Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.
Conforme estatísticas do CERT.br nos últimos anos a quantidade de Incidentes de Segurança só tem aumentado.
Mesmo diante desse cenário muitas empresas ainda não possuem um Plano de Resposta a Incidentes e nem uma Equipe de Resposta a Incidentes de Segurança de Computador, também conhecido como CSIRT (Computer Security Incident Response Team).
O Plano de Resposta a Incidentes (IRP – Incident Response Plan) deve conter a definição de incidente para a empresa e descrever os procedimentos a serem executados quando um incidente ocorrer, as ferramentas, tecnologias e recursos a serem utilizados, além de especificar os colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.
Etapas
O SANS Institute descreve seis etapas para uma resposta efetiva a incidentes de segurança:
1.Preparação |
Esta etapa visa preparar a equipe de segurança para lidar com os incidentes. Ela inclui definir as políticas, ferramentas, procedimentos e plano de comunicação.
|
2.Identificação |
Os incidentes são detectados permitindo uma rápida resposta reduzindo custos e danos ao ambiente. Nesta etapa a equipe de segurança consolida informações vindas de ferramentas de monitoramento, eventos de log, mensagens de erro firewalls, etc.
|
3. Contenção |
Após a identificação de um incidente, o mesmo deve ser contido e deve ser isolado para que outros sistemas não sejam afetados ou para evitar maiores danos ao ambiente. Essa etapa inclui a contenção de curto prazo, backup do sistema e contenção a longo prazo. Conforme recomendação do SANS Institute nesta etapa deve-se “evitar a destruição de qualquer evidência que possa ser necessária posteriormente para a ação penal”.
|
4. Erradicação |
Refere-se à remoção da ameaça e restauração dos sistemas afetados para que retornem ao seu estado original antes do incidente.
|
5.Recuperação |
Nesta etapa os sistemas afetados retornarão ao ambiente de produção após testes e validações para garantir que nenhuma ameaça permaneça.
|
6. Lições aprendidas |
Para fechar o ciclo, esta etapa visa atualizar o Plano de Resposta a Incidentes com as ações realizadas para tratar o incidente, contribuindo para o aprendizado da equipe e facilitando as próximas atuações em futuros incidentes.
|
Manter a segurança da informação de uma organização é um grande desafio. Para auxiliar as empresas nessa árdua tarefa existem várias organizações de Resposta a Incidentes pelo mundo. Algumas delas: