Um guia para resposta a incidentes de segurança cibernética

Ao ajudar os nossos clientes, muitas vezes descobrimos que muitos não têm certeza sobre as políticas e os processos que as suas empresas precisam ter para um programa efetivo de ‘Resposta a Incidentes de Segurança Cibernética’ (IR). Ter a estrutura certa é fundamental para fornecer as ferramentas e as diretrizes que a empresa e a equipe de resposta a incidentes precisam para reagir rapidamente aos incidentes e reduzir os danos. Existem três blocos de construção que acredito que todas as organizações devem ter em seus programas: uma política de resposta a incidentes bem definida, um plano de resposta a incidentes e manuais de resposta a incidentes bem documentados.

Por que precisamos de uma política de resposta a incidentes?

Para começar, a criação de uma política de resposta a incidentes coloca a organização como responsável por tornar a resposta a incidentes uma prioridade. Como qualquer política, o documento define as regras e a governança em torno da resposta a incidentes para a companhia. A política deve delinear os principais aspectos de resposta a incidentes para a organização, incluindo:

•         O propósito da resposta a incidentes e por que ela é necessária

•         As razões pelas quais a política foi criada

•         O escopo da política (a quem e a que se aplica a política)

•         Quem dentro da organização é responsável por fazer a política ser cumprida

•         Definições para resposta a incidentes e outros termos importantes, como evento e incidente

•         Os requisitos que devem ser atendidos pela equipe de resposta a incidentes e pela empresa como um todo

•         A determinação da criação do plano de resposta a incidentes

O que é o Plano de Resposta a Incidentes?

O plano de resposta a incidentes fornece orientação sobre como responder a vários tipos de incidentes. Ele deve abranger a forma de detectar, analisar, conter, erradicar e recuperar a empresa de um incidente. O plano de resposta a incidentes deve definir e cobrir todas as fases do ciclo de vida da resposta a um incidente, incluindo o antes e o depois do ocorrido. Existem várias estruturas de resposta a incidentes amplamente utilizadas que podem ser usadas como referência, como as do National Institute of Standards and Technology (NIST), International Organization for Standardization (ISO) e SANS Institute. Embora não exista um modelo de resposta a incidentes que funcione para todos, sugiro que o plano contenha o seguinte:

•         Uma declaração sobre a sua missão

•         Metas e objetivos

•         Escopo

•         Funções e responsabilidades, incluindo informações do contato principal e fora de banda (out-of-band) para os membros da equipe de resposta a incidentes

•         Procedimentos de comunicação para as comunicações interna e externa

•         Níveis de gravidade do incidente

•         Tipos de incidentes

•         Definições de incidentes (incidente, evento, violação de dados)

•         Procedimentos de resposta a incidentes alinhados com o ciclo de vida de resposta a incidentes escolhido pela empresa

Qual é a finalidade de um manual (ou playbooks) de resposta a incidentes?

Os manuais de resposta a incidentes padronizam a resposta a um tipo específico de incidente com procedimentos que incluem etapas de ação específicas que a empresa deve executar para se preparar, responder e se recuperar dos tipos de incidentes específicos. Usando a estrutura de resposta a incidentes do NIST como exemplo, um manual de resposta a incidentes fornece orientações detalhadas sobre cada fase da resposta a incidentes: preparação, detecção e análise, contenção, erradicação, recuperação e atividade pós-incidente. O manual deve definir quais ações específicas precisam ser tomadas durante a fase de resposta e a equipe ou o indivíduo responsável por executar a ação. Tipos comuns de manuais incluem:

•         Manual do ransomware

•         Manual de violação ou perda de dados

•         Manual de malware

•         Manual de negação de serviço

•         Manual de ameaças internas

•         Manual de engenharia social

•         Manual de comprometimento do website

•         Manual de vulnerabilidade de dia zero

Garantir que os documentos de resposta a incidentes sejam atualizados e abrangentes

Desenvolver a documentação de resposta a incidentes, incluindo os manuais, não é um esforço pequeno. No entanto, isso pode e deve ser feito para ajudar a reduzir o impacto de um incidente e orientar os “socorristas” sobre o que precisa ser feito.

Os planos de resposta a incidentes e manuais devem definir claramente todos os indivíduos e as equipes que devem ter participação no processo de resposta a incidentes, mesmo que estejam executando apenas um ou dois itens. Ao definir funções e responsabilidades e fazer com que esses profissionais se familiarizem com os documentos e materiais por meio de leituras, exercícios e discussões em conjunto, os membros da equipe de toda a companhia sabem o que precisam fazer e quando.

A Fortinet recomenda uma revisão semestral desses documentos e uma revisão após cada grande incidente. Esse cronograma garante que todas as lições aprendidas com um incidente sejam incorporadas e que as mudanças na organização sejam consideradas e implementadas no plano. A boa notícia é que as companhias não estão sozinhas nisso; existem serviços de avaliação de risco, consultoria em segurança cibernética e serviços de prontidão e resposta a incidentes para percorrer esse caminho com a ajuda de especialistas.