Orientações para o relato de incidente cibernético

Esclarecer os procedimentos relacionados ao processo de notificação de incidentes cibernéticos à Equipe de Tratamento e Resposta a Incidentes Cibernéticos do IFRR (ETIR IFRR).

Introdução

A Equipe de Tratamento e Resposta a Incidentes Cibernéticos ETIR é integrante do Comitê Gestor de Segurança da Informação (SGSI) do IFRR.

A ETIR é um grupo responsável por receber, analisar e responder a notificações e atividades relacionadas a incidentes cibernéticos. A ETIR deve ter a capacidade de detectar e responder incidentes cibernéticos ocorridos nos ativos de sua responsabilidade, comunicando ao CTIR Gov a ocorrência de incidentes com “maiores impactos” na primeira oportunidade.

O ponto único de contato para as notificações de incidentes cibernéticos à ETIR por usuários externos ao IFRR é o endereço eletrônico: ctir@ifrr.edu.br, já os usuário com acesso ao SUAP podem abrir um chamado na Central de Serviços.

Incidentes Cibernéticos

Um incidente cibernético é definido como um evento que leve a um impacto real ou potencial, comprometendo pelo menos uma das características dos ativos da informação: a disponibilidade, a integridade, a confidencialidade ou a autenticidade.

O incidente cibernético também pode ser caracterizado pela tentativa de exploração de vulnerabilidade de sistema de informação que constitua violação de norma, política de segurança, procedimento de segurança ou política de uso, conforme inciso V do art. 4º do Decreto Nº 10.748, de 16 de Julho de 2021.

A identificação de um Incidente Cibernético se dá por meio da percepção ou detecção de indicadores que caracterizem a ocorrência do comprometimento de computadores, redes ou sistemas, com impactos nas informações processadas, armazenadas ou transmitidas.

Esses indicadores podem estar relacionados às tecnologias, técnicas ou infraestruturas utilizadas por atores maliciosos nos seus ataques, como:

  • varredura de portas (Port Scan);
  • ataques de engenharia social (Phishing);
  • ataques contra sistemas de autenticação (Brute Force Attack);
  • exploração de vulnerabilidades;
  • abuso de sítios (cross-site scripting, etc.);
  • envio ou redirecionamento para download ou execução de artefatos (Malware) ou códigos maliciosos; e
  • outros.

Outros tipos de indicadores de comprometimento podem estar relacionados aos impactos ou danos decorrentes das ações de atores maliciosos, como:

  • anomalias em computadores, servidores, redes e sistemas;
  • registros de uso ou acesso não autorizado a sistemas ou dados;
  • presença ou Hospedagem Web de artefatos ou códigos maliciosos (Malware);
  • inclusão remota de arquivos (remote file inclusion - RFI) em servidores web;
  • desfiguração de sítios (defacement);
  • abuso de sítios (injeção de links ou de código);
  • indisponibilidade de serviços Web (DoS, DDoS, DRDoS);
  • indisponibilidade por criptografia (Ransomware Attack);
  • perda da confidencialidade por vazamentos (Data Leak); e
  • outros.

Notificação de Incidentes Cibernéticos

As notificações de incidentes cibernéticos devem buscar o princípio da oportunidade. Recomenda-se que sejam compartilhadas o máximo de informações relevantes.

Uma forma de agir seria uma notificação inicial, tempestiva, acompanhada de informações complementares à medida que o incidente é tratado.

O quanto mais cedo elas ocorrerem melhores serão as condições para a ETIR agir.

DESTINATÁRIO: etir@ifrr.edu.br

ASSUNTO: [TLP:AMBAR], IFRR e o “TIPO DE INCIDENTE”

CORPO DO E-MAIL:
[TLP:AMBER]
Prezados,
"descrever sucintamente o incidente ocorrido, informando: situação atual do incidente; IP ou lista de IPs envolvidos; organizações/entidades envolvidas; pessoas ou serviços de rede envolvidos; registros de sistemas (logs) com o respectivo; cronologia dos acontecimentos (timestamp); ações adotadas; outros detalhes técnicos e incidentes correlacionados".

[TLP:AMBER]

ANEXO(S): Deverão ser anexadas as informações que facilitem a análise e a resposta ao incidente, tais como: logs de servidores e/ou serviços, cabeçalho de e-mails (headers), código(s) malicioso(s), captura de tela(s) (print screen), entre outros.

Exemplo fictício de Notificação

From: etir@ifrr.edu.br
To: ctir@ctir.gov.br
Subject: [TLP:AMBER] IFRR - Phishing

[TLP:AMBER]

Prezados,

  1. Foram identificados ataques de Phishing oriundos do email XX contra colaboradores deste órgão nas últimas 24h.
  2. Nossos sistemas identificaram XX diferentes casos, oriundos da mesma fonte. A execução do Malware foi identificada pela solução de antivírus. As vítimas tiveram as estações de trabalhos isoladas e verificadas. Os impactos foram controlados.
  3. Remetemos em anexo as informações complementares: headers (cabeçalhos) dos emails, bem como informações dos links e anexos existentes nas mensagens, para a tomada das providências cabíveis. Informamos que todos os horários estão em UTC-3.

Att,
ETIR.

[TLP:AMBER]

Protocolo de Semáforo (TLP) 2.0 – Orientações para o Usuário Final

O Traffic Light Protocol (TLP) 2.0 é um padrão internacional criado para facilitar o compartilhamento seguro de informações sensíveis entre organizações e indivíduos. Ele usa um sistema de cores para indicar o nível de restrição na disseminação dessas informações. Aqui está um resumo traduzido das orientações para o usuário final com base na versão oficial em português:

📌 O que é o TLP?

O TLP é um conjunto de marcações que define limites de compartilhamento de informações. Ele ajuda a garantir que dados sensíveis sejam compartilhados apenas com quem realmente precisa saber.

🎨 As marcações TLP são:

⚠️ As marcações devem ser mantidas em inglês e em letras maiúsculas (ex: TLP:RED), mesmo em documentos traduzidos.
Marcação Significado

TLP:CLEAR

 Pode ser compartilhado publicamente. Não há restrições.

TLP:GREEN

 Pode ser compartilhado dentro da comunidade (ex: setor, grupo de interesse).

TLP:AMBER

 Compartilhamento limitado a pessoas dentro da organização que precisam saber.

TLP:AMBER+STRICT

 Restrito apenas aos destinatários diretos dentro da mesma organização.

TLP:RED

 Extremamente confidencial. Somente para indivíduos específicos, sem compartilhamento adicional.

Se você chegou até aqui, agora sabe que não precisa usar só o TLP:AMBER, então já deve se sentir a vontade para usar o TLP que melhor se adeque ao notificação, sugerimos o TLP:AMBER para não burocratizar mais o seu relato, mas sugerimos ao menos um TLP padrão para que a mensagem se destaque das demais no email da ETIR.

Se quiser ir além, pode ver o documento oficial em português, você pode acessar o guia completo do FIRST ou conferir a versão publicada pelo CERT.br.

Outras Considerações 

A ETIR/IFRR não realiza procedimentos de investigação criminal. A ETIR/IFRR não é autoridade policial ou judiciária.

As atividades da ETIR restringem-se a detecção, análise, resposta e tratamento de incidentes cibernéticos da comunidade do IFRR.

Todas as notificações ou mensagens recebidas pela ETIR/IFRR passam por processo de triagem, priorização e análise.

Na maioria dos casos, o recebimento das notificações é informado aos requisitantes e, durante o tratamento do incidente, todos os envolvidos são notificados sobre as ações a serem adotadas.

Havendo a identificação de indícios sobre ilícitos criminais, os responsáveis pelos ativos ou as vítimas, devem comunicar as autoridades policiais competentes para a adoção dos procedimentos legais necessários.