[ Update: 08/08/2013 ]
Uma versão interativa do último relatório da Verizon pode ser visto no link abaixo - recomendado:
http://public.tableausoftware.com/views/vcdb/Overview
[ Update: 25/04/2013 ]
Leitura obrigatória para quem trabalha na área, o "2013 Verizon Data Breach Report" inclui uma série de informações e métricas interessantes sobre incidentes de segurança ocorridos durante o ano passado. O site do Framework Veris - padrão utilizado para compilar o relatório e já citado neste post - é uma ótima base para as organizações e CSIRTs de coordenação que precisam lidar com fontes diversas de informações de incidentes: http://www.veriscommunity.net/doku.php
O que eu acabei conhecendo é um outro padrão, do CERT / Carnegie Mellon - chamado "The CERT Insider Threat Database" - que é um outro Framework interessante nos mesmos moldes - já incluído na lista de referências abaixo.
[ Update: 27/01/2013 ]
Um dos maiores desafios na área de Resposta a Incidentes é o compartilhamento de informações entre entidades - CSIRTs, Backbones, Provedores de Acesso e Forças da Lei - entre outros. Por este motivo, conhecer e divulgar iniciativas bem sucedidas é de suma importância para todos os envolvidos.
Um dos grandes problemas que as organizações afetadas por incidentes de segurança enfrentam é a dificuldade de receber e enviar informações sobre os ataques bem sucedidos ocorridos na sua constituência para outras organizações como Grupos de Coordenação de Incidentes (como o CERT.BR e o CTIR.GOV, no Brasil) e até mesmo para Forças da Lei, por exemplo em eventos que precisem ser investigados sob o ponto de vista das novas leis de crimes cibernéticos brasileiras (12735/2012 e 12737/2012).
Como o Dr. Emerson Wendt colocou em um artigo conjunto publicado há cerca de 3 anos atrás aqui no blog: "São diversas as ocasiões em que contatamos, com a devida ordem judicial, o suposto administrador da rede responsável e fomos informados que não haveria como repassar a informação correta de qual computador e/ou usuário partiu o acesso criminoso". Nossa experiência mostra que esta realidade se repete há vários anos em vários estados e diferentes esferas federativas.
Por este motivo, meu objetivo com este post é chamar atenção para iniciativas já existentes de colaboração na área, seja pelo compatilhamento de eventos ou metadados relacionados a incidentes de segurança ou atividades consideradas indesejadas, seja por padronização na troca de informações que beneficiem os atores envolvidos em um processo de Resposta a Incidente de Segurança.
Além do OpenIOC, já citado anteriormente neste post, vale ressaltar algumas outras iniciativas de disseminação e compartilhamento de informações sobre incidentes de segurança (e possíveis crimes cibernéticos), relacionadas abaixo:
Padrões Abertos:
IDMEF - Intrusion Detection Message Exchange Format (IETF)
IODEF - Incident Object Description and Exchange Format (IETF)
CAPEC - Common Attack Pattern Enumeration and Classification (MITRE)
OVAL - Open Vulnerability and Assessment Language (MITRE)
MMEF - Malware Metadata Exchange Format (IEEE)
SCAP - Security Content Automation Protocol (NIST)
YARA - Malware Identification and Classification
CITD - CERT INSIDER Threat Database (CERT)
Padrões da Indústria:
CEF - Common Event Format (PDF) - ArcSight/HP
VERIS - Vocabulary for Event Recording and Incident Sharing (blog post) - Verizon
VRT - http://www.snort.org/vrt - SourceFire
OPENIOC - Open Indicators of Compromise - Mandiant (mais informações abaixo).
[ Update: 04/10/2012 ]
A dificuldade de se compartilhar informações sobre incidentes entre organizações é um problema antigo, e existem algumas alternativas que podem auxiliar quem está buscando soluções.
Hoje sairam três updates interessantes sobre o assunto:
Python tools for IOC (Indicator of Compromise) handling
https://github.com/jeffbryner/pyiocUnderstanding Indicators of Compromise (IOC) Part I
http://blogs.rsa.com/will-gragido/understanding-indicators-of-compromise-ioc-part-i/
http://www.darkreading.com/threat-intelligence/167901121/security/news/240008438/government-agencies-get-creative-in-apt-battle.html
[ Update: 17/11/2011 ]
Hoje o DarkReading publicou um interessante artigo sobre o OpenIOC:
No texto são também comentados outros frameworks já citados por aqui:
[ Post Original: 02/11/2011 ]
Framework OpenIOC - Open Indicators of Compromise
Considero o projeto iniciado pelo Kevin Mandia (publicado no livro "Incident Response & Computer Forensics") e agora disponibilizado oficialmente como um framework aberto (licença Apache 2) o mais organizado esforço da definição de um padrão (schema XML) que "descreve características técnicas de ameaças, metodologias de atacantes e outros indicadores de comprometimento" - útil demais para controle de modus operandi de incidentes, troca de informações intra e entre CSIRTs, interoperabilidade de ferramentas, entre outros.
Falei brevemente do OpenIOC durante uma apresentação sobre os avanços em Resposta a Incidentes e Computação Forense, durante o ICCyber 2010.
Mais informações:
FAQ: http://openioc.org/#faq
Base Schema: http://schemas.mandiant.com/2010/ioc/ioc.xsd
Other Schemas: http://schemas.mandiant.com/
OpenIOC Free Tools:
http://www.mandiant.com/products/free_software/iocfinder/
http://www.mandiant.com/products/free_software/ioceditor/
Other Free Tools: http://www.mandiant.com/products/free_software
+ info relacionada (2010): http://www.mandiant.com/presentations/state_of_the_hack_abcs_of_ioc/qa
Site oficial: http://openioc.org/