Autor: Pete Burke

Com equipe adequada, procedimento simplificado e ferramentas certas, responder às ameaças pode ser uma tarefa muito menos assustadora

Quando se trata de resposta a incidentes, cada segundo conta. A gravidade das violações varia, mas como o dano feito está diretamente relacionado ao tempo que alguém mal-intencionado tem acesso aos sistemas, é fundamental que todas as ameaças sejam descobertas e corrigidas o mais rápido possível. A diferença entre uma violação detectada e remediada em duas horas e dois dias pode ser a diferença entre uma rápida revisão de laptop ou uma perda de receita de seis dígitos.

 

Se um vírus passa pelo firewall e, em vez de perceber a ameaça e inserir o ponto de entrada do sandbox, a ameaça for perdida, toda a equipe de vendas pode ser afetada. Além de perder dinheiro com a equipe de vendas, a empresa também está perdendo dinheiro com horas perdidas tentando atenuar os danos que poderiam ter sido evitados se estivessem preparados para isso.

 

Então, como é possível se preparar adequadamente? Aqui estão algumas dicas:

 

Equipe adequada

Uma equipe adequada de TI é um investimento no futuro de toda a empresa. A equipe de TI não precisa apenas do tipo certo de pessoas, mas do número certo de funcionários.

O ambiente de ameaças muda rapidamente e, para manter o ritmo, os profissionais de TI precisam reservar tempo para auditar seus processos de resposta e obter treinamento sobre as ferramentas mais recentes disponíveis. Infelizmente, quando a equipe está com falta de pessoal, os funcionários têm dificuldade em progredir. Uma equipe com falta de pessoal é um caminho seguro para a falta de supervisão.

 

Com um time pequeno, a resposta a incidentes envolverá todo o processo pessoal, o que significa que pode não haver qualquer poder humano para enfrentar outros problemas que possam surgir.

 

Procedimento de racionalização

Todas as equipes de segurança devem ter um processo de resposta a incidentes para orientar os esforços de correção. Para entender os processos e procedimentos de resposta a incidentes, é necessária uma revisão adequada:

  • Preparação

É essencial que todas as organizações estejam preparadas para o pior, o que significa que a preparação é vital para qualquer plano de resposta a incidentes de segurança. Envolve a identificação de um incidente, a recuperação, a retomada da atividade comercial normal e a criação de políticas de segurança estabelecidas, incluindo:

  • Banners de aviso.
  • Expectativas de privacidade do usuário.
  • Processos de notificação de incidentes estabelecidos.
  • Desenvolvimento de uma política de contenção de incidentes.
  • Criação de listas de verificação de tratamento de incidentes.

Ao analisar os ativos de manipulação de incidentes pré-implantados, é preciso certificar-se de que possui determinadas ferramentas em vigor no caso de uma violação do sistema. Isso inclui examinar seus próprios sensores, sondas e monitores em sistemas críticos, rastrear bancos de dados em sistemas principais e concluir registros de auditoria ativos para todos os aspectos e componentes da rede.

  • Identificação

O próximo estágio da resposta a incidentes é identificar o incidente real. O primeiro item que precisa ser identificado é qual foi o incidente real e qual é o escopo total do incidente. Será necessário investigar entradas suspeitas, tentativas de login excessivas, contas de usuários inexplicáveis, novos arquivos inesperados, etc.

 

Depois de avaliar a situação, há seis níveis de classificação quando se trata de incidentes:

Nível 1 – acesso não autorizado.

Nível 2 – negação de serviços.

Nível 3 – código malicioso.

Nível 4 – Uso indevido.

Nível 5 – verificações/tentativas de acesso.

Nível 6 – incidente de investigação.

  • Contenção

Uma vez que o escopo completo do incidente tenha sido identificado, o próximo passo é conter o problema. Isso limitará seu aumento no escopo e magnitude. Embora contenha um incidente, existem duas áreas essenciais de cobertura: manutenção do tempo de atividade e proteção de sistemas críticos.

Para determinar o status operacional do sistema infectado e/ou rede, existem três opções:

  • Desconectar o sistema da rede e permitir que ele continue com as operações independentes.
  • Encerrar tudo imediatamente.
  • Continuar permitindo que o sistema seja executado na rede e monitore as atividades. Todas são soluções viáveis ​​para conter o problema no início da resposta ao incidente e devem ser determinadas o mais rápido possível.
  • Investigação

    A investigação forense é o primeiro passo para determinar o que realmente aconteceu com o ambiente. Uma revisão metódica deve ocorrer em todos os sistemas ou redes afetados, depois passando para outros sistemas fora da área de contenção. Para esta investigação, os discos rígidos, a memória, os registros de dispositivos e outros dados de suporte devem ser analisados. É muito importante manter uma documentação do que foi feito durante a investigação, especialmente porque as ameaças externas podem exigir envolvimento da lei.

  • Remediação

    Remediação é o processo de realmente se livrar do problema no seu computador, sistema ou rede. Esta etapa só deve ocorrer depois que todas as ações externas e internas forem concluídas. Há dois aspectos importantes da erradicação que você deve ter em mente. O primeiro é a limpeza. A limpeza geralmente consiste em executar o software antivírus, desinstalar o software infectado, reconstruir o sistema operacional ou substituir todo o disco rígido e reconstruir a rede. Na maioria dos casos, a recriação de imagens das máquinas será a tática de correção recomendada.

    O segundo passo é a notificação. A notificação sempre inclui o pessoal relevante e todas as partes interessadas acima e abaixo do gerente da equipe de resposta a incidentes na cadeia de relatórios.

  • Recuperação

    É quando sua empresa ou organização retorna à normalidade. Há duas etapas para recuperação:

  • Restauração de serviço, que é baseada na implementação de planos de contingência corporativa.
  • Validação de sistema e/ou rede, teste e certificação do sistema como operacional.

    Qualquer componente que tenha sido comprometido deve ser certificado como operacional e seguro.

  • Acompanhamento

    Depois que tudo tiver tenha voltado às operações padrão, há algumas perguntas de acompanhamento que devem ser respondidas para garantir que o processo seja suficiente e eficaz:

    Houve preparação suficiente?

    A detecção ocorreu em tempo hábil?

    As comunicações foram conduzidas claramente?

    Qual foi o custo do incidente? Você tem um plano de continuidade de negócios?

    Como podemos impedir que isso aconteça novamente?

    Depois que essas perguntas forem respondidas e as melhorias forem feitas, a equipe de resposta a incidentes deverá estar pronta para repetir o processo.

     

    Ferramentas certas

    Embora seja necessário se adaptar a ataques novos e emergentes, há maneiras de reduzir o número de ameaças. A defesa em profundidade é o ativo mais importante. Ao colocar em camadas soluções de vários provedores, mesmo que um não reconheça a assinatura de um vírus em particular, os outros o façam. Como sistemas diferentes usam processos diferentes, a disposição dessas soluções oferece proteção em muitos pontos de entrada diferentes, minimizando as brechas que os ataques podem explorar.

     

    Também é fundamental que as organizações tenham ferramentas que forneçam visibilidade de suas redes. Sem visibilidade, a detecção de ameaças será sempre responsiva, e muitas vezes essa resposta chegará tarde demais. As organizações precisam coletar informações sobre o tráfego de rede em um local para que possam correlacioná-las adequadamente e estabelecer linhas de base comportamentais para detectar anomalias e automatizar respostas, como o isolamento do usuário suspeito.

     

    Com equipe adequada, procedimento simplificado e as ferramentas corretas implementadas, é possível limitar muito os danos enfrentados quando surgem problemas, o que tornará a resposta às ameaças uma tarefa muito menos assustadora.

    Fonte: ComputerWorld