visão geral
Information Operations Condition (INFOCON) é um sistema de nível de ameaça nos Estados Unidos semelhante ao do DEFCON ou FPCON. INFOCON é um sistema de defesa baseado principalmente no status dos sistemas de informação e é um método usado pelos militares para se defender contra um ataque de rede de computadores.
a estrutura do sistema
o nível INFOCON é finalmente decidido pelo comandante do Comando Estratégico dos EUA (CDRUSSTRATCOM). O sistema se estende por todos os sistemas de Informação do Departamento de defesa na rede de roteamento de Protocolo de Internet não classificada (NIPRNET) e na rede secreta de roteadores de Protocolo de Internet (SIPRNet).
a diretiva “apenas para uso oficial” de 2006 descreve o sistema INFOCON como:
. . . incluindo responsabilidades, processos e procedimentos, aplica-se aos Não-classificados de Internet Protocolo de Roteamento de Rede (NIPRNET) e Secret Internet Protocol Router Network (SIPRNET) sistemas sob a alçada do Joint Chiefs of Staff e todos os DoD atividades dentro da unificação de comandos, serviços militares, e DoD Agências, bem como a não-DoD NetOps COI (NetOps CONOPS, Conceito Conjunto de Operações para a Informação Global de Grade NetOps). É executado por comandantes unificados e de serviço, comandantes de base/pos /camp/station/vessel e diretores de agência com autoridade sobre sistemas e redes de informação (operacional e/ou suporte) (doravante referidos coletivamente como “comandantes”).1
a mesma diretiva descreve o sistema como “uma estrutura dentro da qual o comandante USSTRATCOM (CDRUSSTRATCOM), comandantes regionais, chefes de serviço, comandantes de base/Posto/Acampamento/estação/embarcação ou diretores de agência podem aumentar a prontidão mensurável de suas redes para corresponder às prioridades operacionais.”2
níveis de ameaça INFOCON
existem cinco níveis de INFOCON, que recentemente mudaram para se correlacionar mais estreitamente com os níveis de DEFCON. Eles são:
- o INFOCON 5 é caracterizado por NetOps de rotina, prontidão normal de sistemas de informação e redes que podem ser sustentadas indefinidamente. As redes de informação estão totalmente operacionais em uma condição de linha de base conhecida com políticas padrão de garantia de informações em vigor e aplicadas. Durante o INFOCON 5, Os administradores de sistema e rede criarão e manterão uma linha de base instantânea de cada servidor e estação de trabalho em uma boa configuração conhecida e desenvolverão processos para atualizar essa linha de base para alterações autorizadas.
- o INFOCON 4 aumenta a prontidão do NetOps, em preparação para Operações ou exercícios, com um impacto limitado para o usuário final. Os administradores de sistema e rede estabelecerão um ritmo operacional para validar a boa imagem conhecida de uma rede de informações em relação ao estado atual e identificar alterações não autorizadas. Além disso, perfis de usuário e contas são revisados e verificações realizadas para contas inativas. Ao aumentar a frequência desse processo de validação, o estado de uma rede de informações é confirmado como inalterado (ou seja, bom) ou determinado a ser comprometido. Este nível de prontidão pode ou não ser caracterizado por um aumento do relógio de inteligência e medidas de segurança reforçada (bloqueio de portas, aumento de varreduras) de sistemas de informação e redes. O impacto para os usuários finais é insignificante.
- o INFOCON 3 aumenta ainda mais a prontidão do NetOps, aumentando a frequência de validação da rede de informações e sua configuração correspondente. O impacto para os usuários finais é menor.
- INFOCON 2 é uma condição de prontidão que requer um aumento adicional na frequência de validação da rede de informações e sua configuração correspondente. O impacto nos administradores do sistema aumentará em comparação com o INFOCON 3 e exigirá um aumento no pré-planejamento, treinamento de pessoal e no exercício e pré-posicionamento dos utilitários de reconstrução do sistema. O uso de equipamentos” hot spare ” pode reduzir substancialmente o tempo de inatividade, permitindo a reconstrução em paralelo. O impacto para os usuários finais pode ser significativo por curtos períodos, o que pode ser mitigado por meio de treinamento e agendamento.
- INFOCON 1 é a condição de prontidão mais alta e aborda técnicas de intrusão que não podem ser identificadas ou derrotadas em níveis mais baixos de prontidão (por exemplo, kernel root kit). Deve ser implementado apenas nos casos limitados em que as medidas do INFOCON 2 indicam repetidamente atividades anômalas que não podem ser explicadas, exceto pela presença dessas técnicas de intrusão. Até que métodos de detecção mais desejáveis estejam disponíveis, o método mais eficaz para garantir que o sistema não tenha sido comprometido dessa maneira é recarregar o software do sistema operacional em servidores de infraestrutura-chave (por exemplo, controladores de domínio, servidores Exchange, etc.) de uma linha de base precisa.A reconstrução deve ser expandida para outros servidores, conforme os níveis de detecção de intrusão e permissão de recursos indicarem. Uma vez que as comparações de linha de base não indicam mais atividades anômalas, o INFOCON 1 deve ser encerrado. O impacto nos administradores do sistema será significativo e exigirá um aumento no pré-planejamento, treinamento de pessoal e o exercício e pré-posicionamento dos utilitários de reconstrução do sistema. O uso de equipamentos” hot spare ” pode reduzir substancialmente o tempo de inatividade, permitindo a reconstrução em paralelo. O impacto para os usuários finais pode ser significativo por curtos períodos, o que pode ser mitigado por meio de treinamento e agendamento.3