Segurança da informação: O que é resposta a incidentes?
Resposta a incidentes, ou incident response em inglês (IR), é o processo pelo qual uma organização lida com uma violação de dados ou ataque cibernético. É um esforço para identificar rapidamente um ataque, minimizar os seus efeitos, conter os danos e remediar a causa para reduzir o risco de incidentes futuros.
Existem várias abordagens para construir um processo estruturado de IR:
- Processo de 4 etapas do NIST: De acordo com o Instituto Nacional de Padrões e Tecnologia (NIST), a resposta a incidentes tem quatro etapas: preparação; detecção e análise; contenção, erradicação e recuperação; e atividade pós-incidente.
- Processo SANS de 6 fases: De acordo com o SANS Institute, a resposta a incidentes deve ter seis etapas: preparação; identificação; contenção; erradicação; recuperação; e lições aprendidas.
- Alguns especialistas em segurança cibernética propõem um processo de 7 etapas com uma etapa adicional: novos testes e treinamento contínuos para garantir a prontidão organizacional.
O que é um plano de resposta a incidentes (IRP)?
Um plano de resposta a incidentes é um conjunto de procedimentos documentados que detalham as etapas que devem ser executadas em cada fase da resposta a incidentes. Deve incluir diretrizes para funções e responsabilidades, planos de comunicação e protocolos de resposta padronizados.
Dentro do seu plano é importante usar uma linguagem clara e definir quaisquer termos ambíguos. Um conjunto de termos frequentemente confundidos é evento, alerta e incidente. Ao usar esses termos em seu plano, pode ser útil restringir o uso da seguinte forma:
- Evento – uma alteração nas configurações do sistema, no status ou na comunicação. Os exemplos incluem solicitações de servidor, atualização de permissões ou exclusão de dados.
- Alerta — uma notificação acionada por um evento. Os alertas podem alertar sobre eventos suspeitos ou normais que precisam de sua atenção. Por exemplo, o uso de uma porta não utilizada versus recursos de armazenamento escassos.
- Incidente – um evento que coloca seu sistema em risco. Por exemplo, roubo de credenciais ou instalação de malware.
Confira também: Quais são os 5 pilares da segurança da informação?
8 tipos de incidentes de segurança
Existem muitos tipos de incidentes de segurança cibernética que podem resultar em intrusões na rede de uma organização:
- Tentativas não autorizadas de acesso a sistemas ou dados: Ocorre quando um indivíduo ou grupo tenta obter acesso não autorizado aos sistemas ou dados de uma organização. Os exemplos incluem tentativas de hacking, ataques de força bruta e engenharia social.
- Ataque de escalonamento de privilégios: ocorre quando um invasor consegue obter acesso a um sistema com privilégios limitados e, em seguida, usa esse acesso para obter privilégios de nível superior. Isso pode ser feito explorando vulnerabilidades no sistema ou usando credenciais roubadas.
- Ameaça interna: ocorre quando um funcionário atual ou ex-funcionário, contratado ou outro membro interno usa seu acesso aos sistemas ou dados de uma organização para fins maliciosos. Os exemplos incluem o roubo de informações confidenciais ou a sabotagem de sistemas.
- Ataque de Phishing: Ocorre quando um invasor envia um e-mail ou mensagem que parece ser de uma fonte legítima, mas na verdade é uma armadilha para roubar informações confidenciais ou espalhar malware.
- Ataque de malware: ocorre quando um invasor usa malware, como um vírus ou cavalo de Tróia, para obter acesso aos sistemas ou dados de uma organização ou realizar outras atividades maliciosas. Diferentes tipos de malware podem realizar atividades diferentes. Por exemplo, o ransomware pode impedir o acesso aos dados até que um resgate seja pago.
- Ataque de negação de serviço (DoS): ocorre quando um invasor inunda um sistema ou rede com tráfego, fazendo com que ele fique indisponível para usuários legítimos.
- Ataque Man-in-the-Middle (MitM): Ocorre quando um invasor intercepta e altera as comunicações entre duas partes. O invasor pode roubar informações confidenciais ou espalhar malware dessa forma.
- Ameaça Persistente Avançada (APT): Um ataque sofisticado e direcionado projetado para obter acesso aos sistemas ou dados de uma organização, muitas vezes com o objetivo de roubar informações confidenciais ou manter uma presença de longo prazo.
Veja mais aqui: Riscos cibernéticos: principais causas
Etapas de resposta a incidentes: 6 fases do ciclo de vida de resposta a incidentes (de acordo com o SANS)
Na introdução deste artigo discutimos duas opções principais para um processo de IR, o processo de resposta a incidentes NIST com quatro etapas e o processo de resposta a incidentes SANS com seis fases.
De acordo com o SANS, existem seis fases para resposta a incidentes. Essas seis etapas ocorrem em um ciclo sempre que ocorre um incidente. As etapas são:
- Preparação de sistemas e procedimentos
- Identificação de incidentes
- Contenção de invasores e atividades de incidentes
- Erradicação de invasores e opções de reentrada
- Recuperação de incidentes, incluindo restauração de sistemas
- Lições aprendidas e aplicação do feedback para a próxima rodada de preparação.
Preparação
Durante a primeira fase de preparação, você analisa as medidas e políticas de segurança existentes para determinar a eficácia. Isto envolve a realização de uma avaliação de risco para determinar quais vulnerabilidades existem atualmente e a prioridade de seus ativos. As informações são então aplicadas para priorizar respostas para tipos de incidentes. Também é utilizado, se possível, para reconfigurar sistemas para cobrir vulnerabilidades e concentrar a proteção em ativos de alta prioridade.
Esta fase é onde você refina as políticas e procedimentos existentes ou escreve novos, se estiverem faltando. Esses procedimentos incluem um plano de comunicação e atribuição de funções e responsabilidades durante um incidente.
Identificação de ameaças
Utilizando as ferramentas e procedimentos determinados na fase de preparação, as equipes trabalham para detectar e identificar qualquer atividade suspeita. Quando um incidente é detectado, os membros da equipe precisam trabalhar para identificar a natureza do ataque, sua origem e os objetivos do invasor.
Durante a identificação, quaisquer provas recolhidas devem ser protegidas e retidas para posterior análise aprofundada. Os responsáveis devem documentar todas as medidas tomadas e as evidências encontradas, incluindo todos os detalhes. Isso pode ajudá-lo a processar com mais eficácia se um invasor for identificado.
Durante esta fase, após a confirmação de um incidente, os planos de comunicação também são normalmente iniciados. Esses planos informam os membros da segurança, as partes interessadas, as autoridades, os consultores jurídicos e, eventualmente, os usuários sobre o incidente e quais medidas precisam ser tomadas.
Contenção de ameaças
Depois que um incidente é identificado, os métodos de contenção são determinados e implementados. O objetivo é avançar para esta fase o mais rápido possível para minimizar a quantidade de danos causados.
A contenção geralmente é realizada em subfases:
- Contenção de curto prazo – as ameaças imediatas são isoladas no local. Por exemplo, a área da sua rede em que um invasor está atualmente pode ser segmentada. Ou um servidor infectado pode ser colocado off-line e o tráfego redirecionado para um failover.
- Contenção de longo prazo – controles de acesso adicionais são aplicados a sistemas não afetados. Enquanto isso, versões limpas e corrigidas de sistemas e recursos são criadas e preparadas para a fase de recuperação.
Eliminação de ameaças
Durante e após a contenção, toda a extensão de um ataque torna-se visível. Depois que as equipes estiverem cientes de todos os sistemas e recursos afetados, elas poderão começar a expulsar invasores e eliminar malware dos sistemas. Esta fase continua até que todos os vestígios do ataque sejam removidos. Em alguns casos, isso pode exigir que os sistemas sejam colocados off-line para que os ativos possam ser substituídos por versões limpas na recuperação.
Recuperação e restauração
Nesta fase, as equipes colocam sistemas online de substituição atualizados. Idealmente, os sistemas podem ser restaurados sem perda de dados, mas isso nem sempre é possível.
Neste último caso, as equipes devem determinar quando a última cópia limpa dos dados foi criada e restaurá-la. A fase de recuperação normalmente se estende por um tempo, pois também inclui sistemas de monitoramento por um tempo após um incidente para garantir que os invasores não retornem.
Feedback e refinamento
A fase de lições aprendidas é aquela em que sua equipe analisa quais etapas foram executadas durante uma resposta. Os membros devem abordar o que deu certo e o que não deu e fazer sugestões para melhorias futuras. Qualquer documentação incompleta também deve ser encerrada nesta fase.
Confira também: Política de Segurança da Informação: Diretrizes Essenciais para a Proteção de Dados
Aprenda mais sobre resposta a incidentes nos cursos da IBSEC
Para aprofundar seus conhecimentos em resposta a incidentes e estar preparado para enfrentar os desafios da segurança cibernética, recomendamos os cursos oferecidos pela IBSEC:
- Ransomware: Identificar, Proteger e Recuperar na Prática: Este curso fornecerá insights valiosos sobre uma das ameaças mais devastadoras do mundo digital. Você aprenderá a identificar sinais de ransomware, implementar medidas de proteção eficazes e desenvolver estratégias de recuperação para lidar com esse tipo de ataque.
- Malware: Prevenção, Proteção e Resposta a Incidentes na Prática: Entenda como os malwares operam e como se defender contra eles. Este curso abrange desde as melhores práticas de prevenção até as técnicas avançadas de resposta a incidentes, capacitando você a proteger sua organização contra uma ampla gama de ameaças virtuais.
Não perca a oportunidade de aprimorar suas habilidades em segurança da informação. Inscreva-se agora nos links acima e fortaleça sua defesa contra as ameaças cibernéticas em constante evolução.
