Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.
Conforme estatísticas do CERT.br nos últimos anos a quantidade de Incidentes de Segurança só tem aumentado.
Fonte: CERT.br
Mesmo diante desse cenário muitas empresas ainda não possuem um Plano de Resposta a Incidentes e nem uma Equipe de Resposta a Incidentes de Segurança de Computador, também conhecido como CSIRT (Computer Security Incident Response Team).
O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter a definição de incidente para a empresa e descrever os procedimentos a serem executados quando um incidente ocorrer, as ferramentas, tecnologias e recursos a serem utilizados, além de especificar os colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.
Etapas
O SANS Institute descreve seis etapas para uma resposta efetiva a incidentes de segurança:
|
Esta etapa visa preparar a equipe de segurança para lidar com os incidentes. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação. |
|
Os incidentes são detectados permitindo uma rápida resposta reduzindo custos e danos ao ambiente. Nesta etapa a equipe de segurança consolida informações vindas de ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc. |
|
Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo. Conforme recomendação do SANS Institute nesta etapa deve-se “evitar a destruição de qualquer evidência que possa ser necessária posteriormente para a ação penal”. |
|
Refere-se à remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente. |
|
Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça. |
|
Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes. |
Manter a segurança da informação de uma organização é um grande desafio. Mas para auxiliar as empresas nessa árdua tarefa existem várias organizações de Resposta a Incidentes pelo mundo.
Marcia Garcia, gerente de projetos da Arcon.