Gerenciamento de Incidentes de Segurança: Responda Efetivamente a Incidentes de Segurança
O Gerenciamento de Incidentes Envolve Priorização, Avaliação e Gerenciamento.
Os processos automatizados ajudam os analistas de gerenciamento de incidentes de segurança a responder de maneira ideal. No caso de um ataque, as empresas devem agir rapidamente para minimizar os danos e conter as ameaças. A base para lidar com incidentes relacionados à segurança é a criação de um plano no qual as tarefas e responsabilidades são definidas. Este plano também direciona o isolamento de malware e sistemas afetados, bem como garante análises mais profundas para identificar o atacante e investigar o motivo do ataque com mais detalhes.
O que é um Incidente de Segurança?
Um incidente de segurança pode ser independente ou consistir em vários eventos que, juntos, indicam que os sistemas ou dados de uma organização podem ter sido comprometidos ou que as medidas de proteção podem ter falhado. Isso inclui qualquer incidente intencional ou não intencional que represente uma ameaça crescente à segurança de TI.
O que é um Incidente Grave?
Um grande incidente é um incidente sério com a mais alta prioridade. Esses tipos de incidentes podem levar a interrupções significativas ou até mesmo ao encerramento completo das operações de sua empresa, portanto, exigem medidas especiais. Incidentes graves representam um risco que não pode ser negligenciado.
O que é um Manipulador de Incidentes?
O trabalho do Manipulador de Incidentes é conter e mitigar os incidentes de segurança. Para fazer isso, ele planeja, gerencia e coordena atividades, e também se comunica com outros profissionais de cibersegurança.
As principais responsabilidades dos Manipuladores de Incidentes são a definição, documentação e comunicação das funções que vários profissionais desempenham durante um incidente. Essas funções variam dependendo da gravidade do incidente.
Os Manipuladores de Incidentes estabelecem, testam e verificam os canais de comunicação e os comunicam ao pessoal apropriado. Isso é necessário para garantir o fluxo adequado de tarefas e comunicações.
Eles também garantem que todas as melhores práticas, padrões e estruturas de cibersegurança, leis e regulamentos de tratamento e resposta a incidentes sejam seguidos e estimam os custos em que um incidente pode incorrer.
Por Que o Gerenciamento de Incidentes de Segurança é Tão Importante Hoje?
As empresas são regularmente, e com uma frequência crescente, atacadas por cibercriminosos e costumam sofrer danos de longo prazo.
Vivemos em tempos turbulentos e em constante mudança. O mundo está conectado em rede e a digitalização está avançando. Experienciamos isso muito claramente em 2020, em particular, quando mais e mais pessoas mudaram seus locais de trabalho para homeoffice. Eles mudaram de uma rede gerenciada por profissionais de TI para um local de trabalho sem firewalls corporativos e possivelmente sem programas antivírus profissionais para protegê-los.
Essa situação torna as empresas um alvo fácil para os cibercriminosos e apresenta grandes desafios para os departamentos de TI.
No entanto, a segurança de TI não é apenas uma preocupação dos especialistas em segurança; também é responsabilidade de cada funcionário. Tarefas aparentemente simples, como
- Alterar senhas regularmente,
- compartilhar informações confidenciais apenas com fontes conhecidas e verificadas,
- atualizar software,
- fazer backups regulares dos dados e
- empregar consistentemente uma estratégia de desktop limpo
são uma base importante para um trabalho seguro. Todas as oportunidades devem ser aproveitadas para sensibilizar repetidamente os funcionários para o tópico.
O Que Deve Ser Considerado Ao Se Preparar Para Incidentes?
O mais importante é garantir que todos os funcionários conheçam suas funções e responsabilidades no caso de um incidente de segurança.
Para isso, cenários podem ser desenvolvidos e executados regularmente para que possam ser avaliados e otimizados, se necessário. Um plano de resposta deve ser bem documentado, assim como deve detalhar e explicar as funções e responsabilidades de todos os envolvidos.
Acima de tudo, a competência de cada indivíduo conta. Quanto melhor preparados seus funcionários estiverem, menor será a probabilidade de cometerem erros críticos.
Responda às seguintes questões:
- Os funcionários foram treinados sobre a política de segurança?
- As políticas de segurança e o plano de gerenciamento de incidentes foram aprovados pela liderança apropriada?
- A equipe de resposta a incidentes conhece suas responsabilidades e sabe a quem notificar?
- Todos os membros da equipe participaram dos exercícios práticos?
O Plano de Gerenciamento de Incidentes
Na cibersegurança, assim como no ITSM, existem múltiplas normas como ISO 27000 e várias especificações NIST. Em geral, todos eles recomendam a criação de um plano de resposta a incidentes.
Um plano de resposta a incidentes geralmente é um conjunto documentado de instruções com várias fases. O plano de resposta a incidentes define todas as ações necessárias e descreve claramente as responsabilidades. Está comprovado que ele consiste em várias fases, então revisões regulares de tal plano de gerenciamento de incidentes são necessárias.
Fases recomendadas de um plano de gerenciamento de incidentes.
1. Preparação
Fornecer ferramentas e processos de gerenciamento de incidentes.
Assim como no ITIL®, o processo descrito no plano de resposta a incidentes é baseado nas melhores práticas. Todas as fases importantes são definidas na ferramenta. Dessa forma, quando ocorre um incidente, as informações necessárias para responder podem ser reunidas em um curto espaço de tempo. A comunicação entre todas as partes envolvidas deve ser delineada e as informações de contato coletadas.
2. Análise e Identificação
Decidir se um incidente de segurança ocorreu.
A análise de dados de sistemas de gerenciamento de log, IDS/IPS, sistemas de compartilhamento de ameaças, bem como logs de firewall e atividades de rede, por ex. através de um SIEM, ajuda a classificar os eventos correspondentes. Assim que uma ameaça for identificada, ela deve ser documentada e comunicada de acordo com a política estabelecida.
3. Contenção
Contenha a propagação do incidente e previna mais danos.
Decidir qual estratégia usar é a parte mais significativa desta fase. A principal questão é qual vulnerabilidade permitiu que o malware se infiltrasse. A mitigação rápida, como o isolamento de um segmento de rede, é a primeira etapa em muitos incidentes, após a qual a análise forense é frequentemente procurada para avaliação.
4. Erradicação
O Malware é eliminado.
Assim que a potencial ameaça seja contida, a causa do incidente deve ser investigada. Para isso, todo malware deve ser removido com segurança, os sistemas corrigidos, as atualizações aplicadas e o software atualizado, se necessário. Os sistemas devem, portanto, ser trazidos para o nível de patch mais recente e as novas senhas atribuídas deverão atender a todos os requisitos de segurança.
5. Recuperação
Sistemas e dispositivos são reativados e tornam-se produtivos.
“Voltar à função normal” é o objetivo desta fase. Todos os sistemas devem ser constantemente verificados para ver se estão funcionando conforme o esperado. Isso é garantido por meio de testes e monitoramento por um longo período de tempo. Nesta fase, a equipe de resposta a incidentes determina quando as operações serão restauradas e se os sistemas infectados serão completamente limpos.
6. Lições Aprendidas
O que deu e o que não deu certo?
Depois que a fase cinco esteja concluída, uma reunião de encerramento deve ser realizada com todas as partes envolvidas. Nesta reunião, as questões abertas são esclarecidas e o incidente é finalmente encerrado. Não se trata apenas do tratamento do incidente, mas também da sua detecção, por exemplo, pelo SIEM. Com o conhecimento adquirido com essa troca, podem ser definidas medidas para lidar melhor com incidentes no futuro.
–––
Dependendo da orientação de uma equipe de segurança, essas seis fases também podem ser parcialmente combinadas ou implementadas em vários graus.
Sendo um software SOAR, como pode o STORM oferecer suporte ao gerenciamento de incidentes?
-
IdentificaçãoCom tantos alertas chegando, os analistas perderiam muito tempo abrindo e registrando incidentes. Em vez disso, um SOAR usa automação para criar novos casos.
-
PriorizaçãoPara acompanhar o fluxo de alertas, sua equipe de cibersegurança precisa de uma solução automatizada. A automação SOAR prioriza rapidamente cada caso recebido para que os incidentes críticos sejam respondidos primeiro.
-
DiagnósticoAs plataformas SOAR facilitam o diagnóstico dos analistas de segurança, organizando centralmente alertas SIEM e outros dados. Isso inclui informações WHOIS ou MISP, por exemplo. Isso significa que todos os dados relacionados a um caso atual estão rapidamente disponíveis.
-
RespostaUma solução SOAR notifica todas as partes interessadas quando ocorre um incidente: gerenciamento, dev ops e TI. As etapas de mitigação são documentadas à medida que acontecem. Assim, o gerenciamento de um caso centralizado em uma solução SOAR simplifica o envolvimento de todas as partes responsáveis. Outros podem ver imediatamente o progresso e status atuais.
-
Resolução e encerramentoSoftwares SOAR documentam todas as respostas a um incidente para prevenir futuros incidentes. Esta documentação não pode ser editada. Isso garante que a resposta a um incidente seja armazenada à prova de auditoria.
Especialistas em Gerenciamento de Incidentes
As causas dos incidentes relacionados à segurança são múltiplas e muitas vezes não são imediatamente reconhecíveis. No entanto, é necessário identificá-los para realmente eliminar todos os vestígios do incidente.
O STORM traz muitas vantagens como software SOAR: É uma ferramenta que pode ser adaptada individualmente aos requisitos de segurança, mas também inclui muito know-how de nossos especialistas em cibersegurança.
Nossos especialistas em segurança trabalham com você para analisar o status quo de seus processos de segurança de TI, desenvolver soluções adequadas e, em seguida, implementá-las.
Contate nossos especialistasConteúdo relacionado que pode interessar a você
Gerenciamento de Vulnerabilidade
Corrija vulnerabilidades de segurança com o Vulnerability Management do OTRS. Identifique, classifique e priorize vulnerabilidades de software.
OTRS
Traga um novo frescor para suas equipes e concentre-se em velocidade, informações em tempo real, flexibilidade máxima e segurança ideal.
Gerenciamento de serviços de TI
Torne o seu negócio ainda mais bem-sucedido e otimize os processos da sua empresa. A ferramenta ITSM do OTRS Group é a solução para o trabalho orientado para o cliente e o serviço – adaptada individualmente às suas estruturas.