Do incidente à resolução: passos essenciais para sobreviver a um ciberataque

Seguinte

Monitorar todos os eventos em sua rede corporativa é um "negócio" de Big Data. Qualquer fenômeno observável - de logins a downloads, scripts, atualizações, alterações de configuração, etc. - ocorrendo em todos os endpoints, servidores, roteadores, switches e outras infraestruturas em sua rede, você pode criar logs de eventos que rapidamente se transformam em uma quantidade quase inimaginável de dados para processar.

Inevitavelmente, vários eventos têm consequências negativas para a segurança da sua empresa. Um funcionário conecta um dispositivo USB pessoal - comprometido por um worm - ao seu computador de trabalho e, de repente, ocorre um evento adverso. Mas você configurou seus sistemas para detectar esses eventos? E agora que aconteceu, o que você vai fazer a respeito?

Nem todos os eventos adversos exigem a mobilização de toda a equipe de resposta a incidentes. A resposta automática desempenha um papel importante no gerenciamento de recursos e tempo disponível para sua segurança de TI. Muitas vezes, o perigo de um evento adverso pode ser gerenciado bem o suficiente por um único administrador de TI que lida com as ferramentas básicas do comércio.

No entanto, se o seu analista de segurança descobrir um padrão mais insidioso e tentar mover-se por trás de todos aqueles eventos adversos únicos ou, alternativamente, ocorrer uma falha inexplicável do sistema, então você provavelmente terá um incidente de segurança sério o suficiente para justificar a ligação para a Equipe de Resposta a Incidentes de Segurança de TI (CSIRT). Com um plano de resposta a incidentes bem elaborado em mãos, um CSIRT treinado pode ter confiança suficiente para enfrentar qualquer adversário que ataque sua rede.

Quatro estágios de resposta a incidentes

Um padrão importante para verificar seu plano de resposta a incidentes vem de uma publicação do NIST chamada Computer Security Incident Management Guide (SP 800-61). O guia detalha quatro fases de resposta a incidentes: Preparação; Detecção e análise; Contenção, Erradicação e Recuperação; e atividade pós-incidente.

Figura 1: Ciclo de vida de resposta a incidentes (crédito: NIST).

Gerenciar incidentes seguindo estas quatro etapas pode ajudar a garantir um retorno bem-sucedido às operações normais de negócios. Então, vamos ver o que cada etapa implica.

1. Preparação

Antes que qualquer incidente ocorra, é importante estabelecer controles de segurança apropriados que minimizem os incidentes que podem ocorrer. Em outras palavras, sua rede corporativa deve ser construída e mantida com a segurança em mente.

Isso inclui manter servidores, sistemas operacionais e aplicativos atualizados, devidamente configurados e protegidos com proteção contra malware. O perímetro da sua rede também deve ser devidamente protegido por firewalls e VPNs. Não se esqueça do seu calcanhar de Aquiles, dos funcionários aparentemente inocentes em suas mesas. Um pouco de treinamento pode ajudar muito a limitar o número de incidentes causados ​​pelo mau comportamento do funcionário.

Uma parte crucial da configuração de sua rede é garantir que todas as ferramentas de monitoramento e acesso necessárias estejam disponíveis para coletar e analisar os eventos que estão acontecendo em sua rede. As opções variam de ferramentas de monitoramento e gerenciamento remoto (RMM) a ferramentas de segurança da informação e gerenciamento de eventos (SIEM), ferramentas de orquestração de segurança, automação e resposta (SOAR), sistemas de detecção de intrusão (IDS) e sistemas de prevenção de intrusão (IPS), bem como soluções de detecção e resposta de endpoint (EDR).

As organizações mais avessas a ameaças, como bancos e agências governamentais, tiram proveito de fontes de inteligência de ameaças como o ESET Threat Intelligence Service para fornecer indicadores de comprometimento que, se encontrados em um ambiente, podem iniciar o processo de resposta incidentes.

Decidir quais ferramentas de monitoramento e registro são apropriadas para sua rede terá um grande impacto nas atividades de detecção e análise de seu CSIRT, bem como nas opções de correção disponíveis para elas.

Crie uma equipe de resposta a incidentes

Em seguida, estabeleça uma equipe de resposta a incidentes e mantenha-a treinada. Organizações menores provavelmente exigirão apenas uma equipe temporária, composta por administradores de TI existentes. Organizações maiores terão um CSIRT permanente que provavelmente dependerá de outros administradores de TI da empresa apenas para colaborar em ataques específicos; por exemplo, um administrador de banco de dados para ajudar a analisar um ataque de injeção de SQL.

Delegar a resposta a incidentes a um provedor de serviços de segurança gerenciados (MSSP) também é uma opção, embora possa ser cara. Se você está considerando essa opção, deve estar preparado para o tempo de resposta mais longo. Alguns membros da equipe de resposta a incidentes podem ter que voar até sua localização, permitindo mais tempo para que as ameaças continuem a afetar sua rede.

É crucial que qualquer CSIRT tenha membros da equipe que entendam como sua rede é construída. Idealmente, eles devem ser experimentados no que é "normal" para você e no que é incomum.

A administração também deve ter um papel ativo no fornecimento de recursos, financiamento e liderança necessários para que um CSIRT faça seu trabalho com eficácia. Isso significa fornecer as ferramentas, dispositivos e equipamentos de salto de que seu CSIRT precisará, bem como tomar as difíceis decisões de negócios que o incidente introduziu.

Imagine, por exemplo, que o CSIRT descubra que o servidor de e-commerce da empresa está comprometido e precisa ficar offline. O gerenciamento precisa avaliar rapidamente o impacto nos negócios de desligar ou isolar o servidor e comunicar a decisão ao CSIRT.

Outros membros da equipe presentes na organização também fornecem apoio crucial a um CSIRT. A equipe de suporte de TI pode ajudar desligando e substituindo servidores, restaurando backups e realizando limpezas, conforme solicitado pelo CSIRT. As equipes de assessoria jurídica e relações públicas também são importantes no gerenciamento de qualquer comunicação relacionada ao incidente com a mídia externa, parceiros, clientes e / ou agências de aplicação da lei.

2. Detecção e análise

Nesse estágio, os Analistas de Resposta a Incidentes trazem seu conhecimento, experiência e raciocínio lógico para abordar todas as informações apresentadas a eles por meio de ferramentas e logs de monitoramento e para entender exatamente o que está acontecendo na rede e o que pode ser feito.

A tarefa do analista é correlacionar eventos para recriar sequências de eventos que levaram ao incidente. É especialmente importante ser capaz de identificar a causa raiz para avançar para as etapas de contenção da fase 3 o mais rápido possível.

No entanto, conforme mostrado no Diagrama de Ciclo de Vida de Resposta a Incidentes do NIST, as Fases 2 e 3 são circulares, o que significa que os envolvidos na resposta a incidentes podem voltar à Fase 2 para análise. causa raiz adicional. Neste ciclo, pode acontecer que encontrar e analisar alguns dados na fase 2 sugira a necessidade de realizar uma determinada etapa de mitigação na fase 3. Essa etapa pode então revelar dados adicionais que justifiquem uma análise mais aprofundada levando às etapas de mitigação. adicional e assim por diante.

As soluções de detecção e resposta de endpoint, como o ESET Enterprise Inspector, que sinalizam automaticamente eventos suspeitos e salvam árvores de processo inteiras para que os respondentes de incidentes revisem, reforçam as atividades da fase 2.

3. Contenção, erradicação e recuperação

Na terceira etapa, o CSIRT decide sobre um método para impedir a disseminação das ameaças detectadas. Um servidor deve ser desligado, um endpoint isolado ou determinados serviços interrompidos? A estratégia de contenção escolhida deve considerar a possibilidade de danos adicionais, a preservação das provas e a duração do tempo de contenção. Normalmente, isso significa isolar sistemas comprometidos, segmentar partes da rede ou colocar as máquinas afetadas em uma área restrita.

O sandboxing tem a vantagem de permitir um maior monitoramento da ameaça, bem como coletar mais evidências. No entanto, existe o perigo de um host comprometido ser danificado ainda mais enquanto estiver na sandbox.

O advogado pode determinar que o CSIRT deve coletar e documentar o máximo de evidências possível. Nesse caso, a transferência da prova de pessoa para pessoa deve ser cuidadosamente registrada.

Uma vez contido, qualquer malware descoberto deve ser removido dos sistemas comprometidos. As contas de usuário podem precisar ser desativadas, fechadas ou redefinidas. Vulnerabilidades devem ser corrigidas, sistemas e arquivos devem ser restaurados de backups limpos, senhas devem ser alteradas, regras de firewall devem ser ajustadas e assim por diante.

Um retorno total às operações normais de negócios pode levar meses, dependendo do incidente. No curto prazo, um sistema mais seguro e refinado de entrada e monitoramento de credenciais deve ser estabelecido para que os administradores de TI possam evitar que o mesmo incidente aconteça novamente. No longo prazo, pode haver mais mudanças na infraestrutura para ajudar a tornar a rede mais segura.

4. Atividade pós-incidente

Um CSIRT deve documentar e fornecer uma reconstrução do evento adverso e um cronograma. Isso ajuda a entender a causa do incidente e o que pode ser feito para evitar uma repetição ou um incidente semelhante.

Este também é o momento para todas as equipes revisarem a eficácia dos processos e procedimentos usados, identificar lacunas nas dificuldades de comunicação e colaboração e procurar oportunidades de fazer melhorias no plano de resposta a incidentes atual.

Finalmente, a gerência precisa decidir sobre a política de retenção das evidências coletadas durante o incidente. Não limpe os discos rígidos sem antes consultar o departamento jurídico. A maioria das organizações mantém registros de incidentes por dois anos para cumprir os regulamentos.

Quer complementar seu kit de ferramentas de resposta a incidentes com recursos de investigação poderosos? Obtenha uma avaliação gratuita do ESET Enterprise Inspector.