Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR
Quem somos
Constituída por meio da , somos a ETIR do IFSP, aEquipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos, um grupo de trabalho permanente, multidisciplinar, de atuação primordialmente reativa e não exclusiva, em acordo com oModelo 1 – Utilizando a equipe de Tecnologia da Informação – TI, prevista na
Agora você conhecerá um pouco mais sobre nós.
Somos estruturados da seguinte forma:
A ETIR do IFSP é formada atualmente por 6 integrantes:
- 3 representantes da DTI (Diretoria de Tecnologia da Informação) ou seus setores componentes, sendo um designado agente responsável:
- - Rafael Manochio (Agente Responsável)
- - Ado Cardoso da Silva
- - William Lira Ferreira
- 2 representantes do CTIC (Comitê de Tecnologia da Informação);
- - Dirlei Paulino Pinto
- - Matheus Cavecci
Nosso público alvo:
- - A ETIR atenderá diretamente todas as unidades da Diretoria de Tecnologia da Informação, por convocação ou chamado registrado eletronicamente.
- - A ETIR atenderá indiretamente e pontualmente aos demais setores da Reitoria do IFSP e as Coordenadorias de Tecnologia da Informação (CTIs) dos Campus do IFSP, atuando, inicialmente de forma consultiva, por convocação ou chamado registrado eletronicamente, sempre com prévia autorização da Chefia Imediata da Coordenadoria de Arquitetura e Operações de Tecnologia da Informação (CAOTI).
As responsabilidades da ETIR:
- - Gestão centralizada para tratamento de incidentes de segurança em redes computacionais;
- - Estabelecer um ponto central para comunicação de vulnerabilidades e registros de incidentes em redes computacionais;
- - Realizar ações preventivas aos incidentes em redes computacionais;
- - Propor melhorias contínuas nos processos, serviços, sistemas e infraestrutura em relação a segurança em Redes de Computadores.
- - Analisar, Investigar e tratar incidentes de segurança em redes computacionais;
- - Definir planos de contenção e estabelecer ações para promover a continuidade dos serviços e sistemas em caso de incidentes graves;
- - Acompanhar de forma objetiva a evolução e o domínio dos aspectos da segurança em Redes de Computadores;
Ѿã
Planejar, coordenar e executar atividades de prevenção, tratamento e resposta a incidentes em redes computacionais, receber e notificar qualquer evento adverso à segurança, confirmado ou sob suspeita, relacionado às redes de computadores e serviços computacionais, preservando os dados, as informações e a infraestrutura do IFSP, promovendo também ações de conscientização institucional e a disseminação de boas práticas sobre a temática Segurança da Informação.
Fale com a Etir
Entenda o que pode ser considerado um incidente de segurança:
Fonte: Norma ISO/IEC 27000:2014
"Item 2.36 - Incidente de segurança da informação ...Um único, ou uma série de eventos indesejados ou inesperados de segurança da informação (2.35), que têm uma probabilidade significativa de comprometer as operações do negócio e de ameaçar a segurança da informação..."
"Item 2.35 - Evento de segurança da informação ... Ocorrência identificada de um sistema, serviço ou estado de rede indicando uma possível quebra da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança..."
Portanto, é qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores do IFSP.
A comunicação dos incidentes de segurança em rede de computadores à ETIR será feita por meio de:
- - E-mail, através do endereço .
- - Sistemas de registro de chamados de Tecnologia da Informação, em vigor à época da ocorrência.
- - Automaticamente, através de ferramental tecnológico e eventos detectados pelo monitoramento da CAOTI.
Políticas e Normas
- Institui a Política Nacional de Cibersegurança e o Comitê Nacional de Cibersegurança.
- Disciplina a criação de Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR nos órgãos e entidades da ձëг Pública Federal.
- INSTITUIR a Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR) do IFSP.
- Dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal e por consequência trata da criação de Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos no âmbito da ձëг Pública Federal.
- Altera a Instrução Normativa nº 1, de 27 de maio de 2020, que dispõe sobre a Estrutura de Gestão da Segurança da Informação nos órgãos e nas entidades da administração pública federal.
- Dispõe sobre os processos relacionados à gestão de segurança da informação nos órgãos e nas entidades da administração pública federal.
- Altera a Instrução Normativa nº 1, de 27 de maio de 2020, do Gabinete de Segurança Institucional da Presidência da República; a Instrução Normativa GSI/PR nº 3, de 28 de maio de 2021; e a Instrução Normativa nº 6, de 23 de dezembro de 2021, do Gabinete de Segurança Institucional da Presidência da República.
- Aprova a atualização da Política de Segurança da Informação e ձëг - PoSIC no âmbito do Instituto Federal de Educação, Ciência e Educação de São Paulo – IFSP.
- Homologada a Norma Complementar nº 08/IN01/DSIC/GSIPR que estabelece as Diretrizes para Gerenciamento de Incidentes em Redes Computacionais - Gestão de ETIR, nos órgãos e entidades da ձëг Pública Federal.
- Homologa a que disciplina a criação de Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos - ETIR nos órgãos e entidades da ձëг Pública Federal.
ʱ䴡ÇÕ
Conscientização e Educação
- [Consciência ETIR/IFSP #14] Catálogos de Fraudes e Golpes
- Habilitar Múltiplo Fator de Autenticação (MFA) nos serviços do IFSP
- [Consciência ETIR/IFSP #8][CERT.br][TLP:CLEAR] Conecte seus equipamentos com segurança
- [Consciência ETIR/IFSP #7][CERT.br][TLP:CLEAR] Na era da informação, dados valem ouro! Proteja-os!
- [Consciência ETIR/IFSP #6][CERT.br][TLP:CLEAR] A proteção do universo digital começa pelos seus dispositivos
- [Consciência ETIR/IFSP #5][CERT.br][TLP:CLEAR] Furto de Celulares - Ele é a sua carteira: Cuide da sua vida digital
- [Consciência ETIR/IFSP #4][TLP:CLEAR] Você sabe como checar a segurança da sua conta Google e demais contas institucionais e governamentais?
- [Consciência ETIR/IFSP #3][CERT.br][TLP:CLEAR] Autenticação - Proteja sua vida digital
- [Consciência ETIR/IFSP #2][CERT.br][TLP:CLEAR] Como se proteger do Phishing e Outros Golpes
- [Consciência ETIR/IFSP #1][TLP:CLEAR] Guia de prevenção contra os ataques de sequestro e vazamento de dados (ransomwares)
Publicações Técnicas
- [Guia Técnico ETIR/IFSP #11] Boas práticas de segurança em plataformas Moodle
- [Guia Técnico ETIR/IFSP #10] Boas práticas de segurança nas configurações de redes wireless
- [Guia Técnico ETIR/IFSP #9] Resposta a incidentes em hosts com serviços Web
- [Guia Técnico ETIR/IFSP #8] ModSecurity WAF - Instalação, configuração, regras e acompanhamento de logs
- [Guia Técnico ETIR/IFSP #7] Indicadores de Comprometimento (IoCs)
- [Guia Técnico ETIR/IFSP #6] MITRE ATT&CK - O que é e como usar?
- [Guia Técnico ETIR/IFSP #5][Guia Técnico CERT.br] DDoS - Recomendações para Melhorar o Cenário de Ataques Distribuídos de Negação de Serviço
- [Guia Técnico ETIR/IFSP #4] SSH - Hardening e Boas Práticas de Segurança
- [Guia Técnico ETIR/IFSP #3] PHP - Hardening e Boas Práticas de Segurança
- [Guia Técnico ETIR/IFSP #2] Apache Web Server - Hardening e Boas Práticas de Segurança
- [Guia Técnico ETIR/IFSP #1] Gestão eficiente de logs e como planejar
Alertas e Recomendações
- [ALERTA ETIR-GOV #07/2023] - Alerta sobre o Ransomware Lockbit
- [ALERTA ETIR-GOV #02/2023] - Royal Ransomware
- [RECOMENDAÇÃO ETIR-GOV #03/2023] - Ataques de Negação de Serviço (DoS) e suas evoluções DDoS e DRDoS no âmbito da ձëг Pública Federal
- [RECOMENDAÇÃO ETIR-GOV #02/2023] - Credenciais de acesso como vetor de incidentes cibernéticos às infraestruturas de Governo
- [RECOMENDAÇÃO ETIR-GOV #01/2023] - Monitoramento de ativos críticos da APF
- [RECOMENDAÇÃO ETIR-GOV #43/2022] - Atualização Imediata de Produtos Microsoft
- [Alerta ETIR/IFSP #10] Recomendações ETIR Gov e CTIR Gov - Update imediato dos Sistemas Operacionais Windows
- [Alerta ETIR/IFSP #7] Alerta de Segurança da Informação - Biblioteca OpenSSL
- [Alerta ETIR/IFSP #5] Alertas ETIR Gov e CTIR Gov - Updates críticos Microsoft, Ataques do "Play Ransomware" e Disseminação do malware Shikitega
- [Alerta ETIR/IFSP #4] Vulnerabilidades críticas no serviço de rede SAMBA
- [Alerta ETIR/IFSP #3] Alerta 19/2022 do CTIR Gov e DPF - Campanha do Malware "Symbiote"
- [Alerta ETIR/IFSP #2] Diversas vulnerabilidades no kernel do Linux
- [Alerta ETIR/IFSP #1] Vulnerabilidade em produtos Microsoft CVE-2022-30190 - "RCE “Follina”"
çDz
SERVIÇOS PROATIVOS
Monitoramento de indicadores de Segurança da cibernética:
- - Com dados e informações fornecidas através do NOC, Testes de Segurança, Prevenção inteligente de ameaças, mecanismos das camadas internas e externas de segurança, logs e do Firewall, são realizadas análises dos eventos de segurança em redes de computadores com o objetivo de determinar tendências e padrões de atividades de invasores, detecção de intrusão e vulnerabilidades, com vistas a adotar e recomendar estratégias de prevenção adequadas, além de coletar indicadores estatísticos.
Testes de Segurança da Informação em redes de computadores (Pentest):
- - Realização de testes automatizados ou manuais (Pentest) em Sistemas, redes, serviços, infraestrutura e processos.
Ações de prevenção inteligente de ameaças (Threat Intelligence e Threat Hunting):
- - Processos manuais ou automatizados que busquem por informações sobre ameaças e pelas próprias ameaças no ambiente interno e externo, antecipando acontecimentos que possam resultar em incidentes de segurança em redes de computadores.
Disseminar informações relativas a incidentes, ataques e tendências, sobre soluções internas ou de fornecedores externos:
- - Divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança em redes de computadores, além de pesquisar informações sobre novas ameaças a redes computacionais, novas soluções para conter as ameaças e informar às áreas responsáveis.
Disseminar informações de novas atualizações de softwares:
- - Pesquisar informações referentes a novas atualizações dos softwares instalados na rede, infraestrutura e no parque computacional da instituição.
Ações de conscientização institucional referente à segurança da informação em redes de computadores e prevenção de incidentes:
- - Realização de conscientização do público institucional, através de temas que se relacionem à segurança da informação em redes de vomputadores e as rotinas funcionais administrativas, acadêmicas e estudantis.
Atuação consultiva institucional sobre segurança da informação em redes de computadores:
- - Apoio a necessidades institucionais em que seja necessário o esclarecimento de temas relacionados à segurança das informações em redes de computadores do público alvo.
SERVIÇOS REATIVOS
Análise, Investigação e tratamento de incidentes de segurança em redes computacionais:
- - Consiste em receber, filtrar, classificar e examinar todas as solicitações, alertas e informações disponíveis sobre um incidente, analisando artefatos maliciosos, evidências e logs relacionados ao evento, identificando o escopo do incidente, sua extensão, natureza e quais os impactos causados, além de impedir a continuidade da ação maliciosa.
Documentação sobre o tratamento do incidente e recomendações:
- - Após análise e investigação do incidente, a ETIR emitirá documentos com recomendações para o tratamento correto dos incidentes, assim como a criação de roteiros de ação (playbooks) de identificação, investigação, tratamento e mitigação para incidentes conhecidos.
ձëг:
- - Comunicar, quando necessário, incidentes de segurança em Redes de Computadores a órgãos competentes para fins estatísticos.
Gerenciamento do ciclo de vida de vulnerabilidades:
- - Gerenciamento do ciclo de vida das vulnerabilidades identificadas, relatadas, alertadas e comprovadas, identificando sua natureza, mecanismo, sistemas afetados e suas consequências para o ambiente computacional, realizando prova de conceito e criando a documentação necessária para encaminhamento aos responsáveis pela correção, realizando o acompanhamento da demanda, até que sejam definidas as medidas de aceitação do risco, mitigação ou correção da vulnerabilidade.
Atuação consultiva para mitigação das vulnerabilidades junto aos serviços responsáveis:
- - Ações consultivas de correção de vulnerabilidade, caso necessárias, junto à equipe responsável pela correção, realizando explicações, provas de conceitos, buscando informações sobre mitigação e realizando o teste final de aceitação, caso seja mitigada ou corrigida, e explicando os riscos, mediante aceitação.
Ferramentas
Este tópico tem o intuíto de proporcionar aos colaboradores que atuam tecnicamente na sustentação de tecnologia da informação da instituição, exemplos de ferramentas que podem facilitar diversas situações cotidianas ligadas à segurança cinernética de suas infraestruturas. Alertamos que todas as ações realizadas e informações obtidas utilizando as ferramentas exemplificadas neste tópico, são de inteira responsabilidade de quem as pratica ou detém, direta ou indiretamente, dando causa a responsabilização nas esferas administrativa, cível e penal, em casos de transgressões, ações não autorizadas e/ou abusivas. Por isso, utilize no que compete a sua infraestrutura, desde que autorizado por sua coordenação, e com todo o devido cuidado.
- ٱçã: As ferramentas desta seção não devem ser entendidas com recomendações de uso, e sim, tem o único objetivo de exemplificar e facilitar o entendimento sobre os tipos de ações referenciadas nos respectivos tópicos. Antes de escolher uma dessas opções ou qualquer outra, leia atentamente a descrição e licença de uso, alertas e impactos legais e éticos, verifique a reputação da empresa que as fornece, e a avaliação dos demais usuários. Tome todos os cuidados e teste-as até se sentir confortável para realmente utilizá-las no dia a dia.
- Auditoria de Segurança em UNIX-alike systems (Linux, macOS, BSD).
- Scanner de rootkit Linux.
- Scanner de rootkit Linux.
- Detecção de malware Linux.
- Detecção de malware para diversos sistemas operacionais.
- O MSRT localiza, remove e reverte as alterações feitas por ameaças no Windows.
- Utilitários técnicos para gerenciar, diagnosticar, solucionar problemas e monitorar um ambiente Microsoft Windows.
: Desencriptadores de várias variantes de ransomwares.
: Desencriptadores de várias variantes de ransomwares.
- Software para mapeamento de redes e hosts (interface linha de comando).
- Software para mapeamento de redes e hosts (interface gráfica).
- Sistema para prevenção de intrusões (IPS) para hosts servidores.
Atualize-se
ALERTAS E RECOMENDAÇÕES
Newsletters:
RSS:
Sites:
Redes Sociais:
Twitter:
VULNERABILIDADE
Newsletters:
RSS:
Redes Sociais:
Twitter:
Sites:
Inteligência e Prevenção
A inteligência dentro da cibersegurança utiliza dados e informações com foco em ações preditivas, proativas e avaliativas que identifiquem atores maliciosos, ameaças, eventos, riscos e vulnerabilidades, que sejam impactantes ou prejudiciais ao ciberespaço e ao ambiente da infraestrutura computacional. O principal objetivo desta seção é fornecer estes dados e informações, proporcionando insights técnicos aos mantenedores de cada infraestrutura, gerando uma reflexão individual e crítica, a fim de proporcionar outros pontos de vista de sua infraestrutura, de seus atores maliciosos, ameaças, eventos, riscos e vulnerabilidades, fortalecendo a segurança cibernética e evitando incidentes de segurança da informação.
- ٱçã: As listas de serviços desta seção não devem ser entendidas com recomendações de uso, e sim, tem o único objetivo de exemplificar e facilitar o entendimento sobre os tipos de ações referenciadas nos respectivos conteúdos. Antes de escolher uma dessas opções ou qualquer outra, leia atentamente a descrição e licença de uso, alertas e impactos legais e éticos, verifique a reputação da empresa que os fornece, e a avaliação dos demais usuários. Tome todos os cuidados e teste-os até se sentir confortável para realmente utilizá-los no dia a dia.
Redes Sociais