Evento ou Incidente? Qual é a Diferença?
Alguns dirão: "ah, é a mesma coisa". No entanto, tratando-se de Segurança da Informação é importantíssimo entender a distinção entre os termos (no mínimo para parecer mais inteligente na frente do chefe).
No universo de SegInfo a diferença entre esses dois termos é a possibilidade de uma noite bem dormida vs a certeza de uma noite de trabalho.
"Como assim, Cavinato?"... vamos lá!
Imagine um Ovo de galinha. Bem. sabemos que um ovo de galinha pode dar origem a 2 coisas: uma deliciosa clara e gema que vai virar omelete, bolo ou proteína pós-academia OU um adorável pintinho, mostrando que a vida é linda. O fato é que, apenas olhando para o ovo, tu não vai saber o que é ou vai ser.
Um Evento de Segurança é um Ovo. É algo que tu ainda não sabe o que é. Pode ser algo extremamente nocivo ou pode ser absolutamente nada. Olhando para aquela bandeira vermelha indicando "temos um Evento" tu não vai ter ideia do que ocorreu e para entender melhor, tu vai ter que investigar.
Colocando de forma simples: um Evento é um indicativo de que alguma coisa aconteceu, alterando a ordem das coisas (sistemas, dispositivos...), deixando-as diferentes do que elas eram antes do acontecimento. Mas é fundamental entender que Evento de Segurança não necessariamente implica em alguma coisa ruim ter acontecido.
O Evento deve ser investigado para maior compreensão dos motivos que levaram à sua ocorrência. Um clássico exemplo em redes de computadores é quando a empresa contrata uma equipe de PenTest (Teste de Penetração) e a mesma, em uma abordagem "Black Box" (Caixa Preta, quando não se tem informações da rede e se atua como se fosse um "Hacker" externo) faz algum tipo de Escaneamento na rede utilizando ferramentas como NMAP. Essa atividade gera (ou deveria gerar) diversos 1 ou mais Eventos no IPS da rede.
Na sequência alguém do time de Segurança (que não sabe que o PenTest está ocorrendo) vai analisar esse evento e entender o que ocorreu. Vai descobrir, por exemplo, que tentou-se um Scan do tipo SYN, onde envia-se SYN em diversas portas de destino esperando-se um SYN-ACK como retorno, indicando que é uma porta aberta para comunicação TCP. No entanto, nessa máquina de destino todas as portas estavam fechadas e, portanto, o resultado do Scan foi "Zero Portas Abertas". Qual é o impacto disse na rede? Seguramente o(s) evento(s) gerado(s) pelo IPS não indica(m) nada demais. É um ovo que dentro não tem um pintinho.
Mas e se tivesse? E se na verdade o Scan tivesse ocorrido de fora? E se o IPS tivesse gerado diversos eventos, indicando que não só um Scan foi feito mas um Exploit (exploitação) ocorreu e dados foram roubados?
É nesse momento que temos um Incidente de Segurança. Um Incidente é qualquer evento que tenha impacto aos 3 pilares de SegInfo: Confidencialidade, Integridade, Disponibilidade. Segundo ITILv3, é uma interrupção não planejada de um serviço de TI ou que reduz a qualidade de um serviço de TI. Já a RFC 2350 define um Incidente como um evento adverso que compromete a segurança de redes e/ou computadores.
Incidentes são problemáticos. Incidentes são perigosos. Incidentes saem do escopo de TI e podem chegar até o CEO da Empresa. Podem passar pelo departamento jurídico e de relações externas da empresa. Incidentes fazem pessoas perderem empregos, negócios falirem e hackers ficarem famosos.
Portanto, "this is how it goes":
Um Evento é um Ovo. O Incidente é o caso particular em que dentro do ovo há um pintinho.
Um Evento de Segurança deve ser investigado cuidadosamente para que se defina se o mesmo será ou não classificado como um Incidente. No mundo ideal, 100% dos Eventos são analisados e classificados. Em um mundo mais ideal ainda, todos os Incidentes são tratados. Seguramente em outro Post iremos entender como isso deve ser feito, seguindo uma metodologia que inclua Detecção, Resposta, Mitigação, Reporting, Recuperação e Remediação. Também iremos falar sobre como falta hoje uma cultura de Resposta a Incidentes, também chamada de IR (Incident Response).
Mas isso já é papo para outro dia!
Marcos Cavinato é Engenheiro Consultor de Segurança da Informação em uma das maiores multinacionais do ramo. É certificado CISSP #604399, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.