BLOG IBSEC

Resposta a incidentes, ou incident response em inglês (IR), é o processo pelo qual uma organização lida com uma violação de dados ou ataque cibernético. É um esforço para identificar rapidamente um ataque, minimizar os seus efeitos, conter os danos e remediar a causa para reduzir o risco de incidentes futuros.

Existem várias abordagens para construir um processo estruturado de IR:

O que é um plano de resposta a incidentes (IRP)?

Um plano de resposta a incidentes é um conjunto de procedimentos documentados que detalham as etapas que devem ser executadas em cada fase da resposta a incidentes. Deve incluir diretrizes para funções e responsabilidades, planos de comunicação e protocolos de resposta padronizados.

Dentro do seu plano é importante usar uma linguagem clara e definir quaisquer termos ambíguos. Um conjunto de termos frequentemente confundidos é evento, alerta e incidente. Ao usar esses termos em seu plano, pode ser útil restringir o uso da seguinte forma:

Confira também: Quais são os 5 pilares da segurança da informação?

8 tipos de incidentes de segurança

Existem muitos tipos de incidentes de segurança cibernética que podem resultar em intrusões na rede de uma organização:

  1. Tentativas não autorizadas de acesso a sistemas ou dados: Ocorre quando um indivíduo ou grupo tenta obter acesso não autorizado aos sistemas ou dados de uma organização. Os exemplos incluem tentativas de hacking, ataques de força bruta e engenharia social.
  2. Ataque de escalonamento de privilégios: ocorre quando um invasor consegue obter acesso a um sistema com privilégios limitados e, em seguida, usa esse acesso para obter privilégios de nível superior. Isso pode ser feito explorando vulnerabilidades no sistema ou usando credenciais roubadas.
  3. Ameaça interna: ocorre quando um funcionário atual ou ex-funcionário, contratado ou outro membro interno usa seu acesso aos sistemas ou dados de uma organização para fins maliciosos. Os exemplos incluem o roubo de informações confidenciais ou a sabotagem de sistemas.
  4. Ataque de Phishing: Ocorre quando um invasor envia um e-mail ou mensagem que parece ser de uma fonte legítima, mas na verdade é uma armadilha para roubar informações confidenciais ou espalhar malware.
  5. Ataque de malware: ocorre quando um invasor usa malware, como um vírus ou cavalo de Tróia, para obter acesso aos sistemas ou dados de uma organização ou realizar outras atividades maliciosas. Diferentes tipos de malware podem realizar atividades diferentes. Por exemplo, o ransomware pode impedir o acesso aos dados até que um resgate seja pago.
  6. Ataque de negação de serviço (DoS): ocorre quando um invasor inunda um sistema ou rede com tráfego, fazendo com que ele fique indisponível para usuários legítimos.
  7. Ataque Man-in-the-Middle (MitM): Ocorre quando um invasor intercepta e altera as comunicações entre duas partes. O invasor pode roubar informações confidenciais ou espalhar malware dessa forma.
  8. Ameaça Persistente Avançada (APT): Um ataque sofisticado e direcionado projetado para obter acesso aos sistemas ou dados de uma organização, muitas vezes com o objetivo de roubar informações confidenciais ou manter uma presença de longo prazo.

Veja mais aqui: Riscos cibernéticos: principais causas

Etapas de resposta a incidentes: 6 fases do ciclo de vida de resposta a incidentes (de acordo com o SANS)

Na introdução deste artigo discutimos duas opções principais para um processo de IR, o processo de resposta a incidentes NIST com quatro etapas e o processo de resposta a incidentes SANS com seis fases.

De acordo com o SANS, existem seis fases para resposta a incidentes. Essas seis etapas ocorrem em um ciclo sempre que ocorre um incidente. As etapas são:

  1. Preparação de sistemas e procedimentos
  2. Identificação de incidentes
  3. Contenção de invasores e atividades de incidentes
  4. Erradicação de invasores e opções de reentrada
  5. Recuperação de incidentes, incluindo restauração de sistemas
  6. Lições aprendidas e aplicação do feedback para a próxima rodada de preparação.

Preparação

Durante a primeira fase de preparação, você analisa as medidas e políticas de segurança existentes para determinar a eficácia. Isto envolve a realização de uma avaliação de risco para determinar quais vulnerabilidades existem atualmente e a prioridade de seus ativos. As informações são então aplicadas para priorizar respostas para tipos de incidentes. Também é utilizado, se possível, para reconfigurar sistemas para cobrir vulnerabilidades e concentrar a proteção em ativos de alta prioridade.

Esta fase é onde você refina as políticas e procedimentos existentes ou escreve novos, se estiverem faltando. Esses procedimentos incluem um plano de comunicação e atribuição de funções e responsabilidades durante um incidente.

Identificação de ameaças

Utilizando as ferramentas e procedimentos determinados na fase de preparação, as equipes trabalham para detectar e identificar qualquer atividade suspeita. Quando um incidente é detectado, os membros da equipe precisam trabalhar para identificar a natureza do ataque, sua origem e os objetivos do invasor.

Durante a identificação, quaisquer provas recolhidas devem ser protegidas e retidas para posterior análise aprofundada. Os responsáveis devem documentar todas as medidas tomadas e as evidências encontradas, incluindo todos os detalhes. Isso pode ajudá-lo a processar com mais eficácia se um invasor for identificado.

Durante esta fase, após a confirmação de um incidente, os planos de comunicação também são normalmente iniciados. Esses planos informam os membros da segurança, as partes interessadas, as autoridades, os consultores jurídicos e, eventualmente, os usuários sobre o incidente e quais medidas precisam ser tomadas.

Contenção de ameaças

Depois que um incidente é identificado, os métodos de contenção são determinados e implementados. O objetivo é avançar para esta fase o mais rápido possível para minimizar a quantidade de danos causados.

A contenção geralmente é realizada em subfases:

Eliminação de ameaças

Durante e após a contenção, toda a extensão de um ataque torna-se visível. Depois que as equipes estiverem cientes de todos os sistemas e recursos afetados, elas poderão começar a expulsar invasores e eliminar malware dos sistemas. Esta fase continua até que todos os vestígios do ataque sejam removidos. Em alguns casos, isso pode exigir que os sistemas sejam colocados off-line para que os ativos possam ser substituídos por versões limpas na recuperação.

Recuperação e restauração

Nesta fase, as equipes colocam sistemas online de substituição atualizados. Idealmente, os sistemas podem ser restaurados sem perda de dados, mas isso nem sempre é possível.

Neste último caso, as equipes devem determinar quando a última cópia limpa dos dados foi criada e restaurá-la. A fase de recuperação normalmente se estende por um tempo, pois também inclui sistemas de monitoramento por um tempo após um incidente para garantir que os invasores não retornem.

Feedback e refinamento

A fase de lições aprendidas é aquela em que sua equipe analisa quais etapas foram executadas durante uma resposta. Os membros devem abordar o que deu certo e o que não deu e fazer sugestões para melhorias futuras. Qualquer documentação incompleta também deve ser encerrada nesta fase.

Confira também: Política de Segurança da Informação: Diretrizes Essenciais para a Proteção de Dados

Aprenda mais sobre resposta a incidentes nos cursos da IBSEC

Para aprofundar seus conhecimentos em resposta a incidentes e estar preparado para enfrentar os desafios da segurança cibernética, recomendamos os cursos oferecidos pela IBSEC:

Não perca a oportunidade de aprimorar suas habilidades em segurança da informação. Inscreva-se agora nos links acima e fortaleça sua defesa contra as ameaças cibernéticas em constante evolução.

Rua Conceição de Monte Alegre, 107 - Bloco B
10º andar, Brooklin - São Paulo, SP - Brasil | CEP: 04563-060

contato @ ibsec.com.br

© 2024 Por IBSEC - Instituto Brasileiro de Cibersegurança | CNPJ: 07.697.729/0001-08

Todos os diretos reservados. | Termos | Privacidade