Resposta a incidentes

Por que a resposta a incidentes é importante?

Hoje, Benjamin Franklin poderia dizer que as únicas certezas são a morte, os impostos e os ciberataques. A pesquisa sugere que os incidentes críticos de segurança são quase inevitáveis, graças à engenhosidade criminosa do lado do invasor e ao erro humano do lado do usuário. Uma resposta reativa e desorganizada a um ataque dá uma vantagem aos malfeitores e coloca os negócios em maior risco. Na pior das hipóteses, os danos financeiros, operacionais e de reputação causados por um grande incidente de segurança podem forçar a falência de uma organização.

Por outro lado, uma estratégia de resposta a incidentes coesa e bem avaliada que segue as melhores práticas de resposta a incidentes limita as consequências e posiciona o negócio para se recuperar o mais rápido possível.

Tipos de incidentes de segurança

Ao desenvolver estratégias de resposta a incidentes, é importante primeiro entender como as vulnerabilidades, ameaças e incidentes de segurança estão relacionados.

Uma vulnerabilidade é uma fraqueza no ambiente de negócios ou de TI. Uma ameaça é uma entidade –seja um hacker mal-intencionado ou um membro da empresa– que visa explorar uma vulnerabilidade em um ataque. Para se qualificar como um incidente , um ataque deve obter acesso aos recursos da empresa ou colocá-los em risco. Finalmente, uma violação de dados é um incidente no qual os invasores comprometem com sucesso informações confidenciais, como informações de identificação pessoal ou propriedade intelectual.

Quando se trata de segurança cibernética, um grama de prevenção vale um quilo de cura. Especialistas dizem que as organizações devem corrigir vulnerabilidades conhecidas e desenvolver proativamente estratégias de resposta para lidar com incidentes de segurança comuns. Estes incluem o seguinte:

• Tentativas não autorizadas de acesso a sistemas ou dados.
• Ataques de escalonamento de privilégios.
• Ameaças internas.
• Ataques de phishing.
• Ataques de malware.
• Ataques de negação de serviço (DoS).
• Ataques man-in-the-middle.
• Ataques de senha.
• Ataques a aplicações web.
• Ameaças persistentes avançadas.

Mas, como nem todos os eventos de segurança são igualmente sérios —e as empresas simplesmente não têm recursos para tratar cada um de forma agressiva— a resposta a incidentes exige priorização. Pese a urgência e a importância de um incidente para determinar se ele merece uma resposta completa. Por exemplo, um ataque de ransomware ativo é urgente (ou seja, sensível ao tempo) e importante (ou seja, coloca ativos de TI críticos e a continuidade dos negócios em risco). Tal ataque justifica logicamente uma resposta rápida e significativa.

O que é um plano de resposta a incidentes?

Um plano de resposta a incidentes é um conjunto de documentação de referência de uma organização detalhando o seguinte:

• Que. Quais ameaças, exploits e situações se qualificam como incidentes de segurança acionáveis e o que fazer quando eles ocorrem.
• Quem. No caso de um incidente de segurança, quem é responsável por quais tarefas e como outras pessoas podem contatá-los.
• Quando. Em que circunstâncias os membros da equipe devem realizar determinadas tarefas.
• Como. Especificamente como os membros da equipe devem concluir essas tarefas.

Um plano de resposta a incidentes atua como um roteiro confiável e detalhado, orientando os respondentes desde a detecção inicial, avaliação e triagem de um incidente até sua contenção e resolução.

Como criar um plano de resposta a incidentes

A resposta bem-sucedida a incidentes requer planos proativos de redação, investigação e teste antes que ocorra uma crise. As melhores práticas incluem o seguinte:

1. Estabeleça uma política. Uma política de resposta e correção de incidentes deve ser um documento permanente que descreva as prioridades gerais de tratamento de incidentes de alto nível. Uma boa política capacita os respondentes de incidentes e os orienta a tomar decisões sensatas quando o proverbial excremento atinge o ventilador.
2. Crie uma equipe de resposta a incidentes. Um plano de resposta a incidentes é tão forte quanto as pessoas envolvidas. Estabeleça quem será responsável por quais tarefas e certifique-se de que todos tenham o treinamento adequado para cumprir suas funções e responsabilidades.
3. Crie manuais. Playbooks são a força vital da resposta a incidentes. Enquanto uma política de resposta a incidentes oferece uma visão de alto nível, os playbooks lidam com o mato, descrevendo as ações passo a passo padronizadas que os respondentes devem tomar em cenários específicos. Os benefícios do Playbook incluem maior consistência, eficiência e eficácia —tanto na resposta a incidentes quanto no treinamento de resposta a incidentes.
4. Crie um plano de comunicação. Um plano de resposta a incidentes não pode ser bem-sucedido sem um forte plano de comunicação entre as várias partes interessadas. Isso pode incluir equipes de resposta a incidentes, executivas, de comunicações, jurídicas e de recursos humanos, bem como clientes, parceiros externos, aplicação da lei e o público em geral.

Um plano de resposta a incidentes é um componente chave de qualquer programa de resposta a incidentes.

Em geral, um plano de resposta a incidentes deve incluir os seguintes componentes:

• Uma visão geral do plano.
• Uma lista de papéis e responsabilidades.
• Uma lista de incidentes que requerem ação.
• O estado atual da infraestrutura de rede e dos controles de segurança.
• Procedimentos de detecção, investigação e contenção.
• Procedimentos de erradicação.
• Procedimentos de recuperação.
• O processo de notificação de violação.
• Uma lista de tarefas de acompanhamento pós-incidente.
• Uma lista de contatos.
• Teste do plano de resposta a incidentes.
• Revisões em andamento.

Como gerenciar um plano de resposta a incidentes

O pior momento para descobrir se um plano de resposta a incidentes é falho é durante uma crise de segurança real, o que torna os testes contínuos críticos. Os especialistas aconselham as organizações a executar simulações regulares com vários vetores de ataque, como ransomware, informações privilegiadas maliciosas e ataques de força bruta.

Muitas empresas conduzem exercícios de simulação de resposta a incidentes para revisar seus planos. Um exercício de simulação baseado em discussão envolve falar sobre os detalhes de um ataque e a resposta da equipe. Um exercício de simulação operacional inclui tarefas práticas, com a execução de processos relevantes para ver como eles funcionam. Modelos como este podem ajudá-lo a planejar simulações eficazes.

Após incidentes de segurança reais e simulados, as equipes de resposta devem estudar o que aconteceu e revisar as lições aprendidas. Observe quaisquer violações de segurança que tenham surgido, recomende controles adicionais apropriados, faça um brainstorming de maneiras de melhorar os processos e atualize o plano de resposta a incidentes de acordo.

Lembre-se, um plano de resposta a incidentes não é uma proposição definida e esquecida. Ele deve evoluir continuamente para refletir as mudanças no cenário de ameaças, na infraestrutura de TI e no ambiente de negócios. Os especialistas recomendam reavaliações e revisões formais e abrangentes anualmente, no mínimo.

Estruturas de resposta a incidentes: Fases de resposta a incidentes

Em vez de tentar recriar a roda, uma organização que busca criar um plano de resposta a incidentes pode consultar as estruturas de resposta a incidentes estabelecidas para orientação e direção de alto nível.

As estruturas conhecidas do NIST, SANS Institute, ISO e ISACA diferem ligeiramente em suas abordagens, mas cada uma descreve fases semelhantes de resposta a incidentes:

1. Preparação/planejamento. Crie uma equipe de resposta a incidentes e crie políticas, processos e guias; implementar ferramentas e serviços para dar suporte à resposta a incidentes.
2. Detecção/identificação. Use o monitoramento de TI para detectar, avaliar, validar e classificar incidentes de segurança.
3. Contenção. Tome medidas para evitar que um incidente se agrave e recupere o controle dos recursos de TI.
4. Erradicação. Elimine a atividade de ameaças, incluindo malware e contas de usuários mal-intencionados; identificar vulnerabilidades que os invasores exploraram.
5. Recuperação. Restaure as operações normais e mitigue as vulnerabilidades relevantes.
6. Lições aprendidas. Revise o incidente para estabelecer o que aconteceu, quando aconteceu e como aconteceu. Sinalize os controles, políticas e procedimentos de segurança que não estavam funcionando de maneira ideal e identifique maneiras de melhorá-los. Atualize o plano de resposta a incidentes de acordo.

Quem é responsável pela resposta a incidentes?

Por trás de todo grande programa de resposta a incidentes está uma equipe de resposta a incidentes coordenada, eficiente e eficaz. Afinal, sem as pessoas certas para apoiá-los e implementá-los, políticas, processos e ferramentas de segurança significam muito pouco. Este grupo multifuncional é formado por pessoas de várias partes da organização que são responsáveis por concluir as etapas e processos envolvidos na resposta a incidentes.

Tipos de equipes de resposta a incidentes

Os três tipos mais comuns de equipes de resposta a incidentes são os seguintes:

• Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT).
• Equipe de Resposta a Incidentes de Computador (CIRT).
• Equipe de Resposta a Emergências Informáticas (CERT).

Essas siglas são frequentemente usadas de forma intercambiável em campo e as equipes geralmente têm os mesmos objetivos e responsabilidades. Uma observação importante é que o nome CERT é uma marca registrada da Carnegie Mellon University, portanto, as empresas devem obter permissão para usá-lo.

Outro termo comumente ouvido durante uma conversa da equipe de resposta a incidentes é centro de operações de segurança (SOC). Um SOC engloba as pessoas, ferramentas e processos que gerenciam o programa de segurança de uma organização. Embora as equipes SOC possam ser responsáveis pela resposta a incidentes, essa não é sua única tarefa dentro de uma organização. As outras funções das equipes SOC podem incluir descoberta e gerenciamento de ativos, manutenção de registros de atividades e garantia de conformidade regulatória, entre outros.

Membros da equipe de resposta a incidentes

O tamanho de uma equipe de resposta a incidentes e os membros incluídos variam de acordo com as necessidades individuais da organização. Alguns membros podem até cumprir várias funções e responsabilidades.

Em geral, uma equipe de resposta a incidentes consiste nos seguintes membros:

• Equipe técnica. Esta é a equipe principal de resposta a incidentes de TI e os membros de segurança que possuem conhecimento técnico em todos os sistemas da empresa. Geralmente inclui um gerente de resposta a incidentes, coordenador de resposta a incidentes, líder de equipe, analistas de segurança, respondentes de incidentes, investigadores de ameaças e analistas forenses.
• Patrocinador executivo. Este é um executivo ou membro do conselho, muitas vezes o CSO ou CISO.
• Equipe de comunicação Isso inclui representantes de relações públicas e outros que gerenciam as comunicações internas e externas.
• Partes interessadas externas. Os membros incluem outros funcionários ou departamentos dentro da organização, como TI, conselho jurídico ou geral, recursos humanos, relações públicas, continuidade de negócios e recuperação de desastres, segurança física e equipes de instalações.
• Terceiros. Esses membros externos podem incluir consultores de segurança ou resposta a incidentes, representação legal externa, MSPs, provedores de serviços de segurança gerenciados, provedores de serviços de nuvem (CSPs), fornecedores e parceiros.

Uma equipe de resposta a incidentes bem desenvolvida é vital para garantir que as atividades de resposta a incidentes sejam realizadas conforme o planejado.

O que faz uma equipe de resposta a incidentes?

Os principais objetivos de uma equipe de resposta a incidentes são detectar e responder a eventos de segurança e minimizar seu impacto nos negócios. Como tal, as responsabilidades da equipe se alinham em grande parte com as fases descritas em um plano e estrutura de resposta a incidentes. As tarefas da equipe incluem o seguinte:

• Prepare-se para e previna incidentes de segurança.
• Crie o plano de resposta a incidentes.
• Teste, atualize e gerencie o plano de resposta a incidentes antes de usá-lo.
• Realizar exercícios de simulação de resposta a incidentes.
• Desenvolva métricas para analisar as iniciativas do programa.
• Identificar eventos de segurança.
• Contenha eventos de segurança, coloque ameaças em quarentena e isole sistemas.
• Elimine as ameaças, descubra as causas principais e remova os sistemas afetados dos ambientes de produção.
• Recupere-se de ameaças e coloque os sistemas afetados novamente online.
• Realizar atividades de acompanhamento, incluindo documentação, análise de incidentes e identificação de como evitar eventos semelhantes e melhorar os esforços de resposta futuros.
• Revise e atualize o plano de resposta a incidentes regularmente.

Resposta a incidentes na nuvem

À medida que o uso da nuvem corporativa prolifera, aumenta a importância de incluir a nuvem nos processos de resposta a incidentes. Os objetivos da resposta a incidentes na nuvem são os mesmos da resposta tradicional a incidentes, com algumas ressalvas.

Considere o modelo de responsabilidade compartilhada, por exemplo. Com aplicativos, plataformas e infraestrutura locais, as equipes de TI e segurança de uma organização geralmente são responsáveis por todas as tarefas de administração e segurança. Com SaaS, PaaS e IaaS, por outro lado, parte ou toda a responsabilidade passa para os CSPs. Isso pode dificultar ou mesmo impossibilitar a detecção e investigação de incidentes, dependendo da implementação.

A resposta a incidentes na nuvem também pode exigir novas ferramentas e conjuntos de habilidades, bem como uma compreensão mais profunda dos incidentes e ameaças de segurança na nuvem. As ferramentas tradicionais podem não funcionar corretamente –ou não funcionar– em ambientes de nuvem. Novas ferramentas e procedimentos não apenas aumentam o que as equipes de resposta a incidentes precisam aprender e gerenciar, mas também podem exigir orçamento adicional.

Ferramentas e tecnologias de resposta a incidentes

Como Benjamin Franklin disse uma vez: "O melhor investimento é nas ferramentas de trabalho." No caso de resposta a incidentes, isso envolve muitas ferramentas, geralmente categorizadas por seus recursos de prevenção, detecção ou resposta.

Não existe uma ferramenta única de resposta a incidentes de tamanho único. Em vez disso, é necessária uma combinação de ferramentas e tecnologias para ajudar as equipes de resposta a incidentes a prevenir, detectar, analisar, conter, erradicar e se recuperar de incidentes. A maioria das organizações já possui uma variedade de ferramentas e processos de resposta a incidentes. Normalmente categorizados por seus recursos de detecção, prevenção e resposta, eles incluem o seguinte:

• Antimalware.
• Ferramentas de backup e recuperação.
• Agente de segurança de acesso à nuvem.
• Ferramentas de classificação de dados.
• Prevenção de perda de dados.
• Mitigação de DoS.
• Treinamento de conscientização de segurança dos funcionários.
• Detecção e resposta de endpoint.
• Firewall.
• Análise forense.
• Sistemas de prevenção e detecção de intrusão.
• Segurança da informação e gerenciamento de eventos (SIEM).
• Orquestração, Automação e Resposta de Segurança (SOAR).
• Gestão de vulnerabilidades.

Gerenciar todas essas ferramentas pode ser muito para uma equipe de segurança. Muitas organizações estão recorrendo à automação de resposta a incidentes para reduzir a fadiga de alertas, realizar triagem de alertas, investigar e responder automaticamente a ameaças, automatizar emissão de tickets e alertas, conservar esforços humanos para valor de atividades de alto perfil, responder e resolver problemas mais rapidamente, automatizar casos e relatórios gerenciamento e economizar dinheiro.

Você está pensando em lidar com a resposta a incidentes internamente ou terceirizar algumas ou todas as suas tarefas de resposta a incidentes? A resposta a incidentes internos requer as pessoas, ferramentas e orçamento certos. Também é importante considerar a natureza e a complexidade das ameaças enfrentadas pela organização. Em alguns cenários, a resposta interna a incidentes pode ser a melhor aposta. No entanto, as organizações que enfrentam ameaças mais sérias —ou aquelas com vários locais, cada uma enfrentando ameaças exclusivas— podem ser mais adequadas para terceirizar suas necessidades de resposta a incidentes.

Os provedores de serviços geralmente oferecem serviços de resposta a incidentes, como os seguintes, em espera ou emergência:

• Detecção de ameaças e gerenciamento de resposta.
• Fornecer serviços de prevenção de ameaças.
• Testes de penetração e caça a ameaças.
• Apoio na gestão de mídia e relações públicas.
• Realização de análise de causa raiz.
• Implementação da gestão de crises.
• Manter a conformidade regulatória.

Resposta a incidentes e SOAR

O SOAR é uma das ferramentas mais recentes a se juntar ao arsenal de resposta a incidentes. Como tal, a confusão envolve o que é e o que faz. Seus recursos são semelhantes aos do SIEM, o que aumenta a confusão.

Orquestração, automação e resposta de segurança são um conjunto de tecnologias que, quando combinadas, ajudam as equipes de segurança a agregar, analisar, detectar e responder a eventos de segurança com pouca ou nenhuma intervenção humana. As principais funções de cada componente SOAR são descritas abaixo:

• Orquestração de segurança. Essa função conecta e integra ferramentas internas e externas por meio de APIs e integrações integradas ou personalizadas. Coleta e consolida dados coletados por várias ferramentas para iniciar funções de resposta, com base em parâmetros e processos de análise de incidentes definidos.
• Automação de segurança. Esse recurso usa dados coletados durante a orquestração de segurança para acionar fluxos de trabalho e tarefas com base em limites e ações definidos nos manuais de resposta a incidentes. As plataformas SOAR podem corrigir automaticamente vulnerabilidades de baixo risco e concluir tarefas de baixo nível executadas historicamente por analistas humanos, como verificação de vulnerabilidades. Ameaças de alto risco também podem ser encaminhadas automaticamente para analistas de segurança para investigação adicional.
• Resposta de Segurança. Fornecido por meio de uma visão única, esse recurso permite que os analistas de segurança, rede e sistema acessem e compartilhem informações sobre ameaças, colaborem e executem atividades de resposta pós-incidente.

Os quatro componentes das ferramentas SOAR permitem que as equipes coletem, analisem, encontrem e respondam a incidentes de segurança.

As operações dos sistemas SIEM são semelhantes às plataformas SOAR, mas carecem de uma característica fundamental: a resposta automática. Os SIEMs simplesmente alertam as equipes sobre possíveis incidentes; eles não acionam ações automatizadas. SIEMs e SOARs têm tempo médio de detecção semelhante, mas os SOARs se destacam por seu tempo médio de resposta, graças a seus recursos automatizados.

As plataformas SOAR aumentam os analistas humanos com os seguintes recursos:

• Coordenação de inteligência de ameaças.
• Gestão de caso.
• Gestão de vulnerabilidades.
• Enriquecimento automatizado para correção.
• Caça à ameaça.
• Automatização da resposta a incidentes.

Nesses casos de uso, as plataformas SOAR podem ajudar a melhorar a produtividade; automatizar tarefas repetitivas, tediosas e sem importância; usar as ferramentas de segurança existentes melhor e mais contextualmente; e melhorar a integração de ferramentas de terceiros, entre outros benefícios. No entanto, as plataformas SOAR têm seus desafios. Ou seja, os SOARs podem não se integrar facilmente a todas as ferramentas de segurança ou podem não se integrar de forma alguma, não abordam a cultura de segurança dentro de uma organização e podem não corresponder às expectativas exageradas do usuário.

A resposta a incidentes é a base de qualquer programa de segurança cibernética empresarial; sua importância não pode ser exagerada. Responder rapidamente a incidentes de segurança de forma eficaz e eficiente ajuda a minimizar os danos, melhorar o tempo de recuperação, restaurar as operações comerciais e evitar altos custos.

Mas como Benjamin Franklin atestaria: "Olhe para frente ou você se encontrará para trás". Em outras palavras, a prevenção é fundamental. Um plano de resposta a incidentes bem pensado e uma equipe de resposta a incidentes de primeira linha prepararão as organizações para quando o inevitável acontecer. Mas a primeira linha de defesa deve ser sempre manter as redes e os dados seguros, além de garantir que os usuários sejam treinados e cientes da segurança.