Enfrentar um evento crítico de segurança cibernética não é uma questão de “se”, é uma questão de “quando”. Veja neste guia rápido como se preparar e agir para fornecer respostas a incidentes da maneira mais eficiente possível.

O responsável pelo setor financeiro da sua empresa acessa sites maliciosos;

Seu portal de atendimento cai devido a um ataque DDoS;

Dados pessoais de milhões dos seus clientes são expostos na internet.

O que os eventos acima têm em comum? Todos eles são incidentes de segurança cibernética. E todos, do mais corriqueiro ao mais grave, podem e vão causar prejuízos à sua organização se a equipe de segurança não responder rápida e adequadamente a eles.

É preciso entender que não existe empresa imune a ataques cibernéticos, e que nem todas as defesas de perímetro do mundo vão mudar esse fato. Cedo ou tarde, violações acontecem. O importante, então, é como você reage a elas.

É aqui que entra o que chamamos de resposta a incidentes, um processo que, quando bem executado, faz toda a diferença entre um mero contratempo e uma crise de grandes proporções para seu negócio.

Neste guia rápido, você verá a definição, a importância e as principais etapas da resposta a incidentes, bem como tecnologias e serviços que podem ajudá-lo a superar eventos críticos.

O que é resposta a incidentes e qual sua importância?

Resposta a incidentes é o processo que visa solucionar situações críticas de segurança cibernética. De acordo com a definição do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), essas situações compreendem “[…] qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores”.

Vazamentos de dados, túneis não-autorizados e infecções por ransomware são alguns exemplos de incidentes de segurança.

Uma resposta a incidentes rápida e eficiente é fundamental para minimizar indisponibilidades, danos à reputação, multas potencialmente milionárias e diversos outros prejuízos. Além disso, agir de forma precisa e bem documentada durante crises resguarda sua organização em ações legais e auditorias. Isso faz toda a diferença para atender a nova Lei Geral de Proteção de Dados Pessoais (LGPD), por exemplo.

Quais são as principais etapas da resposta a incidentes?

Ter um processo estruturado de resposta a incidentes, com fases e ações bem definidas, é a melhor forma de garantir a agilidade e eficiência durante crises. O modelo proposto pelo SANS Institute, uma das entidades mais respeitadas na comunidade mundial, divide a resposta a incidentes em 6 etapas principais:

1. Preparação
2. Identificação
3. Contenção
4. Erradicação
5. Recuperação
6. Aprendizado

Vamos entender cada uma delas.

1 – Etapa de preparação

“A arte da guerra nos ensina a não confiar na probabilidade do inimigo não estar vindo, mas sim em nossa prontidão para recebê-lo”

– Sun Tzu, A Arte da Guerra

O primeiro passo de todo o processo de resposta é estar bem preparado. Isso envolve uma série de elementos, sendo que alguns variam de empresa para empresa. Mas existem alguns passos universais para garantir que você e sua equipe estejam prontos para agir sem perda de tempo:

• Tenha uma boa política de segurança: regras claras e bem difundidas ajudam a prevenir situações adversas, além de respaldarem todo o processo de resposta.
• Elabore um plano claro de resposta a incidentes: tenha todas as instruções sobre como agir reunidas em um plano de ação. Além das orientações, deve incluir os critérios de priorização baseados nos objetivos do seu negócio.
• Prepare todos os canais de comunicação: durante crises, é essencial que todos os envolvidos saibam como, quando e em que casos devem contatar uns aos outros.
• Documente tudo: esteja pronto para documentar todos os passos do processo de resposta, da investigação até a contenção; isso será essencial para solucionar a crise de forma transparente, além de fornecer insights para futuras melhorias.
• Mantenha uma equipe capacitada: além dos especialistas de segurança, a resposta pode envolver diferentes profissionais, como engenheiros de rede, de bancos de dados e até mesmo profissionais das áreas de negócio.
• Providencie acesso aos sistemas envolvidos: certifique-se de que todos terão os acessos necessários para os sistemas comprometidos.
• Tenha todas as principais ferramentas disponíveis: é imprescindível que você e os especialistas envolvidos tenham as ferramentas mais importantes (como anti-malware, packet sniffers, entre outras) prontas para uso.

2 – Etapa de identificação

“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perder;”

– Sun Tzu, A Arte da Guerra

Quando um incidente é reportado, a primeira coisa a ser feita é a identificação da ameaça. É preciso entender a natureza e o escopo do caso, bem como definir seu nível de criticidade/prioridade. Para isso, você precisará recolher e analisar informações dos sistemas afetados, como logs e, principalmente, dados do tráfego da rede (ferramentas de Network Detection and Response (NDR) são as melhores para essa tarefa), iniciando o processo de investigação.

Aqui começam também a documentação e a comunicação. Todos os responsáveis e envolvidos devem ser notificados e corretamente informados para iniciar os procedimentos seguintes, e todos os passos devem ser registrados.

3 – Etapa de contenção

A contenção é a etapa “emergencial” da resposta a incidentes, focada em evitar que a ameaça se espalhe e cause maiores danos à organização. A fase se subdivide da seguinte forma:

• Contenção de curto-prazo: são ações imediatas para interromper o desenvolvimento do incidente no menor intervalo de tempo possível. Por exemplo: se você detectou um malware que abre backdoor para um invasor, a medida inicial de contenção seria cortar o acesso à rede para impedir que o hacker continue enviando e executando comandos.
• Backup dos sistemas: Após a contenção de curto-prazo, é importantíssimo guardar cópias e/ou imagens dos sistemas afetados, para análise forense.
• Contenção de longo-prazo: Imediatamente após as etapas anteriores vem a contenção de longo-prazo que, apesar do nome, deve ser concluída o mais rapidamente possível. A ideia aqui é neutralizar de fato o atacante, parando o processo de backdoor e removendo o malware detectado, por exemplo.

4 – Etapa de erradicação

Na etapa de erradicação, deve-se eliminar qualquer vestígio de comprometimento. Voltando para o exemplo que usamos na etapa de contenção, agora a equipe de segurança vai limpar o download automático do malware do registro de inicialização, eliminar o trojan utilizado pelo hacker para instalar o código malicioso e tomar todas as demais medidas cabíveis para retornar os sistemas a um estado seguro. A ideia é dar o sinal verde para que a operação volte à normalidade.

5 – Etapa de recuperação

Com a ameaça devidamente erradicada, a restauração definitiva dos sistemas é posta em prática. Na etapa de recuperação, é importante que a equipe de segurança acompanhe o andamento dos trabalhos, monitorando de perto os sistemas restaurados e realizando testes para certificar-se de que os sistemas realmente estão seguros.

6 – Etapa de “Lições aprendidas”

“Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças.”

– Sun Tzu, A Arte da Guerra

Na etapa de lições aprendidas (“aprendizado”), gestores e analistas de segurança se debruçam sobre os procedimentos realizados durante a resposta ao incidente para identificar pontos fracos nas defesas e propor melhorias em sistemas e processos.

A documentação do incidente vai ajudar nessa etapa, respondendo questões básicas sobre a violação (“quem?”, “o quê?”, “quando?”, “como?”, etc) e auxiliando no cumprimento de auditorias e processos de conformidade, mas o essencial é como sua equipe vai usar a informação para aprender com os erros e evitá-los no futuro.

Que tecnologias podem me ajudar durante a resposta a incidentes?

Quando um incidente é reportado, uma coisa é certa: a ameaça já driblou Firewalls, Antivírus e defesas semelhantes – ou ainda, no caso de usuários maliciosos internos (Insider Threats), já começou o ataque de dentro da sua rede. Por isso, você precisa de tecnologias capazes de fornecer inteligência, detecção e resposta que vão além de apenas tentar “barrar” invasões.

O Zerum Lynx atende essa demanda. Nossa solução integra tecnologias de análise forense e Network Detection and Response (NDR) anteriormente conhecidas como NTAs, além de recursos avançados de Inteligência Artificial e Threat Intelligence em uma solução Plug & Play.

No que se aplica à resposta a incidentes, ela auxilia especialmente em três frentes:

• Visibilidade: o Lynx permite a análise ampla e com alto nível de detalhes das transações da rede, incluindo seu payload, através de uma interface intuitiva; isso acelera o processo de investigação e resposta como um todo;
• Resposta a Incidentes: o lynx conta com recursos poderosos para tornar todo o processo de resposta mais rápido e preciso, com funcionalidades manuais e opções de automação;
• Análise forense: a solução também possibilita a gravação e extração de PCAPs, bem como a recuperação de quaisquer arquivos trafegados pela rede, em poucos cliques. É um recurso extremamente importante para confirmação de suspeitas e coleta de evidências forenses.
• Histórico: por fim, a capacidade de exploração do histórico de transações auxilia tanto durante a resposta como na fase de aprendizado, quando a equipe busca entender melhor todo o desenvolvimento do incidente.

E quanto a serviços especializados de Resposta a Incidentes?

Serviços gerenciados de Detecção e Resposta a incidentes (conhecidos pela sigla em inglês MDR), são uma opção sólida para empresas que ainda não têm os recursos humanos e/ou tecnológicos para garantir uma reação adequada a ataques cibernéticos. Neste guia rápido, você pode entender melhor como esse tipo de serviço funciona e que vantagens traz para sua empresa.

O Zerum Threat Hunting On-Demand, por exemplo, utiliza uma abordagem proativa na busca por ameaças ocultas na sua operação, com resposta imediata a elas, e pode ser contratado como medida permanente ou apoio pontual.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato!