Ter um processo estruturado de resposta a incidentes, com fases e ações bem definidas, é a melhor forma de garantir a agilidade e eficiência durante crises. O modelo proposto pelo SANS Institute, uma das entidades mais respeitadas na comunidade mundial, divide a resposta a incidentes em 6 etapas principais:

1. Preparação
2. Identificação
3. Contenção
4. Erradicação
5. Recuperação
6. Aprendizado
   

1 – Etapa de preparação

Abaixo podemos explanar melhor cada etapa

“A arte da guerra nos ensina a não confiar na probabilidade do inimigo não estar vindo, mas sim em nossa prontidão para recebê-lo”

– Sun Tzu, A Arte da Guerra

O primeiro passo de todo o processo de resposta é estar bem preparado. Isso envolve uma série de elementos, sendo que alguns variam de empresa para empresa. Mas existem alguns passos universais para garantir que você e sua equipe estejam prontos para agir sem perda de tempo:

Tenha uma boa política de segurança: regras claras e bem difundidas ajudam a prevenir situações adversas, além de respaldarem todo o processo de resposta.

Elabore um plano claro de resposta a incidentes: tenha todas as instruções sobre como agir reunidas em um plano de ação. Além das orientações, deve incluir os critérios de priorização baseados nos objetivos do seu negócio.

Prepare todos os canais de comunicação: durante as crises, é essencial que todos os envolvidos saibam como, quando e em que casos devem contatar uns aos outros.

Documente tudo: esteja pronto para documentar todos os passos do processo de resposta, da investigação até a contenção; isso será essencial para solucionar a crise de forma transparente, além de fornecer insights para futuras melhorias.

Mantenha uma equipe capacitada: além dos especialistas de segurança, a resposta pode envolver diferentes profissionais, como engenheiros de rede, de bancos de dados e até mesmo profissionais das áreas de negócio.

Providencie acesso aos sistemas envolvidos: certifique-se de que todos terão os acessos necessários para os sistemas comprometidos.

Tenha todas as principais ferramentas disponíveis: é imprescindível que você e os especialistas envolvidos tenham as ferramentas mais importantes (como anti-malware, packet sniffers, entre outras) prontas para uso.

2 – Etapa de identificação

“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perder;”

– Sun Tzu, A Arte da Guerra

Quando um incidente é reportado, a primeira coisa a ser feita é a identificação da ameaça. É preciso entender a natureza e o escopo do caso, bem como definir seu nível de criticidade/prioridade. Para isso, você precisará recolher e analisar informações dos sistemas afetados, como logs e, principalmente, dados do tráfego da rede (ferramentas de Network Detection and Response (NDR) são as melhores para essa tarefa), iniciando o processo de investigação.

Aqui começam também a documentação e a comunicação. Todos os responsáveis e envolvidos devem ser notificados e corretamente informados para iniciar os procedimentos seguintes, e todos os passos devem ser registrados.

3 – Etapa de contenção

A contenção é a etapa “emergencial” da resposta a incidentes, focada em evitar que a ameaça se espalhe e cause maiores danos à organização. A fase se subdivide da seguinte forma:

Contenção de curto-prazo: são ações imediatas para interromper o desenvolvimento do incidente no menor intervalo de tempo possível. Por exemplo: se você detectou um malware que abre backdoor para um invasor, a medida inicial de contenção seria cortar o acesso à rede para impedir que o hacker continue enviando e executando comandos.

Backup dos sistemas: Após a contenção de curto-prazo, é importantíssimo guardar cópias e/ou imagens dos sistemas afetados, para análise forense.

Contenção de longo-prazo: Imediatamente após as etapas anteriores vem a contenção de longo-prazo que, apesar do nome, deve ser concluída o mais rapidamente possível. A ideia aqui é neutralizar de fato o atacante, parando o processo de backdoor e removendo o malware detectado, por exemplo.

4 – Etapa de erradicação

Na etapa de erradicação, deve-se eliminar qualquer vestígio de comprometimento. Voltando para o exemplo que usamos na etapa de contenção, agora a equipe de segurança vai limpar o download automático do malware do registro de inicialização, eliminar o trojan utilizado pelo hacker para instalar o código malicioso e tomar todas as demais medidas cabíveis para retornar os sistemas a um estado seguro. A ideia é dar o sinal verde para que a operação volte à normalidade.

5 – Etapa de recuperação

Com a ameaça devidamente erradicada, a restauração definitiva dos sistemas é posta em prática. Na etapa de recuperação, é importante que a equipe de segurança acompanhe o andamento dos trabalhos, monitorando de perto os sistemas restaurados e realizando testes para certificar-se de que os sistemas realmente estão seguros.

6 – Etapa de “Lições aprendidas”

“Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças.”

– Sun Tzu, A Arte da Guerra

Na etapa de lições aprendidas (“aprendizado”), gestores e analistas de segurança se debruçam sobre os procedimentos realizados durante a resposta ao incidente para identificar pontos fracos nas defesas e propor melhorias em sistemas e processos.

A documentação do incidente vai ajudar nessa etapa, respondendo questões básicas sobre a violação (“quem?”, “o quê?”, “quando?”, “como?”, etc) e auxiliando no cumprimento de auditorias e processos de conformidade, mas o essencial é como sua equipe vai usar a informação para aprender com os erros e evitá-los no futuro.

Que tecnologias podem me ajudar durante a resposta a incidentes?

Quando um incidente é reportado, uma coisa é certa: a ameaça já driblou Firewalls, Antivírus e defesas semelhantes – ou ainda, no caso de usuários maliciosos internos (Insider Threats), já começou o ataque de dentro da sua rede. Por isso, você precisa de tecnologias capazes de fornecer inteligência, detecção e resposta que vão além de apenas tentar “barrar” invasões.

Nós da RCZ já temos uma equipe especializada para atender essa demanda. Nossa solução integra tecnologias de análise forense e Network Detection and Response (NDR) anteriormente conhecidas como NTAs, além de recursos avançados de Inteligência Artificial e Threat Intelligence em uma solução Plug & Play.

No que se aplica à resposta a incidentes, ela auxilia especialmente em três frentes:

Visibilidade: onde permite a análise ampla e com alto nível de detalhes das transações da rede, incluindo seu payload, através de uma interface intuitiva; isso acelera o processo de investigação e resposta como um todo;

Resposta a Incidentes: conta com recursos poderosos para tornar todo o processo de resposta mais rápido e preciso, com funcionalidades manuais e opções de automação;

Análise forense: a solução também possibilita a gravação e extração de PCAPs, bem como a recuperação de quaisquer arquivos trafegados pela rede, em poucos cliques. É um recurso extremamente importante para confirmação de suspeitas e coleta de evidências forenses.

Histórico: Por fim, a capacidade de exploração do histórico de transações auxilia tanto durante a resposta como na fase de aprendizado, quando a equipe busca entender melhor todo o desenvolvimento do incidente.

E quanto a serviços especializados de Resposta a Incidentes?

Serviços gerenciados de Detecção e Resposta a incidentes (conhecidos pela sigla em inglês MDR), é uma opção sólida para empresas que ainda não têm os recursos humanos e/ou tecnológicos para garantir uma reação adequada a ataques cibernéticos.