<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
18 out 2018

Resposta a incidentes

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

Conforme estatísticas do CERT.br nos últimos anos a quantidade de Incidentes de Segurança só tem aumentado.

                                                                            

Mesmo diante desse cenário muitas empresas ainda não possuem um Plano de Resposta a Incidentes e nem uma Equipe de Resposta a Incidentes de Segurança de Computador, também conhecido como CSIRT (Computer Security Incident Response Team).

O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter a definição de incidente para a empresa e descrever os procedimentos a serem executados quando um incidente ocorrer, as ferramentas, tecnologias e recursos a serem utilizados, além de especificar os colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.

 

Etapas

O SANS Institute descreve seis etapas para uma resposta efetiva a incidentes de segurança:

1.Preparação

 

Esta etapa visa preparar a equipe de segurança para lidar com os incidentes. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação.

 

2.Identificação

 

Os incidentes são detectados permitindo uma rápida resposta reduzindo custos e danos ao ambiente. Nesta etapa a equipe de segurança consolida informações vindas de ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc.

 

3. Contenção

 

Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo.

Conforme recomendação do SANS Institute nesta etapa deve-se “evitar a destruição de qualquer evidência que possa ser necessária posteriormente para a ação penal”.

 

4. Erradicação

 

Refere-se à remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente.

 

5.Recuperação

 

Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça.

 

6. Lições aprendidas

 

Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes.

 

 

Manter a segurança da informação de uma organização é um grande desafio. Para auxiliar as empresas nessa árdua tarefa existem várias organizações de Resposta a Incidentes pelo mundo. Algumas delas:

 

NEC Zero Trust

Inscreva-se e receba mais conteúdos como este!