Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Capítulo 1: Avaliar a situação

Publicado em: 1 de novembro de 2007

Este capítulo descreve os recursos necessários para uma investigação interna, como conduzir uma avaliação completa da situação e como estabelecer o escopo. Use o processo em cinco etapas, conforme mostra a figura a seguir.

Fase de avaliação da investigação computacional

Figura 1.1. Fase de avaliação do modelo de investigação computacional
Nesta página

Notificar os tomadores de decisão e obter autorização
Examinar leis e diretivas
Identificar membros da equipe de investigação
Conduzir uma avaliação completa
Preparar-se para obter evidências

Notificar os tomadores de decisão e obter autorização

Para conduzir uma investigação computacional, primeiro você precisa obter a autorização adequada, a menos que os procedimentos e as diretivas existentes forneçam autorização para resposta a incidentes. Em seguida, você precisa conduzir uma avaliação completa da situação e definir um curso de ação. Use as seguintes práticas recomendadas:

  • Caso não exista nenhum procedimento ou diretiva estipulado para resposta a incidentes, notifique os tomadores de decisão e obtenha autorização por escrito de um deles para conduzir a investigação computacional.

  • Documente todas as ações que você empreender relacionadas a essa investigação. Garanta que seja feito um resumo documentado, completo e preciso das decisões e dos eventos ocorridos durante o incidente e a resposta ao incidente. Essa documentação pode acabar sendo usada na Justiça para determinar o curso de ação seguido durante a investigação.

  • Dependendo do escopo do incidente e da ausência de ameaças à vida ou à segurança nacional, a primeira prioridade é proteger a organização contra mais danos. Depois que a organização estiver segura, as próximas prioridades são a restauração de serviços (se necessário) e a investigação do incidente.

As decisões que você tomar poderão ser questionadas tanto quanto as evidências. Como a evidência computacional é complexa, diferentes investigações (conduzidas por um concorrente, por exemplo) podem chegar a conclusões diferentes e recomendar decisões diferentes.

Examinar leis e diretivas

No início de uma investigação computacional, é importante compreender as leis aplicáveis à investigação e as diretivas internas da organização existentes. Observe as considerações importantes e práticas recomendadas a seguir:

  • Determine se você tem autoridade legal para conduzir uma investigação. A sua organização tem procedimentos e diretivas que contemplam os direitos de privacidade de funcionários, prestadores de serviço e outras pessoas que usam a sua rede? Esses procedimentos e diretivas especificam as circunstâncias nas quais o monitoramento é permitido? Muitas organizações estabelecem em seus procedimentos e diretivas que não há nenhuma expectativa de privacidade no uso de correio, telefone, serviços da Web, email ou equipamentos da organização e que a empresa se reserva o direito de monitorar e pesquisar esses recursos como condição para a admissão. Tais procedimentos e diretivas devem ser examinados pelos consultores jurídicos da organização, e todos os funcionários, prestadores de serviço e visitantes devem ser notificados de sua existência. Se você não tiver certeza de que tem a autoridade necessária, contate sua gerência, os consultores legais ou (se necessário) as autoridades locais.

  • Procure os consultores jurídicos para saber como evitar problemas de tratamento inadequado da investigação. Esses problemas podem incluir:

    • Comprometimento de dados pessoais dos clientes.

    • Violação de alguma lei estadual ou federal, como regras de privacidade federais.

    • Incorrência em responsabilidade civil ou criminal por interceptação ilegal de equipamentos de comunicação eletrônicos. Considere a possibilidade de usar faixas de aviso.

    • Exibição de informações confidenciais ou privilegiadas. Dados confidenciais que possam comprometer a confidencialidade de informações do cliente só poderão ser disponibilizados como parte da documentação relacionada à investigação se estiverem diretamente ligados a ela.

  • Certifique-se de que os seguintes problemas de confidencialidade e privacidade do cliente sejam resolvidos:

    • Todos os dados devem ser transferidos de forma segura, armazenados em computadores locais (e não em servidores de rede) e de difícil acesso.

    • Todos os dados (inclusive documentação) devem ser guardados pelo período especificado pelos consultores jurídicos ou pela diretiva local após o encerramento da investigação computacional. Se os dados fizerem parte de uma possível ocorrência criminal, consulte as autoridades competentes encarregadas da investigação. Caso se trate de uma demanda civil, peça a opinião dos consultores jurídicos da sua organização. Além disso, examine todas as questões de retenção de dados relacionadas à Lei Sarbanes-Oxley de 2002 ou outros requisitos legais para retenção de dados.

  • Mantenha cópias digitais e impressas de evidências, bem como a cadeia de custódia de todas as evidências, em caso de ação legal. A preservação da cadeia de custódia é obtida com a manutenção de toda documentação verificável que indique quem tratou da evidência, quando o fez e o local/data/hora em que a evidência foi armazenada. O armazenamento seguro de evidências é necessário; caso contrário, a custódia não poderá ser verificada.

Identificar membros da equipe de investigação

Determinar quem deve responder a um incidente é importante para a condução de uma investigação computacional interna com êxito. O ideal é que a participação na equipe seja definida antes que ela se faça necessária para uma investigação real. É importante que as equipes de investigação sejam estruturadas corretamente e tenham as qualificações adequadas. Sua organização deve estabelecer a participação na equipe como parte de um processo de planejamento para recuperação de desastres. Use as práticas recomendadas a seguir como diretrizes para formar uma equipe de investigação:

  • Identifique uma pessoa que saiba como conduzir uma investigação. Lembre-se que a credibilidade e as qualificações da pessoa encarregada da investigação costumam ser inspecionadas caso a situação resulte em processos legais em um tribunal de justiça.

  • Identifique os membros da equipe e esclareça as responsabilidades de cada um deles.

  • Designe um membro da equipe para ser o chefe técnico da investigação. Essa função requer uma pessoa com excelentes qualificações técnicas e experiência em investigações computacionais. Em investigações que envolvam partes suspeitas com boas qualificações técnicas, convém selecionar membros da equipe de investigação que sejam mais qualificados do que as referidas partes.

  • Mantenha a equipe de investigação o mais enxuta possível para garantir confidencialidade e proteger a organização contra vazamentos de informações indesejados.

  • Contrate uma equipe de investigação externa confiável caso a sua organização não tenha pessoal com as qualificações necessárias.

  • Certifique-se de que cada membro possui a autorização e o distanciamento necessários para conduzir as tarefas que lhe forem atribuídas. Isso é importante principalmente se houver funcionários de terceiros (consultores, por exemplo) envolvidos na investigação.

Cc162832.important(pt-br,TechNet.10).gifImportant

A natureza volátil das evidências digitais torna fundamental a condução das investigações em tempo hábil. Lembre-se de assegurar a disponibilidade de todos os membros da equipe para o período em que durar as investigações.

Conduzir uma avaliação completa

É necessária uma avaliação completa da situação que seja documentada com clareza para priorizar suas ações e justificar os recursos para a investigação interna. Essa avaliação deve definir o atual e o possível impacto do incidente nos negócios, identificar a infra-estrutura afetada e obter o mais completo entendimento possível da situação. Essas informações o ajudarão a definir um curso de ação apropriado.

Use as seguintes práticas recomendadas para conduzir uma avaliação completa:

  • Use todas as informações disponíveis para descrever a situação, sua possível gravidade, quem pode ser afetado e, se disponível, as partes suspeitas.

  • Identifique o impacto e a confidencialidade da investigação em sua organização. Por exemplo, avalie se ela envolve dados do cliente, detalhes financeiros, registros médicos ou informações confidenciais da companhia. Lembre-se de avaliar o possível impacto nas relações públicas. Provavelmente essa avaliação estará além dos conhecimentos do TI e deverá ser feita em conjunto pela gerência e pelos consultores jurídicos.

  • Analise o impacto do incidente nos negócios durante a investigação. Relacione o número de horas necessárias para se recuperar do incidente, o tempo de inatividade, o custo dos equipamentos danificados, a perda de receita e o valor de segredos comerciais. Tal avaliação deve ser realista, e não inflacionada. Os custos reais do incidente serão determinados posteriormente.

  • Analise os recursos intangíveis afetados, como o futuro impacto na reputação, nas relações com os clientes e no estado de espírito dos funcionários. Não aumente a gravidade do incidente. A finalidade dessa análise é meramente informativa, apenas para ajudar a entender o escopo do incidente. O impacto real será determinado posteriormente. Provavelmente essa avaliação estará além dos conhecimentos do TI e deverá ser feita em conjunto pela gerência e pelos consultores jurídicos.

Use as práticas recomendadas a seguir para identificar, analisar e documentar a infra-estrutura e os computadores afetados pela situação. Muitas dessas diretrizes já devem ter sido seguidas como parte de um processo de avaliação de riscos para preparar um plano de recuperação de desastres.

  • Identifique as redes envolvidas e o número e tipo de computadores afetados.

  • Obtenha a documentação sobre a topologia da rede, que deve incluir um diagrama detalhado com informações de infra-estrutura sobre servidores, hardware de rede, firewalls, conexões com a Internet e outros computadores na rede.

  • Identifique dispositivos de armazenamento externos (thumb drives, cartões de memória flash, discos óticos e magnéticos) e quaisquer computadores remotos que possam estar incluídos.

  • Capture o tráfego de rede durante um período de tempo caso a análise dinâmica seja necessária, o que só acontece se você acreditar que existe tráfego suspeito de entrada na rede. Geralmente, esse tipo de análise é executada somente depois que a auditoria e o registro em log tiverem se esgotado como fontes de evidência. O Microsoft® Windows® XP e o Windows Server® 2003 possuem ferramentas de captura de rede internas como o Netcap e a Rasdiag, que podem capturar tráfego local de rede sem precisar instalar produtos como o Netmon ou o Ethereal. Use ferramentas como o Monitor de Rede do Windows (NetMon) e a TDIMon do Windows Sysinternals para fazer análise de dados da rede. As ferramentas do Windows Sysinternals podem ser baixadas da página Windows Sysinternals no Microsoft TechNet.

    Cc162832.important(pt-br,TechNet.10).gifImportant

    A detecção de rede (capturando tráfego de rede) pode ser uma violação de privacidade, dependendo do escopo da captura. Por isso, seja cauteloso em relação à implantação de ferramentas de captura de rede em sua rede.

  • Use as ferramentas para examinar o estado dos aplicativos de software e dos sistemas operacionais em computadores com probabilidade de serem afetados. Algumas ferramentas úteis para essa tarefa são os logs de aplicativos do Windows, os logs do sistema e o conjunto PsTools do Windows Sysinternals.

  • Examine o arquivo e os servidores de aplicativos afetados. Use ferramentas do Windows Sysinternals (como PsTools, PsFile e ShareEnum) e logs de segurança internos do Windows para examinar e documentar a atividade nesses servidores.


Cc162832.important(pt-br,TechNet.10).gifImportant

Algumas das informações reunidas durante essa avaliação (como dados e processos em execução na memória) são capturadas pelas suas ferramentas em tempo real. Você deve assegurar que todos os registros e logs gerados sejam armazenados de forma segura para impedir a perda de dados voláteis.

Além disso, as práticas recomendadas a seguir podem ajudá-lo a obter um entendimento completo da situação.

  • Crie uma linha do tempo e mapeie tudo para ela. Uma linha do tempo é importante principalmente para incidentes globais. Documente qualquer discrepância entre a data/hora de hosts (como computadores desktop) e a data/hora do sistema (como o serviço Tempo do Windows no Windows Server 2003).

  • Identifique e entreviste qualquer pessoa que poderia estar envolvida no incidente, como usuários e administradores do sistema. Em algumas situações, podem ser pessoas de fora da organização. As entrevistas com usuários e funcionários afetados quase sempre dão bons resultados e uma visão detalhada da situação e devem ser conduzidas por entrevistadores experientes.

  • Documente todos os resultados das entrevistas. Você precisará deles mais tarde para entender totalmente a situação.

  • Recupere informações (logs) provenientes de dispositivos de rede com face interna e externa, como firewalls e roteadores, que possam ser usados em um possível caminho de ataque.

  • Algumas informações, como endereço IP e propriedade do nome de domínio, são públicas por natureza. Por exemplo, você pode usar a ferramenta Whois do Windows Sysinternals ou o ARIN (Registro Americano para Números na Internet) para identificar o proprietário de um endereço IP.

Preparar-se para obter evidências

Para se preparar para a fase Obter os dados, você deve verificar se determinou corretamente as ações e os resultados da fase Avaliar a situação. Um documento detalhado contendo todas as informações que você considera relevantes fornece um ponto de partida para a próxima fase e para a preparação do relatório final. Além disso, compreenda que, se o incidente se tornar mais do que uma simples investigação interna e requerer processos judiciais, é possível que todos os processos usados na reunião de evidências possam ser usados por terceiros independentes para tentar alcançar os mesmo resultados.

Um documento como esse deve fornecer informações detalhadas sobre a situação e incluir:

  • Uma estimativa inicial do impacto da situação nos negócios da organização.

  • Um diagrama detalhado da topologia da rede que destaque os sistemas de computador afetados e forneça detalhes sobre como isso pode ter ocorrido.

  • Resumos de entrevistas com usuários e administradores do sistema.

  • Resultados de interações legais e com terceiros.

  • Relatórios e logs gerados por ferramentas usadas durante a fase de avaliação.

  • Um curso de ação proposto.


Cc162832.important(pt-br,TechNet.10).gifImportant

A criação de documentação consistente, precisa e detalhada durante o processo de investigação computacional ajudará na investigação em andamento. Essa documentação costuma ser fundamental para o sucesso do projeto e nunca deve passar despercebida. Durante a criação da documentação, esteja ciente de que ela consiste em evidências que podem ser usadas em processos judiciais. Antes de passar para a próxima fase, certifique-se de ter obtido aprovação de um tomador de decisões para a documentação que você criou durante a fase de avaliação.



Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft