Neutralidade | CGI.br

Ir para o conteúdo

As contribuições são de responsabilidade de cada autor e o CGI.br não se compromete com seu teor.

Regulamentação da possibilidade de compartilhamento de logs de eventos críticos para fins de segurança

Autor: Adriana de Moraes Cansian, Adriano Mauro Cansian, Arnaldo Chaim Setor: Terceiro Setor Estado: SÃO PAULO Tópico: Guarda de Registros de Conexão

Proposta de:
. Adriana de Moraes Cansian, advogada OAB/SP 332.517
. Adriano Mauro Cansian, Livre Docente - UNESP
. Arnaldo Chaim, Analista de TI

Considerações:

A evolução dos ataques e tentativas de quebra de segurança que vem acontecendo na Internet tem se apresentado de forma mais intensa, mais complexa, mas rápida, mais agressiva e, portanto, mais onerosa. Neste sentido, tem se tornado indispensável que as organizações e instituições possam cooperar com o compartilhamento de dados de registro de logs de eventos que permitam avaliar de forma precisa e célere as ameaças às quais todos estão sujeitos. É bem sabido que o compartilhamento de informações críticas de ataques tem se mostrado um forte aliado para obtenção de inteligência contra ciber-ameaças e consequente mitigação de problemas graves e de proteção aos usuários, em tempo aceitável. Neste sentido, é importante existir um mecanismo que permita que as insituições possam cooperar entre si para a troca e análise de logs de eventos de segurança que possam auxiliar na proteção de suas redes.

Proposta:

(a.) Que as instituições possam, mediante estabelecimento de termo de cooperação adequado, compartilhar informações de logs de registros de conexão de eventos que permitam avaliar ataques ou outras ações de tentativa de comprometimento de redes e aplicações, ou outras informações de tráfego que permitam executar análise de ciberameaças de interesse mútuo.

(b.) Que tais logs compartilhados devem ser restritos aos metadados dos pacotes dos tráfegos de dados dos eventos, tais como: endereços IP envolvidos, número do sistema autônomo, portas envolvidas, horários, quantidades de dados trafegados, número de pacotes, duração da conexão ou sessão, consumo de banda, estatísticas de fluxos de rede e estatísticas de tráfego diversas, sendo vedados os compartilhamentos de logs que permitam a identificação dos usuários ou o conteúdo e monitoramento dos dados trafegados e de acesso a aplicações de Internet, conforme já determinado na Lei.

(c.) Que os compartilhamentos de logs para fins de análise de segurança sigam protocolos padronizados de Cyber Threat Intelligence, os quais devam obrigatoriamente garantir a troca segura, o sigilo, a proteção e a sanitização dos logs de eventos. Entre estes padrões e frameworks aceitáveis, podemos citar: Open Indicators of Compromise framework (OpenIOC), Vocabulary for Event Recording and Incident Sharing (VERIS), Cyber Observable eXpression (CybOX), Incident Object Description and Exchange Format (IODEF), Trusted Automated eXchange of Indicator Information (TAXII), Structured threat Information Expression (STIX), Traffic Light Protocol (TLP), Open Threat Exchange (OTX) e Collective Intelligence Framework (CIF).