RFC 2350 – CyberSafe

—–BEGIN PGP SIGNED MESSAGE—–

Hash: SHA256

Informação acerca deste documento

Este documento descreve o serviço de resposta a incidentes de cibersegurança da CyberSafe, Lda. de acordo com o RFC 2350. A CyberSafe é um prestador de serviços geridos na área de cibersegurança, incluindo a monitorização e correlação de eventos e resposta a incidentes de segurança.

1.1 Data da última atualização

Versão 1.0 publicada em 2017/09/27.

1.2 Listas de distribuição para notificações

Não existe um canal de distribuição para notificar alterações a este documento.

1.3 Acesso a este documento

A versão atualizada deste documento está disponível em https://www.cybersafe.pt/rfc-2350-pt/

A versão em língua inglesa está disponível em

https://www.cybersafe.pt/rfc-2350-en/

1.4 Autenticidade deste documento

Este documento está assinado com a chave PGP da CyberSafe, disponível em https://www.cybersafe.pt/rfc-2350-pt/.

Informação de contacto

2.1 Nome da equipa

CyberSafe CSIRT

2.2 Endereço postal

CyberSafe SOC

Alfrapark – Estrada de Alfragide, 67 – Ed. F, piso 1

2610-008 Alfragide

Portugal

2.3 Zona horária

Portugal/WEST (GMT+0, GMT+1 em horário de verão)

2.4 Telefone

+351 210 111 616

Contacto de emergência: +351 927 729 386

2.5 Outras telecomunicações

Não existentes.

2.7 Endereços de correio eletrónico

Correio eletrónico para notificação de incidentes de cibersegurança: soc@cybersafe.pt

Correio eletrónico para outros assuntos: contato@cybersafe.pt

2.8 Chaves públicas e informação de cifra

User Name: CyberSafe SOC soc@cybersafe.pt

Key Type: RSA 3072 bits

PGP Key ID: C8B1916D

PGP Fingerprint: F0B7 83B7 037F 1FE0 B369 5008 8BB6 D149 C8B1 916D

2.9 Membros da equipa

Coordenação: Nelson Silva

Membros: Dinis Fernandes, Emanuel Palmeira, João Dias, Paula Varela.

2.10 Outra informação

Mais informação sobre o CyberSafe CSIRT pode ser encontrada em https://www.cybersafe.pt/

2.11 Meios de contacto para utilizadores

O CyberSafe CSIRT dispõe dos meios de contacto elencados nas secções 2.4 a 2.6

Guião

3.1 Missão

O CyberSafe SOC tem como missão assegurar um serviço de monitorização e correlação de eventos de segurança, e resposta a incidentes de segurança, nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança na sua comunidade de clientes.

3.2 Comunidade servida

O CyberSafe SOC coordena a resposta a incidentes de cibersegurança envolvendo:

a) todas as infraestruturas do grupo AoK
b) clientes sob a responsabilidade da CyberSafe, nos setores financeiro, energia, público, indústria, ensino, e outros.

3.3 Filiação

O CyberSafe CSIRT é um serviço integrante do CyberSafe SOC, o qual é uma estrutura da CyberSafe, Lda.

3.4 Autoridade

O CyberSafe CSIRT é um serviço integrante da CyberSafe, Lda., cuja competência se encontra contratualizada com os seus clientes.

Políticas

4.1 Tipos de incidente e nível de suporte

O CyberSafe CSIRT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:

a) Negação de Serviço
b) Exfiltração de Informação
c) Tentativa de Intrusão
d) Código malicioso
e) Violação de politicas
f) Fraude
g) Conteúdo Abusivo
h) Exploração de Vulnerabilidades
i)

O nível de suporte dado pelo CyberSafe SOC varia consoante o tipo, gravidade e âmbito dos incidentes em curso, os recursos disponíveis para o seu tratamento e o tipo de serviço contratado pelos seus clientes. Em condições de funcionamento normais é um objetivo do CyberSafe CSIRT dar uma primeira resposta no espaço de tempo que varia entre uma hora e um dia útil, dependendo da gravidade do incidente e do nível de serviço contatado.

4.2 Cooperação, interação e política de privacidade

A política de privacidade e proteção de dados do CyberSafe CSIRT prevê que informação sensível possa ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.

4.3 Comunicação e autenticação

Dos meios de comunicação disponibilizados pelo CyberSafe CSIRT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP, identificada no ponto 2.8 deste documento.

Serviços

Internamente a nível do grupo AoK, ou sempre que contratado para o efeito, o CyberSafe SOC, presta os seguintes serviços.

5.1 Monitorização de Eventos de Segurança em Tempo-Real

Este serviço compreende a recolha, filtragem e correlação de logs em tempo-real para identificação de incidentes de segurança.

5.2. Cyber Hunting proativo

Este serviço consiste num conjunto de atividades proativas para deteção de Indicadores de Compromisso (IOCs) ou comportamentos suspeitos para deteção de incidentes de segurança que não foram possíveis de detetar através da monitorização de eventos.

5.3 Notificação de Incidentes de Segurança

Após a identificação de um incidente de segurança, este serviço consiste:

a) Numa triagem de incidentes inicial
b) Na sua classificação de acordo com os níveis de categorização definidos
c) Na recolha e registo de informação adicional de contexto
d) Na produção de recomendações para a resposta ao incidente e sua mitigação ou resolução
e) Na alocação ao resolver team apropriado
f) No acompanhamento do incidente até ao seu fecho

5.4 Resposta a Incidentes de Segurança

A resposta a incidentes inclui:

a) Interação com as equipas internas do cliente
b) Apoio nas atividades de contenção e erradicação de incidentes de segurança
c) Articulação com as entidades nacionais e internacionais envolvidas, como CSIRTs, Registrars, fornecedores de serviços Cloud, etc.
d) Documentação do incidente com a recolha de evidências

5.5 Análise forense

Este serviço compreende:

a) análise forense às plataformas envolvidas no incidente;
b) análise de tráfego;
c) análise de malware;
d) produção de recomendações para evitar novos incidentes do mesmo tipo.

5.6 Alertas de Segurança

Produz e dissemina aos seus clientes e parceiros alertas de segurança.

5.7 Capacitação de CSIRTs

Melhorar a capacidade de resposta a incidentes de cibersegurança através da criação de novos CSIRTs e do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CyberSafe SOC desenvolve um conjunto de serviços com vista à capacitação de CSIRTs dos seus clientes, designadamente:

a) Desenho de especificações, fornecimento, instalação e configuração, suporte e manutenção de soluções técnicas de um CSIRT/SOC, como por exemplo, soluções de SIEM, Full Packet Capture e reconstrução de sessões, analytics, automatização da resposta a incidentes tipificados, entre outras.
c) Desenho de processos para a operação de um CSIRT;
d) Exercícios de cibersegurança Blue Team / Red Team;
e) Formação na resposta a incidentes de cibersegurança;
f) Formação na administração de soluções técnicas de um CSIRT.

Formulários de Report de Incidentes

Não estão definidos formulários para o efeito

Salvaguarda de responsabilidade

Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CyberSafe CSIRT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.

—–BEGIN PGP SIGNATURE—–

Version: GnuPG v2

iQGcBAEBCAAGBQJZzMsYAAoJEIu20UnIsZFtob8L/2Y3s+QYeS2e3Zzq22h5EKHy

Mz+rlrsVLjlT+5+XOos29eFt3FcY8jtb+4gY/BwvtzPTn0+D5dIJ6CUsTpLtTQkE

oGbhHGvbvJbEGZmJNO8mf1FrRQceW9atjrBCVSwn5QpFL4gigBROYRmj5HmPTLBf

iH4QZXNORtd4gvz3Lpm/suosO9EVnphQkIUflUW8qYQuPJo/hrfZj7QgO+UADmTP

zsZwx5VCXDQUu2IoZpotAkX5yKCBAfbuK4PO0fumrHQi6e1iZ0JNxbvy5CV5E4+P

KBas0Mj/IWq2lEjk8ZyOhBLntOIyFEG9PTkGrKPNPEgwwT25+UCZRwq+c3Y0E4YY

nlYGpaNQjLOtC0FbYmGrHSqFrbMwcKcjDUB/OU5fJv//Y1WJ1yIEWsbu86anrpBs

xgeghvjd8bJV7C8ekSTOop06resUISgKRDARaGZzdg7nxDxgKiFc323foco8GI6R

ZNoZdAqViUQI9yh5OZJIofm+GMYxwAksFuJtgFrzvg==

=nMVw

—–END PGP SIGNATURE—–