Este post trata de um assunto muito relevante, que estava no backlog do Blog há um bom tempo, porque eu não tinha tido tempo de analisar o material publicado no começo deste mês pela Verizon Business Security Solutions.
A Verizon foi a responsável pela divulgação (em 2008 e 2009) dos relatórios mais interessantes e completos relacionados à vazamento de informações e resposta a incidentes de casos reais. E agora eles estão divulgando e dividindo com a comunidade o método por trás da criação das métricas divulgadas.
O assunto é geração de métricas em CSIRTs. Sabemos que qualquer organização que queira responder adequadamente à incidentes de segurança precisa ter a capacidade de fazer uma análise retrospectiva e gerar métricas relevantes para adaptar a sua postura de segurança às suas ameaças reais, conforme discutimos no post: Risco, Vulnerabilidade, Ameaça e Impacto [1].
Existem uma série de referências e frameworks de métricas relacionadas à medição da eficiência das ações em Segurança da Informação, fornecidos por organizações como o NIST (vide post: NIST: Performance Measurement Guide for Information Security [2]) ou em livros como Security Metrics - Replacing Fear, Uncertainty and Doubt - referenciado neste outro post: Livros de Seguranca Resposta a Incidentes e Forense Computacional [3].
O foco do Framework publicado pela Verizon são Incidentes de Segurança, e outros esforços similares já existem, especialmente o IODEF. (IODEF - Incident Object Description and Exchange Format - definição de formatos de dados e procedimentos para troca de informação entre diferentes CSIRTs.)
Uma lista interessante contendo outros Repositórios, Frameworks e Linguagens relacionadas (SCAP, CAPEC, CCE, CPE, CVE, CWE, MAEC, OVAL, etc.) pode ser encontrada nesta página do MITRE: http://measurablesecurity.mitre.org/
Dentre todas estas siglas, padrões, frameworks e modelos, fica uma pergunta: por onde começar?
Eu considero esta iniciativa da Verizon muito interessante pela sua praticidade, independência, abrangência e aplicabilidade. É claro que adaptações são necessárias para "tropicalizar" o framework às nossas organizações, mas não deixa de ser um excelente ponto de partida.
Existem quatro seções principais definidas do "VerIS Framework" - cada uma delas possui um conjunto de métricas (alguns poucos exemplos nos sub-itens abaixo) que é alimentada durante a fase de documentação "post-mortem" do tratamento dos incidentes:
1. Demografia
1.1 - Data do incidente
1.2 - Ramo de Atividade
1.3 - Região de Operação
1.4 - Número de Empregados
1.5 - Número de Funcionários Dedicados à Segurança da Informação
2. Classificação do Incidente
2.1 - Agente
...
2.2 - Ação
2.2.1 - Hacking
2.2.1. - Tipo ou Método (ex: Autenticação/Força Bruta, Manipulação de Protocolo)
2.2.1.2 - Caminho ou Vetor de Ataque (ex: Backdoor, Rede Wireless)
...
2.2.3 - Engenharia Social
2.2.3.1 - Alvo da Eng. Soc.
...
2.3 - Ativo
...
2.4 - Atributos
2.4.1 - Confidencialidade
2.4.2 - Posse ou Controle
2.4.3 - Integridade
...
3. Descoberta e Mitigação
3.1 - Linha do Tempo do Incidente
3.2 - Descoberta do Incidente
3.3 - Remediação
4. Classificação do Impacto
4.1 - Categorização do Impacto
4.2 - Estimativa de Impacto
4.3 - Qualificação do Impacto
Para uma visão completa e interessante da seção 2. Classificação do Incidente, veja este MINDMAP INTERATIVO.
Mais informações:
- Framework (PDF)
- Resumo Executivo (PDF)
- Forum Online
Existe uma versão em português deste ou de outro FrameWork similar?
ReplyDelete