Notícias
Principais incidentes de segurança identificados pelo CTIR.GOV
O mês de março será dedicado ao tema “Incidentes de Segurança”. Anteriormente apresentaremos a estrutura de governo para Cibersegurança e como devemos proceder para realizar uma notificação de incidente para a equipe responsável, agora apresentaremos mais informações sobre o processo de notificação de incidentes.
Importância da notificação de incidentes de segurança
Muitas vezes identificamos ou suspeitamos possíveis incidentes de segurança porém não os comunicamos corretamente.
Parte indispensável do processo de tratamento de incidentes, a notificação é uma atividade de grande importância visto que:
- Ela melhora a capacidade de detecção de incidentes. Muitas instituições descobrem que estão comprometidas apenas quando são notificadas por terceiros. Quando notificamos possíveis incidentes estamos ajudando a identificar problemas e prevenir novas ocorrências;
- Contribui para a melhora contínua dos processos que promovem a segurança da informação. Quando notificamos uma tentativa de ataque, da qual fomos vítimas ou não, demonstramos o comprometimento com as questões de segurança da nossa instituição
- Pode ajudar a conter danos e prejuízos. Notificações podem ser instrumentos eficazes na mitigação de incidentes e na contenção dos prejuízos, como por exemplo, em casos de fraudes; quanto antes o incidente for notificado mais rápido serão iniciadas as tratativas.
- Permite a coleta de dados que poderão ser utilizados na geração de estatísticas, correlacionar dados e identificar tendências que ajudarão a elaborar recomendações e materiais de apoio, a orientar campanhas pela adoção de boas práticas e a estabelecer ações em cooperação.
O LNCC incentiva que todos os colaboradores notifiquem possíveis incidentes de segurança, mesmo as suspeitas. As notificações devem ser realizadas utilizando o endereço de e-mail da ETIR (etir@lncc.br), ou o e-mail do Service Desk (helpdesk@lncc.br).
O que notificar?
Devemos nos comprometer em notificar todos os eventos adversos relacionados à segurança da informação, em desrespeito à política de segurança ou à política de uso aceitável da organização, como por exemplo:
- Tentativas, com ou sem sucesso, de ganhar acesso não autorizado a um sistema ou a seus dados (ex: varreduras, ataques de força bruta SSH);
- Interrupção indesejada de serviço (ex: ataque de negação de serviço);
- Uso não autorizado de um sistema (ex: site comprometido hospedando páginas de phishing, propagando malware ou infectado com bot para ataque a terceiros/envio de spam);
- Modificações em um sistema sem o conhecimento ou consentimento prévio de seu dono (ex: desfiguração de página);
- Sistemas desatualizados ou incorretamente configurados, permitindo abuso (ex: DNS recursivo aberto, NTP permitindo amplificação);
- Uso abusivo, em desrespeito à política de uso aceitável do provedor de serviço (ex: contratação de sistema em nuvem para uso malicioso).
- Suspeita de mensagens eletrônicas de phishing, especialmente quando solicitando a alteração de senha, ou fornecimento de dados pessoais.
- Alertas gerados pelo sistema operacional quanto a ocorrência de malwares, a execução ou a instalação de softwares desconhecidos
Principais incidentes de segurança identificados pelo CTIR.GOV
O CTIR.Gov vem acompanhando as notificações de incidentes e com os dados obtidos neste monitoramento ele classificou os itens abaixo como sendo os principais tipo de incidentes de segurança que ocorrem as unidades de Governo:
- Abuso de Sítio Web: comprometimentos confirmados de servidores ou desfigurações de páginas Web na Internet.
- Abuso no Serviço de E-mail (SMTP): utilização indevida de credenciais de acesso a e-mail.
- Página Falsa: páginas fraudulentas, normalmente usadas para capturar dados de usuários.
- Phishing: e-mails com conteúdo malicioso ou não-solicitado.
- Scan: tráfego não-usual, como varreduras em redes de computadores.
- Vazamento de Dados: dados indevidamente expostos na Internet.
- Software Vulnerável: notificações preventivas alertando sobre necessidade de atualização de determinado sistema, visando evitar explorações ou outras atividades maliciosas.
- Vulnerabilidade de Criptografia: notificações preventivas alertando sobre necessidade de atualização de sistemas criptográficos vulneráveis a ataques contra a confidencialidade de dados.
- Vulnerabilidade DRDoS: notificações preventivas sobre serviços que permitem amplificação, normalmente abusados por agentes maliciosos para compor ataques de negação de serviços distribuídos por reflexão (DRDoS).
A equipe de segurança da informação do LNCC vem trabalhando arduamente para evitar que incidentes de segurança, como os listados acima, ocorram em nossa instituição. Porém necessitamos do apoio de todos os colaboradores quanto a notificação de incidentes que posam estar ocorrendo, mesmo que no ambiente de Home Office.
Relembramos que as notificações devem ser realizadas utilizando o endereço de e-mail da ETIR (etir@lncc.br), ou o e-mail do Service Desk (helpdesk@lncc.br).
Gestão da Segurança da Informação
sgsi@lncc.br
Serviço de Comunicação Institucional
secin@lncc.br