Atualizado/Updated: 2022-03-14
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Âmbito do SOC do ISCTE e Resposta ao RFC2350
SERVIÇOS DE INFORMÁTICA E INFRAESTRUTURAS DE COMUNICAÇÕES
PÚBLICO
2 de novembro de 2021
Âmbito do SOC do Iscte e Resposta ao RFC2350
1. Introdução
Este documento define, com detalhe e de acordo com a definição do RFC2350 - “Expectations for Computer Security Incident Response”, a constituency relativa ao SOC (Security Operations Center) do “ISCTE - INSTITUTO UNIVERSITÁRIO DE LISBOA” (doravante mencionado como Iscte), e à CSIRT (Computer Security Incident Response Team) que faz parte integrante do mesmo, bem como outras informações relevantes.
2. Âmbito
2.1 Publicação de Políticas e Procedimentos
A definição e a especificação de políticas e procedimentos que dizem respeito ao serviço de SOC do Iscte e da sua CSIRT, encontram-se detalhadas no documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.
O serviço de SOC não só é responsável pela implementação contínua das políticas e processos de monitorização dos Incidentes de Segurança da Informação (doravante mencionados como Incidente/es) na infraestrutura do Iscte e nos seus componentes, mas também pela implementação e manutenção de mecanismos de deteção em tempo-real e dos procedimentos de resposta aos mesmos.
2.2 Relações entre diferentes CSIRT
O serviço de SOC do Iscte, é a entidade interna que deve servir de ponto de contacto para todas as comunicações com CSIRT de outras organizações ou instituições e é também responsável por acompanhar o ciclo de vida de todos os Incidentes reportados pelos mesmos, e que estejam dentro do âmbito do Iscte.
2.3 Estabelecimento de Comunicações Seguras
A segurança da informação é um critério indispensável ao funcionamento do serviço do SOC. Assim, todos os stakeholders do processo de resposta a Incidentes necessitam de canais de comunicação seguros bem estabelecidos. Estes Canais de Comunicação estão definidos e enumerados no capítulo 6 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. As informações públicas da chave PGP associada à mailbox do endereço de e-mail para reporting de Incidentes (Método de Contato Preferencial) podem ser encontradas no ponto “Informação sobre Chaves Públicas e Cifras”.
3. Informações, Políticas e Procedimentos
3.1 Acesso ao Documento
A versão atualizada deste documento deve ser disponibilizada a todos os colaboradores do Iscte que pertençam a um departamento ou secção que:
• esteja envolvida no processo de resposta a Incidentes;
• tenha sido previamente definida; e/ou
• seja uma das partes interessadas no serviço.
3.1.1 Última Atualização
Última atualização realizada a 02/11/2021.
3.1.2 Lista de Distribuição para Notificações
Qualquer alteração a este documento irá ser comunicada através do envio de um e-mail para todas as partes interessadas e envolvidas presentes na lista distribuição definida para o efeito, abaixo:
• SOC do Iscte - soc@iscte-iul.pt
• Diretor SIIC;
• Responsável da URCS;
• Responsável do GDSI;
• Responsável do NAU;
• Data Protection Officer;
• Responsável Legal;
• Responsável de Comunicação; e
• CNCS - cncs@cncs.pt
3.1.3 Localização do Documento
A versão atualizada da resposta ao RFC2350 por parte do SOC do Iscte encontra-se publicada em:
• https://siic.iscte-iul.pt/ciberseguranca/csirt/pt/rfc2350
3.1.4 Autenticidade do Documento
Este documento foi assinado com a chave PGP do SOC do Iscte.
• User ID: SOC ISCTE-IUL
• Fingerprint: 7EE6 FE47 80EA D304 923A 2BDD D261 3476 A184 7050
• Key type: RSA/4096
• Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0xD2613476A1847050
De forma a validar a autenticidade deste documento, está disponível uma versão do mesmo em plaintext, assinada com esta chave PGP. Esta versão pode ser encontrada em https://siic.iscte-iul.pt/ciberseguranca/csirt/pt/rfc2350.txt.
3.2 Informações de Contato
3.2.1 Nome da Equipa
SOC do Iscte
3.2.2 Morada
Av.ª das Forças Armadas, 1649-026 Lisboa, Portugal
3.2.3 Fuso Horário
UTC/GMT Lisbon, London, Dublin - WEST (Western European Summer Time)
3.2.4 Horário de Expediente
O serviço do SOC do Iscte funciona no horário de expediente normal, entre as 9h e as 18h.
3.2.5 Telefone
• +351 210 464 500
3.2.6 Outras Comunicações
Para assuntos que não estejam relacionados com o reporting e resposta a Incidentes:
• soc@iscte-iul.pt
3.2.7 Método de Contato Preferencial
O método de contacto preferencial da equipa do SOC do Iscte é o endereço de e-mail utilizado para reporting de Incidentes:
• csirt@iscte-iul.pt
3.2.8 Portal de Reporting e Gestão de Incidentes (apenas para a comunidade do Iscte)
• https://iajuda.iscte-iul.pt/
3.2.9 Informação sobre Chaves Públicas e Cifras
O serviço de SOC disponibiliza uma chave PGP que deve ser utilizada sempre que exista a necessidade de encriptar qualquer tipo de informação ou ficheiro:
• User ID: CSIRT ISCTE-IUL
• Fingerprint: 1D08 1964 6E48 A2E8 2932 EAF3 49E8 B051 87CF 1A3D
• Key type: RSA/4096
• Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0x49E8B05187CF1A3D
3.2.10 Membros da Equipa
• Coordenador: Dauto Ussene Jeichande
o dauto.jeichande@iscte-iul.pt
• Equipa Operacional:
o soc@iscte-iul.pt
3.2.11 Outras Informações
Para encontrar mais informações sobre o Iscte pode consultar o site: https://iscte-iul.pt/.
3.3 Guião
3.3.1 Missão
O propósito do serviço de SOC do Iscte é o de servir a sua comunidade interna e os seus clientes num contexto de resposta a Incidentes de segurança da informação, bem como de proteger os seus serviços e a informação pessoal respetiva aos mesmos, e ainda o de prevenir possíveis ataques informáticos que possam ter algum impacto associado nas infraestruturas respetivas e/ou no negócio da instituição.
3.3.2 Comunidade
O serviço de SOC serve os colaboradores do Iscte e os seus clientes e é a entidade responsável pela colaboração no processo de resposta a Incidentes com outras entidades internas, externas e/ou prestadores de serviço envolvidos e necessários.
O serviço de SOC do Iscte atua assim, não só mas também, na prevenção e monitorização das seguintes gamas de endereços IP, pertencentes ao próprio Iscte:
• 192.92.146.0/24
• 193.136.188.0/24
• 193.136.189.0/24
• 193.136.190.0/24
• 193.136.191.0/24
• 194.210.64.0/20
• 194.210.80.0/22
• 194.210.84.0/23
• 194.210.86.0/24
• 2001:690:21a0:00/48
• iscte-iul.pt
• iscte.pt
3.3.3 Filiação
O serviço de SOC é um serviço do Iscte, cujo âmbito são os sistemas e recursos da instituição. As fontes de eventos que são recolhidos e monitorizados pelo serviço de SOC estão documentadas no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.
3.3.4 Autoridade
O serviço de SOC tem autoridade para responder a Incidentes que ocorram dentro da comunidade do Iscte, bem como para responder em nome da organização nos processos resposta a Incidentes em colaboração com entidades externas à mesma.
3.4 Políticas
3.4.1 Tipos de Incidente e Nível de Suporte
O serviço de SOC do Iscte adota a taxonomia definida no capítulo 7 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. Esta, à exceção da categoria de “Manutenção”, está em total conformidade com a taxonomia adotada a nível nacional pelo Centro Nacional de Cibersegurança (CNCS) e pelos membros da Rede Nacional de CSIRT, em dezembro de 2019, e a nível europeu, também em 2019, pela ENISA, a entidade para a Segurança das Redes e da Informação da União Europeia.
O nível de suporte dado a cada Incidente pode variar dependendo, não só da Severidade do mesmo no Iscte, conforme os valores definidos no capítulo 8 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, mas também dos recursos do SOC disponíveis. Embora todos os Incidentes sejam tratados com a maior celeridade possível pelo serviço de SOC, estas diferenças estão detalhadas no capítulo 9 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.
3.4.2 Cooperação, Interação e Política de Privacidade
A Política de Privacidade e Proteção de Dados do SOC estipula que qualquer tipo de informação considerada como sensível só será passada a terceiros em caso de extrema necessidade e sempre com a autorização prévia do indivíduo, departamento ou entidade a que esta pertence.
3.4.3 Comunicação e Autenticação
O e-mail e o telefone indicados neste documento são considerados suficientes para a transmissão de informação ao serviço de SOC do Iscte que não seja sensível e/ou confidencial. Caso seja necessário, pode ser utilizada a chave PGP do e-mail para reporting de incidentes, disponível no ponto “Informação sobre chaves públicas e cifras”, para encriptação das mensagens enviadas com conteúdo considerado sensível.
3.5 Serviços
3.5.1 Resposta a Incidentes
O serviço de SOC do Iscte fornece um serviço de coordenação e resposta aos Incidentes de segurança informática relacionados com toda a comunidade do Iscte.
3.5.1.1 Triagem de Incidentes
Na fase de Triagem os Incidentes são triados e uma primeira análise é realizada, com o objectivo de determinar se estes constituem efetivamente um Incidente e para lhes atribuir uma classificação adequada ao seu contexto.
3.5.1.2 Coordenação de Incidentes
Nesta fase é realizada uma análise mais detalhada para determinar as causas que levaram à ocorrência do Incidente e as contramedidas imediatas necessárias para mitigar o mesmo. Se necessário, são contatadas outras partes interessadas, internas ou externas.
3.5.1.3 Resolução de Incidentes
Por último, são delineadas e aplicadas as medidas de erradicação e/ou mitigação respetivas ao Incidente e, sempre que se justifique e seja necessário, é feita uma análise posterior de lições a tirar, um relatório mais detalhado e uma reunião com as equipas envolvidas.
3.5.2 Monitorização
O serviço de SOC garante a monitorização, correlação e análise dos eventos provenientes das ferramentas de segurança do Iscte integradas no SIEM no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.
3.5.3 Atividades Proativas
O serviço de SOC está constantemente a acompanhar possíveis ameaças que possam surgir e irá alertar, proactivamente, a comunidade e outras partes interessadas e definidas para esse propósito, sempre que se verifique a ocorrência de um Incidente relacionado com as mesmas.
3.6 Formulários
3.6.1 Formulário de Post-Mortem
É elaborado um relatório com uma análise mais pormenorizada de todos os detalhes do respetivo Incidente, seguindo o template definido para esse efeito, presente no capítulo 16 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, indicando a timeline do ciclo de vida do Incidente, as medidas tomadas a cada fase, as pessoas envolvidas e as lições aprendidas para tentar erradicar futuros Incidentes semelhantes, entre outras informações.
3.7 Disclaimer
Apesar de serem tomadas todas as precauções na preparação da informação que é divulgada, quer na Internet, quer através das listas de distribuição, o SOC-do Iscte não assume qualquer responsabilidade por erros ou omissões cuja origem não seja o próprio SOC, bem como pela ocorrência de Incidentes que possam advir da utilização dessa mesma informação.
Âmbito do SOC do ISCTE e Resposta ao RFC2350 Serviços de Informática e Infraestruturas de Comunicações | Ver. 1 | PÚBLICO
Iscte − Instituto Universitário de Lisboa · Av. Forças Armadas, 1649-026 Lisboa ·
+351 217 903 000 · · geral@iscte-iul.pt
-----BEGIN PGP SIGNATURE-----
iQJFBAEBCAAvFiEEfub+R4Dq0wSSOivd0mE0dqGEcFAFAmIvKJQRHHNvY0Bpc2N0
ZS1pdWwucHQACgkQ0mE0dqGEcFCONBAApA5ro1lyyoaZxCB27AvpXDkkepV/FeBy
8kAaoMdiIUdTReUF6PF1JgJziDFtieCpfDwIPi+vwjG4JqHC4d7WRcggGdSGojDp
1x1FSESZfB3A6b0vS/vEIrsMjAFCBhOM7TugrW38Fw8hdb1I2YHzcbXF9C8/TquS
4mbEEweBmyA0GmKEk3OuEGGniPKnKyjDcsyxx+rRkSA+8ZZgDQ4/6XKlUDLLfz+v
orjihSeEL97MN9GqXqvzMkEW2JuKZRY4ToT3jRAMP9Gu3/q7IJ/QXyJn3rUlTWtJ
1fZMk0jgnX3eTLEoezBOjOjCn6Gl0a1CdBuA+EmRAX/nnlq5CMJc34ADq9s/EojJ
+K4k0kCSfcbeBsbtkNyJs5fhBhPv5WXKC/L21lVHqHzPMmiW/MrhRFzXdcqHgAHa
6HJBEv/gG2gacomHQXs3a6rTnzvD0sZMqgzlLaEVFE894R441GtiZvqjrbs/M2ce
JuJSav1iGjiCP0DDZx9s57rQRZjBD2awd9DrqCz1L9MEJhUJBqSL9u24N2E++AEo
o42DEIugZiknMhiyMPc50y7S+hdZqJaLasu2g/hIBgjbA8AS5UjC/BHDn6rCPq2h
/B0jYJWeAqwbzw4czLI2rV1TQ7X0Pm1Z3ZFre5Oszxrhkol+nkIvl0XL7fL8JifC
n8cee9epBh8=
=f0MR
-----END PGP SIGNATURE-----