Consultlocus

Responder

Responda às violações de segurança cibernética

O Securitylocus ajuda sua empresa a responder a violações de segurança cibernética.

Esta imagem tem um atributo alt vazio; seu nome de arquivo é Logo-400x400-1.jpg
Logotipos da Microsoft vetor in (. SVG, . EPS. IA, . CDR. PDF) download gratuito

Visão geral

Resposta a Incidentes (IR) é a prática de preparar uma organização para o caso de uma falha de segurança ou violação de dados através de uma infinidade de meios. Nem todos os incidentes serão os mesmos e, como tal, os respondentes de incidentes devem ter a capacidade de reagir a situações diferentes. Isso requer um plano cuidadosamente documentado e facilmente executável para permitir que uma organização erradique rapidamente malware, ransomware ou similar.

Respondendo a uma falha de segurança – Visão geral

As seis etapas do processo de resposta a incidentes

A CREST – uma organização sem fins lucrativos que garante a qualidade dos serviços oferecidos pelas empresas de segurança – desenvolveu um modelo bem definido para avaliar a maturidade de cada uma das seis etapas de Resposta a Incidentes.

O gráfico abaixo mostra como este modelo aborda os controles em seis estágios do processo de resposta a incidentes. Vamos olhar, em detalhes, os controles para cada uma dessas etapas.

Gráfico de resposta a incidentes

Preparação

A chave para a etapa de preparação é realizar uma análise cuidadosa durante testes simulados de incidentes.

Isso permite que uma organização crie um cronograma de resposta a incidentes cuidadosamente construído com todas as responsabilidades atribuídas às partes interessadas mais apropriadas.

Um plano de resposta a incidentes também deve incluir uma análise dos recursos de RI que uma empresa tem à sua disposição, como listas de portas, analisadores de protocolos, diagramas de rede etc.

Esta análise deve ser concluída na elaboração de um Kit de Ferramentas de RI, pronto para uso em caso de violação.

Identificação

Uma organização deve certificar-se de que as defesas relativas estão em vigor para garantir que os indicadores de compromisso sejam identificados.

Esses identificadores incluem:

  • Tráfego de rede de saída incomum
  • Novos usuários administrativos criados
  • Anomalias na atividade privilegiada da conta de usuário (primeiro logon para um sistema)
  • Irregularidades geográficas (tentativas de login não padrão)
  • Volume de leitura do banco de dados aumentado (despejo de banco de dados)
  • Um grande número de pedidos para o mesmo arquivo
  • Alterações suspeitas de registro ou arquivo do sistema
  • Remendos inesperados
  • Sinais de atividade DDoS

Se uma equipe de segurança de TI não sentir que esses indicadores apareceriam em seu sistema de segurança, uma nova revisão pode ser necessária.

Contenção

Uma vez que uma organização está confiante de que um incidente pode/será identificado, o foco então se volta para conter esse incidente. Uma organização deve alocar cursos de ação definidos com base no impacto potencial de vários incidentes.

A TI precisa examinar se tem controle de aspectos como o bloqueio de acesso não autorizado, bloqueio de ip perigosos e endereços de e-mail ou mesmo o isolamento de sistemas na rede entre outros. Este exercício garante que a função de TI tenha controle completo e visibilidade de tais ações.

Erradicação

O próximo passo é eliminar a causa do incidente – esta etapa pode se sobrepor à fase de contenção.

O objetivo aqui é erradicar a causa, o incidente real e o compromisso em si. Uma vez feito isso, é imprescindível que a erradicação seja verificada (por exemplo, monitorando o tráfego e revisando registros críticos).

O processo de RI deve permitir etapas de erradicação como:

  • Removendo o ataque da rede
  • Excluindo malware
  • Desativando contas de usuário violadas
  • Identificação de vulnerabilidades exploradas
  • Mitigando vulnerabilidades exploradas
  • Existe um processo formal para lidar com evidências ao lidar com um incidente?
  • Há passos a seguir para preservar evidências ao lidar com o incidente?

Restauração

Um plano de recuperação detalhado deve ser elaborado e revisto para determinar que todos os processos de recuperação sejam realizados para garantir a restauração do sistema o mais rápido possível, tais como: restaurar o sistema a partir de logs de backup, notificar os stakeholders relevantes e abordar vulnerabilidades identificadas semelhantes na rede etc.

A fase de restauração também deve considerar a validação de que os sistemas voltaram a ser totalmente operacionais e protegidos.

O plano ir deve considerar a inclusão de elementos como um teste de penetração externa para avaliar que as correções restauradas são suficientes. Deve-se considerar também o nível de detalhamento que está sendo fornecido às partes interessadas e o cronograma para o mesmo.

Lições aprendidas

Esta é muitas vezes considerada a etapa mais importante do processo de RI, pois as lições aprendidas podem ir longe para prevenir futuros incidentes.

Em suma, esta etapa envolve:

1) Realizar uma revisão pós-incidente para identificar todas as ações tomadas durante o processo de recuperação

2) Documentar formalmente essas lições, identificar onde as lições foram aprendidas e comunicá-las aos stakeholders relevantes

3) Atualizar e alterar o plano de IR existente para permitir que essas lições sejam aplicadas a incidentes futuros

Conclusão

Embora não seja possível preparar-se totalmente para incidentes futuros desconhecidos, existem elementos de um processo de Resposta a Incidentes que requerem preparação, para permitir uma mitigação eficaz de incidentes.

A conclusão é que um plano de resposta a incidentes não só precisa ser formalmente definido, mas deve ser avaliado periodicamente para garantir que ainda seja eficaz.

A aplicação de uma estrutura de Resposta a Incidentes bem definida e madura, como a desenvolvida pela CREST, ajuda a cobrir todos os aspectos importantes dessa avaliação.