CSIRT ou Equipe de Resposta a Incidentes de Segurança em Sistemas Computacionais
Uma Equipe de Resposta a Incidentes de Segurança em Sistemas Computacionais (CSIRT, da sigla em inglês) é um grupo de profissionais que recebe os relatórios sobre ocorrências envolvendo segurança, analisa a situação e responde a ameaças. Um CSIRT pode ser um grupo já estabelecido ou um grupo ad hoc.
Existem vários tipos de CSIRTs. Uma equipe CSIRT interna faz parte de uma organização maior, como um governo, uma empresa, uma universidade ou uma rede de pesquisa. Os CSIRTs (um tipo de CSIRT interno), por exemplo, tratam de todos os incidentes de um país. Normalmente, os CSIRTs avaliam as situações periodicamente, por meio de tarefas proativas como DR e, se necessário, frente às violações de segurança existentes. Um CSIRT oferece serviços pagos sob demanda ou de forma tradicional.
O CERT (Equipe de Disponibilidade Computacional Emergencial, ou Computer Emergency Availability Team) inclui as seguintes funções entre os membros do CSIRT:
- Gerenciar ou liderar a equipe;
- Auxiliar os gerentes, supervisores e líderes de grupo;
- Linha direta, helpdeskou equipe de triagem;
- Gerenciar incidentes;
- Tratar vulnerabilidades;
- Equipe de análise de artefatos;
- Especialistas em plataformas;
- Treinamento;
- Controle de tecnologia.
Esses serviços variam de um CSIRT para outro.
Um incidente de tecnologia pode ser um evento real ou uma suspeita que pode provocar uma vulnerabilidade ou uma ocorrência. Os incidentes típicos incluem vírus e worms que afetam uma rede, ataques DoS (ataque de negação de serviço), alterações não autorizadas de software ou hardware e a identificação de ladrões em redes individuais ou institucionais.O hacking, em geral, deve ser considerado um incidente, a menos que os invasores tenham sido contratados para testar um sistema ou pesquisar vulnerabilidades. Neste caso, os hackers fazem parte de um trabalho preventivo do CSIRT. Os CSIRTs oferecem serviços proativos como treinamento de segurança, mais do que responder a incidentes.
O tempo de resposta é vital ao criar, manter e implantar um CSIRT eficaz. Uma resposta rápida e eficiente pode minimizar os danos financeiros, de hardware e software causados por um determinado incidente. Outra questão importante é a capacidade do CSIRT de identificar os autores do incidente, para que possam ser punidos. E, por fim, “fortalecer o software e a estrutura para reduzir o número de ataques ao longo do tempo”.
Entre os termos equivalentes a CSIRT estão: CIRC (Capacidade de Resposta a Incidentes do Computador); CIRT (Equipe de Resposta a Incidentes de Computador); IRT (Equipe de Resposta a Incidentes); SERT (Equipe de Resposta a Emergências de Segurança) e SIRT (Equipe de Resposta a Incidentes de Segurança). Normalmente, os CSIRTs internos usam o termo com o que mais se identificam. O CSIRT dos Estados Unidos, por exemplo, é US-CERT.