Resposta a incidentes

0
16

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

Conforme estatísticas do CERT.br nos últimos anos a quantidade de Incidentes de Segurança só tem aumentado.

Fonte: CERT.br

Mesmo diante desse cenário muitas empresas ainda não possuem um Plano de Resposta a Incidentes e nem uma Equipe de Resposta a Incidentes de Segurança de Computador, também conhecido como CSIRT (Computer Security Incident Response Team).

O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter a definição de incidente para a empresa e descrever os procedimentos a serem executados quando um incidente ocorrer, as ferramentas, tecnologias e recursos a serem utilizados, além de especificar os colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.

Etapas

O SANS Institute descreve seis etapas para uma resposta efetiva a incidentes de segurança:

  1. Preparação

Esta etapa visa preparar a equipe de segurança para lidar com os incidentes. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação.

  1. Identificação

Os incidentes são detectados permitindo uma rápida resposta reduzindo custos e danos ao ambiente. Nesta etapa a equipe de segurança consolida informações vindas de ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc.

  1. Contenção

Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo.

Conforme recomendação do SANS Institute nesta etapa deve-se "evitar a destruição de qualquer evidência que possa ser necessária posteriormente para a ação penal".

  1. Erradicação

Refere-se à remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente.

  1. Recuperação

Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça.

  1. Lições aprendidas

Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes.

Manter a segurança da informação de uma organização é um grande desafio. Mas para auxiliar as empresas nessa árdua tarefa existem várias organizações de Resposta a Incidentes pelo mundo.

Marcia Garcia, gerente de projetos da Arcon.

Deixe seu comentário