-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
​
RFC 2350
​
1. Informação acerca deste documento
Este documento descreve o serviço de resposta a incidentes de cibersegurança da CyberSafe, Lda. de acordo com o RFC 2350. A CyberSafe é um prestador de serviços geridos na área de cibersegurança, incluindo a monitorização e correlação de eventos e resposta a incidentes de segurança.
​
1.1 Data da última atualização
Versão 3.0 publicada em 2024/02/02.
​
1.2 Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.
​
1.3 Acesso a este documento
A versão atualizada deste documento está disponível em https://www.cybersafe.pt/rfc-2350-pt/
A versão em língua inglesa está disponível em https://www.cybersafe.pt/rfc-2350-en/
​
1.4 Autenticidade deste documento
Este documento está assinado com uma chave PGP da CyberSafe, disponível em https://www.cybersafe.pt/pgp-key/.
​
2. Informação de contacto
​
2.1 Nome da equipa
CyberSafe CSIRT
​
2.2 Endereço postal
CyberSafe - Cyber Defense Services - CSIRT
Alfrapark
Estrada de Alfragide, 67 – Ed. H, piso 1
2610-008 Alfragide Portugal
​
2.3 Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)
​
2.4 Telefone
+351 210 360 276 (Horário regular - 09h00 / 18h00)
+351 927 630 111 (Contacto de emergência - restante horário)
​
2.5 Fax
Não existente.
​
2.6 Outras telecomunicações
Não existentes.
​
2.7 Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de cibersegurança:
soc@cybersafe.pt
Correio eletrónico para outros assuntos:
contato@cybersafe.pt
​
2.8 Chaves públicas e informação de cifra
PGP Fingerprint: C8C7DD28BC11A09DC7F3A722A91435239CE0E579
PGP UID: CDOC CyberSafe <soc@cybersafe.pt>
A chave publica encontra-se disponivel em: https://www.cybersafe.pt/pgp-key/
​
2.9 Membros da equipa
O responsável pelo CyberSafe CSIRT é Nelson Silva;
Informação acerca dos restantes membros pode ser disponibilizada a pedido;
2.10 Outra informação
Mais informação sobre o CyberSafe CSIRT pode ser encontrada em https://www.cybersafe.pt/
2.11 Meios de contacto para clientes/utilizadores
O CyberSafe CSIRT dispõe dos meios de contacto elencados nas secções 2.4 a 2.6
​
3.Guião
​
3.1 Missão
A CyberSafe - Cyber Defense Services tem como missão assegurar um serviço de monitorização e correlação de eventos de segurança, e resposta a incidentes de segurança, nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança na sua comunidade de clientes.
3.2 Comunidade servida
A CyberSafe - Cyber Defense Services coordena a resposta a incidentes de cibersegurança envolvendo:
a) Cybersafe Lda.
b) Clientes sob a responsabilidade da CyberSafe, nos setores financeiro, energia, público, indústria, ensino e outros.
​
3.3 Filiação
O CyberSafe CSIRT é um serviço integrante da CyberSafe - Cyber Defense Services, o qual é uma estrutura da CyberSafe, Lda.
​
3.4 Autoridade
O CyberSafe CSIRT é um serviço integrante da CyberSafe, Lda, cuja competência se encontra contratualizada com os seus clientes.
​
4.Políticas
​
4.1 Tipos de incidente e nível de suporte
O CyberSafe CSIRT responde a todos os tipos de incidente de cibersegurança, nomeadamente aqueles que resultam numa violação de segurança dos seguintes tipos:
a) Código malicioso
b) Disponibilidade
c) Recolha de Informação
d) Intrusão
e) Tentativa de Intrusão
f) Segurança da Informação
g) Fraude
h) Conteúdo Abusivo
i) Vulnerabilidade
j) Outro
​
O nível de suporte oferecido pela CyberSafe - Cyber Defense Services varia consoante o tipo, gravidade e âmbito dos incidentes em curso, os recursos disponíveis para o seu tratamento e o tipo de serviço contratado pelos seus clientes. Em condições de funcionamento normais é objetivo do CyberSafe CSIRT dar uma primeira resposta no espaço de tempo que varia entre uma hora e um dia útil, dependendo da gravidade do incidente e do nível de serviço contatado.
​
4.2 Cooperação, interação e política de privacidade
A política de privacidade e proteção de dados do CyberSafe CSIRT prevê que informação sensível possa ser passada a terceiros, única e exclusivamente em caso de necessidade e com a autorização prévia expressa do indivíduo ou entidade a quem essa informação diga respeito.
​
4.3 Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CyberSafe CSIRT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP, identificada no ponto 2.8 deste documento.
​
5. Serviços
Internamente ou sempre que contratado para o efeito, o CyberSafe - Cyber Defense Services, presta os seguintes serviços:
​
5.1 Monitorização de Eventos de Segurança em Tempo-Real
Este serviço compreende a recolha, filtragem e correlação de logs em tempo-real para identificação de incidentes de segurança.
​
5.2. Cyber Hunting proativo
Este serviço consiste num conjunto de atividades proativas para deteção de Indicadores de Compromisso (IOCs) ou comportamentos suspeitos para deteção de incidentes de segurança que não foram possíveis de detetar através da monitorização de eventos.
​
5.3 Notificação de Incidentes de Segurança
Após a identificação de um incidente de segurança, este serviço consiste:
a) Triagem inicial de incidente;
b) Classificação de acordo com os níveis de categorização definidos;
c) Recolha e registo de informação adicional de contexto;
d) Produção de recomendações para a resposta ao incidente e sua mitigação ou resolução;
e) Alocação à equipa/entidade de resolução apropriada;
f) Acompanhamento do incidente até ao fecho;
g) Produção de documentação relativa ao incidente e recomendações para evitar novos incidentes do mesmo tipo;
​
5.4 Resposta a Incidentes de Segurança
A resposta a incidentes inclui:
a) Interação com as equipas internas de cliente;
b) Apoio nas atividades de contenção e erradicação;
c) Articulação com as entidades nacionais e internacionais envolvidas como CSIRTs, Registrars, fornecedores de serviços Cloud;
d) Documentação do incidente com a recolha de evidências e recomendações para evitar novos incidentes do mesmo tipo;
5.5 Análise forense
Este serviço compreende:
a) Análise forense às plataformas envolvidas no incidente;
b) Análise de tráfego;
c) Análise de malware;
d) Produção de documentação relativa às análises e recomendações para evitar novos incidentes do mesmo tipo;
5.6 Alertas de Segurança
Produz e dissemina alertas de segurança pelos seus clientes, parceiros e comunidade.
​
5.7 Capacitação de CSIRTs
Melhorar a capacidade de resposta a incidentes de cibersegurança através da criação de novos CSIRTs ou do desenvolvimento das capacidades dos já existentes. Para esse efeito, o CyberSafe - Cyber Defense Services desenvolve um conjunto de serviços com vista à capacitação de CSIRTs dos seus clientes, designadamente:
a) Desenho de especificações, fornecimento, instalação e configuração, suporte e manutenção de soluções técnicas de um CSIRT/SOC, como por exemplo, soluções de SIEM, Full Packet Capture e reconstrução de sessões, analytics, automatização da resposta a incidentes tipificados, entre outras.
c) Desenho de processos para a operação de um CSIRT;
d) Exercícios de cibersegurança Blue Team / Red Team / Purple Team;
e) Formação na resposta a incidentes de cibersegurança;
f) Formação na administração de soluções técnicas de um CSIRT.
​
6. Formulários de Report de Incidentes:
Não estão definidos formulários para o efeito;
​
7. Salvaguarda de responsabilidade:
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição ou redes sociais, a CyberSafe - Cyber Defense Services não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.
-----BEGIN PGP SIGNATURE-----
iHUEARYKAB0WIQTIx90ovBGgncfzpyKpFDUjnODleQUCZbu1UwAKCRCpFDUjnODl
eWogAP9rYBfMDJAS5jYTFu6Mib6mBGJREcM+zx46xfmZlTGRVwD+Iq96AkDzoIqO
U3wQwk+f1D5RLhFL0zee9Aipeh3uswE=
=nUiG
-----END PGP SIGNATURE-----