Simple Science

Ciência de ponta explicada de forma simples

# Informática# Bibliotecas digitais# Criptografia e segurança

O Papel dos Dados Públicos nas Operações de CSIRT

Analisando como os CSIRTs nacionais usam informações públicas e ferramentas gratuitas para resposta a incidentes.

― 7 min ler

CSIRTs e Dados PúblicosCSIRTs e Dados Públicoscibersegurança.ferramentas gratuitas paraComo seleções nacionais usam
Índice

As Equipes Nacionais de Resposta a Incidentes de Segurança de Computadores, ou CSIRTs, são grupos formados para lidar e responder a problemas de segurança cibernética. Elas atuam em níveis nacional e organizacional, enfrentando incidentes como hacking e vazamentos de dados. Muitas dessas equipes usam informações disponíveis publicamente e ferramentas gratuitas para ajudar nas suas tarefas, mas não há conhecimento suficiente sobre como elas utilizam esses recursos. Este artigo tem como objetivo fornecer uma visão mais clara de como as CSIRTs nacionais incorporam Dados Públicos e ferramentas gratuitas em suas operações.

Importância das CSIRTs

À medida que os incidentes cibernéticos aumentam globalmente, a necessidade de respostas eficazes se torna mais crítica. Os cibercriminosos estão mais habilidosos, mirando organizações em diversos setores. A pandemia de Covid-19 piorou essas ameaças, já que mais pessoas começaram a trabalhar online, expondo novos riscos. Portanto, ter uma equipe de resposta a incidentes sólida, com o conhecimento e as ferramentas certas, é vital para proteger as organizações.

Uma equipe de resposta a incidentes ajuda a limitar os danos causados por incidentes cibernéticos. Elas não apenas respondem a ataques, mas também investigam as causas e previnem futuros incidentes. Esses times são conhecidos por vários nomes, incluindo Equipes de Resposta a Emergências de Computadores (CERTs) ou Equipes de Resposta a Incidentes Cibernéticos (CIRTs). Todos esses termos geralmente significam o mesmo tipo de equipe, mas para manter a consistência, focamos nas CSIRTs.

Papel das CSIRTs Nacionais

As CSIRTs nacionais apoiam seu país coordenando respostas a incidentes cibernéticos. Elas coletam e analisam dados de diferentes fontes, às vezes trabalhando em conjunto com outros países e organizações para compartilhar informações e melhores práticas. Essas equipes ajudam a garantir que as organizações dentro de seu país estejam preparadas para lidar com ameaças à segurança.

Dados e Ferramentas Usadas pelas CSIRTs

As CSIRTs dependem de diferentes tipos de dados para suas operações. Elas costumam usar dados de código fechado e dados públicos. Os dados de código fechado incluem informações restritas, como relatórios internos ou inteligência compartilhada entre parceiros de confiança. Os dados públicos, por outro lado, são informações disponíveis abertamente online e podem ser acessadas livremente por qualquer pessoa.

As ferramentas gratuitas vêm em várias formas, desde programas de software projetados para investigar incidentes até aplicativos que ajudam a analisar dados. Essas ferramentas podem ser especialmente úteis para a resposta a incidentes, ajudando as equipes a coletar e analisar informações rapidamente. Algumas CSIRTs desenvolveram suas próprias ferramentas, enquanto muitas outras dependem de ferramentas criadas pela comunidade de código aberto ou por outras organizações.

Revisão Sistemática da Literatura

Para entender melhor as práticas das CSIRTs em relação a dados públicos e ferramentas gratuitas, foi realizada uma revisão sistemática da literatura. Isso envolveu examinar pesquisas e publicações existentes sobre as CSIRTs nacionais. A revisão foi feita em três etapas:

  1. Identificação de Publicações Relevantes: A primeira etapa envolveu buscar nos sites das CSIRTs nacionais e organizações relevantes para encontrar informações úteis.

  2. Análise da Literatura de Pesquisa: A segunda etapa focou em olhar para artigos de pesquisa científica para identificar informações úteis sobre as operações das CSIRTs.

  3. Síntese dos Resultados: A terceira etapa combinou dados e insights das duas primeiras etapas para fornecer uma visão abrangente de como as CSIRTs nacionais usam dados públicos e ferramentas gratuitas.

Resultados da Revisão

Práticas Atuais

A revisão revelou que as CSIRTs nacionais costumam discutir dados públicos e ferramentas gratuitas, mas muitas dessas discussões são incompletas ou carecem de profundidade. Também há uma ausência perceptível de pesquisas sobre como a equipe das CSIRTs vê a utilidade desses dados e ferramentas. Essa falta de informações detalhadas pode criar obstáculos para aproveitar ao máximo o que está disponível.

Fontes de Dados Públicos

As CSIRTs nacionais utilizam uma variedade de fontes de dados públicos para suas operações de resposta a incidentes. Alguns exemplos de dados públicos incluem:

  • Informações sobre Vulnerabilidades: Recursos que fornecem detalhes sobre vulnerabilidades conhecidas de software, como o banco de dados de Vulnerabilidades e Exposições Comuns (CVE).

  • Feeds de Inteligência de Ameaças: Dados que ajudam a identificar ameaças potenciais, como malware ou campanhas de phishing.

  • Informações de Registro de Domínio: Dados de bancos de dados WHOIS que podem dar uma ideia sobre a propriedade e registro de domínios.

  • Informações Públicas Gerais: Dados disponíveis em portais de dados abertos do governo e sites públicos que podem conter informações relevantes para respostas a incidentes.

Ferramentas Gratuitas

O estudo destacou um número significativo de ferramentas gratuitas mencionadas na literatura. Essas ferramentas abrangem várias funções, incluindo:

  • Análise de Logs: Ferramentas que ajudam a analisar logs de computadores para identificar atividades suspeitas.
  • Gestão de Incidentes: Aplicativos que auxiliam no rastreamento e gerenciamento de incidentes.
  • Monitoramento de Redes: Ferramentas para monitorar atividades de rede e detectar possíveis violações.
  • Ferramentas Forenses: Software que auxilia na investigação de incidentes cibernéticos e na coleta de evidências.

Muitas CSIRTs nacionais usam ativamente ferramentas gratuitas e algumas até desenvolvem suas próprias. Exemplos de ferramentas desenvolvidas por CSIRTs incluem:

  • IntelMQ: Uma ferramenta usada para coletar e processar dados de inteligência de ameaças.
  • MISP (Plataforma de Compartilhamento de Informação sobre Malware): Uma ferramenta projetada para facilitar o compartilhamento de informações sobre ameaças entre CSIRTs.

Essas ferramentas são essenciais para as operações do dia a dia e podem desempenhar um papel significativo na melhoria dos tempos de resposta e no aprimoramento das medidas de segurança.

Desafios Enfrentados pelas CSIRTs

Apesar das vantagens de usar dados públicos e ferramentas gratuitas, existem desafios que as CSIRTs nacionais enfrentam. Esses desafios incluem:

  • Qualidade dos Dados e Ferramentas: Os dados públicos podem nem sempre ser confiáveis. Muitas vezes, há falta de garantia de qualidade para ferramentas gratuitas, o que pode levar a problemas em sua eficácia.

  • Conhecimento Limitado: Muitos membros da equipe das CSIRTs podem não estar plenamente cientes dos dados públicos e ferramentas gratuitas disponíveis, reduzindo sua capacidade de utilizar esses recursos de maneira eficaz.

  • Limitações Operacionais: As CSIRTs podem enfrentar dificuldades na implementação de novas ferramentas e na integração delas em seus processos existentes.

Direções para Pesquisas Futuras

Os resultados da revisão da literatura destacam várias áreas que precisam de mais estudos:

  1. Compreendendo as Percepções da Equipe de CSIRT: Mais pesquisas são necessárias para reunir provas concretas sobre como a equipe das CSIRTs percebe a utilidade de dados públicos e ferramentas gratuitas.

  2. Estudos de Caso de Implementações Bem-sucedidas: Um estudo detalhado de CSIRTs nacionais específicas que empregaram efetivamente dados públicos e ferramentas gratuitas poderia fornecer insights úteis para outras equipes.

  3. Avaliação de Ferramentas: Pesquisas futuras deveriam explorar como avaliar sistematicamente a qualidade de ferramentas gratuitas e dados públicos.

  4. Promovendo Colaboração: Investigar como as CSIRTs podem colaborar melhor e compartilhar recursos poderia melhorar as capacidades de resposta a incidentes globalmente.

Conclusão

Dados públicos e ferramentas gratuitas desempenham um papel crucial em ajudar as CSIRTs nacionais a responder a incidentes cibernéticos. No entanto, há muito espaço para melhorar como esses recursos são utilizados. Ao conduzir mais pesquisas sobre práticas, desafios e percepções em torno de dados públicos e ferramentas gratuitas, a comunidade CSIRT pode aprimorar suas capacidades e proteger melhor as organizações contra ameaças cibernéticas.

Em uma era em que as ameaças cibernéticas são cada vez mais sofisticadas, entender a dinâmica dos dados e ferramentas disponíveis para as equipes de resposta a incidentes será vital para garantir ambientes seguros para organizações em todo o mundo.

Fonte original

Título: The Use of Public Data and Free Tools in National CSIRTs' Operational Practices: A Systematic Literature Review

Resumo: Many CSIRTs, including national CSIRTs, routinely use public data, including open-source intelligence (OSINT) and free tools, which include open-source tools in their work. However, we observed a lack of public information and systematic discussions regarding how national CSIRTs use and perceive public data and free tools in their operational practices. Therefore, this paper provides a systematic literature review (SLR) to comprehensively understand how national CSIRTs use and perceive public data and free tools in facilitating incident responses in operations. Our SLR method followed a three-stage approach: 1) a systematic search to identify relevant publications from websites of pertinent CSIRT organisations, 2) a conventional SLR into the research literature, and 3) synthesise data from stages one and two to answer the research questions. In the first stage, we searched the websites of 100 national CSIRTs and 11 cross-CSIRT organisations to identify relevant information about national CSIRTs. In the second stage, we searched a scientific database (Scopus) to identify relevant research papers. Our primary finding from the SLR is that most discussions concerning public data and free tools by national CSIRTs are incomplete, ad hoc, or fragmented. We discovered a lack of discussions on how the staff of national CSIRTs perceive the usefulness of public data and free tools to facilitate incident responses. Such gaps can prevent us from understanding how national CSIRTs can benefit from public data and free tools and how other organisations, individuals and researchers can help by providing such data and tools to improve national CSIRTs' operation. These findings call for more empirical research on how national CSIRTs use and perceive public data and free tools to improve the overall incident responses at national CSIRTs and other incident response organisations.

Autores: Sharifah Roziah Binti Mohd Kassim, Shujun Li, Budi Arief

Última atualização: 2023-06-09 00:00:00

Idioma: English

Fonte URL: https://arxiv.org/abs/2306.07988

Fonte PDF: https://arxiv.org/pdf/2306.07988

Licença: https://creativecommons.org/licenses/by/4.0/

Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.

Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.

Ligações de referência
Tópicos referenciados

Mais de autores

Artigos semelhantes