É preciso melhorar o tempo de resposta da equipe de segurança

Com uma equipe adequada, procedimentos simplificados e as ferramentas certas, responder às ameaças pode ser uma tarefa mais simples do que o esperado

Quando se trata de resposta a incidentes, cada segundo conta. A gravidade das violações varia, mas como o dano feito está diretamente relacionado ao tempo que alguém mal-intencionado tem acesso aos sistemas, é fundamental que todas as ameaças sejam descobertas e corrigidas o mais rápido possível. A diferença entre uma violação detectada e remediada em duas horas e dois dias pode ser a diferença entre uma rápida revisão de laptop ou uma perda de receita de seis dígitos.

Se um vírus passa pelo firewall e, em vez de perceber a ameaça e inserir o ponto de entrada do sandbox, a ameaça for perdida, toda a equipe de vendas pode ser afetada. Além de perder dinheiro com a equipe de vendas, a empresa também está perdendo dinheiro com horas perdidas tentando atenuar os danos que poderiam ter sido evitados se estivessem preparados para isso.

Então, como é possível se preparar adequadamente? Aqui estão algumas dicas:

Equipe adequada
Uma equipe adequada de TI é um investimento no futuro de toda a empresa. A equipe de TI não precisa apenas do tipo certo de pessoas, mas do número certo de funcionários.

O ambiente de ameaças muda rapidamente e, para manter o ritmo, os profissionais de TI precisam reservar tempo para auditar seus processos de resposta e obter treinamento sobre as ferramentas mais recentes disponíveis. Infelizmente, quando a equipe está com falta de pessoal, os funcionários têm dificuldade em progredir. Uma equipe com falta de pessoal é um caminho seguro para a falta de supervisão.

Com um time pequeno, a resposta a incidentes envolverá todo o processo pessoal, o que significa que pode não haver qualquer poder humano para enfrentar outros problemas que possam surgir.

Procedimento de racionalização
Todas as equipes de segurança devem ter um processo de resposta a incidentes para orientar os esforços de correção. Para entender os processos e procedimentos de resposta a incidentes, é necessária uma revisão adequada:

- Preparação
É essencial que todas as organizações estejam preparadas para o pior, o que significa que a preparação é vital para qualquer plano de resposta a incidentes de segurança. Envolve a identificação de um incidente, a recuperação, a retomada da atividade comercial normal e a criação de políticas de segurança estabelecidas, incluindo:

- Banners de aviso

- Expectativas de privacidade do usuário.

- Processos de notificação de incidentes estabelecidos.

- Desenvolvimento de uma política de contenção de incidentes.

- Criação de listas de verificação de tratamento de incidentes.
Ao analisar os ativos de manipulação de incidentes pré-implantados, é preciso certificar-se de que possui determinadas ferramentas em vigor no caso de uma violação do sistema. Isso inclui examinar seus próprios sensores, sondas e monitores em sistemas críticos, rastrear bancos de dados em sistemas principais e concluir registros de auditoria ativos para todos os aspectos e componentes da rede.

- Identificação
O próximo estágio da resposta a incidentes é identificar o incidente real. O primeiro item que precisa ser identificado é qual foi o incidente real e qual é o escopo total do incidente. Será necessário investigar entradas suspeitas, tentativas de login excessivas, contas de usuários inexplicáveis, novos arquivos inesperados, etc.

Depois de avaliar a situação, há seis níveis de classificação quando se trata de incidentes:

Nível 1 – acesso não autorizado.
Nível 2 – negação de serviços.
Nível 3 – código malicioso.
Nível 4 – uso indevido.
Nível 5 – verificações/tentativas de acesso.Nível
Nível 6 – incidente de investigação.

- Contenção
Uma vez que o escopo completo do incidente tenha sido identificado, o próximo passo é conter o problema. Isso limitará seu aumento no escopo e magnitude. Embora contenha um incidente, existem duas áreas essenciais de cobertura: manutenção do tempo de atividade e proteção de sistemas críticos.

Para determinar o status operacional do sistema infectado e/ou rede, existem três opções:

- Desconectar o sistema da rede e permitir que ele continue com as operações independentes.

- Encerrar tudo imediatamente.

- Continuar permitindo que o sistema seja executado na rede e monitore as atividades.
Todas são soluções viáveis ​​para conter o problema no início da resposta ao incidente e devem ser determinadas o mais rápido possível.

- Investigação
A investigação forense é o primeiro passo para determinar o que realmente aconteceu com o ambiente. Uma revisão metódica deve ocorrer em todos os sistemas ou redes afetados, depois passando para outros sistemas fora da área de contenção. Para esta investigação, os discos rígidos, a memória, os registros de dispositivos e outros dados de suporte devem ser analisados. É muito importante manter uma documentação do que foi feito durante a investigação, especialmente porque as ameaças externas podem exigir envolvimento da lei.

- Remediação
Remediação é o processo de realmente se livrar do problema no seu computador, sistema ou rede. Esta etapa só deve ocorrer depois que todas as ações externas e internas forem concluídas. Há dois aspectos importantes da erradicação que você deve ter em mente. O primeiro é a limpeza. A limpeza geralmente consiste em executar o software antivírus, desinstalar o software infectado, reconstruir o sistema operacional ou substituir todo o disco rígido e reconstruir a rede. Na maioria dos casos, a recriação de imagens das máquinas será a tática de correção recomendada.

O segundo passo é a notificação. A notificação sempre inclui o pessoal relevante e todas as partes interessadas acima e abaixo do gerente da equipe de resposta a incidentes na cadeia de relatórios.

- Recuperação
É quando sua empresa ou organização retorna à normalidade. Há duas etapas para recuperação:

- Restauração de serviço, que é baseada na implementação de planos de contingência corporativa.
- Validação de sistema e/ou rede, teste e certificação do sistema como operacional.
- Qualquer componente que tenha sido comprometido deve ser certificado como operacional e seguro.

- Acompanhamento
Depois que tudo tiver tenha voltado às operações padrão, há algumas perguntas de acompanhamento que devem ser respondidas para garantir que o processo seja suficiente e eficaz:

- Houve preparação suficiente?

- A detecção ocorreu em tempo hábil?

- As comunicações foram conduzidas claramente?

- Qual foi o custo do incidente? Você tem um plano de continuidade de negócios?

- Como podemos impedir que isso aconteça novamente?

Depois que essas perguntas forem respondidas e as melhorias forem feitas, a equipe de resposta a incidentes deverá estar pronta para repetir o processo.

respostaaincidente

Ferramentas certas
Embora seja necessário se adaptar a ataques novos e emergentes, há maneiras de reduzir o número de ameaças. A defesa em profundidade é o ativo mais importante. Ao colocar em camadas soluções de vários provedores, mesmo que um não reconheça a assinatura de um vírus em particular, os outros o façam. Como sistemas diferentes usam processos diferentes, a disposição dessas soluções oferece proteção em muitos pontos de entrada diferentes, minimizando as brechas que os ataques podem explorar.

Também é fundamental que as organizações tenham ferramentas que forneçam visibilidade de suas redes. Sem visibilidade, a detecção de ameaças será sempre responsiva, e muitas vezes essa resposta chegará tarde demais. As organizações precisam coletar informações sobre o tráfego de rede em um local para que possam correlacioná-las adequadamente e estabelecer linhas de base comportamentais para detectar anomalias e automatizar respostas, como o isolamento do usuário suspeito.

Com equipe adequada, procedimento simplificado e as ferramentas corretas implementadas, é possível limitar muito os danos enfrentados quando surgem problemas, o que tornará a resposta às ameaças uma tarefa muito menos assustadora.