Resposta a incidentes de segurança é uma abordagem estratégica para identificar, priorizar e conter um ataque cibernético, bem como gerenciar a resolução e as consequências desse ataque.
Os ataques cibernéticos são como bolas de neve descendo uma colina: eles tendem a começar pequenos. Infelizmente, poucas empresas têm os recursos ou os processos certos em vigor para atenuar completamente essas ameaças antes que elas se proliferem. E, quando nós deixamos que os ataques cibernéticos aumentem de pequenos incidentes para grandes riscos de negócios, isso pode gerar consequências devastadoras. As pesquisas mostram que as empresas levam 128 dias, em média, para detectar uma violação. Isso equivale a quatro meses, durante os quais um invasor pode roubar dados, danificar seus sistemas e prejudicar sua capacidade de fazer negócios.
A SIR (Security Incident Response, resposta a incidentes de segurança) foi projetada para ajudar as organizações a responder a esses tipos de invasões de rede antes que elas afetem seus negócios. Estruturada para lidar com muitos tipos de ameaças cibernéticas e incidentes de segurança, a SIR estabelece fluxos de trabalho e procedimentos comprovados e escaláveis que os SOC (Security Operation Centers, centros operacionais de segurança) e as equipes de resposta a incidentes podem usar para minimizar os impactos para os negócios e reduzir os tempos de recuperação.
Resposta a incidentes de segurança é uma subcategoria das iniciativas mais gerais de resposta a incidentes que também abrangem problemas não relacionados à segurança. A SIR foi projetada especificamente para lidar com ataques mal-intencionados contra os sistemas digitais de uma empresa. Isso inclui (mas sem limitações) as seguintes categorias de incidentes de segurança:
Uma violação do sistema de computadores, também chamada de violação de dados ou violação de segurança de TI, ocorre quando um agente da ameaça não autorizado obtém acesso a dados do computador, aplicativos de software, redes ou dispositivos de uma empresa.
Os agentes de ameaça, internos e externos, que obtêm acesso às redes de uma organização podem tentar fazer mudanças em várias ferramentas, aplicativos, dados ou outros sistemas confidenciais.
O hardware não criptografado pode representar uma grave ameaça caso caia em mãos não autorizadas. Se os dispositivos comerciais forem perdidos ou roubados, as empresas deverão ter planos em vigor para lidar com o risco de segurança.
Às vezes, o objetivo de um ataque cibernético não é roubar dados, mas sim causar interrupções. Um ataque de DoS inunda a rede de destino com tráfego, sobrecarregando sua capacidade e forçando um desligamento.
Os criminosos cibernéticos que obtêm acesso aos sistemas de uma empresa podem tentar assumir o controle de recursos ou ferramentas de TI que, muitas vezes, são a base de um ataque de ransomware.
Muitas vezes, a maneira mais rápida de um invasor obter acesso é por meio do sequestro de uma conta de usuário autorizada. Pode ser especialmente difícil detectar as contas comprometidas.
Assim como a bola de neve que aumenta conforme avança, os incidentes de segurança não resolvidos e não contidos quase sempre escalam. Isso pode significar tudo, desde perda de credenciais de usuário, comprometimento de dados de empresas e clientes ou um tempo de inatividade dispendioso e prejudicial à reputação até o colapso total do sistema. A resposta a incidentes de segurança capacita as equipes de SOC com os recursos, as ferramentas e os processos corretos para localizar e priorizar esses incidentes de segurança antes que tenham a chance de começar a acontecer.
Ao estabelecer práticas recomendadas, fluxos de trabalho automatizados e colaborativos e planos de atenuação de ameaças passo a passo que abrangem todas as fases da resposta a ameaças, a SIR existe para interromper invasões o mais rápido possível e oferecer às empresas estratégias de resposta comprovadas e escaláveis para recuperação rápida após a violação ter sido contida e eliminada.
Além de garantir uma recuperação rápida de possíveis eventos de violação de dados, a resposta a incidentes de segurança ajuda as empresas a atender aos padrões de conformidade normativa, como os exigidos por lei em setores como saúde e serviços financeiros. Por fim, a SIR protege a reputação da marca que, de outra forma, pode sofrer danos permanentes como resultado de uma violação bem-sucedida.
Embora sua resposta a incidentes de segurança possa incluir tarefas para todos os níveis de sua organização, como TI, risco, RH e jurídico, a maior parte da responsabilidade recairá sobre a equipe de resposta a incidentes. Geralmente, essa equipe consiste nas seguintes funções:
Um gerente de resposta a incidentes assume a liderança da resposta a incidentes, supervisionando ações, priorizando ameaças e agindo como a ligação entre a equipe de resposta e o restante da organização. O apoio da gerência é essencial para que os planos de resposta a incidentes de segurança sejam eficazes, e é por isso que os gerentes de resposta a incidentes devem garantir a adesão dos executivos da diretoria antes de implementar qualquer plano.
Os analistas de segurança são os "pés no chão" durante o incidente. Esses analistas devem ser treinados para identificar incidentes reais de possíveis falsos positivos, determinar a hora, o local e os detalhes do incidente e localizar e manter qualquer evidência que possa ter sido deixada para trás pelo invasor.
Por fim, os pesquisadores de ameaças tentam definir a gravidade e a extensão da violação. Eles pesquisam na Internet informações confidenciais que podem ter sido extraídas dos sistemas da empresa. Eles também ajudam a criar um banco de dados de incidentes anteriores para melhorar a inteligência contra ameaças da empresa.
Todos esses cargos desempenham uma função fundamental na resposta e na recuperação de um incidente de segurança. Algumas empresas optam por terceirizar algumas dessas responsabilidades, mas, quer você crie sua equipe totalmente interna ou a contrate, a equipe de resposta a incidentes será essencial para garantir que a organização siga corretamente seu plano de resposta a incidentes de segurança.
Para que a resposta a incidentes de segurança seja eficaz, ela deve estar totalmente preparada e pronta para ser implementada muito antes do incidente de segurança em questão ocorrer. Um SIRP (Security Incident Response Plan, plano de resposta a incidentes de segurança) é um conjunto formal e oficial de documentação que detalha claramente as ações que devem ser realizadas em todas as fases da resposta a incidentes de segurança de uma empresa. Ao mesmo tempo, o SIRP deve descrever as funções e as responsabilidades de resposta a incidentes de segurança em toda a organização e abordar como essas funções devem se comunicar e interagir dentro dos protocolos de resposta estabelecidos.
Como o SIRP foi projetado para implantação rápida durante as primeiras horas mais críticas de um ataque, ele deve ser claro, sem ambiguidades de terminologia e linguagem e fácil de seguir. Muitas vezes, os SIRPs incluem ou fazem referência a uma biblioteca de playbooks de resposta a incidentes.
Em sua essência, um SIRP é um conjunto de instruções a serem seguidas pelas equipes de resposta, permitindo que elas identifiquem ameaças, respondam de forma eficaz e reduzam o impacto do incidente de segurança em geral com velocidade e precisão.
Como há muitos benefícios na rapidez em que uma empresa pode implantar sua estratégia de resposta, a maioria dos SIRPs segue um formato estabelecido que consiste em seis fases principais:
A primeira fase da resposta a incidentes é dedicada à preparação de TI, do SOC e de outros membros das equipes de resposta para lidar com as ameaças conforme elas surgem. Essa provavelmente será a fase mais importante de seu SIRP e deve considerar o treinamento de resposta dos funcionários, garantindo o financiamento e a aprovação corretos e estabelecendo padrões de documentação. Muitas empresas optam por participar de simulações para ajudar todos os envolvidos a se familiarizar com suas responsabilidades.
Como uma violação pode se originar de muitas áreas diferentes, é essencial que as equipes de resposta tenham acesso a procedimentos para identificar e validar possíveis ameaças antes de encaminhá-las para o status do incidente de segurança verificado. A fase de identificação deve conseguir determinar quando um evento ocorreu, como ele foi detectado, quais áreas ele pode ter afetado, qual efeito ele pode ter sobre as operações atuais e se o ponto de entrada é conhecido.
Com a ameaça totalmente verificada, a próxima fase é impedir que ela avance mais pelo sistema. A contenção é uma etapa essencial e não deve ser ignorada a fim de passar diretamente para a erradicação; simplesmente excluir o malware pode arruinar suas chances de coletar evidências que você possa usar para fortalecer sua rede contra ataques semelhantes no futuro. Desconecte os sistemas comprometidos e coloque-os em quarentena e, se possível, implante sistemas de backup para evitar a perda de operações de negócios. Aplique patches em todos os seus sistemas, analise os protocolos de acesso remoto e faça com que todas as contas administrativas mudem suas credenciais de login.
Assim que a ameaça estiver contida e todos os dados relevantes tiverem sido coletados, você poderá começar a remover qualquer malware do sistema com segurança. É essencial que todos os malwares sejam eliminados. Uma varredura incompleta que deixe vestígios do ataque ainda pode permitir o acesso não autorizado aos seus dados e permitir que o malware seja reativado no futuro.
Atenuar uma ameaça é algo bom; aprimorar seus sistemas para evitar que incidentes de segurança afetem sua empresa é ainda melhor. Depois de lidar com o incidente corretamente, discuta com os membros da equipe de resposta e outras partes interessadas para identificar e documentar o que você aprendeu com a experiência. Em seguida, é possível aplicar essas lições para preparar melhor seus sistemas para incidentes futuros, otimizando tanto a priorização quanto a resposta.
À medida que as ameaças à segurança continuam a crescer em frequência, complexidade e sofisticação, a resposta a incidentes de segurança passou de diferencial competitivo a padrão essencial de segurança. Mas quando cada segundo conta, as equipes de segurança estão descobrindo que simplesmente não têm o poder de investigar, verificar e responder totalmente a todos os possíveis incidentes de segurança conforme eles ocorrem. A ServiceNow oferece a solução.
O ServiceNow Security Incident Response transforma a abordagem padronizada de investigação, resposta e recuperação de segurança da TI, aplicando recursos avançados de automação e centralizando dados, informações e relatórios de operações de segurança em uma única plataforma. Capacite e escale as equipes de resposta com priorização automatizada, triagem, análise de dados e outras tarefas essenciais de resposta. Em seguida, vá além, com informações em tempo real, playbooks detalhados e visibilidade completa da segurança da rede.
Saiba mais sobre como a ServiceNow pode otimizar sua abordagem de resposta a incidentes de segurança e interrompa futuros ataques cibernéticos antes que eles comecem.