Tratamento de Incidentes de Segurança -...
Transcript of Tratamento de Incidentes de Segurança -...
Tratamento de Incidentes de Segurança
Semana de Computação – UFBA (SEMCOMP 2012)Universidade Federal da Bahia
Italo Valcy <[email protected]>
04 de outubro de 2012
2 / 92
Licença de uso e atribuição
Todo o material aqui disponível pode, posteriormente, ser utilizado sob os termos da:
Creative Commons License: Atribuição - Uso não comercial - Permanência da Licença
http://creativecommons.org/licenses/by-nc-sa/3.0/
3 / 92
Agenda
Fundamentos do Tratamento de Incidentes de Segurança
Impacto do NAT e DHCP na fase de Detecção
TRAIRA
4 / 92
Definição de CSIRT CSIRT: Computer Security Incident Response
Team◦ É uma organização responsável por receber,
analisar e responder a notificações e atividades relacionadas a incidentes de segurança em computadores
Definição do CERT/CC◦ http://www.cert.org/csirts/csirt_faq.html
Qual a diferença entre CERT e CSIRT?
5 / 92
Definição de CSIRT Siglas e CSIRTs que conhecemos:◦ CERT/CC◦ CAIS/RNP◦ GRA/SERPRO◦ CERT.BR◦ AusCERT◦ NARIS◦ CERT.Bahia
6 / 92
Criando um CSIRT Justificando a existência de um CSIRT◦ Aumento no número de incidentes◦ Aumento no número de usuários (e expectativa
dos usuários)◦ Aumento da dependência tecnológica◦ Normatização
Necessidade da criação de CSIRTs◦ Ponto chave na manutenção e continuidade do
negócio
7 / 92
Normatização Conselho de Defesa Nacional (CF, Art. 91) Decreto 3.505 / 2000◦ Institui a Política de Segurança da Informação nos órgãos
e entidades da APF
◦ Comitê Gestor de Segurança da Informação (órgão de Estado) Gabinete de Segurança Institucional da Presidência da
República, Decreto 5.772 / 2006◦ Departamento de Segurança da Informação e comunicações:
Ações que objetivam viabilizar e assegurar a Disponibilidade, a Integridade, a Confidencialidade e
a Autenticidade das Informações.D.I.C.A.
8 / 92
Normatização Legislação de SIC do GSIPR/DSIC◦ IN 01 GSIPR/DSIC (2008): Disciplina a Gestão de Segurança da
Informação e Comunicações na APF
◦ NC 01: Atividades de normatização
◦ NC 02: Metodologia de Gestão de Segurança da Informação e Comunicação
◦ NC 03: Diretrizes para elaboração da PSI
◦ NC 05: Disciplina a criação dos ETIRs
◦ NC 08: Diretrizes para gerenciamento de Incidentes em Redes Computacionais
◦ ... Mais informações:
http://dsic.planalto.gov.br/legislacaodsic http://webconf2.rnp.br/p9p5irbt3cq/
9 / 92
Acordão 1.603 (TCU, 15/ago/2008)
A situação da segurança da informação (2008)
Fonte: Marcio Braz - Sefti/TCU, 1º Forum RNP
10 / 92
Acordão 2.308 (TCU, 2010)
2º levantamento de governança de TI
Fonte: Marcio Braz - Sefti/TCU, 1º Forum RNP
3º Levantamento de governança de TI em curso (2012)
11 / 92
Critérios de auditoria TCU Leis e decretos: Decreto 3.505/2000
(Política de SI para a APF), 4.533/2002 (Salvaguarda de dados), ...
Normas complementares do GSI/PR Normas NBR ISO/IEC 27.001/05, 27.002/05,
31.000 (Gestão de riscos), 15999 (GCN) Cobit 4.1 (e posteriores) Jurisprudência do TCU
12 / 92
Criando um CSIRT
Benefícios da existência de um CSIRT Possuir mecanismos de resposta a incidentes
de segurança◦ Necessário definir o conceito de incidente de
segurança para a instituição (negócio) Manter sua instituição preparada para as
ameaças emergentes Aumento do grau de segurança ao
desenvolver uma cultura de segurança Criação de mecanismos que visam à
preservação da instituição
13 / 92
Eventos e Incidentes de Segurança
Segundo [Scarfone et al. 2008] um evento é qualquer ocorrência observável em um sistema ou na rede◦ Ex: usuário que inicia de uma sessão SMTP, servidor
web que recebe requisição HTTP, etc. Já um evento adverso é aquele que tem
consequência negativa para a instituição◦ Ex: flooding de pacotes na rede, uso não autorizado de
sistemas, etc. Consideraremos apenas eventos adversos
relacionados à segurança do software dos computadores
14 / 92
Eventos e Incidentes de Segurança
Segundo [CERT.br 2006] um incidente de segurança é um evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores
Alguns exemplos:◦ Negação de Serviço◦ Código Malicioso◦ Acesso não autorizado◦ Uso inapropriado (violação de direitos autorais)
15 / 92
Eventos e Incidentes de Segurança
Genericamente, [Scarfone et al. 2008] define um incidente de segurança como violação, ou suspeita de violação, de: ◦ política de segurança da informação◦ política de uso aceitável◦ padrão de práticas de segurança de uma
instituição Mais informações sobre esses documentos:◦ [CERT.br 2006]
16 / 92
Modelos de CSIRTs CSIRT centralizado CSIRT descentralizado CSIRT de crise CSIRT de coordenação CSIRT misto
17 / 92
Passos para criação do CSIRT Definição da área de atuação Definição do nome do CSIRT Definição de incidente Definição de tipo e modelo de CSIRT
18 / 92
Missão do CSIRT A missão do CSIRT deve refletir seu campo
de atuação, escopo e representação◦ Constituency
A missão deve estar alinhada com os objetivos e diretrizes da organização
Vamos conhecer a missão de alguns CSIRTs
19 / 92
Missão do CSIRT Missão do CAIS/RNP“O CAIS – Centro de Atendimento a Incidentes de
Segurança atua na detecção, resolução e prevenção de incidentes de segurança na rede acadêmica
brasileira, além de elaborar, promover e disseminar práticas de segurança em redes”
http://www.rnp.br/cais/sobre.html
20 / 92
Missão do CSIRT Missão do CERT/CC“The CERT Program is chartered to work with the
internet community in detecting and resolving computer security incidents, as well as taking steps
to prevent future incidents”
http://www.cert.org/meet_cert/meetcertcc.html
21 / 92
Missão do CSIRT Missão do CERT.br“O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. É
responsável por tratar incidentes de segurança em computadores que envolvam redes conectadas à
Internet brasileira”
http://www.cert.br/sobre/
22 / 92
Missão do CSIRT Missão do AusCERT
“AusCERT is the premier Computer Emergency Response Team (CERT) in Australia and a leading CERT in the Asia/Pacific region. AusCERT operates within a worldwide network of information security experts to provide computer incident prevention, response and mitigation strategies for members and assistance to
affected parties in Australia.”
http://www.auscert.org.au/
23 / 92
Serviços do CSIRT Existe uma gama de serviços que podem
ser oferecidos por um CSIRT O CERT/CC divide os serviços em:◦ Reativos◦ Pró-ativos◦ Gerenciais
24 / 92
Serviços do CSIRTReativos
Tratamento de incidentes
Elaboração de alertas e anúncios
Análise de vulnerabilidades
Análise de artefatos Auditoria de
segurança (forense)
Pró-ativos
Disseminação de informação
Avisos Monitoramento Detecção de intrusão Auditoria de
segurança Configuração segura Testes de penetração Desenvolvimento de
ferramentas de segurança
Gerenciais
Consultoria na área Análise de ricos Continuidade do
negócio e plano de recuperação de desastres
Educação e treiamento
25 / 92
Leitura recomendada Handbook for Computer Security Incident
Response Teamshttp://www.cert.org/archive/pdf/csirt-handbook.pdf
Creating and Managing an Incident Response Team for a Large Companyhttp://www.sans.org/reading_room/whitepapers/incident/creating-managing-incident-response-team-large-company_1821
RFC 2350: Expectations for Computer Security Incident Responsehttp://www.ietf.org/rfc/rfc2350.txt
26 / 92
Exercício Em grupos de 5 pessoas, simule a criação
de um CSIRT, que contenha:◦ Nome◦ Missão (constituency)◦ Alguns serviços
27 / 92
CERT.Bahia :: Grupo de Resposta a Incidentes de Segurança – Bahia/Brasil
28 / 92
Sobre o CERT.Bahia
CSIRT (Grupo de Resposta a Incidentes de Segurança)
Missão:Auxiliar as instituições conectadas ao POP-BA/RNP na prevenção, detecção e tratamento dos incidentes de segurança, além de criar e disseminar boas práticas para uso e administração seguros das Tecnologias de Informação e Comunicação (TIC).
29 / 92
Quem somos?
Coordenação◦ Luiz Claudio Mendonça (CPD/UFBA)
Equipe técnica◦ Italo Valcy (PoP-BA/RNP)◦ Thiago Bomfim (PoP-BA/RNP)◦ Jundaí Abdon (PoP-BA/RNP)
30 / 92
Serviços do CERT.Bahia
Palestras / Treinamentos / Documentação◦ EnSI (Encontro de Segurança em Informática)◦ Campanhas de Segurança◦ Campanha DNSSEC◦ Campanha de segurança nas Instituições◦ Piloto para armadilha de SPAM◦ ...
Sensores para monitoramento e alerta de incidentes de segurança
Coordenação regional e apoio técnico aos clientes do PoP-BA/RNP no Tratamento a Incidentes de Segurança
31 / 92
Estatísticas de Incidentes do CAIS (Junho, 2012)
32 / 92
Estatísticas de Incidentes do CAIS (Junho, 2012)
33 / 92
Estatísticas de Incidentes do CAIS (Junho, 2012)
34 / 92
Estatísticas do CERT.Bahia
35 / 92
Estatísticas do CERT.Bahia
2011
302113
241
2122
Código malicioso
Tentativa de intrusão
Ataques de negação de serviço
Envio de SPAM Intrusão Violação de copyright
Agosto, 201212
58
69
128
517
Tentativa de intrusão
Código malicioso
Ataques de negação de serviço
Scans
Envio de SPAM
Intrusão Violação de copyright
36 / 92
Estatísticas do CERT.Bahia
De Jan/2010 à Jun/2011 Total de incidentes: 1979◦ Fechado por falta de resposta do cliente: 913◦ Incidente resolvido: 1062
37 / 92
Fundamentos de Tratamento a Incidentes de Segurança
38 / 92
Motivação
Aumento do número de incidentes de segurança na Internet◦ Atividades preventivas são importantes, porém
nem todos os incidentes podem ser evitados [Scarfone et al. 2008]
Necessidade de estabelecimento de um Processo de Tratamento de Incidentes
39 / 92
Notificações de Incidentes de Segurança
Principais causas de incidentes:◦ Ataques automatizados feitos por programas maliciosos
(e.g. bot ou worm)◦ Pessoas mal intencionadas, usando ou não ferramentas
automatizadas Em ambos os casos é importante alertar o
responsável pelo sistema, organização ou rede em questão:◦ Notificações de Incidentes de Segurança
Grande parte das notificações são enviadas pelos CSIRTs (Grupos de Resposta a Incidentes de Segurança)
40 / 92
Notificações de Incidentes de Segurança
Dados essenciais a serem incluídos em uma notificação:◦ logs completos que evidenciem o incidente◦ data, horário e timezone (fuso horário) dos logs◦ endereço de origem do ataque, incluindo IP e
porta da conexão◦ e-mail de origem◦ envio de informações em formato texto
41 / 92
Notificações de Incidentes de Segurança
Encontrando o contato do responsável◦ Contato “abuse” no WHOIS do Register (ARIN,
APNIC, LACNIC, RIPE, AFRINIC)◦ Cyberabuse WHOIS
http://www.fr2.cyberabuse.org/whois/?page=whois_server ◦ Team Cymru WHOIS
http://asn.cymru.com/cgi-bin/whois.cgi
42 / 92
Recebimento de incidentes
Recebimento: um CSIRT deve possuir meios de receber notificações de incidentes, por intermédio de e-mail, formulários web, telefone, fax, carta, etc.
Não se esqueça do /security no site web e dos endereços de e-mail (abuse, cert, csirt, security, fraud, phishing e spoof) – RFC 2142
43 / 92
Exercício Utilizando alguma dos serviços de WHOIS
anteriores, verifique se os seguintes contatos estão corretos:◦ 218.234.18.106 [email protected] ◦ 71.240.222.159 [email protected] ◦ 200.204.153.97 [email protected] ◦ 192.111.229.50 [email protected] ◦ 200.128.0.21 [email protected]
44 / 92
Tratamento de Incidentes de Segurança
O tratamento de incidentes de segurança envolve três funções [CERT/CC 2010]:◦ Notificação do incidente◦ Análise do incidente◦ Resposta ao incidente
O tratamento sistemático e efetivo de incidentes exige a definição de um processo de resposta a incidentes de segurança. Exemplos:◦ Ciclo de vida da resposta a incidentes [Scarfone et. al. 2008]◦ Processo de tratamento de incidentes de segurança da
UFRGS [Ceron et. al. 2009]
45 / 92
Tratamento de Incidentes de Segurança
Ciclo de vida da resposta a incidentes [Scarfone et. al. 2008]:
46 / 92
Tratamento de Incidentes de Segurança
Preparação Fase inicial que envolve o estabelecimento
de um CSIRT, aquisição de ferramentas, etc. Medidas essenciais:◦ Atualização dos SO's e aplicações (anti-vírus,
patches, etc.);◦ Garantir o registro das atividades dos usuários
(logs dos sistemas);◦ Armazenamento seguro dos logs dos sistemas;
47 / 92
Tratamento de Incidentes de Segurança
Detecção e Análise Nesta etapa deve-se detectar ou identificar
de fato a existência de um incidente. Principais atividades:◦ Recebimento e validação da notificação, e
extração dos principais dados sobre o Incidente◦ Verificação nas bases de IDS/IPS, anti-vírus ou logs
do sistema◦ Consulta na base de conhecimento sobre os
incidentes reportados no passado
48 / 92
Tratamento de Incidentes de Segurança
Contenção, Mitigação e Recuperação Assim que o incidente é detectado e
analisado, deve-se iniciar mecanismos de contenção para evitar que ele se propague ou afete outros recursos da rede
Inicia-se então o trabalho para mitigação e recuperação dos sistemas afetados.◦ Importante: política de backup
49 / 92
Tratamento de Incidentes de Segurança
Ações Pós-Incidente Esta etapa consiste em avaliar o processo
de tratamento de incidentes e verificar a eficácia das soluções adotadas.
Discutir as lições aprendidas com o CSIRT Resposta à notificação enviada
50 / 92
Principais Dificuldades
Cada uma daquelas fases requer ações específicas de mitigação ou controle.
Para incidentes que são gerados por uma instituição, alguns fatores podem dificultar seu tratamento, exemplo:◦ Tradução de Endereços de Rede (NAT)◦ Configuração dinâmica de rede nos hosts (DHCP)◦ Análise dos registros do sistema (logs)◦ Quantidade de notificações versus atribuições do
CSIRT◦ ...
51 / 92
Principais Dificuldades
Antes de continuar... Estamos supondo o seguinte cenário de rede
(bastante comum nas instituições):
Neste trabalho estaremos interessados nos incidentes que são gerados pela instituição
DHCP
52 / 92
Principais Dificuldades – NAT
Network Address Translation (NAT) Permiti que, com um único IP roteável, ou
um pequeno conjunto deles, vários hosts possam trafegar na Internet
Tipos:◦ NAPT (Network Address and Port Translation)◦ SNAT (Source NAT)◦ DNAT (Destination NAT)
53 / 92
Principais Dificuldades – NAT
Network Address Translation (NAT)
54 / 92
Principais Dificuldades – NAT
Network Address Translation (NAT) Em alguns casos, a porta de origem original precisa
ser alterada:
55 / 92
Principais Dificuldades – NAT
Network Address Translation (NAT) Desvantagem: dificuldade em determinar,
com precisão, o endereço IP interno mapeado no endereço externo◦ Suporte à logging nos dispositivos de NAT◦ Busca nos logs
56 / 92
Principais Dificuldades – DHCP
Dynamic Host Configuration Protocol (DHCP) Configuração automática de parâmetros de
rede nos clientes. Principais utilizações:◦ Provedores de acesso (endereços temporários)◦ Configuração automática de máquinas na rede
interna Um host pode ter dois ou mais endereços IP
por dia, semana ou mês (lease time)
57 / 92
Principais Dificuldades – DHCP
Dynamic Host Configuration Protocol (DHCP) Desvantagem: Mapeamento IP-host não
garantido◦ Opção: utilizar os endereços MAC (Media Access
Control) como identificador “único” dos hosts.
58 / 92
Principais Dificuldades – LOGs
Registros do Sistema (Logs) Um log é um registro dos eventos que
ocorrem nos sistemas ou na rede de uma organização
Os logs são um recurso essencial para os processos de auditória dos sistemas. Não obstante, dado seu volume e variedade, necessita-se de políticas de gerenciamento dos logs:◦ Um processo que envolve a geração, transmissão,
armazenamento, análise e descarte dos logs
59 / 92
Principais Dificuldades – LOGs
Registros do Sistema (Logs) Para eficácia no tratamento de incidentes,
deve-se certificar-se sobre a configuração de logging dos sistemas ainda na fase de preparação.
Já na fase de detecção, deve-se, por exemplo: buscar nos logs do dispositivo de NAT por uma ocorrência do IP, porta de origem, data e hora, que estejam em conformidade com aqueles enviados na notificação.
60 / 92
Exercício: Tratamento de Incidentes – Incidente 1Date: Between 2:00 and 4:30 AM, 20 Apr 2010 (UTC)From: Seguranca <[email protected]> To: [email protected], [email protected] Subject: Troca de pagina em www.prefeituraestadual.exemplo.sp.gov.br Prezados,
O endereço www.prefeituraestadual.exemplo.sp.gov.br teve o conteúdo de sua página trocado em decorrência de ataque e o conteúdo ainda está online. Pedimos que a página em questão seja urgentemente tirada do ar e recuperada.
Atenciosamente,Grupo de Segurança
Conteúdo da página online: www.prefeituraestadual.exemplo.sp.gov.br Tehno TeaM! Admin jah era, tá dominado! 0rn1t0RR1nc0!
61 / 92
Exercício: Tratamento de Incidentes – Incidente 2Date: Between 2:00 and 4:30 AM, 20 Apr 2010 (UTC)From: [email protected]: Security Team <[email protected]> Subject: 1 sistema infectado com Bot – 200.199.58.50Prezado CSIRT,
O IP abaixo foi detectado como possivelmente contaminado por virus/worm. Solicitamos que a maquina em questao seja analisada e contida a atividade maliciosa
11111 | 299.219.58.50 | 2004-04-19 18:58 -0400 | Bonaqua Network11111 | 299.219.58.50 | 2004-04-19 19:01 -0400 | Bonaqua Network11111 | 299.219.58.50 | 2004-04-19 19:02 -0400 | Bonaqua Network
Solicitamos que nos informem sobre o incidente relatado acima.
Atenciosamente,Grupo de Segurança
62 / 92
TRAIRA: Tratamento de Incidentes de Rede Automatizado
63 / 92
TRAIRA
Software desenvolvido em Perl, como extensão do RT (Request Tracker), para tratamento automatizado dos incidentes de segurança
Atua em todas as fases do processo de tratamento de incidentes:
Automatiza o procedimento de detecção, identificação e isolamento da máquina geradora do incidente.
64 / 92
TRAIRA – Fluxo de execução
65 / 92
TRAIRA – Fluxo de execução
1.Submissão de notificações de incidentes ao TRAIRA
2.TRAIRA roda o parser, para extração de informações importantes (IP, Porta, Data/Hora)
3.Busca nos logs do NAT4.Busca no L2M5.Notificação ao helpdesk/operação6.Resposta à entidade que notificou o incidente
66 / 92
Arquitetura do TRAIRA
67 / 92
TRAIRA::Parser
Parser: é o módulo responsável pelo recebimento da notificação e pela extração das informações essenciais ao tratamento do incidente: endereço IP e porta de origem, data e horário.
O Parser a ser usado em uma notificação é definido pelo From e Subject da notificação
Vamos a um exemplo...
68 / 92
TRAIRA::Parser
69 / 92
TRAIRA::Parser
70 / 92
TRAIRA::Parser
71 / 92
TRAIRA::NATMapping
O NAT dificulta a identificação precisa do host que provocou um incidente de segurança
O módulo NAT Mapping do TRAIRA, faz o mapeamento entre o IP externo e IP interno
Dificuldades desse mapeamento:◦ Diversidade de dispositivos NAT (logs diferentes)◦ Volume de dados a serem processados Na UFBA são mais de 7 milhões de registros de
traduções NAT por dia (média de Nov/2010)◦ Correspondência temporal
72 / 92
TRAIRA::NATMapping
Configuração: Segmento de rede Driver de NATMapping (iptables / asa_cisco,
etc) Arquivo de log
Exemplo:
73 / 92
TRAIRA::NATMapping
74 / 92
TRAIRA::IP2MAC
O endereço IP pode não ser uma identificação precisa do host:◦ Para redes que atribuem IP dinâmico via DHCP,
um mesmo IP pode ser usado por diversas máquinas ao longo do dia◦ Fácil de ser alterado pelo usuário
Opção: utilizar endereço MAC (dinâmico), porém mantendo o histórico
Requisito: consultar a tabela ARP dos roteadores
75 / 92
TRAIRA::IP2MAC (L2M)
L2M :: Layer 2 Manager Software desenvolvido pela UFBA e pelo
CERT.Bahia para gerenciamento de recursos em camada 2 (enlace).
O L2M permite, via interface web, uma série de consultas para um host (por IP ou MAC), por exemplo, horário de entrada e saída
Permite saber quantas máquinas estão acessando a rede nesse momento, nos últimos 15 dias, etc.
76 / 92
TRAIRA::IP2MAC
Assim, o módulo IP2MAC recebe uma lista de IPs internos, data e hora de acesso, consulta o L2M e acrescenta o MAC e VLAN de cada tupla;
Usando os exemplos anteriores, temos:
77 / 92
TRAIRA::Containment
Uma vez que o host é detectado, o TRAIRA pode realizar a contenção daquele host para evitar que o mesmo continue propagando atividade maliciosa enquanto não é tratado por uma equipe de campo.
Idealmente, temos três tipos de contenção:◦ Bloqueio do host no roteador daquela VLAN◦ Bloqueio do host no switch gerenciável mais
próximo◦ Mover o host para VLAN de quarentena
78 / 92
TRAIRA::Containment
Implementação atual:◦ A contenção está implementada na sua forma
mais simples: bloqueio do host no roteador◦ Além disso, a contenção é totalmente dependente
do L2M
Melhor caso: VLAN de quarentena◦ Requisito: suporte à MAC-based VLAN (ou via ACL)◦ Na pesquisa que realizamos com importantes
fabricantes, apenas um possui essa funcionalidade
79 / 92
TRAIRA::PostDetection
A etapa de Pós-detecção no TRAIRA é implementada por duas ações:◦ Acionamento da equipe de campo (helpdesk) para
realizar o tratamento da máquina (anti-vírus, reinstalação, etc.)◦ Resposta à equipe que enviou a notificação
80 / 92
TRAIRA::PostDetection
81 / 92
Estatísticas do TRAIRA
Um recurso fundamental aos CSIRTs são asestatísticas: elas ajudam os CSIRTs a detectar tendências, prever futuros ataques em grande escala, direcionar atividades, dentre outros.
A implementação atual do TRAIRA fornece os seguintes gráficos:◦ Gráfico de incidentes por VLAN◦ Quantidade de incidentes por dia◦ MACs reincidentes
82 / 92
Estatísticas do TRAIRA
83 / 92
Requisitos de implantação
Registro remoto dos eventos de tradução de NAT (SNAT)
Histórico sobre a associação entre endereços IP e MAC dos hosts
Request Tracker (RT) Banco de dados
84 / 92
TRAIRA: instalação e configuração
Registro remoto dos logs de NAT◦ Verifique seu firewall/roteador◦ Estudo de caso: Netfilter/IPTables
Histórico do mapeamento IP -> MAC◦ L2M
RT Instalação e configuração do TRAIRA
85 / 92
Onde obter mais informações?
Toda a documentação do TRAIRA encontra-se disponível para consulta:◦ Http://certbahia.pop-ba.rnp.br/Traira
Além do TRAIRA, a instituição deve ter uma série de ferramentas e políticas que viabilizem o tratamento dos incidentes◦ O TRAIRA é uma ferramenta reativa
86 / 92
Referências
Scarfone, K., Grance, T., and Masone, K. (2008). Computer Security Incident Handling Guide. NIST Special Publication, 800–61;
CERT.br (2006). Cartilha de Segurança para Internet. Parte VII: Incidentes de Segurança e Uso Abusivo da Rede;
CERT/CC (2010). Computer Segurity Incident Response Team FAQ.
Ceron, J. et. al. (2009). O processo de tratamento de incidentes de segurança da UFRGS. In: IV Workshop de TI das IFES, 2009.