—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA256
- Informação acerca deste documento
Este documento descreve o serviço de resposta a incidentes de cibersegurança da CyberSafe, Lda. de acordo com o RFC 2350. A CyberSafe é um prestador de serviços geridos na área de cibersegurança, incluindo a monitorização e correlação de eventos e resposta a incidentes de segurança.
1.1 Data da última atualização
Versão 1.0 publicada em 2017/09/27.
1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.
1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cybersafe.pt/rfc-2350-pt/
A versão em língua inglesa está disponível em
https://www.cybersafe.pt/rfc-2350-en/
1.4 Autenticidade deste documento
Este documento está assinado com a chave PGP da CyberSafe, disponível em https://www.cybersafe.pt/rfc-2350-pt/.
- Informação de contacto
2.1 Nome da equipa
CyberSafe CSIRT
2.2 Endereço postal
CyberSafe SOC
Alfrapark – Estrada de Alfragide, 67 – Ed. F, piso 1
2610-008 Alfragide
Portugal
2.3 Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)
2.4 Telefone
+351 210 111 616
Contacto de emergência: +351 927 729 386
2.5 Outras telecomunicações
Não existentes.
2.7 Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança: soc@cybersafe.pt
Correio eletrónico para outros assuntos: contato@cybersafe.pt
2.8 Chaves públicas e informação de cifra
User Name: CyberSafe SOC soc@cybersafe.pt
Key Type: RSA 3072 bits
PGP Key ID: C8B1916D
PGP Fingerprint: F0B7 83B7 037F 1FE0 B369 5008 8BB6 D149 C8B1 916D
2.9 Membros da equipa
Coordenação: Nelson Silva
Membros: Dinis Fernandes, Emanuel Palmeira, João Dias, Paula Varela.
2.10 Outra informação
Mais informação sobre o CyberSafe CSIRT pode ser encontrada em https://www.cybersafe.pt/
2.11 Meios de contacto para utilizadores
O CyberSafe CSIRT dispõe dos meios de contacto elencados nas secções 2.4 a 2.6
- Guião
3.1 Missão
O CyberSafe SOC tem como missão assegurar um serviço de monitorização e correlação de eventos de segurança, e resposta a incidentes de segurança, nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança na sua comunidade de clientes.
3.2 Comunidade servida
O CyberSafe SOC coordena a resposta a incidentes de cibersegurança envolvendo:
- a) todas as infraestruturas do grupo AoK
- b) clientes sob a responsabilidade da CyberSafe, nos setores financeiro, energia, público, indústria, ensino, e outros.
3.3 Filiação
O CyberSafe CSIRT é um serviço integrante do CyberSafe SOC, o qual é uma estrutura da CyberSafe, Lda.
3.4 Autoridade
O CyberSafe CSIRT é um serviço integrante da CyberSafe, Lda., cuja competência se encontra contratualizada com os seus clientes.
- Políticas
4.1 Tipos de incidente e nível de suporte
O CyberSafe CSIRT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
- a) Negação de Serviço
- b) Exfiltração de Informação
- c) Tentativa de Intrusão
- d) Código malicioso
- e) Violação de politicas
- f) Fraude
- g) Conteúdo Abusivo
- h) Exploração de Vulnerabilidades
- i)
O nível de suporte dado pelo CyberSafe SOC varia consoante o tipo, gravidade e âmbito dos incidentes em curso, os recursos disponíveis para o seu tratamento e o tipo de serviço contratado pelos seus clientes. Em condições de funcionamento normais é um objetivo do CyberSafe CSIRT dar uma primeira resposta no espaço de tempo que varia entre uma hora e um dia útil, dependendo da gravidade do incidente e do nível de serviço contatado.
4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CyberSafe CSIRT prevê que informação sensível possa ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.
4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CyberSafe CSIRT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP, identificada no ponto 2.8 deste documento.
- Serviços
Internamente a nível do grupo AoK, ou sempre que contratado para o efeito, o CyberSafe SOC, presta os seguintes serviços.
5.1 Monitorização de Eventos de Segurança em Tempo-Real
Este serviço compreende a recolha, filtragem e correlação de logs em tempo-real para identificação de incidentes de segurança.
5.2. Cyber Hunting proativo
Este serviço consiste num conjunto de atividades proativas para deteção de Indicadores de Compromisso (IOCs) ou comportamentos suspeitos para deteção de incidentes de segurança que não foram possíveis de detetar através da monitorização de eventos.
5.3 Notificação de Incidentes de Segurança
Após a identificação de um incidente de segurança, este serviço consiste:
- a) Numa triagem de incidentes inicial
- b) Na sua classificação de acordo com os níveis de categorização definidos
- c) Na recolha e registo de informação adicional de contexto
- d) Na produção de recomendações para a resposta ao incidente e sua mitigação ou resolução
- e) Na alocação ao resolver team apropriado
- f) No acompanhamento do incidente até ao seu fecho
5.4 Resposta a Incidentes de Segurança
A resposta a incidentes inclui:
- a) Interação com as equipas internas do cliente
- b) Apoio nas atividades de contenção e erradicação de incidentes de segurança
- c) Articulação com as entidades nacionais e internacionais envolvidas, como CSIRTs, Registrars, fornecedores de serviços Cloud, etc.
- d) Documentação do incidente com a recolha de evidências
5.5 Análise forense
Este serviço compreende:
- a) análise forense às plataformas envolvidas no incidente;
- b) análise de tráfego;
- c) análise de malware;
- d) produção de recomendações para evitar novos incidentes do mesmo tipo.
5.6 Alertas de Segurança
Produz e dissemina aos seus clientes e parceiros alertas de segurança.
5.7 Capacitação de CSIRTs
Melhorar a capacidade de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CyberSafe SOC desenvolve um conjunto de serviços com vista à capacitação de CSIRTs dos seus clientes, designadamente:
- a) Desenho de especificações, fornecimento, instalação e configuração, suporte e manutenção de soluções técnicas de um CSIRT/SOC, como por exemplo, soluções de SIEM, Full Packet Capture e reconstrução de sessões, analytics, automatização da resposta a incidentes tipificados, entre outras.
- c) Desenho de processos para a operação de um CSIRT;
- d) Exercícios de cibersegurança Blue Team / Red Team;
- e) Formação na resposta a incidentes de cibersegurança;
- f) Formação na administração de soluções técnicas de um CSIRT.
- Formulários de Report de Incidentes
Não estão definidos formulários para o efeito
- Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CyberSafe CSIRT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2
iQGcBAEBCAAGBQJZzMsYAAoJEIu20UnIsZFtob8L/2Y3s+QYeS2e3Zzq22h5EKHy
Mz+rlrsVLjlT+5+XOos29eFt3FcY8jtb+4gY/BwvtzPTn0+D5dIJ6CUsTpLtTQkE
oGbhHGvbvJbEGZmJNO8mf1FrRQceW9atjrBCVSwn5QpFL4gigBROYRmj5HmPTLBf
iH4QZXNORtd4gvz3Lpm/suosO9EVnphQkIUflUW8qYQuPJo/hrfZj7QgO+UADmTP
zsZwx5VCXDQUu2IoZpotAkX5yKCBAfbuK4PO0fumrHQi6e1iZ0JNxbvy5CV5E4+P
KBas0Mj/IWq2lEjk8ZyOhBLntOIyFEG9PTkGrKPNPEgwwT25+UCZRwq+c3Y0E4YY
nlYGpaNQjLOtC0FbYmGrHSqFrbMwcKcjDUB/OU5fJv//Y1WJ1yIEWsbu86anrpBs
xgeghvjd8bJV7C8ekSTOop06resUISgKRDARaGZzdg7nxDxgKiFc323foco8GI6R
ZNoZdAqViUQI9yh5OZJIofm+GMYxwAksFuJtgFrzvg==
=nMVw
—–END PGP SIGNATURE—–