{"items":["6008172928c6fa0017328f1f","5fb3b27dcfb1fe0018e10eb7","5e4092a3df6ab7001779be85"],"styles":{"galleryType":"Columns","groupSize":1,"showArrows":true,"cubeImages":true,"cubeType":"max","cubeRatio":1.7777777777777777,"isVertical":true,"gallerySize":30,"collageAmount":0,"collageDensity":0,"groupTypes":"1","oneRow":false,"imageMargin":5,"galleryMargin":0,"scatter":0,"rotatingScatter":"","chooseBestGroup":true,"smartCrop":false,"hasThumbnails":false,"enableScroll":true,"isGrid":true,"isSlider":false,"isColumns":false,"isSlideshow":false,"cropOnlyFill":false,"fixedColumns":0,"enableInfiniteScroll":true,"isRTL":false,"minItemSize":50,"rotatingGroupTypes":"","rotatingCropRatios":"","columnWidths":"","gallerySliderImageRatio":1.7777777777777777,"numberOfImagesPerRow":3,"numberOfImagesPerCol":1,"groupsPerStrip":0,"borderRadius":0,"boxShadow":0,"gridStyle":0,"mobilePanorama":false,"placeGroupsLtr":true,"viewMode":"preview","thumbnailSpacings":4,"galleryThumbnailsAlignment":"bottom","isMasonry":false,"isAutoSlideshow":false,"slideshowLoop":false,"autoSlideshowInterval":4,"bottomInfoHeight":0,"titlePlacement":["SHOW_ON_THE_RIGHT","SHOW_BELOW"],"galleryTextAlign":"center","scrollSnap":false,"itemClick":"nothing","fullscreen":true,"videoPlay":"hover","scrollAnimation":"NO_EFFECT","slideAnimation":"SCROLL","scrollDirection":0,"scrollDuration":400,"overlayAnimation":"FADE_IN","arrowsPosition":0,"arrowsSize":23,"watermarkOpacity":40,"watermarkSize":40,"useWatermark":true,"watermarkDock":{"top":"auto","left":"auto","right":0,"bottom":0,"transform":"translate3d(0,0,0)"},"loadMoreAmount":"all","defaultShowInfoExpand":1,"allowLinkExpand":true,"expandInfoPosition":0,"allowFullscreenExpand":true,"fullscreenLoop":false,"galleryAlignExpand":"left","addToCartBorderWidth":1,"addToCartButtonText":"","slideshowInfoSize":200,"playButtonForAutoSlideShow":false,"allowSlideshowCounter":false,"hoveringBehaviour":"NEVER_SHOW","thumbnailSize":120,"magicLayoutSeed":1,"imageHoverAnimation":"NO_EFFECT","imagePlacementAnimation":"NO_EFFECT","calculateTextBoxWidthMode":"PERCENT","textBoxHeight":26,"textBoxWidth":200,"textBoxWidthPercent":65,"textImageSpace":10,"textBoxBorderRadius":0,"textBoxBorderWidth":0,"loadMoreButtonText":"","loadMoreButtonBorderWidth":1,"loadMoreButtonBorderRadius":0,"imageInfoType":"ATTACHED_BACKGROUND","itemBorderWidth":0,"itemBorderRadius":0,"itemEnableShadow":false,"itemShadowBlur":20,"itemShadowDirection":135,"itemShadowSize":10,"imageLoadingMode":"BLUR","expandAnimation":"NO_EFFECT","imageQuality":90,"usmToggle":false,"usm_a":0,"usm_r":0,"usm_t":0,"videoSound":false,"videoSpeed":"1","videoLoop":true,"jsonStyleParams":"","gallerySizeType":"px","gallerySizePx":1000,"allowTitle":true,"allowContextMenu":true,"textsHorizontalPadding":-30,"itemBorderColor":{"themeName":"color_12","value":"rgba(184,181,174,0)"},"showVideoPlayButton":true,"galleryLayout":2,"calculateTextBoxHeightMode":"MANUAL","targetItemSize":1000,"selectedLayout":"2|bottom|1|max|true|0|true","layoutsVersion":2,"selectedLayoutV2":2,"isSlideshowFont":true,"externalInfoHeight":26,"externalInfoWidth":0.65},"container":{"width":300,"galleryWidth":305,"galleryHeight":0,"scrollBase":0,"height":null}}
Evento ou Incidente? Qual é a Diferença?
Alguns dirão: "ah, é a mesma coisa". No entanto, tratando-se de Segurança da Informação é importantíssimo entender a distinção entre os termos (no mínimo para parecer mais inteligente na frente do chefe).
No universo de SegInfo a diferença entre esses dois termos é a possibilidade de uma noite bem dormida vs a certeza de uma noite de trabalho.
"Como assim, Cavinato?"... vamos lá!
Imagine um Ovo de galinha. Bem. sabemos que um ovo de galinha pode dar origem a 2 coisas: uma deliciosa clara e gema que vai virar omelete, bolo ou proteína pós-academia OU um adorável pintinho, mostrando que a vida é linda. O fato é que, apenas olhando para o ovo, tu não vai saber o que é ou vai ser.
Um Evento de Segurança é um Ovo. É algo que tu ainda não sabe o que é. Pode ser algo extremamente nocivo ou pode ser absolutamente nada. Olhando para aquela bandeira vermelha indicando "temos um Evento" tu não vai ter ideia do que ocorreu e para entender melhor, tu vai ter que investigar.
Colocando de forma simples: um Evento é um indicativo de que alguma coisa aconteceu, alterando a ordem das coisas (sistemas, dispositivos...), deixando-as diferentes do que elas eram antes do acontecimento. Mas é fundamental entender que Evento de Segurança não necessariamente implica em alguma coisa ruim ter acontecido.
O Evento deve ser investigado para maior compreensão dos motivos que levaram à sua ocorrência. Um clássico exemplo em redes de computadores é quando a empresa contrata uma equipe de PenTest (Teste de Penetração) e a mesma, em uma abordagem "Black Box" (Caixa Preta, quando não se tem informações da rede e se atua como se fosse um "Hacker" externo) faz algum tipo de Escaneamento na rede utilizando ferramentas como NMAP. Essa atividade gera (ou deveria gerar) diversos 1 ou mais Eventos no IPS da rede.
Na sequência alguém do time de Segurança (que não sabe que o PenTest está ocorrendo) vai analisar esse evento e entender o que ocorreu. Vai descobrir, por exemplo, que tentou-se um Scan do tipo SYN, onde envia-se SYN em diversas portas de destino esperando-se um SYN-ACK como retorno, indicando que é uma porta aberta para comunicação TCP. No entanto, nessa máquina de destino todas as portas estavam fechadas e, portanto, o resultado do Scan foi "Zero Portas Abertas". Qual é o impacto disse na rede? Seguramente o(s) evento(s) gerado(s) pelo IPS não indica(m) nada demais. É um ovo que dentro não tem um pintinho.
Mas e se tivesse? E se na verdade o Scan tivesse ocorrido de fora? E se o IPS tivesse gerado diversos eventos, indicando que não só um Scan foi feito mas um Exploit (exploitação) ocorreu e dados foram roubados?
É nesse momento que temos um Incidente de Segurança. Um Incidente é qualquer evento que tenha impacto aos 3 pilares de SegInfo: Confidencialidade, Integridade, Disponibilidade. Segundo ITILv3, é uma interrupção não planejada de um serviço de TI ou que reduz a qualidade de um serviço de TI. Já a RFC 2350 define um Incidente como um evento adverso que compromete a segurança de redes e/ou computadores.
Incidentes são problemáticos. Incidentes são perigosos. Incidentes saem do escopo de TI e podem chegar até o CEO da Empresa. Podem passar pelo departamento jurídico e de relações externas da empresa. Incidentes fazem pessoas perderem empregos, negócios falirem e hackers ficarem famosos.
Portanto, "this is how it goes":
Um Evento é um Ovo. O Incidente é o caso particular em que dentro do ovo há um pintinho.
Um Evento de Segurança deve ser investigado cuidadosamente para que se defina se o mesmo será ou não classificado como um Incidente. No mundo ideal, 100% dos Eventos são analisados e classificados. Em um mundo mais ideal ainda, todos os Incidentes são tratados. Seguramente em outro Post iremos entender como isso deve ser feito, seguindo uma metodologia que inclua Detecção, Resposta, Mitigação, Reporting, Recuperação e Remediação. Também iremos falar sobre como falta hoje uma cultura de Resposta a Incidentes, também chamada de IR (Incident Response).
Mas isso já é papo para outro dia!
Marcos Cavinato é Engenheiro Consultor de Segurança da Informação em uma das maiores multinacionais do ramo. É certificado CISSP #604399, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.
#segurança #evento #incidente #segurançadainformação #seginfo #seginfobrasil