Plano de resposta a incidentes: frameworks e etapas

Frameworks de resposta a incidentes (IR)

Os dois frameworks de resposta a incidentes (IR) mais reconhecidos foram desenvolvidos pelo NIST e pelo SANS para oferecer às equipes de TI uma base para o desenvolvimento de seus planos de IR. Confira a seguir as etapas de cada framework:

Etapas de resposta a incidentes do NIST

• Etapa nº 1: Preparação
• Etapa nº 2: Detecção e análise
• Etapa nº 3: Contenção, erradicação e recuperação
• Etapa nº 4: Atividade pós-incidente

Etapas de resposta a incidentes do SANS

• Etapa nº 1: Preparação
• Etapa nº 2: Identificação
• Etapa nº 3: Contenção
• Etapa nº 4: Erradicação
• Etapa nº 5: Recuperação
• Etapa nº 6: Lições aprendidas

Ao compararmos os frameworks do NIST e do SANS lado a lado, percebemos que os componentes são quase idênticos, com leves diferenças nos termos e na forma de agrupamento. A maior diferença está na Etapa 3, na qual, para o NIST, contenção, erradicação e recuperação se sobrepõem; isso significa que não seria necessário aguardar a contenção de todas as ameaças para começar a erradicá-las.

Qual framework é melhor?

Embora exista o debate sobre qual framework é melhor, na verdade trata-se de uma questão de preferência e dos recursos da sua organização. Ambos oferecem uma abrangente lista de verificação para sua equipe seguir e começar. Este artigo detalha as quatro etapas do Framework do NIST e o que cada uma significa para o seu plano de resposta a incidentes.

Etapa nº 1: Preparação

Nenhuma organização consegue criar uma resposta eficaz a incidentes em cima da hora. É necessário que haja um plano em vigor tanto para prevenir quanto para responder aos eventos.

Definir a CSIRT (equipe de resposta a incidentes de segurança computacional)

Para que a CSIRT possa agir de forma rápida e completa durante um incidente, todos os seus membros precisam conhecer as próprias responsabilidades e as decisões que fazem parte de sua função.

A CSIRT deve incluir uma combinação de especialistas comerciais e técnicos com a autoridade de agir em suporte aos negócios. A equipe deve incluir representantes de disciplinas administrativas, técnicas, jurídicas e de comunicação, além de membros do comitê de segurança. Todos os departamentos afetados por um incidente devem ser envolvidos, e todos os membros devem ter uma matriz de decisão para orientar suas ações durante e após um incidente.

O plano também define quem é responsável e quem tem autoridade para tomar determinadas decisões críticas. Não se trata de coisas que se pode descobrir — muito menos discutir — no calor do momento.

Desenvolver e atualizar um plano

Certifique-se de criar planos e outros documentos de apoio e que sejam atualizados periodicamente. Toda a equipe relevante deve ter acesso às seções do plano relacionadas às suas responsabilidades e deve ser alertada quando o plano é revisado. Para que o plano seja continuamente aperfeiçoado, um ciclo de feedback deve ser iniciado após cada incidente significativo.

Adquirir e cuidar da manutenção da infraestrutura e das ferramentas corretas

Sua organização precisa ter as capacidades para detectar e investigar incidentes, bem como coletar e preservar evidências. Para identificar se há um invasor em seu ambiente, é fundamental que a organização tenha uma tecnologia de segurança de endpoint que ofereça visibilidade total dos seus endpoints e colete dados do incidente.

Com as ferramentas certas e os devidos processos para orientar o uso delas, sua organização estará bem preparada para investigar como os invasores estão acessando seu ambiente, como mitigar o acesso existente do invasor ou como evitar futuros acessos.

Sempre aprimorar a capacitação e o treinamento de suporte

Garanta que a equipe de IR tenha a capacitação e o treinamento apropriados. Isso inclui o exercício periódico do plano de IR. Esse aspecto também abrange a formação da equipe de IR, seja com funcionários internos ou por meio de um provedor terceirizado, para cobrir o tempo de afastamento do trabalho que é necessário para a manutenção de certificações e o aproveitamento de outras oportunidades educacionais.

Dispor de capacidades atualizadas de inteligência de ameaças

As capacidades de inteligência de ameaças ajudam a organização a compreender a quais tipos de ameaças ela deve estar preparada para responder. A inteligência de ameaças deve ser integrada à proteção de endpoint e aproveitar as investigações automatizadas de incidentes para acelerar a resposta ao ataque. A automação possibilita uma análise de ameaças mais abrangente em poucos minutos, em vez de horas. Assim, a organização é capaz de vencer ameaças persistentes avançadas (APTs) com respostas mais inteligentes.

Etapa nº 2. Detecção e análise

A segunda fase da IR é determinar se um incidente ocorreu, sua gravidade e o tipo. O NIST descreve cinco etapas dentro dessa fase geral:

• Apontar sinais de um incidente (precursores e indicadores): precursores e indicadores são sinais específicos de que um incidente está prestes a ocorrer ou já ocorreu.
• Analisar os sinais descobertos: após a identificação de um precursor ou indicador, a equipe de IR precisa determinar se esse elemento faz parte de um ataque ou se é um falso-positivo.
• Documentação do incidente: caso se confirme a validade do sinal, a equipe de IR deve começar a documentar todos os fatos relacionados ao incidente e continuar registrando todas as ações adotadas ao longo do processo.
• Priorização de incidentes: o NIST considera esta etapa o ponto de decisão mais crítico do processo de IR. A equipe de IR não pode simplesmente priorizar os incidentes com base na ordem de chegada. Em vez disso, deve pontuar os incidentes com base no impacto que terão na funcionalidade dos negócios, na confidencialidade das informações afetadas e na capacidade de recuperação do incidente.
• Notificação do incidente: após analisar e priorizar um incidente, a equipe de IR deve notificar os departamentos/indivíduos apropriados. Um plano completo de IR já deve incluir os requisitos específicos para geração de relatórios.

Etapa nº 3. Contenção, erradicação e recuperação

A finalidade da fase de contenção é suspender os efeitos de um incidente antes que ele cause ainda mais danos. Assim que um incidente é contido, a equipe de IR pode dedicar o tempo necessário à adequação dos próximos passos. Isso abrange todas as medidas necessárias para abordar a causa-raiz do incidente e restaurar os sistemas à operação normal.

Desenvolva estratégias de contenção, erradicação e recuperação com base em critérios como:

• a criticidade dos ativos afetados;
• o tipo e a gravidade do incidente;
• a necessidade de preservar evidências;
• a importância dos sistemas afetados para processos de negócios críticos;
• os recursos necessários para implementar a estratégia.

Esses processos sempre devem ser documentados, com a devida coleta de evidências. Há dois motivos para isso: o primeiro é aprender com o ataque e ampliar a experiência da equipe de segurança; o segundo é preparar a equipe para possíveis casos de litígio.

Etapa nº 4. Atividade pós-incidente

Cada incidente deve ser uma oportunidade de aprender e aprimorar, mas muitas organizações negligenciam essa etapa. Os adversários estão sempre evoluindo, e as equipes de IR precisam acompanhar as técnicas, táticas e procedimentos (TTPs) mais recentes.

Após um grande incidente, é obrigatória a realização de uma reunião sobre as lições aprendidas, com a presença de todas as partes relevantes. Após incidentes menos graves, essa reunião não é obrigatória, mas recomendável. O objetivo dessa reunião é aprimorar a segurança como um todo e, particularmente, o tratamento dos incidentes. No caso de grandes ataques, é preciso envolver pessoas de toda a organização, conforme necessário, além de convidar pessoas cuja cooperação será necessária durante incidentes futuros.

Durante a reunião, avalie:

• o que aconteceu e quando;
• o desempenho da equipe de IR;
• se os procedimentos documentados foram seguidos;
• se esses procedimentos eram adequados;
• quais informações estavam ausentes quando eram necessárias;
• quais ações dificultaram a recuperação;
• o que poderia ter sido feito de outra forma;
• o que pode ser feito para evitar incidentes futuros;
• quais precursores ou indicadores devem ser observados no futuro.

Os resultados dessas reuniões podem se tornar uma importante ferramenta para o treinamento de novos contratados. Esses resultados também podem servir para atualizar políticas e procedimentos e gerar um conhecimento institucional que pode ser útil durante futuros incidentes.

Resposta a incidentes da CrowdStrike

O volume de indicadores de possível comprometimento (IOCs) pode ser extremamente alto. Algumas organizações podem receber até mesmo milhões por dia. Separar o sinal do ruído é uma tarefa imensa. A CrowdStrike está aqui para facilitar as coisas para a sua organização. A equipe de Resposta a incidentes (IR) da CrowdStrike adota uma abordagem baseada em inteligência que combina a experiência em resposta a incidentes (IR) e remediação com tecnologia de ponta  para identificar rapidamente os invasores e expulsá-los do seu ambiente.  A CrowdStrike trabalha em colaboração com as organizações para tratar dos incidentes de cibersegurança mais críticos.