O que é Resposta a incidentes (IR)?
Resposta a incidentes (IR) refere-se às etapas executadas para se preparar, detectar, conter e se recuperar de um comprometimento de dados.
O que é um Plano de resposta a incidentes (IR)?
Um plano de resposta a incidentes (IR) é um documento que descreve os procedimentos, as etapas e as responsabilidades do programa de resposta a incidentes (IR) de uma organização.
O planejamento de resposta a incidentes (IR) geralmente inclui os seguintes detalhes:
- Como a resposta a incidentes (IR) dá suporte à missão geral da organização.
- Como a organização aborda a resposta a incidentes (IR).
- Atividades exigidas em cada fase da resposta a incidentes (IR).
- Funções e responsabilidades pela conclusão das atividades de IR.
- Canais de comunicação entre a equipe de resposta a incidentes (IR) e o restante da organização.
- Métricas de avaliação da eficácia das capacidades de IR.
É importante observar que a importância do plano de IR não termina quando um incidente de cibersegurança chega ao fim. Esse plano continua dando suporte ao êxito em situações de litígio, à documentação apresentada a auditores e à construção do conhecimento histórico que alimenta o procedimento de avaliação de risco e aprimora o processo de resposta a incidentes (IR) em si.
Ferramenta gratuita de monitoramento de resposta a incidentes (IR)
Baixe o mesmo Monitor de IR que a equipe dos Serviços CrowdStrike utiliza para gerenciar investigações de incidentes.
Baixe agoraQuais são as etapas da resposta a incidentes (IR)?
De acordo com o National Institute of Standards and Technology (NIST), a resposta a incidentes (IR) ocorre em quatro fases principais:
- Preparação: nenhuma organização consegue criar uma resposta eficaz a incidentes (IR) em cima da hora. É necessário que haja um plano em vigor tanto para prevenir quanto para responder aos eventos.
- Detecção e análise: a segunda fase da IR é determinar se um incidente ocorreu, sua gravidade e o tipo.
- Contenção e erradicação: a finalidade da fase de contenção é suspender os efeitos de um incidente antes que ele cause ainda mais danos.
- Recuperação pós-incidente: Após um grande incidente, é obrigatória a realização de uma reunião sobre as lições aprendidas, com a presença de todas as partes relevantes. Após incidentes menos graves, essa reunião não é obrigatória, mas recomendável. O objetivo dessa reunião é aprimorar a segurança como um todo e, particularmente, o tratamento dos incidentes.
Saiba mais
Saiba como a CrowdStrike divide cada etapa do processo de resposta a incidentes (IR) em itens de ação que a sua equipe consegue acompanhar.
Por que é importante ter um plano de resposta a incidentes (IR)?
Ciberincidentes não são apenas problemas técnicos — são também problemas de negócios. Quando mais cedo forem mitigados, menos danos podem causar.
Pense nos recentes ataques que permaneceram nas manchetes por semanas. A empresa foi notificada com suficiente antecedência, mas não resolveu o problema? O setor de comunicação pública da empresa minimizou a gravidade do incidente, simplesmente para ser desmentido pelas investigações posteriores? A comunicação com os indivíduos afetados foi mal organizada, o que resultou em ainda mais confusão? Os executivos foram acusados de gerenciar mal o incidente, seja não o levando a sério ou devido a atitudes (como a venda de ações) que pioraram o incidente? Esses são sinais evidentes de que a organização não tinha um plano.
Como o plano de resposta a incidentes (IR) não é apenas uma questão técnica, ele deve estar alinhado às prioridades da organização e ao nível de risco aceitável dela.
Os líderes de IR precisam compreender as necessidades operacionais de curto prazo e as metas estratégicas de longo prazo da organização, no intuito de minimizar interrupções e limitar a perda de dados durante e depois de um incidente.
As informações obtidas no processo de resposta a incidentes (IR) também podem alimentar tanto o processo de avaliação de risco quanto o próprio processo de IR, a fim de aprimorar a gestão de incidentes futuros e fortalecer a postura de segurança geral. Quando investidores, acionistas, clientes, mídia, juízes e auditores perguntam sobre um incidente, a empresa que tem um plano de resposta a incidentes (IR) pode apresentar seus registros e provar que agiu de forma responsável e minuciosa diante de um ataque.
Relatório de serviços de cibersegurança
Todos os anos, nossa equipe de serviços combate uma imensidão de novos adversários. Baixe o relatório Serviços de cibersegurança e conheça as medidas analíticas e pragmáticas recomendadas pelos nossos especializadas em serviços.
Baixe agoraA maioria das organizações não têm um plano
Embora a necessidade de um plano de resposta a incidentes (IR) seja clara, surpreendentemente, a grande maioria das organizações não tem um plano, ou tem um plano muito superficial.
De acordo com uma pesquisa da Ponemon, 77% dos entrevistados afirmam que sua organização não aplica consistentemente um plano formal de resposta a incidentes (IR), e quase metade deles afirma que o plano é informal ou inexistente. Entre os entrevistados que têm planos de resposta a incidentes (IR), apenas 32% descrevem suas iniciativas com "maduras".
Esses números são preocupantes, especialmente se considerarmos que 57% das organizações afirmam que o tempo necessário para resolver ciberincidentes está se prolongando, e 65% dizem que a gravidade dos ataques sofridos está aumentando.
Essas duas declarações estão estreitamente ligadas: na cibersegurança, velocidade é um fator essencial na limitação dos danos. Quanto mais tempo os invasores puderem passar na rede de um alvo, mais conseguirão roubar e destruir. O plano de IR pode limitar a quantidade de tempo disponível ao invasor, além de garantir que os entrevistados compreendam o que precisam fazer e tenham as ferramentas e autoridades necessárias para fazê-lo.
Saiba mais
Você quer saber qual é o desafio mais difícil da resposta a incidentes (IR)? Descubra neste post do blog: "Confissões de um entrevistado: a parte mais difícil das investigações de resposta a incidentes (IR)"
Serviço de resposta a incidentes (IR) da CrowdStrike
Geralmente, as organizações não têm capacidade interna para desenvolver ou executar, por conta própria, um plano efetivo. No caso de organizações que têm a sorte de ter uma equipe dedicada, é provável que essa equipe esteja exausta com a enxurrada de falso-positivos gerada pelos sistemas de detecção automatizada, ou ocupada demais com as tarefas existentes, tentando acompanhar as mais recentes ameaças.
A CrowdStrike orgulha-se de ser líder na resposta a incidentes (IR) e de trazer controle, estabilidade e organização a um cenário que pode se tornar um evento caótico. A CrowdStrike trabalha junto com as organizações para desenvolver planos de resposta a incidentes (IR) adaptados à estrutura e às capacidades de suas equipes.
Por meio dessa orientação, ajudamos as empresas a aprimorar suas operações de resposta a incidentes (IR), com a padronização e a otimização do processo. Também analisaremos os planos e as capacidades existentes da organização. Em seguida, junto com a equipe da organização, desenvolveremos playbooks de procedimento operacional padrão para orientar as atividades desse time durante a resposta a incidentes (IR). Por fim, nossa equipe de serviços pode ajudar a testar seus playbooks com exercícios como teste de intrusão, exercícios Red Team/Blue Team e cenários de emulação de adversários.
Saiba como a CrowdStrike pode ajudar sua empresa a responder a incidentes com mais agilidade e eficácia:
JJ Cranford é Gerente Sênior de Marketing de Produtos na CrowdStrike e o principal responsável por serviços de consultoria e resposta a incidentes. Anteriormente, JJ ocupou cargos na Cybereason, OpenText e Guidance Software, onde implementou sua estratégia de mercado para Detecção e Resposta Estendidas (XDR), detecção e resposta de endpoint (EDR) e suítes de produtos DFIR. Ele fornece insights sobre tendências de mercado, desafios do setor e soluções nas áreas de resposta a incidentes, segurança de endpoint, gerenciamento de risco e defesa contra ransomware.
