Incidentes de Segurança da Informação: conceito, exemplos e cases

O objetivo deste artigo é realizar uma introdução ao conceito de incidentes de #Segurança da Informação. Foi elaborado em complemento a esta outra publicação: Gerenciamento de Incidentes de Segurança da Informação passo a passo.  

Conceito de incidente de segurança

Segundo CERT.br , um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado a segurança de sistemas de computação ou de redes de computadores . Em geral, toda situação onde uma entidade de informação está sob risco é considerado um incidente de segurança.

Nota: CERT.br é o o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil é mantido pelo NIC.br. Visite o site para mais informações: CERT.br .

Exemplos de incidentes se segurança da informação

O acesso não autorizado

Incidente que afeta a disponibilidade da informação. Em geral, esta categoria de incidentes ocorre em três situações: 1) tentativas não autorizadas de acesso; 2) má utilização de um sistema; 3) falhas no sistema que impedem um acesso autorizado.

Alguns exemplos de incidentes de acesso não autorizado tecnicamente estimulados incluem:

• Ataques de estouro de buffer (ou transbordamento de dados ) para tentar ganhar privilégios de um usuário especifico (ex: administrador) 
• Exploração de vulnerabilidades de protocolos 
• Outros tipos de tentativas de elevar privilégios
• Falhas em sistemas operacionais

São situações, enfim, que representam riscos justamente por abrirem possibilidade da existência de ações intencionais de violação do acesso a informação e portanto devem ser observada por este processo.

Denial of Service

Termo muito conhecido por quem trabalha com suporte técnico, que tem relação com a negação de acesso de forma provocada (já foi motivo até de piadas das tirinhas do vida de suporte ).

Denial of Service significa ataque de negação de serviço (também conhecido como DoS Attack). Para quem lê este termo pela primeira vez, pode interpretar como um ataque que tem como finalidade fazer com que acessos sejam negados para determinados serviços.

Trata-se simplesmente de uma tentativa em tornar os recursos de um sistema indisponíveis para seus utilizadores (o que afetaria o requisito de disponibilidade da informação).

Quando este tipo de incidente ocorre, não significa que houve uma invasão do sistema , mas sim da sua invalidação por sobrecarga.

Os ataques de negação de serviço são feitos geralmente de duas formas:

• Forçar o sistema vítima a reinicializar ou consumir todos os recursos (como memória ou processamento por exemplo) de forma que ele não pode mais fornecer seu serviço.
• Obstruir a mídia de comunicação entre os utilizadores e o sistema vítima de forma a não comunicarem-se adequadamente.

Os autores destes ataques, por sua vez, têm qualquer motivo em prejudicar a vítima, tais como prejudicar a concorrência (no caso de sites de e-commerce), por protesto, ou motivos semelhantes.

Uma informação curiosa é que em Março de 2013 a internet do mundo inteiro sofreu consequência do maior ataque DoS já registrado.

Veja o caso aqui: Maior ataque cibernético da história estremece a internet.

Para ler mais sobre este tipo de ataque, indico:

• Ataques DoS (Denial of Service) e DDoS (Distributed DoS)

Vírus e outros códigos maliciosos

Normalmente identificados por ferramentas de detecção de códigos maliciosos.
A melhor forma de conhecer os conceitos relacionados a códigos maliciosos é através da orientação desta cartilha de segurança.

Uso impróprio

Este tipo de incidente ocorre quando um usuário viola as políticas de segurança da informação no uso de serviços de TI. O termo "uso impróprio" por si só já nos sugere de que não há uma tentativa de ataque ocorrendo, entretanto deve ser tratado com os mesos cuidados na gestão de incidentes de SI.

Exemplos de incidentes de uso impróprio:

• uso de e-mail corporativo para spam ou promoção de negócios pessoais
• ferramenta não autorizada instalada
• uso de pen drive de forma não autorizada
• impressão de documentos de forma não autorizada

É possível acompanhar a estatística de incidentes de segurança.

Para quem deseja obter mais informações sobre o assunto, sugiro consultar as fontes a seguir:

• Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil
• Criando um Grupo de Respostas a Incidentes de Segurança em Computadores
• Expectativas quanto a Grupos de Resposta a Incidentes de Segurança em Computadores
• O processo de tratamento de incidentes de segurança - UFRGS por Joao Ceron, Arthur Boos Jr, Caciano Machado, Fernanda Martins, Leandro Rey
• Good Practice Guide for Incident Management
• European Union Agency for Network and Information Security
• Norma ISO/IEC 27035 Security incident management

Continue estudando segurança da informação no Portal GSTI:

• Ebook Gestão da Segurança da Informação ISO 27001 e ISO 27002
• Videoaulas gratuitas de introdução a Segurança da Informação
• Ebook gratuito sobre ISO 27005