Skip to content Skip to main navigation Skip to footer

Âmbito do SOC do Iscte e Resposta ao RFC2350

Este documento define, com detalhe e de acordo com a definição do RFC2350 – “Expectations for Computer Security Incident Response”, a constituency relativa ao SOC (Security Operations Center) do “ISCTE – INSTITUTO UNIVERSITÁRIO DE LISBOA” (doravante mencionado como Iscte), e à CSIRT (Computer Security Incident Response Team) que faz parte integrante do mesmo, bem como outras informações relevantes.

2.1 Publicação de Políticas e Procedimentos

A definição e a especificação de políticas e procedimentos que dizem respeito ao serviço de SOC do Iscte e da sua CSIRT, encontram-se detalhadas no documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

O serviço de SOC não só é responsável pela implementação contínua das políticas e processos de monitorização dos Incidentes de Segurança da Informação (doravante mencionados como Incidente/es) na infraestrutura do Iscte e nos seus componentes, mas também pela implementação e manutenção de mecanismos de deteção em tempo-real e dos procedimentos de resposta aos mesmos.

2.2 Relações entre diferentes CSIRT

O serviço de SOC do Iscte, é a entidade interna que deve servir de ponto de contacto para todas as comunicações com CSIRT de outras organizações ou instituições e é também responsável por acompanhar o ciclo de vida de todos os Incidentes reportados pelos mesmos, e que estejam dentro do âmbito do Iscte.

2.3 Estabelecimento de Comunicações Seguras

A segurança da informação é um critério indispensável ao funcionamento do serviço do SOC.

Assim, todos os stakeholders do processo de resposta a Incidentes necessitam de canais de comunicação seguros bem estabelecidos.

Estes Canais de Comunicação estão definidos e enumerados no capítulo 6 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

As informações públicas da chave PGP associada à mailbox do endereço de e-mail para reporting de Incidentes (Método de Contato Preferencial) podem ser encontradas no ponto “Informação sobre Chaves Públicas e Cifras”.

3.1 Acesso ao Documento

A versão atualizada deste documento deve ser disponibilizada a todos os colaboradores do Iscte que pertençam a um departamento ou secção que:

      • Esteja envolvida no processo de resposta a incidentes;
      • Tenha sido previamente definida; e/ou
      • Seja uma das partes interessadas no serviço.

3.1.1 Última Atualização

A última atualização foi efetuadas a 02/11/2021.

3.1.2 Lista de Distribuição para Notificações

Qualquer alteração a este documento irá ser comunicada através do envio de um e-mail para todas as partes interessadas e envolvidas presentes na lista distribuição definida para o efeito, abaixo:

Entidade endereço eletrónico
SOC do Iscte soc@iscte-iul.pt
Diretor dos SIIC  
Responsável da URCS  
Responsável do NAU  
Responsável do GDSI  
Data Protection Officer  
Responsável Legal  
Responsável de Comunicação  
CNCS cncs@cncs.pt

3.1.3 Localização do Documento

A versão atualizada da resposta ao RFC2350 por parte do SOC do Iscte encontra-se publicada em https://siic.iscte-iul.pt/ciberseguranca/rfc2350.

3.1.4 Autenticidade do Documento

Este documento foi assinado com a chave PGP do SOC do Iscte.

            • User ID: SOC ISCTE-IUL soc@iscte-iul.pt
            • Fingerprint: 7EE6 FE47 80EA D304 923A 2BDD D261 3476 A184 7050
            • Key type: RSA/4096
            • Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0xD2613476A1847050

De forma a validar a autenticidade deste documento, está disponível uma versão do mesmo em plaintext, assinada com esta chave PGP. Esta versão pode ser encontrada em https://siic.iscte-iul.pt/ciberseguranca/rfc2350.txt.

3.2 Informação de Contato

3.2.1 Nome da Equipa

SOC do Iscte

3.2.2 Morada

Av.ª das Forças Armadas, 1649-026 Lisboa, Portugal

3.2.3 Fuso Horário

UTC/GMT Lisbon, London, Dublin – WEST (Western European Summer Time)

3.2.4 Horário de Expediente

O serviço do SOC do Iscte funciona no horário de expediente normal, entre as 9h e as 18h

3.2.5 Telefone

+351 210 464 500

3.2.6 Outras Comunicações

Para assuntos que não estejam relacionados com o reporting e resposta a Incidentes: soc@iscte-iul.pt

3.2.7 Método de Contato Preferencial

O método de contacto preferencial da equipa do SOC do Iscte é o endereço de e-mail utilizado para reporting de Incidentes: csirt@iscte-iul.pt

3.2.8 Portal de Reporting e Gestão de Incidentes

Exclusiva para a comunidade do Iscte

https://iajuda.iscte-iul.pt/

3.2.9 Informação Sobre Chaves Públicas e Cifras

O serviço de SOC disponibiliza uma chave PGP que deve ser utilizada sempre que exista a necessidade de encriptar qualquer tipo de informação ou ficheiro:

            • User ID: CSIRT ISCTE-IUL csirt@iscte-iul.pt
            • Fingerprint: 1D08 1964 6E48 A2E8 2932 EAF3 49E8 B051 87CF 1A3D
            • Key type: RSA/4096
            • Disponível em: https://pgp.surf.nl/pks/lookup?op=get&search=0x49E8B05187CF1A3D

3.2.10 Membros da Equipa

Coordenador
Dauto Ussene Jeichande (dauto.jeichande@iscte-iul.pt)

Equipa Operacional
(soc@iscte-iul.pt)

3.2.11 Outras Informações

Para encontrar mais informações sobre o Iscte, consultar https://iscte-iul.pt/.

3.3 Guião

3.3.1 Missão

O propósito do serviço de SOC do Iscte é o de servir a sua comunidade interna e os seus clientes num contexto de resposta a Incidentes de segurança da informação, bem como de proteger os seus serviços e a informação pessoal respetiva aos mesmos, e ainda o de prevenir possíveis ataques informáticos que possam ter algum impacto associado nas infraestruturas respetivas e/ou no negócio da instituição.

3.3.2 Comunidade

O serviço de SOC serve os colaboradores do Iscte e os seus clientes e é a entidade responsável pela colaboração no processo de resposta a Incidentes com outras entidades internas, externas e/ou prestadores de serviço envolvidos e necessários.

O serviço de SOC do Iscte atua assim, não só mas também, na prevenção e monitorização das seguintes gamas de endereços IP, pertencentes ao próprio Iscte:

• 192.92.146.0/24
• 193.136.188.0/24
• 193.136.189.0/24
• 193.136.190.0/24
• 193.136.191.0/24
• 194.210.64.0/20
• 194.210.80.0/22
• 194.210.84.0/23
• 194.210.86.0/24
• 2001:690:21a0:00/48
• iscte-iul.pt
• iscte.pt

3.3.3 Filiação

O serviço de SOC é um serviço do Iscte, cujo âmbito são os sistemas e recursos da instituição. As fontes de eventos que são recolhidos e monitorizados pelo serviço de SOC estão documentadas no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.3.4 Autoridade

O serviço de SOC tem autoridade para responder a Incidentes que ocorram dentro da comunidade do Iscte, bem como para responder em nome da organização nos processos resposta a Incidentes em colaboração com entidades externas à mesma.

3.4 Políticas

3.4.1 Tipos de Incidente e Nível de Suporte

O serviço de SOC do Iscte adota a taxonomia definida no capítulo 7 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte. Esta, à exceção das categorias “Privacidade” e “Manutenção”, está em total conformidade com a taxonomia adotada a nível nacional pelo Centro Nacional de Cibersegurança (CNCS) e pelos membros da Rede Nacional de CSIRT, em dezembro de 2019, e a nível europeu, também em 2019, pela ENISA, a entidade para a Segurança das Redes e da Informação da União Europeia.

O nível de suporte dado a cada Incidente pode variar dependendo, não só da Severidade do mesmo no Iscte, conforme os valores definidos no capítulo 8 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, mas também dos recursos do SOC disponíveis. Embora todos os Incidentes sejam tratados com a maior celeridade possível pelo serviço de SOC, estas diferenças estão detalhadas no capítulo 9 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.4.2 Cooperação, Interação e Política de Privacidade

A Política de Privacidade e Proteção de Dados do SOC estipula que qualquer tipo de informação considerada como sensível só será passada a terceiros em caso de extrema necessidade e sempre com a autorização prévia do indivíduo, departamento ou entidade a que esta pertence.

3.4.3 Comunicação e Autenticação

O e-mail e o telefone indicados neste documento são considerados suficientes para a transmissão de informação ao serviço de SOC do Iscte que não seja sensível e/ou confidencial. Caso seja necessário, pode ser utilizada a chave PGP do e-mail para reporting de incidentes, disponível no ponto “Informação sobre chaves públicas e cifras”, para encriptação das mensagens enviadas com conteúdo considerado sensível.

3.5 Serviços

3.5.1 Resposta a Incidentes

O serviço de SOC do Iscte fornece um serviço de coordenação e resposta aos Incidentes de segurança informática relacionados com toda a comunidade do Iscte.

3.5.1.1 Triagem de Incidentes

Na fase de Triagem os Incidentes são triados e uma primeira análise é realizada, com o objectivo de determinar se estes constituem efetivamente um Incidente e para lhes atribuir uma classificação adequada ao seu contexto.

3.5.1.2 Coordenação de Incidentes

Nesta fase é realizada uma análise mais detalhada para determinar as causas que levaram à ocorrência do Incidente e as contramedidas imediatas necessárias para mitigar o mesmo. Se necessário, são contatadas outras partes interessadas, internas ou externas.

3.5.1.3 Resolução de Incidentes

Por último, são delineadas e aplicadas as medidas de erradicação e/ou mitigação respetivas ao Incidente e, sempre que se justifique e seja necessário, é feita uma análise posterior de lições a tirar, um relatório mais detalhado e uma reunião com as equipas envolvidas.

3.5.2 Monitorização

O serviço de SOC garante a monitorização, correlação e análise dos eventos provenientes das ferramentas de segurança do Iscte integradas no SIEM no capítulo 11 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte.

3.5.3 Atividades Proativas

O serviço de SOC está constantemente a acompanhar possíveis ameaças que possam surgir e irá alertar, proactivamente, a comunidade e outras partes interessadas e definidas para esse propósito, sempre que se verifique a ocorrência de um Incidente relacionado com as mesmas.

3.6 Formulários

3.6.1 Formulário de Post-Mortem

É elaborado um relatório com uma análise mais pormenorizada de todos os detalhes do respetivo Incidente, seguindo o template definido para esse efeito, presente no capítulo 16 do documento designado por “Plano de Resposta a Incidentes de Segurança” do Iscte, indicando a timeline do ciclo de vida do Incidente, as medidas tomadas a cada fase, as pessoas envolvidas e as lições aprendidas para tentar erradicar futuros Incidentes semelhantes, entre outras informações.

3.7 Disclaimer

Apesar de serem tomadas todas as precauções na preparação da informação que é divulgada, quer na Internet, quer através das listas de distribuição, o SOC-do Iscte não assume qualquer responsabilidade por erros ou omissões cuja origem não seja o próprio SOC, bem como pela ocorrência de Incidentes que possam advir da utilização dessa mesma informação.

 

Âmbito do SOC do ISCTE e Resposta ao RFC2350 Serviços de Informática e Infraestruturas de Comunicações | Ver. 1 | PÚBLICO

Iscte − Instituto Universitário de Lisboa · Av. Forças Armadas, 1649-026 Lisboa
+351 217 903 000 · · geral@iscte-iul.pt