Padrões para Notificação de Incidentes Cibernéticos ao CTIR Gov

PADRÕES PARA NOTIFICAÇÃO DE INCIDENTES CIBERNÉTICOS AO CTIR GOV 

1. Objetivo 

Definir padrões e esclarecer os procedimentos relacionados ao processo de notificação de incidentes cibernéticos pela Administração Pública Federal (APF) ao Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov). 

2. Referências 

2.1. Norma Complementar nº 05 /IN01/DSIC/GSIPR, de 14/Ago/09, que disciplina a criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) nos órgãos e entidades da APF. 

2.2. Norma Complementar nº 08 /IN01/DSIC/GSIPR, de 19/Ago/10, que disciplina o gerenciamento de incidentes de segurança em redes de computadores realizado pelas ETIR dos órgãos e entidades da APF. 

3. Introdução 

3.1. O Departamento de Segurança da Informação e Cibernética (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), por meio do CTIR Gov, tem como finalidades:

• coordenar e realizar ações destinadas à gestão de incidentes cibernéticos, quanto à prevenção, ao monitoramento, ao tratamento e à resposta a incidentes cibernéticos de responsabilidade nacional; e 
• coordenar a rede de equipes de prevenção, de tratamento e de resposta a incidentes cibernéticos formada por órgãos e entidades da administração pública federal.

3.2. A comunidade atendida pelo CTIR Gov é composta por todos os órgãos e entidades da Administração Pública Federal pertencentes aos domínios “gov.br” e “mil.br”. Em caráter excepcional e de forma colaborativa, o atendimento poderá ser estendido aos órgãos dos Estados, Municípios e Distrito Federal, além dos domínios jus.br, leg.br, mp.br, def.br e tc.br. 

3.3. Conforme estabelecem o item 10.6 da NC nº 05 e o item 6 da NC nº 08, as equipes de tratamento e resposta a incidentes em redes computacionais dos órgãos e entidades da APF deverão comunicar de imediato a ocorrência de todos os incidentes de segurança ocorridos na sua área de atuação ao CTIR GOV, a fim de permitir a geração de estatísticas e soluções integradas para a Administração Pública Federal, de acordo com os padrões e procedimentos definidos neste documento. 

3.4. A comunicação entre órgãos e instituições da APF e o CTIR Gov deve ocorrer por meio das ETIR ou por pessoas com essa atribuição, de forma centralizada, preferencialmente por meio de e-mail institucional relacionado a incidentes de segurança, como sugestão: etir@orgao.gov.br.

3.5. O ponto único de contato para as notificações de incidentes cibernéticos ao CTIR Gov é o endereço eletrônico: ctir@ctir.gov.br.

3.6. Questões gerenciais ou relacionadas à Coordenação-Geral de Tratamento de Incidentes de Rede (CGTIR) serão tratadas por meio do correio eletrônico: contato@ctir.gov.br.

4. Traffic Light Protocol (TLP) 

O CTIR Gov adere ao padrão Traffic Light Protocol (TLP) 2.0, conforme definido pelo Forum of Incident Response and Security Teams (FIRST). Para o envio de notificações, recomenda-se utilizar o TLP apropriado no assunto e no corpo do e-mail. De maneira apropriada serão tratadas as notificações de acordo com as marcações CLEAR, GREEN, AMBER, AMBER+STRICT ou RED. 

5. Tipos de Incidentes 

Dentre os diversos tipos de incidentes cibernéticos possíveis de serem notificados, destacam-se: 

• Abuso de sítios (desfiguração/defacement, injeção de links/código - spamdexing, erros de código, cross-site scripting, abuso de fórum ou livros de visita, etc.); 
• Inclusão remota de arquivos (remote file inclusion - RFI) em servidores web;
• Uso abusivo de servidores de e-mail; 
• Hospedagem ou redirecionamento de artefatos ou código malicioso; 
• Ataques de negação de serviço (DoS, DDoS, DRDoS); 
• Uso ou acesso não autorizado a sistemas ou dados; 
• Varredura de portas (Port Scan); 
• Comprometimento de computadores ou redes; 
• Desrespeito à Política de Segurança da Informação/Cibernética ou uso inadequado dos recursos de Tecnologia da Informação (TI); 
• Ataques de engenharia social (Phishing); 
• Cópia e distribuição não autorizada de material protegido por direitos autorais;
• Uso abusivo ou indevido de redes sociais para difamação, calúnia, ameaças ou fraudes;
• Ataques contra sistemas de autenticação (Brute Force Attack);
• Indisponibilidade de ativos por criptografia (Ransomware Attack);
• Exploração de vulnerabilidades;
• Vazamentos de dados (Data Leak); e
• Outros incidentes cibernéticos.

5.1. No caso de phishing, solicita-se que, além do texto da mensagem, sejam enviados os cabeçalhos completos (headers) para que se proceda a devida análise.

6. Regras para Notificação de Incidentes Cibernéticos 

6.1. DESTINATÁRIO: ctir@ctir.gov.br.

6.2. ASSUNTO: Deve-se fazer constar no assunto da notificação: "[TLP:MARCAÇÃO]", “ÓRGÃO/ENTIDADE” e o “TIPO DE INCIDENTE”.

6.3. CORPO DO E-MAIL: Deve-se repetir o TLP e após, descrever sucintamente o incidente ocorrido, informando, quando cabível, informações, tais como: situação atual do incidente; IP ou lista de IPs envolvidos; organizações/entidades envolvidas; pessoas ou serviços de rede envolvidos; registros de sistemas (logs) com o respectivo timezone; cronologia dos acontecimentos; ações adotadas; outros detalhes técnicos e incidentes correlacionados.

6.4. ANEXO(S): Deverão ser anexadas as informações que facilitem a análise e a resposta ao incidente, tais como: logs de servidores e/ou serviços, cabeçalho de e-mails (headers), código(s) malicioso(s), captura de tela(s) (print screen), entre outros. 

7. Comunicação Segura 

Em necessidade de comunicação por meio seguro, a mensagem deve ser criptografada com a chave pública (PGP) do CTIR Gov, disponibilizada em PGP - CTIR Gov

Impressão digital (Fingerprint): 9798 2E5B 6EC7 B6ED B98E 60F4 9409 D6F7 6438 EEFF 

8. Exemplo fictício de Notificação 

From: etir@orgao.gov.br
To: ctir@ctir.gov.br
Subject: [TLP:AMBER] ORGAO.GOV.BR - Phishing

[TLP:AMBER]

Prezados,

1. Foram identificadas tentativas de ataques de Phishing contra colaboradores deste órgão nas últimas 24h.

2. Nossos sistemas identificaram XX diferentes casos, oriundos da mesma fonte. Todos os casos foram bloqueados por nossa ferramenta de segurança e não houve danos.

3. Remetemos em anexo os headers completos da amostra, para a tomada das providências cabíveis. Informamos que todos os horários estão em UTC-3.

Att,
ETIR Órgão.

[TLP:AMBER]

9. Outras Considerações 

9.1. O CTIR Gov não realiza procedimentos de investigação criminal. As atividades do Centro restringem-se a detecção, análise, resposta e tratamento de incidentes cibernéticos da comunidade atendida.

9.2. Todas as notificações ou mensagens recebidas pelo CTIR Gov recebem o tratamento adequado após o processo de triagem e análise. As ações desencadeadas pelas notificações têm como objetivo sanar os incidentes relatados ou restabelecer eventuais serviços comprometidos às condições normais de funcionamento.

9.3. Na maioria dos casos, o recebimento das notificações é informado aos requisitantes e, durante o tratamento do incidente, todos os envolvidos são notificados sobre as ações a serem adotadas. O não recebimento de um retorno sobre um incidente reportado não significa que o mesmo não foi tratado ou solucionado. Em alguns casos torna-se inviável relatar todos os procedimentos realizados aos requisitantes. 

9.4. O CTIR Gov controla as notificações recebidas ou enviadas atribuindo um número de identificação ao campo “Assunto” no formato: [CTIR Gov BR #XXXXXX]. É de fundamental importância que este número seja referenciado em todas as interações ocorridas ao longo do tratamento do incidente. 

9.5. Conforme estabelece o item 8.5 da NC nº 08 /IN01/DSIC/GSIPR, havendo indícios de ilícitos criminais durante o gerenciamento dos incidentes de cibernéticos, as ETIR devem, além de notificar o CTIR Gov, oficiar as autoridades policiais competentes para a adoção dos procedimentos legais necessários. Ademais, devem observar a garantia da cadeia de custódia e os procedimentos para preservação das evidências.

10. INOC-DBA 

O CTIR Gov atende ainda pelo telefone INOC-DBA BR: 266031*800 (https://inoc.nic.br/). 

Brasília, DF, 23 de março de 2023.

Equipe CTIR Gov.