a cada tipologia um grau de gravidade entre 1
(mnima) e 3 (mxima).

Incidente

Gravidade

Falsidade informtica

Interferncia em sistema de informao

Acesso ilegtimo a sistema de informao

Interferncia em dados

Recolha no autorizada de informao

sobre sistema de informao

Violao de direitos de autor

Mensagem de correio electrnico no

solicitada

Outra violao (da poltica) de segurana

informtica

A determinar em
funo das
caractersticas do
incidente (*)

Tabela 1 - Gravidade por tipo de incidente

CONTROLO DE INCIDENTES NA RCTS

(*) A determinao sobre a gravidade do incidente, caso esta no seja ditada pela tabela
acima, ser feita pelo CERT.PT em funo de factores como:

Potencial de risco para a RCTS ou redes externas

Potencial de risco para a segurana de pessoas, bens ou organizaes

Abrangncia

Mediante esta avaliao, a classificao de seriedade do incidente ser dada a conhecer

entidade da RCTS que vier a ser notificada pelo CERT.PT, bem como as aces que se
esperam da referida entidade.
O grau de gravidade associado a cada incidente pode ser alterado pela FCCN, em funo
de outras caractersticas que se venham a conhecer do incidente de segurana analisado.
De acordo com a gravidade de cada incidente, estabelece-se um valor de referncia que
determinar o tempo durante o qual se espera uma resposta para uma determinada aco
pendente. O tempo de resposta entendido como um tempo de referncia, pelo que pode
variar em funo de cada situao concreta. A resposta inicial pode passar por diligncias
como a escalagem do incidente ou simples notificao suplementar.

Gravidade

Tempo
de
Resposta
Esperado Entre Interaces

2 dias teis

1 dia til

2h

Tabela 2 - Tempo esperado entre interaces

COMUNICAO COM ENTIDADES DA RCTS

Quando houver necessidade de notificar uma instituio sobre a necessidade de imposio

de uma medida de controlo de trfego por parte da FCCN, dever ser seguido o seguinte
processo:
1. Primeiramente a instituio causadora do incidente ser contactada, normalmente
por email, solicitando-se:
a. a tomada de medidas tendentes resoluo do incidente, e

CONTROLO DE INCIDENTES NA RCTS

b. resposta a eventuais questes levantadas no email;

2. Caso no se obtenha resposta dentro do perodo previsto (ver Tempo de Resposta
Esperado Entre Interaces), ou esta no permita prever a resoluo atempada do
incidente, e havendo suspeita de que esteja este ainda em curso, ser feito o
contacto por telefone, dando conta da situao e das medidas de controlo de
incidente que podero aplicar-se, sendo mencionado um prazo a partir do qual
podero ser aplicadas;
3. Caso no se obtenha resposta diligncia do ponto anterior que permita prever a
resoluo atempada do incidente dentro do perodo previsto (ver Tempo de
Resposta Esperado Entre Interaces), e havendo suspeita de que esteja este ainda
em curso, ser feita notificao via fax instituio das medidas de controlo de
trfego a aplicar, sendo essas medidas no sentido da conteno de prejuzos e/ou
danos causados pela situao declarada. Aps envio de notificao, sero realizadas
as reconfiguraes tcnicas necessrias para dar seguimento s medidas de controlo
de trfego.
A notificao instituio das medidas de controlo de trfego a aplicar, ser enviada via
email, e tambm via fax ou correio expresso, para os contactos apropriados (ver cap. 10 Contactos registados da Instituio), tendo no seu contedo um relatrio tcnico
explicativo devidamente fundamentado.

MEDIDAS DE CONTROLO DE INCIDENTES

As medidas de controlo de trfego so de caracter tcnico e variam conforme os casos em

anlise. As medidas a aplicar neste mbito implicam a realizao de configuraes tcnicas,
as quais deveram causar o menor impacto negativo possvel para a instituio, e tm como
objectivo a limitao de prejuzos e/ou danos causados pelo incidente.
O quadro seguinte enumera as medidas de controlo de incidentes que o CERT.PT poder
adoptar para situaes em que esse incidente esteja a ser perpetrado, no todo ou em parte,
por elementos da sua comunidade constituinte.

Incidente (isolado)

Medida a aplicar

Falsidade informtica

Corte a conectividade
IP/Porta (um ou vrios
pares)

Interferncia em sistema informtico

Corte a conectividade de

CONTROLO DE INCIDENTES NA RCTS

um ou vrios IPs
Acesso ilegtimo a sistema informtico

Corte a conectividade de
um ou vrios IPs

Interferncia em dados

Corte a conectividade de
um ou vrios IPs

Recolha no autorizada de informao sobre Corte a conectividade

sistema de informao
IP/Porta (um ou vrios
pares)
Violao de direitos de autor

Mensagem
solicitada

de

correio

Corte a conectividade de
um ou vrios IPs
electrnico

no Corte a conectividade
IP/Porta (um ou vrios
pares)

Outra violao (da poltica) de segurana A determinar, dependendo

informtica
da situao
Tabela 3 - Medida de controlo por tipo de incidente

Identifica-se na tabela seguinte a entidade competente para a determinao das medidas a

aplicar:

Medida

Entidade competente

Corte a conectividade IP/Porta Determinao do gestor

(um ou vrios pares)
de servio CERT.PT
Corte a conectividade de um ou Determinao do gestor
vrios IPs
de servio CERT.PT
Corte total de acesso

Aprovao do Conselho
Executivo da FCCN

CONTROLO DE INCIDENTES NA RCTS

Tabela 4 - Entidade competente para determinao de medida de Controlo

REINCIDNCIA

Nos casos em que se venham a detectar vrias ocorrncias de um mesmo tipo de incidente
para a mesma instituo (ou bloco de endereos), a escalagem da situao reflectir-se- nos
meios de comunicao utilizados pelo CERT.PT para notificar a instituio alegadamente
transgressora. A medida de controlo a aplicar no ser agravada, uma vez que uma
repetio de um mesmo incidente no significa, usualmente, uma ameaa mais abrangente.
Assim sendo, a escalagem ter como efeito:
1) Nos casos em que se enviaria inicialmente notificao por email, tentar-se- de
imediato o contacto telefnico;
2) Nos casos em que se notificaria a instituio por telefone, avisar-se- por fax a
instituio em causa da entrada em efeito da medida de controlo no perodo
apropriado (ver Tempo de Resposta Esperado Entre Interaces).

Esta escalagem tem por objectivo minimizar os tempos de resposta das instituies, bem
como reduzir o nmero de interaces possvel.
Note-se que, em casos sem escalagem, esto previstas 3 interaces contacto por email,
seguido (em caso de ausncia de resposta til) de contacto por telefone, seguido (em caso
de ausncia de resposta til) de contacto por fax, notificando da medida de controlo a
aplicar, tal como descrito no captulo 5.
Note-se ainda que, entre cada uma destas interaces, est previsto um tempo mximo de
resposta definido pela Tabela 2 no captulo 4. De acordo com a escalagem descrita acima, o
nmero de interaces fica reduzido a 2 no caso 1). No caso 2), haver lugar apenas a uma
interaco (o envio do fax comunicando a medida de controlo a aplicar).

MLTIPLOS INCIDENTES

Nos casos em que se venha a detectar mais que um tipo de incidente para a mesma
instituio (ou bloco de endereos), a escalagem da situao reflectir-se- na medida de
controlo a aplicar, uma vez que a diversificao de actividade maliciosa aponta, usualmente,
para uma situao de compromisso de segurana mais grave que o caso isolado,
justificando medidas de controlo de maior abrangncia.

CONTROLO DE INCIDENTES NA RCTS

A escalagem ter como efeito:

Nos casos em que se adoptaria CORTE A CONECTIVIDADE IP/PORTA (UM OU

VRIOS

PARES)

para

incidentes

isolados,

adoptar-se-

CORTE

CONECTIVIDADE DE UM OU VRIOS IPS;

Nos casos em que se adoptaria CORTE A CONECTIVIDADE DE UM OU

VRIOS IPS para incidentes isolados, adoptar-se- o CORTE TOTAL DE ACESSO,
mediante anlise que leve a concluir que a situao em causa de extrema gravidade, e
uma vez obtida aprovao superior (ver tabela Autoridade Necessria).

9
SUSPENSO E/OU LEVANTAMENTO DE
MEDIDAS
As medidas de controlo de trfego sero suspensas e/ou levantadas logo que verifique que
o incidente foi tratado de forma adequada, tendo da resultado a cessao do trfego
indevido.
O CERT.PT manter um registo actualizado do estado das medidas de controlo de
incidente aplicadas, podendo fornecer essa informao aos contactos credenciados para o
efeito.

10

CONTACTOS REGISTADOS DA INSTITUIO

Para efeitos de aplicao dos termos do presente documento, designadamente para efeitos
de notificao sobre uma situao que possa vir a justificar a imposio de uma medida de
controlo de trfego, entende-se por contactos registados da instituio:

Os contactos indicados pela instituio na descrio tipo RFC2350, dos seus servios
de segurana informtica, presentes no directrio de contactos do CERT.PT ;
Os contactos administrativos e tcnicos das entidades utilizadoras da RCTS constantes
da base de dados da FCCN.

Para efeitos de notificao sobre uma medida de controlo de trfego que tenha sido
decidida e aplicada, notificar-se- para alm dos contactos registados da instituio o
responsvel mximo da instituio.

CONTROLO DE INCIDENTES NA RCTS

11

CONTACTOS DO CERT.PT

Os contactos do CERT.PT encontram-se publicados em http://www.cert.pt/