Realizado pelo CERT.br, 11º Fórum Brasileiro de CSIRTs reúne público 54% superior ao da edição anterior
Foto: Ricardo Matsukawa/Divulgação NIC.br
Entre 31 de julho e 1º de agosto, mais de 400 participantes tiveram acesso a 18 palestras, em que foram discutidos temas relevantes na área cibersegurança e apresentados estudos de caso; confira um resumo dos dois dias de encontro
O 11º Fórum Brasileiro de CSIRTs, evento dedicado à discussão de temas relacionados com o tratamento de incidentes de cibersegurança e a resiliência de organizações diante desse tipo de ameaça, reuniu na capital paulista 444 participantes, público 54% maior do que o registrado na edição anterior. Iniciativa do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), o encontro, realizado desde 2012, consolidou-se como um importante espaço de troca de experiências e de networking para a comunidade de CSIRTs. Entre 31 de julho e 1º de agosto deste ano, os presentes tiveram acesso a 18 palestras, abordando assuntos atuais na área e estudos de caso.
“O aumento do público, em um evento tão especializado, é reflexo da maturidade da comunidade, que vem se ampliando ao longo dos anos. Isso torna a discussão sobre incidentes de segurança no ambiente digital cada vez mais relevante. Esperamos que o evento siga crescendo”, comemora Cristine Hoepers, Gerente Geral do CERT.br.
Cada um pode fazer a diferença
O primeiro dia começou com o keynote de Don Stikvoort, Chair da Open CSIRT Foundation e um dos pioneiros da Internet na Europa. Ele fez um histórico dos incidentes de cibersegurança desde a década de 1980 em paralelo com a criação de grupos de segurança, como o CERT Coordination Center (CERT/CC). Falou sobre os novos desafios na área diante da ascensão de tecnologias como Internet das Coisas (IoT), robótica e, especialmente, Inteligência Artificial. Na avaliação do especialista, é preciso preparar a sociedade para lidar com esse cenário e investir em educação em segurança cibernética. Destacou também que os profissionais que atuam na área de tecnologia têm responsabilidades com a sociedade e com sua atuação podem fazer a diferença para um futuro melhor.
Além da tecnologia
Várias apresentações destacaram a importância dos aspectos humanos e de processos para a prevenção de incidentes cibernéticos. Alessandro Coutinho, da Petrobrás, apresentou a experiência da estatal na gamificação do processo preparatório para simulação de incidente cibernético em ambiente de automação industrial, destacando as vantagens desta ferramenta lúdica para a aprendizagem, retenção e disseminação do conhecimento.
Grazielle Alessa e William Borges, do Mercado Bitcoin – exchange brasileira de criptomoedas e criptoativos digitais –, contaram como a empresa usa conscientização para reduzir incidentes causados por imperícia e aumentar notificações de anomalias que podem fugir dos alertas automatizados. Um dos avanços da iniciativa foi o reconhecimento por parte da diretoria do MB de que segurança e ética são valores inegociáveis, o que ajuda a despertar o foco de outras áreas da companhia para a importância de proteger dados, sistemas e pessoas.
Andressa Cristina Borges Dutra Sahori, Matheus Nascimento de Camargo e Jessica Araujo Silva Zanatta relataram como o CAIS/RNP atuou em recente caso de engenharia social com objetivo de fraude financeira, incluindo técnicas de Smishing e falsas centrais de atendimento. Ao longo da palestra, os especialistas compartilharam as etapas de análise do incidente, que evidenciou a necessidade de aprimorar aspectos operacionais e administrativos, incluindo a conscientização dos usuários e equipes de TI por parte dos CSIRTs.
Em sua palestra, Cibelle Almeida, da Vaccinar Nutrição Animal, discutiu aspectos relacionados com prevenção, privacy by design e privacy by default e conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), incluindo pontos de atenção e desafios enfrentados pelas organizações. Em sua avaliação não basta implantar soluções, é necessário combinar cultura de segurança, treinamento, políticas e procedimentos claros, gestão de risco, auditoria e conformidade, gestão de incidentes e comunicação eficaz para garantir que uma empresa esteja protegida de ameaças cibernéticas.
Edilson Lima, especialista em segurança, e Leticia Freitas, analista da empresa de comércio varejista Via, propuseram uma reflexão: a conscientização em segurança precisa ser perene, com reforços constantes e foco em pontos positivos, mas como isso nem sempre provoca mudança de comportamento, também é necessário complementá-la com normatização de alguns pontos.
Papel dos controles para redução de incidentes
Jacson Querubin, da Itaipu Binacional, apresentou uma visão geral dos frameworks ISO27001 e Controles CIS (v8), e detalhou as ações internas que a organização vem realizando, quais os desafios e obstáculos ultrapassados para aumentar os controles e como a sua adoção tem ajudado a diminuir os riscos no ambiente de TI.
Thiago Melo Stuckert do Amaral, do CEPESC, defendeu a utilização de princípios de uma arquitetura Zero Trust, baseada na ideia de que é preciso sempre verificar antes de confiar, para melhorar a segurança da cyber supply chain, que tem sido alvo de ataques cada vez mais sofisticados, capazes de explorar vulnerabilidades na cadeia de fornecedores de software. Além de mostrar uma checklist de segurança que permite uma análise de gap, Stuckert apresentou três estudos de caso, aplicando a proposta em cenários de ataques reais ocorridos recentemente.
Estatísticas
Fechando o primeiro dia de evento, Cristine Hoepers e Klaus Steding-Jessen, Gerentes do CERT.br, falaram sobre o novo portal de estatísticas (https://stats.cert.br/) do Centro, que apresenta números provenientes de três fontes: notificações voluntárias de incidentes, threat feeds e tráfego observado em honeypots próprios. Segundo eles, os dados do CERT.br, relativos ao espaço Internet do Brasil, não apenas geram estatísticas, como são usados em notificações diárias a Sistemas Autônomos brasileiros para alertá-los sobre vulnerabilidades e abusos de suas redes. Sugeriram que as organizações usem os dados do portal para aumentar a consciência situacional e alimentar seus processos de threat hunting, especialmente os relacionados a servidores DNS maliciosos e Binários e Comando e Controle de botnets IoT, que também são compartilihados via a plataforma MISP.
Tratamento de incidentes na Administração Pública Federal
No segundo dia, Paulo Cesar Carvalho Nunes e Fernando Marques Borges, do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), do Gabinete de Seguraça Institucional (GSI/PR), destacaram os reflexos da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC) na segurança de órgãos e entidades integrantes da Administração Pública Federal. Citaram objetivos da ReGIC, instituída em 2021, como compartilhar alertas sobre ameaças e vulnerabilidades cibernéticas e divulgar informações acerca de ataques. Dentro desse contexto, salientaram que o conhecimento – que envolve inteligência, políticas públicas e consciência situacional – ajuda na prevenção e confere mais celeridade na resposta ciberataques. No final, apresentaram casos reais de tratamentos de incidentes ocorridos na APF.
Leonardo Ferreira, da Secretaria de Governo Digital do Ministério da Gestão e Inovação em Serviços Públicos (MGI), falou sobre as lições aprendidas durante a implantação e a operação do Centro Integrado de Segurança Cibernética do Governo Digital (CISC GOV.br), lançado em dezembro de 2022. O CISC Gov.br é responsável pela coordenação operacional das ações de prevenção, tratamento e resposta a incidentes cibernéticos dos 251 órgãos federais pertencentes ao Sistema de Administração dos Recursos de Tecnologia da Informação (SISP). Durante a palestra discorreu sobre a criação do Programa de Privacidade e Segurança da Informação (PPSI), que tem como meta elevar a maturidade e resiliência dos órgãos e entidades do SISP em termos de privacidade e segurança da informação. Ao apresentar a estruturação do CISC GOV.br, explicou que o time foi estruturado como uma “ETIR as a Service” – conjunto de serviços escaláveis, sob demanda no contexto do SISP –, revelando que os pontos focais são o apoio ao planejamento, a implementação e a operação da Equipe de Prevenção Tratamento e Resposta a Incidentes Cibernéticos (ETIR) em cada um dos órgãos. Relembrou os principais desafios encontrados e citou os próximos passos, que estão centrados no aprimoramento do serviço, na alocação de pessoas, tecnologias e melhorias de processos, no ganho de reputação e na busca por parcerias.
Integração de SOCs e CSIRTs
Norton Evers, Glauco de Almeida Chaves, da Dataprev, relataram quais os desafios e as soluções encontradas por essa empresa do governo para o estabelecimento de seu processo de gestão de incidentes de segurança. Ao longo da palestra, discorreram sobre as lições aprendidas e como uso dos frameworks do CERT/CC e do FIRST estão auxiliando na evolução dos processos de segurança e na estruturação das equipes de tratamento de incidentes. Uma das conclusões foi que o investimento em ferramentas líderes de mercado e o aumento do número de analistas envolvidos no processo não são suficientes sem uma definição de responsabilidades, integração e comunicação efetiva entre as equipes.
Na palestra "A experiência de um CSIRT integrado com SOC e CTI", Eder Luis Oliveira Gonçalves, do Exército Brasileiro, fez uma comparação entre um Grupo de Resposta a Incidentes de Segurança sem utilizar threat intelligence (CTI) e SOC e outro integrado com SOC e CTI, concluindo que o primeiro tem a etapa de erradicação retardada em função da demora para encontrar a causa raiz, fundamental para o trabalho de contenção do ataque. Para ele, as melhores práticas indicam que um time de resposta de incidentes tem de interagir com todos na organização e que essa convergência confere maior efetividade ao trabalho.
Samanta Santos, Antonio Rolim e Alexander Mendes, da Telefônica Brasil - Vivo, fizeram uma analogia entre uma orquestra e um BlueTeam, cuja função é proteger o ambiente de uma organização, fortalecendo sua cibersegurança. Eles frisaram que uma equipe de segurança é composta por vários times, cada um com sua responsabilidade e função, que precisam trabalhar afinados na resposta aos incidentes cibernéticos – que não são responsabilidade apenas do CSIRT e não estão relacionados somente a temas técnicos.
Ao exemplificarem o caso de sucesso da empresa, compararam o Managed Detection and Response (MDR) aos instrumentos de corda; o CISRT aos metais; e o Hunting aos instrumentos de percussão. Para que tudo corra dentro da melodia, são necessários, conforme o grupo, as partituras (documentação), a parte técnica (entender o que está documentado), os compassos e tempos (cada um com sua parte) e o maestro (liderança). Com todos os processos definidos, eles diminuíram em 37% o tempo de resposta e aumentarem em 30% os alertas respondidos.
Desafios e aprimoramentos para a detecção de incidentes
Com base na segunda edição do Cyber Threat Resilience Report (CTR2), relatório anual produzido pelo Morphus Labs, núcleo de estudos avançados da empresa brasileiras da área de cibersegurança Morphus, Antonio Horta mostrou quais são os gaps comuns de segurança que podem expor as organizações a sérios incidentes, servindo como bússola para a criação ou revisão do plano de defesa cibernética de companhias com os mais variados níveis de maturidade.
Já Rivaldo Oliveira, da Tempest Security Intelligence, mostrou táticas adotadas por atacantes na formação de pontos de apoio (foothold) nas redes das organizações e o comportamento desses cibercriminosos nas fases iniciais da cadeia de ataque. Falou sobre aplicações de estratégias de defesa como High Ground (Terreno Elevado) e Scorched Earth (Terra Arrasada) para proteção de dispositivos de usuário final e para impedir o movimento lateral dos invasores. Ressaltou que os ciberataques avançaram e é necessário que as equipes de defesa compreendam esse cenário e também avancem, garantindo a proteção de endpoints e adotando novas tecnologias.
Caique Barqueta, da ISH Tecnologia, trouxe um estudo de caso sobre o incidente de segurança evolvendo os operadores do ransomware LockBit, criado para a obtenção de lucro por meio da extorsão. Ele fez um retrospecto da atuação do grupo da Europa Oriental, desde o surgimento do malware, em 2019 – na época, apelidado de “vírus abcd” –, passando pelo desenvolvimento de novas variantes nos anos seguintes. Na mesma apresentação, Bruno Odon, também da ISH Tecnologia, falou sobre automação de coleta de Indicadores de Comprometimento (IoC) de atores maliciosos em fontes abertas e da inserção dos dados coletados no MISP, plataforma para compartilhamento de informações sobre inteligência de ameaças.
Pedro Miguel Esposito, Antonio Augusto Oliveira Viana Santos, Marcos Vinicio Rabello da Silva, Gizelle Jesus da Silva e Kenji Massayuki Minei, da Petrobras, apresentaram uma visão holística integrando os processos de Threat Hunting, resposta a incidentes e análise de malware, além do uso das soluções de Data Lake, EDR e MISP no tratamento de um caso real. O grupo explicou como aplicou essas tecnologias na estatal para realizar Threat Hunting em diferentes cenários, citou os benefícios que a utilização das soluções trouxe aos processos executados por um CSIRT, as lições aprendidas e as recomendações para quem deseja implementá-las.