Comunicação de Incidente Informático
O que é um incidente de segurança informática?
Entende-se como incidente de segurança, uma acção ou conjunto de acções desenvolvidas contra um computador ou rede de computadores que resulta, ou pode resultar, na perda da confidencialidade, integridade ou desempenho de uma rede de comunicação de dados ou sistema. Para perceber melhor o que são incidentes de segurança, consulte a nossa classificação de incidentes.
Modo de Proceder
Para reportar um novo incidente de segurança o utilizador deve abrir:
(escolher nos Tópicos de Ajuda – Comunicar Incidente Informático)
Na descrição o utilizador deve descrever com detalhe o incidente de segurança em causa dando relevância para a seguinte informação que permite responder mais rápido ao processo:
- Estabelecimento de Ensino;
- Pavilhão e Sala, Identificação do computador;
- Informar se o equipamento é do Agrupamento ou pessoal;
- Máquina(s) afectada(s);
- Sistema Operativo;
- Aplicações em uso (se aplicável);
- Tipo de ataque (Consulte aqui os tipos de ataques);
- Áreas comprometidas.
Após o envio do Ticket o sistema irá gerar uma mensagem automática de resposta com o número de ticket atribuído ao incidente do utilizador. Em contactos futuros sobre este incidente o utilizador deve manter o número de ticket no campo de assunto da mensagem.
Todas as mensagens de resposta à submissão do incidente, tais como avanços na análise do processo, serão enviadas para o remetente da mensagem inicial após análise da Equipa TIC.
Classificação de incidentes do CERT.PT
O método de classificação pressupõe que cada incidente seja caracterizado por um único tipo de incidente. Caso um incidente resulte em mais do que uma violação de segurança, deve ser utilizada como classificação a mais grave. De seguida apresenta-se uma lista de violações de segurança, ordenada de forma decrescente por grau de severidade:
| Quebra de segurança | Descrição |
Falsidade informática | Alegada intenção de provocar engano nas relações jurídicas, introduzir, modificar, apagar ou suprimir dados informáticos ou por qualquer outra forma interferir num tratamento informático de dados, produzindo dados ou documentos não genuínos, com a intenção de que estes sejam considerados ou utilizados para finalidades juridicamente relevantes como se o fossem. Inclui a mistificação de sites Web para roubo de credenciais e a distribuição de mensagens de correio electrónico de phishing |
| Interferência em sistema informático | Alegada acção intencional e não autorizada ou a tentativa de impedir ou interromper gravemente o funcionamento do sistema informático, introduzindo, transmitindo, danificando, apagando, deteriorando, alterando, suprimindo ou tornando inacessível qualquer componente de software ou hardware. Inclui os ataques de negação de serviço. |
Acesso ilegítimo a sistema informático | Alegado acesso ou tentativa de acesso intencional e não autorizado à totalidade ou a parte do sistema informático. Inclui roubo de informação, nomeadamente segredo comercial, industrial ou dados confidenciais protegidos por lei. |
| Interferência em dados | O acto intencional e não autorizado ou a tentativa de apagar, danificar, deteriorar, alterar, suprimir ou tornar inacessíveis dados do sistema informático. Inclui malware e distribuição do mesmo por correio electrónico. |
| Recolha não autorizada de informação sobre sistema informático | O acto intencional e não autorizado de reunir informação sobre redes e sistemas informáticos. |
Violação de direitos de autor | Alegada violação de direitos autorais, independentemente dos conteúdos serem constituídos por informação, código fonte, projectos gráficos ou quaisquer outros elementos do sistema informático protegidos por direitos de autor. |
| Mensagem de correio electrónico não solicitada | Alegada recepção/envio de mensagens de correio electrónico não solicitadas, quer sejam produzidas para efeitos de marketing directo ou sem motivação aparente. Não inclui distribuição de malware ou ataques de phishing. |
|
Vírus / Malware | Alegadamente o computador poderá estar infectado por algum tipo de vírus ou malware. |
|
Outra violação de segurança |
Outra alegada violação (da política) de segurança informática. |
Quanto ao método de ataque, a classificação do incidente pode e deve ser feita listando a combinação de métodos de ataque conhecidos. De seguida apresenta-se um conjunto de categorias de métodos de ataque:
| Método de ataque | Descrição |
Ataque físico | Acesso físico a sistema de informação ou outro equipamento |
Vulnerabilidade do sistema operativo | Exploração de vulnerabilidade em sistema operativo |
| Vulnerabilidade de aplicação | Exploração de vulnerabilidade em aplicação (eg. Apache, Acrobat reader, etc.) |
| Vulnerabilidade de serviço Web | Exploração de vulnerabilidade em serviço web em linha (eg. SQL injection, CSS, etc.) |
| Brute-forcepassword attack | Tentativas de acesso ilegítimo – automatizadas, sistemáticas e em número elevado – em que o atacante recorre a dicionários, algoritmos de decifração ou outras ferramentas informáticas para descobrir a password. |
Tentativa de login | O atacante tenta descobrir ou contornar a password sem procurar exaustivamente. Habitualmente são experimentadas passwords fracas como “administrador”, “administrator”, “admin” ou “root”. |
e-mail flood | Envio massivo (directo ou indirecto) de mensagens de correio electrónico par um ou mais alvos. |
|
Packet flood | Envio massivo de pacotes IP ou ICMP para um ou mais alvos. |
Distribuição de malware por e-mail | Envio de mensagens de e-mail contendo código malicioso. |
| Distribuição de malware via web | Alojamento de código malicioso em site web. |
| e-mail scam | Envio de mensagem de e-mail configurando uma burla (eg. nigerian scam). |
| Outro tipo de engenharia social | Recolha e utilização de informações sobre a vítima para melhorar o nível de sucesso de um ataque (eg. envio de e-mail mistificado por forma a levar a vítima a acreditar na sua autenticidade). |
| Man-in-the middle | O atacante faz-se passar por interlocutor de uma comunicação ou transação ganhando acesso à informação trocada entre os reais intervenientes. |
| Outro método de ataque | Qualquer outro método de ataque não listado. |
Como é que a informação que eu envio vai ser usada?
A informação recebida é usada no tratamento do incidente no estrito respeito pelas leis vigentes de privacidade e protecção de dados pessoais. Informação de dados pessoais não é libertada a terceiros e, em caso de real necessidade, é solicitada à pessoa/entidade relatora uma autorização expressa para o efeito. Para mais informação, consulte a nossa política de privacidade e protecção de dados.