Introducing G2.ai, the future of software buying.Try now
Categoria de Resposta a Incidentes

Resposta a Incidentes: Como Tornar os Incidentes Cibernéticos Menos Caóticos

12 de Janeiro de 2021
Sagar Joshi
SJ
por Sagar Joshi

Neste post

Neste post

Todos os negócios inevitavelmente enfrentam um incidente de segurança.

É apenas uma questão de tempo, e quando isso acontecer, a resposta da sua organização impactará a reputação, o tempo e a receita da sua empresa. Para minimizar quaisquer repercussões maiores, você deve planejar uma resposta antes que um incidente de segurança realmente aconteça.

Criar um plano de resposta a incidentes eficaz ajudará muito a lidar com incidentes de segurança e lhe dará uma estrutura confiável para estabelecer os procedimentos operacionais. Certifique-se de comunicar a política de resposta a incidentes de forma precisa a todas as equipes da organização e trabalhe para implementar a política durante um ataque cibernético real.

O que é resposta a incidentes?

Um plano de resposta a incidentes é uma abordagem bem definida e sistemática para lidar e gerenciar um incidente de segurança de forma que cause o mínimo impacto em uma organização. A abordagem é direcionada a limitar os danos e reduzir o tempo e os custos de resposta.

Incidentes de segurança não são apenas uma questão técnica, mas também um problema que afeta os negócios de várias maneiras. Se não forem tratados adequadamente, podem causar problemas legais, resultando na imposição de multas pesadas à sua organização, dependendo do tipo de informação ou ativos que foram comprometidos.

Para evitar tais situações, crie uma política de resposta a incidentes para que você saiba o que fazer e como limitar os danos se um incidente infeliz acontecer.

Antes de se aprofundar na compreensão detalhada da resposta a incidentes, vamos dedicar um momento para esclarecer o jargão e as terminologias que usaremos no artigo. Gerentes de TI usam termos específicos com base em sua experiência anterior na indústria, o que pode criar confusão, pois outros podem entender o significado de forma diferente.

Os termos mais fundamentais aqui são evento e incidente. Um evento é qualquer ocorrência observável em um sistema ou rede, não necessariamente malicioso. A publicação especial do Instituto Nacional de Padrões e Tecnologia (NIST) define um incidente como uma violação ou ameaça iminente de violação de políticas de segurança de computadores, políticas de uso aceitável ou práticas de segurança padrão.

Se você já trabalhou na indústria de ITSM antes, pode se lembrar de uma definição diferente de incidente. Ambos se referem a uma interrupção não planejada no serviço ou redução na qualidade do serviço. Ainda assim, neste artigo, focaremos mais em um incidente relacionado à segurança de computadores que compromete a cibersegurança de uma organização.

Por que a resposta a incidentes é importante?

Os hackers estão constantemente evoluindo, e assim também estão seus métodos. Com uma gama de vetores de ataque perfeitamente capazes de convergir um ataque cibernético na frente digital do seu negócio, você não pode se dar ao luxo de experimentar com sua estratégia de resposta.

Você deve ter um curso de ação definido e direto configurado antes que um evento ocorra. Em meio ao atual cenário de ameaças cibernéticas, não é uma questão de se uma violação de segurança acontece. Está mais inclinado para quando, e quando um incidente de cibersegurança ocorre, você deve estar preparado.

Um plano de resposta a incidentes permite que você se torne proativo durante uma crise de segurança e fornece a clareza necessária para contê-la e ajudar sua organização a se recuperar. Além disso, pressiona por uma abordagem preventiva. Além de estabelecer as bases para a resposta, ajuda as organizações a aprender com os incidentes e a implementar medidas preventivas e de remediação para evitá-los no futuro.

As razões pelas quais um plano de resposta a incidentes é importante são:

  • Proteção de dados: Os dados são a espinha dorsal dos negócios. Sua segurança é essencial tanto para a organização quanto para seus clientes. O plano de resposta a incidentes (IR) ajuda a elevar a segurança introduzindo métodos modernos na proteção de dados com base em lições aprendidas com incidentes anteriores.
  • Manutenção da confiança: Uma violação pode custar a confiança arduamente conquistada de seus clientes, investidores e outras partes interessadas. O plano de resposta a incidentes permite que você aborde um incidente de violação de dados de forma adequada e limite seu impacto o mais cedo possível. Isso ajudará a manter a confiança e a confiança de todas as partes interessadas envolvidas.
  • Proteção da receita: Em incidentes de segurança, a receita sofre um impacto substancial. Seja na forma de um resgate em um ataque de ransomware ou multas impostas por autoridades reguladoras, ou quando um cliente leva seus negócios para outro lugar. Para empresas públicas, isso se reflete principalmente nos preços de suas ações no mercado. Os planos de IR capacitam você a agir em um incidente de forma estruturada para interromper a drenagem de receita e lidar com o ataque rapidamente.

Concluindo, quanto mais rápido você lidar com um incidente de segurança com um plano bem pensado, melhor poderá ajudar sua organização a minimizar seu impacto. Você tem muitas partes móveis em um incidente de segurança: contratados de terceiros, autoridades legais e governamentais, imprensa e outros.

Um plano de resposta a incidentes adequado ajudará você a manter a clareza sobre o curso de ação em tempos estressantes. Tornará o tempo caótico um pouco menos agitado e muito mais eficaz.

Quer aprender mais sobre Software de Resposta a Incidentes? Explore os produtos de Resposta a Incidentes.

4 fases de uma resposta a incidentes

Antes de se aprofundar nas quatro fases da resposta a incidentes, é fundamental que você tenha um plano de comunicação em vigor, para que, quando um incidente real ocorrer, você não esteja lutando para mobilizar sua equipe de resposta a incidentes de segurança de computadores de forma eficaz. É aconselhável equipar sua equipe com software de resposta a incidentes para automatizar vários processos e/ou fornecer a eles as ferramentas necessárias para encontrar e resolver violações de segurança.

1. Preparação

Primeiro, reserve um lugar onde sua equipe possa se reunir e trabalhar em direção a uma resposta. Este lugar é comumente chamado de sala de guerra ou centro de comando. Se suas equipes estiverem implantadas em diferentes locais, considere ter um canal de comunicação seguro. Evite confiar em seus canais de comunicação anteriores, pois você não saberia inicialmente se eles foram comprometidos.

Dica: Formas tradicionais de comunicação podem ser a melhor escolha em situações adversas. Por exemplo, compartilhar uma imagem de um quadro branco contendo os detalhes por e-mail ou mensagem instantânea.

Se os membros da sua equipe trabalharem remotamente, considere equipá-los com um software de videoconferência seguro e utilizar seus recursos, como salas de reunião, para garantir uma colaboração eficaz.

Configure um repositório de contatos cobrindo todos na equipe de resposta a incidentes e tenha uma pessoa de plantão, mesmo durante a noite. É melhor se a responsabilidade de plantão for compartilhada por alguns membros que a atendem regularmente. Como mencionado antes, um incidente de segurança é apenas uma questão de tempo, e pode acontecer até mesmo às 3 da manhã. Ter uma pessoa de plantão garantiria à sua organização o suporte necessário de sua equipe em situações adversas.

Durante um incidente, suas equipes precisam de um arsenal de hardware e software para combater o ataque cibernético em curso. É aconselhável pré-selecionar essas ferramentas para treinar suas equipes nelas, para que estejam prontas para usar.

Você também pode ajudar a prevenir um ataque cibernético equipando o negócio com as melhores ferramentas de segurança. Normalmente, isso seria responsabilidade da equipe de operações de TI, mas você pode adicionar suas sugestões com base em sua experiência e aprendizados ao lidar com incidentes. Você precisaria de um kit de ferramentas de forense digital para conduzir uma análise completa do ambiente de TI.

Talvez incluir os custos de hardware e software em seu orçamento ajude você a planejar o aspecto financeiro da equipe de resposta a incidentes. Em seguida, você precisará de recursos técnicos e informações para poder avaliar o incidente adequadamente. Você pode conduzir modelagem de ameaças para planejar e otimizar as operações de segurança de rede.

Esses recursos técnicos necessários para sua equipe podem ser divididos em cinco categorias, conforme segue:

  • Listas de portas: As listas de várias portas, protocolos e serviços
  • Documentação: Uma lista de sistemas operacionais, aplicativos, produtos de segurança e protocolos da rede que você deseja responder
  • Base atual: Para saber o software que você precisaria instalar em um sistema ou servidor específico
  • Hashes criptográficos: Coleta de todos os hashes criptográficos para todos os arquivos críticos, incluindo seus aplicativos base que servem como uma impressão digital
  • Diagramas de rede: Para permitir que as equipes de IR acelerem a resposta em vez de escanear e entender a arquitetura da rede

2. Detecção e análise

Antes de colocar seu plano de resposta a incidentes em prática, você deve ter certeza de que um incidente ocorreu. Para detectar um incidente, você precisaria procurar por precursores ou indicadores.

Precursores: São sinais que indicam a possibilidade de um incidente no futuro.

Por exemplo, se seus logs mostram que alguém realizou uma varredura de portas ou uma varredura de vulnerabilidades em seu sistema. Isso é um precursor, pois os atacantes podem escanear o sistema em busca de vulnerabilidades antes de iniciar o ataque cibernético. Além disso, se uma nova vulnerabilidade de segurança for encontrada em uma das soluções de software de terceiros que você usa, também pode ser considerada um precursor. O hacker pode reverter essa vulnerabilidade para convergir um ataque à sua organização.

Indicadores: São sinais de que um incidente pode ter ocorrido ou pode ocorrer agora.

Um exemplo de indicador pode ser quando seu sistema de detecção de intrusões alerta você sobre um software malicioso tentando se comunicar a partir de um de seus hosts na rede. Da mesma forma, os sinais que indicam que algo malicioso está acontecendo agora podem ser tratados como indicadores.

Na fase de detecção, você deve procurar os indicadores de comprometimento (IOC). Estes são sinais que dizem com alta confiança que um incidente ocorreu. Normalmente, você pode procurar por assinaturas de malware, URLs ou nomes de domínio de sites maliciosos, servidores de comando e controle de botnets, e muitos mais.

Você obterá esses sinais de sistemas de detecção e prevenção de intrusões, sistemas SIEM, sistemas antispam e antivírus, software de verificação de integridade de arquivos e outras ferramentas de monitoramento de terceiros. Você também pode aproveitar as informações publicamente disponíveis, como as últimas vulnerabilidades atualizadas no banco de dados nacional de vulnerabilidades e outras fontes confiáveis.

Agora, uma vez que você tenha identificado os indicadores, o próximo passo é conduzir uma análise. É importante, pois você pode obter sinais de um incidente de fontes não confiáveis. Por exemplo, um usuário alegando que seu sistema ficou extremamente lento. Isso pode ser devido a malware ou pode ser apenas um programa corrompido. Você deve ter certeza de que houve uma intrusão real e então iniciar a resposta.

É aconselhável ter uma equipe de manipuladores de incidentes que possam conduzir uma análise completa dos sinais.

Os manipuladores de incidentes classificarão um sinal em três categorias:

  • Benigno: Estes são falsos positivos, onde o analista examinou o sinal e suas evidências e confirmou que não é um problema.
  • Malicioso: Estes são sinais de que um incidente real ocorreu, após o qual a equipe inicia a resposta ao incidente.
  • Suspeito: Estes são sinais onde o analista não tem certeza se são benignos ou maliciosos. Esses sinais são analisados por um analista sênior posteriormente.

Com a tecnologia moderna avançando rapidamente, essa análise é conduzida por meio de automação, mas você ainda precisa de recursos humanos reais, respirando e vivendo para tomar as decisões certas na gestão desse triagem. Para tomar a decisão certa, a equipe de resposta a incidentes deve obter uma compreensão aprofundada da base dos ativos de TI e endpoints da organização. Se você sabe como o normal se parece, pode rapidamente apontar as coisas estranhas.

Tecnologias como sistemas SIEM equipam sua equipe com capacidades como correlação de eventos e inteligência de ameaças. Você pode examinar logs em diferentes verticais de sua organização e prever a possibilidade de um incidente com base em permutações e combinações de certas atividades.

Dica: Considere ter uma base de conhecimento centralizada desses incidentes para compartilhar o conhecimento e ajudar outros analistas que estejam passando por uma situação semelhante.

Certifique-se de documentar tudo: alertas, indicadores, ações e o processo de resposta a incidentes realizado no plano. Serve como um excelente recurso de compartilhamento de conhecimento. Agora que você identificou as atividades e eventos maliciosos, o próximo passo é priorizar os incidentes com os quais você está lidando.

Você pode priorizar sua resposta a incidentes com base nos requisitos da sua organização. Cada empresa tem prioridades diferentes, e esperariam que sua estratégia de resposta se alinhasse com as mesmas. Algumas podem priorizar com base no impacto funcional (efeito nas operações normais), impacto informacional (efeito na disponibilidade e integridade dos dados dentro dos sistemas de TI) ou esforço de recuperabilidade (o esforço que levaria para se recuperar do evento).

Quando você priorizou a resposta ao incidente, a consideração final na fase de detecção e análise é notificar as pessoas e o procedimento para fazê-lo. O procedimento pode incluir nenhuma notificação, e-mail ou até mesmo uma ligação às 3 da manhã, com base na gravidade do incidente. Além disso, planeje quem você notificaria com antecedência para que possa mobilizar sua equipe de forma eficaz.

3. Contenção, erradicação e recuperação

Agora você identificou os incidentes e os priorizou. O próximo passo é conter o incidente e prevenir mais danos.

Existem algumas estratégias de contenção que você pode usar:

  • Isolamento: Envolve desconectar o sistema afetado de uma rede, desligá-lo ou bloquear certas funcionalidades na máquina vitimizada para limitar os danos.
  • Mitigação: Esta estratégia lhe dá tempo para que você possa aplicar sua metodologia de erradicação e alocar recursos de forma eficaz.
  • Sandboxing: Inclui separar um sistema de outros sistemas e programas críticos.

A escolha da estratégia de contenção depende em grande parte da natureza do incidente, da perspectiva da organização e do dano potencial que pode causar. O isolamento pode ser uma boa solução em certos casos, mas provavelmente não é a melhor para outros. Por exemplo, se seu sistema estiver infectado com malware, você estaria inclinado a desligá-lo ou desconectá-lo da rede. Mas quando a estação de trabalho serve como controlador de domínio, servidor de e-mail ou servidor web, desligá-lo faria mais mal do que bem, pois você estaria convidando uma negação de serviço por conta própria.

Da mesma forma, há momentos em que o malware é programado para lidar com o isolamento. Se o trojan detectar que seu sistema está sendo desligado, ele pode criptografar seus dados e até mesmo excluí-los. Em tais situações, os respondedores avançam com a estratégia de mitigação.

Como mencionado acima, a estratégia de mitigação lhe dá tempo para realizar a erradicação e alocar recursos. Para fazer isso, você pode isolar logicamente o ativo comprometido na zona desmilitarizada (também referida como rede DMZ), que pode separar sua rede do ativo comprometido e mantê-la segura atrás de um firewall.

Ao avançar com a estratégia de mitigação, você deve conduzir uma avaliação de risco e considerar os danos contínuos que a infecção vai causar nos ativos comprometidos antes de erradicá-la. Por outro lado, com o sandboxing, você pode redirecionar as atividades do atacante para uma estação de trabalho, que pode ser usada para coletar evidências. Certifique-se de que você não está violando nenhuma lei, pois elas variam de lugar para lugar.

Considere coletar evidências do incidente que respondam ao quê, por quê, onde, quando e como. Também é aconselhável manter uma cadeia de custódia adequada, que informa quem coletou, controlou e garantiu as evidências. Isso seria útil se a aplicação da lei for envolvida.

Isenção de responsabilidade: Estas diretrizes não constituem aconselhamento jurídico. Se você tiver perguntas legais, consulte um advogado licenciado.

Em seguida, você pode avançar para a erradicação e recuperação. A estratégia de erradicação dependerá da fonte do incidente. Certifique-se de ter todos os detalhes associados aos incidentes, pois eles importam imensamente. O objetivo é melhorar a segurança, pois você não gostaria que o incidente se repetisse e questionasse sua estrutura de segurança novamente.

Você pode conduzir uma análise de causa raiz, identificar a causa principal que levou ao incidente e corrigi-la antes que possa atrair mais problemas.

A análise de causa raiz é realizada em quatro etapas, conforme segue:

 

  1. Defina e delimite o incidente.
  2. Defina os eventos que juntos levaram ao incidente.
  3. Identifique uma solução.
  4. Certifique-se de que a solução foi implementada e o incidente foi resolvido.

4. Atividade pós-incidente

Após a equipe de resposta a incidentes ter erradicado o incidente e estar trabalhando com os administradores de sistema para se recuperar, eles entram na fase final. É a atividade pós-incidente que se inicia com as lições aprendidas. A lição aprendida é um método formal de documentar a experiência de lidar com o incidente, o que você poderia ter feito de forma diferente e o processo que você precisa melhorar internamente para evitar um incidente subsequente.

A atividade pós-incidente também envolverá o acompanhamento de métricas, como os indicadores que causam o maior número de eventos de segurança. Por exemplo, suponha que haja uma série de incidentes causados pelo abuso de acesso autorizado. Nesse caso, isso é um sinal de ameaça interna e a necessidade eminente de introduzir um sistema de detecção e proteção contra intrusões (IDPS).

Você também deve acompanhar o tempo para se recuperar de um incidente, iniciar o plano de resposta e o tempo levado para informar a alta administração e gerenciar as escalonamentos para que você possa otimizar seu processo melhor. Meça os custos associados ao incidente, como a compensação por hora paga aos profissionais de segurança que lidam com o incidente, perda de receita no tempo de inatividade, custo de software adicional instalado durante o incidente e também o custo total abrangendo todos os gastos associados ao incidente.

Você pode medir essas métricas objetivamente e, além disso, também pode avaliar aspectos subjetivos do incidente, como a eficácia do seu plano de comunicação. As métricas ajudarão você a detectar as áreas problemáticas em seu plano de resposta a incidentes e melhorar os processos para fornecer respostas melhores.
Atividade pós-incidente também inclui a retenção das evidências de um incidente. Você pode ter diferentes requisitos de retenção de evidências com base em como sua organização está lidando com o evento.

Invista em uma estratégia de resposta a incidentes

Os benefícios de uma estratégia de resposta a incidentes superam os custos associados a ela, especialmente quando comparados com as perdas financeiras que se acumulam em sua organização em um ataque cibernético. Com um plano de resposta a incidentes adequado, você pode detectar, conter, erradicar e se recuperar de um ataque sem se colocar em um mundo de confusão.

Saiba mais sobre ataques cibernéticos e como você pode lidar com eles para proteger sua reputação e se salvar de outros danos.

Sagar Joshi
SJ

Sagar Joshi

Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.

Explore mais artigos da G2

Onde encontrar as melhores soluções de inteligência de vendas
Qual ferramenta de combate à lavagem de dinheiro é melhor para pequenas empresas?
Comparação de serviços de backup de dados SaaS para empresas
Qual é o melhor aplicativo de CRM para proprietários de pequenas empresas?