Skip to content
Natuurondernemer
    Junho 30, 2020 by admin

    Incident Response Planning: Uma lista de verificação para a construção do seu Plano de Resposta a Incidentes de Segurança Cibernética

    Incident Response Planning: Uma lista de verificação para a construção do seu Plano de Resposta a Incidentes de Segurança Cibernética
    Junho 30, 2020 by admin

    Esta mensagem foi actualizada pela última vez em 10 de Março de 2021 às 09:27 am

    A sua organização está preparada para responder a uma quebra de segurança ou a um ataque cibernético? Segundo muitos peritos em segurança, é uma questão de “quando” e não de “se” a sua empresa irá sofrer um grave incidente de segurança cibernética. Um plano de resposta ao incidente é a sua melhor hipótese de defender a sua organização de sofrer os efeitos de uma violação de dados. O tempo para planear e preparar a sua resposta a incidentes de segurança – sejam eles quais forem – é muito antes de acontecerem.

    O que é um Plano de Resposta a Incidentes de Segurança?

    Um plano de resposta a incidentes de segurança cibernética (ou plano IR) é um conjunto de instruções concebidas para ajudar as empresas a prepararem-se, detectarem, responderem e recuperarem de incidentes de segurança de rede. A maioria dos planos IR são centrados na tecnologia e abordam questões como a detecção de malware, roubo de dados e interrupções de serviço. No entanto, qualquer ataque cibernético significativo pode afectar uma organização através de múltiplas funções, pelo que o plano deve também abranger áreas tais como RH, finanças, serviço ao cliente, comunicações de empregados, jurídico, seguros, relações públicas, reguladores, fornecedores, parceiros, autoridades locais e outras entidades externas.

    Existem estruturas de resposta a incidentes padrão da indústria de organizações como NIST e SANS que fornecem orientações gerais sobre como responder a um incidente activo. O plano de RI da sua organização, no entanto, deve ser muito mais específico e accionável – detalhando quem deve fazer o quê, e quando. Elaborámos uma lista de verificação para delinear os componentes-chave de um plano de RI cibernético para o ajudar a construir o tipo certo de guia para a sua própria organização.

    Em qualquer dos casos – quer aproveitando um modelo de plano de resposta a um incidente ou o seu próprio plano de RI caseiro – os objectivos permanecem os mesmos: minimizar os danos, proteger os seus dados, e ajudar a sua organização a recuperar do incidente o mais rapidamente possível.

    Como criar um Plano de Resposta ao Incidente

    Qualquer organização com activos digitais (computadores, servidores, cargas de trabalho em nuvem, dados, etc.) tem o potencial de sofrer um ataque cibernético ou violação de dados. Infelizmente, a maioria das organizações não se apercebem de que sofreram uma violação de dados até ser demasiado tarde. A criação de um plano de resposta a incidentes de cibersegurança ajuda-o a preparar-se para o inevitável e a equipar a sua equipa de segurança informática para responder antes, durante e depois de um ataque cibernético. Embora este post no blogue não vá entrar na profundidade e detalhe de que necessita num verdadeiro plano de resposta ao incidente, irá ajudá-lo a compreender factores e considerações chave em cada fase do processo de resposta ao incidente: preparação, detecção, resposta, recuperação, e acompanhamento pós-incidente.

    Idealmente, o seu plano de resposta ao incidente de segurança deve ser alavancado numa base contínua – um documento vivo – conduzindo a actividades recorrentes de detecção e resposta (caça à ameaça, investigações de incidentes cibernéticos, resposta ao incidente, e remediação/recuperação). Ao realizar actividades contínuas de detecção e resposta a incidentes, pode melhorar a higiene das TI e da segurança e proteger melhor a sua organização de ameaças desconhecidas, atacantes ocultos, e potencialmente prevenir uma violação de dados.

    Para efeitos deste blogue, dividimos o processo de planeamento da resposta a incidentes em cinco fases: Preparação, Detecção, Resposta, Recuperação e Acompanhamento.

    Preparação

    Preparação é a primeira fase do planeamento da resposta ao incidente e, sem dúvida, a mais crucial na protecção do seu negócio e dos seus bens digitais. Durante a fase de preparação, irá documentar, delinear e explicar as funções e responsabilidades da sua equipa de RI, incluindo o estabelecimento da política de segurança subjacente que irá orientar o desenvolvimento do seu plano de RI.

    • Determinar a localização exacta, sensibilidade e valor relativo de toda a informação na sua organização que precisa de ser protegida.
      li>Gauge se tem actualmente recursos informáticos suficientes para responder a um ataque ou se seria necessário o apoio de terceiros.

    >ul>>li>>Gain executive buy-in para que o plano tenha total aprovação do topo da organização.>ul>>li>Atribuir funções e responsabilidades a todos os intervenientes relevantes, incluindo TI, RH, comunicações internas, apoio ao cliente, jurídico, relações públicas e consultores.

      li>Estabelecer uma cadeia de comando que inclua tanto líderes de TI como de empresas. Quem é o comandante do incidente? Quem lança o plano de resposta ao incidente? Quem tem autoridade para “parar o trabalho”, tal como o encerramento de emergência dos websites da empresa?

    >ul>>li>Mapa o fluxo de trabalho de resposta a incidentes entre as diferentes partes interessadas. Quando é que o RH está envolvido? Quando é que está legalmente envolvido? Quando é que os meios de comunicação social são alertados? Quando é que as autoridades externas estão envolvidas?

    • Reunir e actualizar 24/7/365 informações de contacto (correio electrónico, texto, VOIP, etc.) para todos os membros da equipa de resposta a incidentes, as suas cópias de segurança, e gestores. Estabelecer canais alternativos de comunicação se os canais regulares estiverem comprometidos ou indisponíveis.

    • Identificar os requisitos regulamentares de cibersegurança para a organização em todas as funções e desenvolver orientações sobre como interagir com as autoridades policiais e outras autoridades governamentais na eventualidade de um incidente.
      li>Desenvolver e manter uma lista de vendedores de tecnologia preferida para forenses, substituição de hardware, e serviços relacionados que possam ser necessários antes, durante ou depois de um incidente.
      li>Estabelecer procedimentos para que as equipas de TI recebam alertas claros e accionáveis de todo o malware detectado. Explicações específicas podem ajudar os membros da equipa a evitar a rejeição do alerta como falso positivo.
    • Armazenar credenciais privilegiadas, incluindo palavras-passe e chaves SSH, num cofre seguro e centralizado.
      li>Rotagem automática de credenciais privilegiadas, isolar sessões de contas privilegiadas para funcionários temporários, e procurar regularmente contas órfãs de antigos funcionários que ainda possam fornecer acesso não autorizado.
      li>Requerir funcionários para reportar e-mails e actividades suspeitas que possam comprometer a segurança da rede.
      li>Asegure-se de que tem um sistema limpo pronto a restaurar, talvez envolvendo uma reimagem completa de um sistema ou um restauro completo a partir de uma cópia de segurança limpa.

    >ul>>li>Estabeleça um plano de comunicações abrangente e integrado para informar o público interno e externo sobre incidentes de uma forma rápida, precisa e consistente.

    Detecção & Análise

    A fase de detecção de resposta a incidentes de segurança e planeamento de IR envolve monitorização, detecção, alerta, e informação sobre eventos de segurança. Isto inclui a identificação de ameaças conhecidas, desconhecidas e suspeitas – aquelas que parecem ser de natureza maliciosa, mas não existem dados suficientes no momento da descoberta para se fazer uma determinação de qualquer das formas.

    Quando uma pista, ameaça, ou incidente de segurança é detectado, a sua equipa de resposta ao incidente deve imediatamente (se não automaticamente com a ajuda de software de resposta a incidentes informáticos) recolher e documentar provas info-forenses adicionais, artefactos, e amostras de código – para determinar a gravidade, tipo, e perigo do incidente, e armazenar esses dados para utilização na acusação do(s) agressor(es) num momento posterior.

      ##li>Desenvolva uma estratégia de detecção pró-activa baseada em ferramentas que possam automaticamente digitalizar os seus anfitriões físicos e virtuais, sistemas e servidores para quaisquer aplicações, identidades, ou contas vulneráveis.

      li>Considerar soluções tradicionais tais como plataformas Endpoint Detection and Response (EDR), software antivírus Next-gen (NGAV), ou ferramentas User/Entity Behavior Analytics (UEBA/UBA) para detectar malware.

    >ul>>li> Considerar também capacidades de análise profunda e baseadas na perícia que podem avaliar a saúde de um endpoint, validando o que está a correr na memória num dado momento.

      li>Avaliações de compromisso de conduta para verificar se uma rede foi violada e identificar rapidamente a presença de malware conhecido ou de dia zero e ameaças persistentes activas ou adormecidas – que tenham escapado às suas defesas de cibersegurança existentes.

    Resposta

    Resposta a incidentes de segurança pode assumir várias formas. As acções de resposta a incidentes podem incluir alertas de triagem a partir das suas ferramentas de segurança do ponto final para determinar quais são as ameaças reais e/ou a prioridade na resolução de incidentes de segurança. As actividades de resposta a incidentes também podem incluir conter e neutralizar a(s) ameaça(s)-isolando, desligando, ou de outra forma “desligando” os sistemas infectados da sua rede para evitar a propagação do ataque cibernético. Além disso, as operações de resposta ao incidente incluem eliminar a ameaça (ficheiros maliciosos, backdoors escondidos, e artefactos) que levaram ao incidente de segurança.

      li>Conter imediatamente sistemas, redes, armazéns de dados e dispositivos para minimizar a amplitude do incidente e isolá-lo de modo a não causar danos generalizados.
      li>>determinar se algum dado sensível foi roubado ou corrompido e, em caso afirmativo, qual o risco potencial para o seu negócio.

    ul>>li> Erradicar ficheiros infectados e, se necessário, substituir o hardware.>ul>>li>Leve um registo completo do incidente e da resposta, incluindo a hora, os dados, a localização e a extensão dos danos causados pelo ataque. Foi interno, externo, um alerta de sistema, ou um dos métodos descritos anteriormente? Quem o descobriu, e como foi relatado o incidente? Faça uma lista de todas as fontes e tempos pelos quais o incidente passou. Em que fase é que a equipa de segurança se envolveu?

      li>preservar todos os artefactos e detalhes da violação para uma análise mais aprofundada da origem, impacto e intenções.
      li>Preparar e divulgar declarações públicas o mais rapidamente possível, descrever o mais fielmente possível a natureza da violação, as causas profundas, a extensão do ataque, os passos para a reparação, e um esboço de actualizações futuras.

      li>Atualizar quaisquer firewalls e segurança de rede para capturar provas que possam ser utilizadas mais tarde para fins forenses.

    >ul>>li>>Investigar a equipa jurídica e examinar a conformidade e os riscos para ver se o incidente tem impacto em quaisquer regulamentos.>ul>>li>Contactar a aplicação da lei, se aplicável, uma vez que o incidente também pode ter impacto noutras organizações. Informações adicionais sobre o incidente podem ajudar a erradicar, identificar o âmbito, ou ajudar na atribuição.

    Recovery and Follow-up

    Actividades pós-incidente (Acções de Recuperação e Acompanhamento) incluem a erradicação do risco de segurança, a revisão e a elaboração de relatórios sobre o que aconteceu, a actualização da sua inteligência de ameaças com novas informações sobre o que é bom e o que é mau, a actualização do seu plano de RI com lições aprendidas com o incidente de segurança, e a certificação e re-certificação do seu ambiente é de facto clara da(s) ameaça(s) através de uma avaliação de compromisso de cibersegurança pós-incidente ou de uma avaliação de risco de segurança e TI.

    Recovery

    • Eradicar o risco de segurança para garantir que o agressor não possa recuperar o acesso. Isto inclui remendar sistemas, fechar o acesso à rede e redefinir palavras-passe de contas comprometidas.
    • Durante a etapa de erradicação, criar uma identificação da causa raiz para ajudar a determinar o caminho de ataque utilizado de modo a que os controlos de segurança possam ser melhorados para evitar ataques semelhantes no futuro.
      li> Realizar uma análise de vulnerabilidade em toda a empresa para determinar se podem existir outras vulnerabilidades.
      li>Reabilitar os sistemas ao estado pré-incidente. Verificar a perda de dados e verificar se a integridade, disponibilidade e confidencialidade dos sistemas foi recuperada e se o negócio está de volta às operações normais.

    >li>Continuar a recolher registos, depósitos de memória, auditorias, estatísticas de tráfego de rede e imagens de disco. Sem uma recolha de provas adequada, a investigação forense digital é limitada, pelo que não ocorrerá uma investigação de seguimento.

    Follow-up

      Completar um relatório de resposta ao incidente e incluir todas as áreas do negócio que foram afectadas pelo incidente.

    >ul>>>li>>li>Determinar se a gestão ficou satisfeita com a resposta e se a organização precisa de investir mais em pessoas, formação ou tecnologia para ajudar a melhorar a sua postura de segurança.>li> Partilhar as lições aprendidas. O que correu bem, o que não correu e como podem os procedimentos ser melhorados no futuro?

      li>Reavaliar, testar e actualizar o plano de resposta a incidentes de cibersegurança numa base regular, talvez anualmente, se possível.

    >ul>>li>Conduzir uma avaliação de compromisso ou outros scans de segurança numa base regular para assegurar a saúde dos sistemas, redes e dispositivos.

      li>Atualizar os planos de resposta a incidentes após uma reestruturação do departamento ou outra grande transição.

    >ul>>li>Manter todos os interessados informados sobre as últimas tendências e novos tipos de violações de dados que estão a ocorrer. Promover a mensagem de que “a segurança é tarefa de todos”

    Conclusão

    O objectivo da nossa lista de verificação do plano de resposta a incidentes informáticos é ajudar a sua equipa de segurança informática a desenvolver um plano de resposta a incidentes que seja abrangente, coordenado, repetível e eficaz.

    Por favor tenha em mente que o desenvolvimento de um plano de RI de cibersegurança nunca é um exercício único. Infelizmente, sem treino regular de resposta a incidentes e exercícios de RI, incluindo cenários de ataque cibernético ao vivo, as organizações e as suas equipas de segurança de TI podem ver-se subitamente ultrapassadas pelos hackers que pivotam nas suas estratégias de ataque/TTPs e na sua escolha de malware.

    O que funcionou no passado pode não funcionar amanhã. O plano de resposta a incidentes de segurança correcto deve ser um documento vivo que acompanhe a rápida evolução do actual cenário de ameaças.

    Download da nossa lista de verificação do plano de segurança informática para começar a construir o seu próprio plano de resposta a incidentes, ou contacte-nos para solicitar uma consulta, uma avaliação de compromisso, ou para saber como o Infocyte permite uma detecção rápida, flexível e acessível de ameaças e resposta a incidentes.

    Previous articleIGOR MAZURENKO - FORMAÇÃO PARA OS INICIANTES # 1 # Armwrestling # Armpower.netNext article As formigas podem fazer alguns danos reais aos humanos se as deixarmos

    Deixe uma resposta Cancelar resposta

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *

    Artigos recentes

    • Como montar um mineiro Bitcoin ASIC
    • Chris Martin tem aniversário na Disneylândia com Dakota Johnson
    • O que é um Site de Superfundo?
    • Echolalia: Os factos para além da “conversa de papagaio”, escrita, e eco
    • Lord of the Flies Quotes
    • Um Guia para Principiantes de Pegging
    • 42 Receitas de Sopa de Crockpot Saudável
    • 3 riscos surpreendentes de má postura
    • Tina Fey Biografia
    • O que são Correntes Oceânicas?

    Arquivo

    • Abril 2021
    • Março 2021
    • Fevereiro 2021
    • Janeiro 2021
    • Dezembro 2020
    • Novembro 2020
    • Outubro 2020
    • Setembro 2020
    • Agosto 2020
    • Julho 2020
    • Junho 2020
    • Maio 2020
    • Abril 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Iniciar sessão
    • Feed de entradas
    • Feed de comentários
    • WordPress.org
    Posterity WordPress Theme