Com uma equipe adequada, procedimentos simplificados e as ferramentas certas, responder às ameaças pode ser uma tarefa mais simples do que o esperado
Quando se trata de resposta a incidentes, cada segundo conta. A gravidade das violações varia, mas como o dano feito está diretamente relacionado ao tempo que alguém mal-intencionado tem acesso aos sistemas, é fundamental que todas as ameaças sejam descobertas e corrigidas o mais rápido possível. A diferença entre uma violação detectada e remediada em duas horas e dois dias pode ser a diferença entre uma rápida revisão de laptop ou uma perda de receita de seis dígitos.
Se um vírus passa pelo firewall e, em vez de perceber a ameaça e inserir o ponto de entrada do sandbox, a ameaça for perdida, toda a equipe de vendas pode ser afetada. Além de perder dinheiro com a equipe de vendas, a empresa também está perdendo dinheiro com horas perdidas tentando atenuar os danos que poderiam ter sido evitados se estivessem preparados para isso.
Então, como é possível se preparar adequadamente? Aqui estão algumas dicas:
Equipe adequada
Uma equipe adequada de TI é um investimento no futuro de toda a empresa. A equipe de TI não precisa apenas do tipo certo de pessoas, mas do número certo de funcionários.
O ambiente de ameaças muda rapidamente e, para manter o ritmo, os profissionais de TI precisam reservar tempo para auditar seus processos de resposta e obter treinamento sobre as ferramentas mais recentes disponíveis. Infelizmente, quando a equipe está com falta de pessoal, os funcionários têm dificuldade em progredir. Uma equipe com falta de pessoal é um caminho seguro para a falta de supervisão.
Com um time pequeno, a resposta a incidentes envolverá todo o processo pessoal, o que significa que pode não haver qualquer poder humano para enfrentar outros problemas que possam surgir.
Procedimento de racionalização
Todas as equipes de segurança devem ter um processo de resposta a incidentes para orientar os esforços de correção. Para entender os processos e procedimentos de resposta a incidentes, é necessária uma revisão adequada:
- Preparação
É essencial que todas as organizações estejam preparadas para o pior, o que significa que a preparação é vital para qualquer plano de resposta a incidentes de segurança. Envolve a identificação de um incidente, a recuperação, a retomada da atividade comercial normal e a criação de políticas de segurança estabelecidas, incluindo:
- Banners de aviso
- Expectativas de privacidade do usuário.
- Processos de notificação de incidentes estabelecidos.
- Desenvolvimento de uma política de contenção de incidentes.
- Criação de listas de verificação de tratamento de incidentes.
Ao analisar os ativos de manipulação de incidentes pré-implantados, é preciso certificar-se de que possui determinadas ferramentas em vigor no caso de uma violação do sistema. Isso inclui examinar seus próprios sensores, sondas e monitores em sistemas críticos, rastrear bancos de dados em sistemas principais e concluir registros de auditoria ativos para todos os aspectos e componentes da rede.
- Identificação
O próximo estágio da resposta a incidentes é identificar o incidente real. O primeiro item que precisa ser identificado é qual foi o incidente real e qual é o escopo total do incidente. Será necessário investigar entradas suspeitas, tentativas de login excessivas, contas de usuários inexplicáveis, novos arquivos inesperados, etc.
Depois de avaliar a situação, há seis níveis de classificação quando se trata de incidentes:
Nível 1 – acesso não autorizado.
Nível 2 – negação de serviços.
Nível 3 – código malicioso.
Nível 4 – uso indevido.
Nível 5 – verificações/tentativas de acesso.Nível
Nível 6 – incidente de investigação.
- Contenção
Uma vez que o escopo completo do incidente tenha sido identificado, o próximo passo é conter o problema. Isso limitará seu aumento no escopo e magnitude. Embora contenha um incidente, existem duas áreas essenciais de cobertura: manutenção do tempo de atividade e proteção de sistemas críticos.
Para determinar o status operacional do sistema infectado e/ou rede, existem três opções:
- Desconectar o sistema da rede e permitir que ele continue com as operações independentes.
- Encerrar tudo imediatamente.
- Continuar permitindo que o sistema seja executado na rede e monitore as atividades.
Todas são soluções viáveis para conter o problema no início da resposta ao incidente e devem ser determinadas o mais rápido possível.
- Investigação
A investigação forense é o primeiro passo para determinar o que realmente aconteceu com o ambiente. Uma revisão metódica deve ocorrer em todos os sistemas ou redes afetados, depois passando para outros sistemas fora da área de contenção. Para esta investigação, os discos rígidos, a memória, os registros de dispositivos e outros dados de suporte devem ser analisados. É muito importante manter uma documentação do que foi feito durante a investigação, especialmente porque as ameaças externas podem exigir envolvimento da lei.
- Remediação
Remediação é o processo de realmente se livrar do problema no seu computador, sistema ou rede. Esta etapa só deve ocorrer depois que todas as ações externas e internas forem concluídas. Há dois aspectos importantes da erradicação que você deve ter em mente. O primeiro é a limpeza. A limpeza geralmente consiste em executar o software antivírus, desinstalar o software infectado, reconstruir o sistema operacional ou substituir todo o disco rígido e reconstruir a rede. Na maioria dos casos, a recriação de imagens das máquinas será a tática de correção recomendada.
O segundo passo é a notificação. A notificação sempre inclui o pessoal relevante e todas as partes interessadas acima e abaixo do gerente da equipe de resposta a incidentes na cadeia de relatórios.
- Recuperação
É quando sua empresa ou organização retorna à normalidade. Há duas etapas para recuperação:
- Restauração de serviço, que é baseada na implementação de planos de contingência corporativa.
- Validação de sistema e/ou rede, teste e certificação do sistema como operacional.
- Qualquer componente que tenha sido comprometido deve ser certificado como operacional e seguro.
- Acompanhamento
Depois que tudo tiver tenha voltado às operações padrão, há algumas perguntas de acompanhamento que devem ser respondidas para garantir que o processo seja suficiente e eficaz:
- Houve preparação suficiente?
- A detecção ocorreu em tempo hábil?
- As comunicações foram conduzidas claramente?
- Qual foi o custo do incidente? Você tem um plano de continuidade de negócios?
- Como podemos impedir que isso aconteça novamente?
Depois que essas perguntas forem respondidas e as melhorias forem feitas, a equipe de resposta a incidentes deverá estar pronta para repetir o processo.
Ferramentas certas
Embora seja necessário se adaptar a ataques novos e emergentes, há maneiras de reduzir o número de ameaças. A defesa em profundidade é o ativo mais importante. Ao colocar em camadas soluções de vários provedores, mesmo que um não reconheça a assinatura de um vírus em particular, os outros o façam. Como sistemas diferentes usam processos diferentes, a disposição dessas soluções oferece proteção em muitos pontos de entrada diferentes, minimizando as brechas que os ataques podem explorar.
Também é fundamental que as organizações tenham ferramentas que forneçam visibilidade de suas redes. Sem visibilidade, a detecção de ameaças será sempre responsiva, e muitas vezes essa resposta chegará tarde demais. As organizações precisam coletar informações sobre o tráfego de rede em um local para que possam correlacioná-las adequadamente e estabelecer linhas de base comportamentais para detectar anomalias e automatizar respostas, como o isolamento do usuário suspeito.
Com equipe adequada, procedimento simplificado e as ferramentas corretas implementadas, é possível limitar muito os danos enfrentados quando surgem problemas, o que tornará a resposta às ameaças uma tarefa muito menos assustadora.