02. Padrão de Conectividade entre os participantes e a estrutura de governança
Toda conectividade entre as instâncias MISP dos participantes e a estrutura de governança do Open Finance Brasil deve ser realizada obrigatoriamente por https e com protocolo conforme descrito no Manual de Segurança do Open Finance Brasil (IN 134 ou qualquer uma que venha substitui-la).
De forma a garantir maior segurança ao processo, é recomendado o uso do HSTS (HTTP Strict Transport Security).
2.1 Certificado Digital
O MISP preconiza pelo uso de conexões em https com o uso de um certificado digital válido.
Os certificados digitais emitidos para uso no MISP devem estar em conformidade com as boas práticas de TLS, conforme descrito no Manual de Segurança do Open Finance Brasil (IN 134 ou qualquer uma que venha substitui-la), sendo emitido por uma autoridade certificadora pública. Não haverá exigências quanto ao tipo de certificado digital a ser utilizado, mas esse deverá ser compatível com os modelos de validação do domínio no campo (SAN – Subject Alternative Name).
Não é permitida a utilização de certificados auto assinados entre os participantes do MISP Open Finance Brasil.
2.2 Armazenamento do Certificado Digital
O meio de armazenamento da chave privada utilizado pelo titular assegura, por meios técnicos e procedimentais adequados, no mínimo que:
a) A chave privada utilizada está suficientemente assegurada pelas proteções que a instituição oferece, sendo armazenada de maneira a protegê-la de terceiros de má-fé;
b) A chave privada utilizada deve ser eficazmente protegida pelo legítimo titular contra a utilização por terceiros, tendo em vista que temos um duplo fator de segurança: posse da chave privada e senha de utilização da chave;
c) Não é permitida a recuperação de chaves privadas na renovação dos certificados digitais;
d) Em nenhuma hipótese será permitida a cópia de segurança de chave privada, mesmo que realizada com o consentimento do respectivo titular;
h) As chaves privadas serão utilizadas apenas durante período de validade dos certificados correspondentes. As correspondentes chaves públicas podem ser utilizadas durante todo o período determinado pela legislação aplicável, para a verificação das assinaturas geradas durante o prazo de validade dos respectivos certificados.
2.3 Cuidados com Firewall, WAF e Anti-DDoS Corporativos
A instância MISP precisa ser mantida atualizada e potencialmente terá em seus eventos payloads maliciosos (malware, URLs de phishing e IoCs variados).
É imprescindível que:
A instância MISP possa acessar a Internet, principalmente os servidores de atualização do sistema operacional e as atualizações da plataforma;
O WAF corporativo ou proxy reverso (se houver) não interfira no tráfego do MISP;
Ferramentas Anti-DDoS não devem classificar acessos de instâncias parceiras como ataques.
O participante deverá observar o uso de qualquer ferramenta de inspeção de tráfego em especial TLS/SSL, pois esses podem interferir no envio e recebimento de eventos.
Referência:https://cert.br/misp/tutorial-ubuntu/