O conteúdo deste post pode parecer extenso e complexo, mas escrevemos de maneira que seja de fácil assimilação e porque estamos descrevendo de maneira abrangente, que pode ser aplicável em qualquer organização.

Tenha em mente que um plano de respostas a incidentes não deve ser um tabu para a sua empresa. Após a assimilação deste conteúdo, verá que a criação de um plano de resposta a incidentes é simples, e requer apenas atenção a alguns detalhes que separamos cuidadosamente neste post.

O que é um plano de resposta a incidentes?

Um plano de resposta a incidentes é um documento detalhado que define os procedimentos e ações a serem tomadas em caso de incidente de segurança cibernética, com o objetivo de minimizar danos, reduzir o tempo de inatividade e proteger os ativos e dados da empresa.

Além disso, deve incluir uma estrutura clara de governança, identificando as funções e responsabilidades de cada membro da equipe durante um incidente. Isso garante que todos saibam quem é responsável por qual tarefa, o que ajuda a coordenar uma resposta ágil e eficaz em momentos de crise.

Essa estrutura deve incluir um processo de escalonamento claro para casos em que o incidente exija a intervenção de autoridades externas ou especialistas em segurança cibernética.

Também deve estabelecer um protocolo de comunicação interna e externa para garantir uma resposta coordenada e transparente, tanto dentro da empresa quanto com partes interessadas externas, como clientes, fornecedores e autoridades regulatórias.

Evento x Incidente, qual a diferença?

A diferença está principalmente na natureza e no impacto das ocorrências.

Um evento é qualquer tipo de acontecimento observável ou registrável que ocorre em um sistema de TI, como um servidor, rede ou aplicativo, como logins de usuários, acesso a arquivos, transferências de dados, entre outros. Nem todos os eventos representam uma ameaça à segurança ou requerem ação imediata. Muitos eventos são simplesmente parte da operação normal do sistema e são registrados para fins de monitoramento, auditoria ou análise.

Por outro lado, um incidente é uma ocorrência que representa uma violação de segurança ou um risco potencial para a organização. Um incidente geralmente é definido como um evento que teve ou pode ter um impacto negativo na confidencialidade, integridade ou disponibilidade dos sistemas ou dados da organização. Por exemplo, um incidente pode ser uma tentativa de invasão de um sistema, uma violação de dados, um ataque de malware ou um comportamento suspeito que indique uma possível atividade maliciosa.

Existe um passo a passo para montar um plano de respostas a incidentes?

Infelizmente, não existe uma “receita de bolo” de como montar um plano de resposta a incidentes, pois cada empresa possui suas particularidades.

Mas existem etapas importantes que, se bem definidas, culminarão no êxito da sua execução, como veremos a seguir:

Preparação
> Treinamento da equipe operacional;
> Classificação de ameaças;
> Implantação de ferramentas de monitoramento;
> CSIRT e sala de guerra;
> Procedimentos de Resposta;

Identificação
> O que, quando, como e onde aconteceu?;
> Atividades Suspeitas;
> Indicadores de Comprometimento (IoCs);
> Assinaturas de Ataque;
> Comportamento Anormal de Usuários e Sistemas;
> Vulnerabilidades de Segurança;
> Inteligência de Ameaças Externas;

Contenção
> Fluxo de ações a se tomar com base na fase de identificação;

Erradicação
> Análise dos Sistemas afetados;
> Remoção de Arquivos e Programas Maliciosos;
> Correção de Vulnerabilidades de Segurança;
> Revisão das Políticas de Segurança e Controles;
> Validação da Erradicação;

Restauração
> Verificação de Integridade dos Sistemas;
> Recuperação de Dados de Backup;
> Aplicação de Patches e Atualizações;
> Restabelecimento de Configurações de Segurança;
> Monitoramento Contínuo;
> Documentação e Relatório;
> Testes de Funcionalidade e Segurança;

Post mortem
> Identificação da Origem;
> Documentação e Relatório;
> Lições aprendidas.

Preparação

Treinamento de colaboradores

O plano de resposta a incidentes começa muito antes que qualquer ameaça se faça presente, com a conscientização da equipe sobre a importância da segurança cibernética e a necessidade de estar preparado para lidar com possíveis incidentes. Isso inclui treinamento regular sobre boas práticas de segurança, identificação de ameaças e procedimentos de resposta.

A equipe também deve estar ciente dos diferentes tipos de incidentes que podem ocorrer e como reconhecê-los, desde ataques de phishing até ransomware, reconhecimento de comportamentos de malware e intrusões de rede.

Classificação de ameaças

Isso pode ser feito usando uma escala de classificação predefinida, que leva em consideração fatores como o tipo de incidente, o alcance da violação, o volume de dados comprometidos e o impacto operacional e financeiro.

Dessa forma permite que a equipe de resposta priorize sua resposta e aloque recursos de forma eficaz, concentrando-se nos incidentes mais críticos e urgentes primeiro.

Os incidentes cibernéticos podem ser classificados em várias categorias, incluindo ataques de malware, como ransomware e cavalos de Troia, violações de dados, como roubo de informações pessoais ou empresariais, e interrupções de serviço através de ataques de negação de serviço (DDoS), que visam interromper a disponibilidade de serviços online.

Cada tipo de incidente requer uma abordagem de resposta específica, com medidas de contenção, investigação e mitigação adequadas para minimizar danos e evitar a sua propagação.

Monitoramento

Para identificar incidentes cibernéticos, deve-se implementar sistemas de monitoramento e detecção de ameaças em tempo real, como firewalls, sistemas de prevenção de intrusões (IPS), sistemas de detecção de intrusões (IDS) e ferramentas de análise de registros (logs).

Esses sistemas podem alertar a equipe de segurança sobre atividades suspeitas, como tentativas de acesso não autorizado, comportamento incomum de usuários ou tráfego malicioso na rede.

CSIRT e Sala de Guerra

CSIRT é um acrônimo em inglês para “Time de Resposta a Incidentes de Cibersegurança”, que consiste em uma equipe destinada a resolver problemas de segurança cibernética. Pode ser composto por membros dedicados ou por colaboradores de diversas áreas, mas com conhecimento técnico adequado para cumprir suas funções.

A formação dessa equipe requer uma abordagem cuidadosa e estratégica, envolvendo a seleção de membros qualificados e a definição clara de suas responsabilidades e funções durante um incidente.

Primeiramente, é importante designar um líder ou coordenador de resposta a incidentes, responsável por supervisionar e coordenar todas as atividades relacionadas à resposta a incidentes. Este indivíduo deve ter experiência e conhecimento em segurança cibernética, bem como habilidades de liderança e tomada de decisões sob pressão.

Além do líder, a equipe de resposta a incidentes deve incluir membros de diferentes departamentos e áreas de especialização, como TI, segurança da informação, jurídico, comunicação e operações. Cada membro da equipe deve ter habilidades e experiência específicas que contribuam para a resposta eficaz a incidentes, como análise forense digital, mitigação de ameaças, comunicação com partes interessadas e conformidade regulatória.

É importante estabelecer claramente as funções e responsabilidades de cada membro da equipe durante um incidente, definindo quem é responsável por qual função, e como as decisões serão tomadas.

A equipe de resposta a incidentes deve ser treinada regularmente e estar familiarizada com os procedimentos e protocolos de resposta a incidentes estabelecidos pela organização. Para que, quando um incidente real ocorrer, cada membro saiba exatamente o que fazer, de modo que o documento em si, seja apenas um guia formal para as ações que já estão intrínsecas na mente de cada um.

Por fim, o termo “Sala de Guerra” se refere a um ambiente que pode ser físico ou digital, como um link para uma sala virtual de reuniões, previamente estabelecida. O intuito é que, quando a equipe de resposta for notificada pelo time de threat intelligence, saber que todos os membros precisam se reunir urgentemente para dar início às operações de resposta ao incidente.

Desenvolvimento de Procedimentos de Resposta

Os procedimentos de resposta a incidentes devem abordar diferentes tipos de incidentes, conforme foram mapeados na fase de classificação que veremos adiante, desde ataques de malware até violações de dados e interrupções de serviço.

Em seguida, definir as etapas específicas a serem seguidas em cada caso. Isso inclui medidas de contenção imediata para evitar a propagação do incidente, como isolar sistemas comprometidos e interromper o acesso não autorizado.

Os procedimentos devem incluir diretrizes detalhadas para investigar a origem e a natureza do incidente, incluindo a coleta de evidências forenses, análise de registros de segurança e identificação de vulnerabilidades de segurança que possam ter sido exploradas. Isso é essencial para entender a extensão do incidente e desenvolver uma estratégia de resposta adequada.

Outro aspecto importante dos procedimentos de resposta a incidentes é a definição de medidas de mitigação e recuperação para restaurar a operação normal dos sistemas e serviços afetados.

Inclui a aplicação de patches de segurança, redefinição de senhas comprometidas, restauração de backups de dados e implementação de medidas adicionais de segurança para evitar futuros incidentes, que também devem ter sua descrição detalhada no relatório na etapa de post mortem que vermos adiante.

Também devem abordar questões relacionadas à comunicação interna e externa durante um incidente, incluindo a coordenação de atualizações regulares para a equipe, gerenciamento de expectativas das partes interessadas e comunicação com autoridades regulatórias e aplicação da lei, se necessário.

Destacamos aqui a importância da nomeação de um encarregado (DPO: Data Protection Officer), conforme prevê o inciso VIII do artigo 5º da Lei nº 13.709/2018 (LGPD).

Identificação e Classificação

Destina-se a entender a natureza e a origem das ameaças, bem como para aplicar medidas eficientes de resposta a incidentes, com base na sua categoria.

O que? Como? Quando? Onde?

Essas perguntas são de suma importância para ajudar as equipes a localizar precisamente o ponto de partida para a tomada de ações de forma assertiva, como restauração de backups, alterações de regras de firewall, reset de senhas entre outras.

Quanto maior o número de informações, mais precisa será a atuação das equipes, e consequentemente, menor o tempo de resposta.

Atividades Suspeitas

Através dos logs e alertas dos sistemas de monitoramento de segurança cibernética podem ser identificadas atividades suspeitas ou anômalas em tempo real ou logo após o incidente.

Possua regras bem definidas que identifiquem comportamentos anômalos através da análise de registros de segurança, monitoramento de tráfego de rede e sistemas de detecção de malware.

Indicadores de Comprometimento (IoCs)

Procure por indicadores de comprometimento, como endereços IP suspeitos, padrões de tráfego incomuns, atividades de login suspeitas e comunicações de comando e controle. Esses IoCs podem indicar a presença de malware, intrusões de rede ou outras atividades maliciosas.

Assinaturas de Ataque

Utilize informações sobre assinaturas de ataques conhecidos e técnicas de exploração para identificar padrões de ataque e características específicas associadas a ameaças conhecidas. Isso pode ajudar a identificar o tipo de ameaça que está atacando a estrutura e a tomar as medidas de mitigação apropriadas.

Comportamento Anormal de Usuários e Sistemas

Esteja atento a comportamentos anormais de usuários e sistemas, como atividades de login fora do horário comercial, tentativas repetidas de acesso a recursos restritos, alterações não autorizadas nas configurações do sistema e tráfego de rede incomum. Esses comportamentos podem indicar uma violação de segurança em andamento.

Vulnerabilidades de Segurança

Identifique e avalie as vulnerabilidades de segurança conhecidas nos sistemas e aplicativos da estrutura, como vulnerabilidades de software, configurações inadequadas de segurança e falhas de projeto que podem ser exploradas por atacantes para comprometer a segurança da estrutura.

Inteligência de Ameaças Externas

Monitore fontes de inteligência de ameaças externas, como feeds de notícias de segurança cibernética, boletins de segurança, relatórios de incidentes e informações de compartilhamento de ameaças entre organizações. Isso pode fornecer insights sobre as ameaças emergentes e táticas de ataque utilizadas por grupos cibernéticos maliciosos.

Ao realizar esta etapa, a empresa poderá identificar rapidamente a natureza e a origem das ameaças, permitindo uma resposta eficaz para mitigar o impacto negativo e proteger os ativos e dados contra danos e comprometimento.

Contenção

Após a identificação de uma ameaça em uma estrutura, é crucial tomar medidas imediatas para conter a ameaça e minimizar seu impacto potencial.

Para isso, possua um fluxo de ações a serem tomadas com base na fase de identificação para conter uma ameaça.

Isolamento da Ameaça

Sempre que possível, isole imediatamente os sistemas afetados ou potencialmente comprometidos da rede para evitar a propagação da ameaça para outros sistemas ou desconecte os dispositivos comprometidos da rede e da Internet para impedir o acesso não autorizado e interromper a comunicação com possíveis atacantes.

Contenção da Ameaça

Implemente medidas de contenção para interromper a atividade maliciosa e evitar danos adicionais. Isso pode ser feito através do bloqueio de portas e protocolos de rede, pausa em serviços, remoção de malware, redefinição de senhas comprometidas e aplicação de patches de segurança.

Também é possível restaurar os sistemas afetados a um estado seguro e funcional, seguindo procedimentos de recuperação de desastres e backups de dados, caso necessário.

Erradicação

Este procedimento visa remover todos os vestígios da ameaça, corrigir as vulnerabilidades que permitiram sua reentrada e garantir que os sistemas estejam protegidos contra futuras explorações similares.

Análise Completa dos Sistemas Afetados

Realize uma análise detalhada dos sistemas afetados para identificar todos os arquivos, processos e configurações relacionados à ameaça.

Verificação de registros de eventos, logs de sistema, registros de atividade do usuário e varreduras de antivírus são algumas formas de fazê-lo.

Remoção de Arquivos e Programas Maliciosos

Remova todos os arquivos, programas e processos maliciosos dos sistemas afetados. Isso pode exigir o uso de ferramentas de remoção de malware específicas e a realização de varreduras completas do sistema para garantir que não haja vestígios da ameaça restantes.

Correção de Vulnerabilidades de Segurança

Identifique e corrija todas as vulnerabilidades de segurança que foram exploradas pela ameaça para entrar nos sistemas. Pode ser feito através da aplicação de patches de segurança, atualizações de software, configurações de firewall e políticas de acesso restrito.

Revisão das Políticas de Segurança e Controles

Revise e fortaleça as políticas de segurança e os controles de segurança para evitar futuras explorações das mesmas vulnerabilidades, implementando políticas de acesso mínimo, autenticação multifator, treinamento de conscientização em segurança cibernética para funcionários e monitoramento de segurança em tempo real.

Validação da Erradicação

Realize testes adicionais para validar que a ameaça foi completamente erradicada dos sistemas afetados, executando varreduras com antivírus adicionais, análise forense adicional e monitoramento contínuo dos sistemas para detectar qualquer atividade suspeita.

Restauração

Após passado todo o processo contra a ameaça, o próximo passo é restaurar o ambiente para um estado seguro e funcional. Este procedimento de restauração se faz necessário para garantir que os sistemas e dados estejam protegidos e que as operações de negócios possam ser retomadas sem interrupções significativas.

Verificação da Integridade dos Sistemas

Realize uma verificação abrangente da integridade dos sistemas afetados para garantir que todos os componentes críticos estejam funcionando corretamente.

Verifique se todos os sistemas estão operacionais e se não há sinais de comprometimento residual.

Recuperação de Dados de Backup

Nunca é demais falar que é preciso manter um backup ativo e atualizado para situações como esta.

Portanto, caso necessário, restaure os dados dos backups mais recentes para garantir que todos os dados críticos estejam intactos e acessíveis, e verifique a integridade destes e valide os dados restaurados para garantir sua precisão e integridade.

Aplicação de Patches e Atualizações

Aplique quaisquer patches de segurança e atualizações de software que possam ter sido adiados durante o incidente de segurança.

Certifique-se de que todos os sistemas estejam atualizados com as últimas correções de segurança para mitigar quaisquer vulnerabilidades conhecidas.

Restabelecimento de Configurações de Segurança

Restabeleça as configurações de segurança padrão e implemente controles adicionais necessários para fortalecer a postura de segurança dos sistemas.

A configuração de políticas de firewall, atualização de políticas de acesso e revisão de permissões de usuário podem ser opções nestes casos.

Monitoramento Contínuo

Caso ainda não haja, implemente monitoramento contínuo dos sistemas restaurados para detectar qualquer atividade suspeita ou tentativas de reinfecção. Lembre-se: o preço da segurança é a eterna vigilância.

Documentação e Relatório

Documente todas as etapas do procedimento de restauração, incluindo as ações tomadas, os resultados dos testes e qualquer problema encontrado.

Prepare um relatório final sobre o incidente de segurança, as medidas de resposta adotadas e o estado atual do ambiente restaurado.

Testes de Funcionalidade e Segurança

Realize testes de funcionalidade e segurança em todos os sistemas restaurados para garantir que estejam operacionais e protegidos contra ameaças.

Realize testes de penetração e varreduras de segurança adicionais para identificar e corrigir quaisquer vulnerabilidades remanescentes.

Post Morten

Identificação da Origem

Muitas informações da etapa de erradicação podem ser aproveitadas nesta fase, a fim de investigar a origem e a causa da ameaça, incluindo a identificação dos vetores de ataque utilizados pelos invasores para acessar os sistemas e os métodos usados para comprometer a segurança, bem como identificar os ativos comprometidos, os pontos de entrada do ataque e os sistemas vulneráveis que podem ter sido explorados.

Efetue também uma investigação a fim de entender se pode ter se tratado de alguma ameaça “insider” devido ao comportamento de algum colaborador, ou até mesmo prestador de serviços.

Documentação e Relatório

Documente todas as etapas dos procedimentos executados, incluindo as ações tomadas, as descobertas da análise, as correções aplicadas e os resultados dos testes de validação.

Prepare um relatório detalhado sobre a ameaça, suas origens, métodos de infiltração, impacto nos sistemas e ações tomadas para erradicá-la. Isso ajudará a organização a aprender com a experiência e a fortalecer suas defesas de segurança cibernética no futuro.

Lembrando: este relatório difere-se do relatório de restauração. Cada um terá sua função distinta conforme aqui descrito.

Lições Aprendidas

Realize uma revisão pós-incidente para identificar lições aprendidas, áreas de melhoria e recomendações para fortalecer a postura de segurança cibernética da organização.

Implemente as recomendações resultantes da revisão pós-incidente para melhorar a resiliência da organização contra futuros incidentes de segurança cibernética.

Considerações Adicionais

Revisão dos Procedimentos

É importante que os procedimentos de resposta a incidentes sejam revisados e atualizados regularmente para garantir que estejam alinhados com as melhores práticas de segurança cibernética e as mudanças contínuas do comportamento das ameaças.

Realize revisões após incidentes reais, exercícios de simulação periódicos e atualizações com base em novas ameaças e vulnerabilidades identificadas.

Exercícios de Simulação

Os testes e exercícios de simulação ajudam a identificar lacunas no plano, melhorar a coordenação da equipe e garantir que todos os membros estejam familiarizados com seus papéis e responsabilidades durante um incidente real.

Existem diferentes tipos de testes e exercícios que uma organização pode realizar para validar seu plano de resposta a incidentes. Um dos mais comuns é o exercício de mesa, onde os membros da equipe se reúnem para simular um incidente cibernético e discutir as ações que seriam tomadas em resposta a ele. Isso permite que a equipe revise o plano, identifique áreas de melhoria e pratique a comunicação e coordenação entre os membros.

Os testes de cenário por sua vez, são exercícios mais práticos que envolvem a simulação de um incidente cibernético em um ambiente controlado. Pode incluir a criação de um ambiente de laboratório para simular um ataque de malware ou uma violação de dados e testar a eficácia das medidas de segurança e resposta implementadas pela organização.

Testes de Invasão

Outro tipo de teste importante é o teste de invasão ou pentest, onde especialistas em segurança cibernética tentam explorar as vulnerabilidades dos sistemas e redes da organização para identificar pontos fracos que poderiam ser explorados por atacantes reais.

Isso ajuda a garantir que os sistemas estejam adequadamente protegidos contra ameaças externas e fornece informações valiosas para melhorar as defesas de segurança.

É importante realizar estes testes regularmente, pelo menos uma vez por ano, para garantir que o plano de resposta a incidentes esteja atualizado e alinhado com as mudanças na evolução das ameaças e na infraestrutura de TI da empresa.

Isso também permite que a equipe de resposta a incidentes ganhe experiência prática e esteja preparada para responder de maneira eficaz a incidentes reais quando ocorrerem.

Conclusão

Um plano de resposta a incidentes ajuda a proteger os ativos e dados da organização contra danos e comprometimento, garantindo a continuidade das operações de negócios e mantendo a confiança dos clientes e parceiros de negócios.

Esteja ciente de que estas são algumas das práticas para um bom plano, e você precisa estar atento às particularidades da sua estrutura para um melhor aproveitamento e adequação destas dicas.

E se você chegou até aqui, nós preparamos um presente para você: Baixe um modelo de plano de resposta a incidentes clicando aqui.

A Overnine oferece várias soluções de segurança para o seu ambiente. Caso tenha ficado com alguma dúvida ou busca uma solução robusta de segurança para seu ambiente, entre em contato conosco que estaremos prontos para lhe atender.

Clique aqui para ver outras matérias.