O que é a resposta a incidentes?
Explore como a resposta eficaz a incidentes ajuda as organizações a detectar, abordar e interromper ataques cibernéticos.
Resposta a incidentes definida
Antes de definir a resposta a incidentes, é importante esclarecer o que é um incidente. Em TI, há três termos que podem ser usados, mas significam coisas diferentes:
- Um evento é uma ação inofensiva que acontece com frequência, como criar um arquivo, excluir uma pasta ou abrir um email. Por si só, um evento normalmente não é uma indicação de violação. Mas quando combinado com outros eventos, pode sinalizar uma ameaça.
- Um alerta é uma notificação acionada por um evento, que pode ou não ser uma ameaça.
- Um incidente é um grupo de alertas relacionados que humanos ou ferramentas de automação consideraram provável ser uma ameaça real. Por si só, cada alerta pode não parecer uma grande ameaça. Mas quando combinados, indicam uma possível violação.
A resposta a incidentes são as ações que uma organização realiza quando acredita que sistemas de TI ou dados podem ter sido violados. Por exemplo, profissionais de segurança entrarão em ação se virem evidência de usuário não autorizado, malware ou falha das medidas de segurança.
Os objetivos da resposta são eliminar um ataque cibernético o mais rápido possível, recuperar, notificar os clientes ou as agências de governo conforme exigido pela lei regional e saber como reduzir o risco de violações semelhantes no futuro.
Como a resposta a incidentes funciona?
A resposta a incidentes geralmente começa quando a equipe de segurança recebe um alerta crível de um sistema SIEM (gerenciamento de eventos e informações de segurança).
Os membros da equipe precisam verificar se o evento é qualificado como um incidente, isolar os sistemas infectados e remover a ameaça. Se o incidente for grave ou levar muito tempo para ser resolvido, as organizações poderão precisar restaurar dados em backup, lidar com um resgate ou notificar o cliente de que os dados foram comprometidos.
Por isso, pessoas além da equipe de segurança cibernética geralmente são envolvidas na resposta. Especialistas em privacidade, advogados e tomadores de decisão de negócios ajudarão a determinar a abordagem da organização a um incidente e suas consequências.
Tipos de incidentes de segurança
Há várias formas pelas quais os invasores tentam acessar os dados de uma empresa ou comprometer seus sistemas e operações comerciais. Aqui estão algumas das mais comuns:
-
Phishing
Phishing é um tipo de engenharia social em que um invasor usa email, texto ou ligação telefônica para representar uma marca ou pessoa respeitável. Um ataque de phishing comum tenta persuadir os destinatários a baixar malware ou fornecer sua senha. Esses ataques exploram a confiança das pessoas e implantam técnicas psicológicas para fazer as pessoas agirem, como medo. Muitos desses ataques não são direcionados, atingindo milhares de pessoas na esperança de que apenas uma responda. No entanto, uma versão mais sofisticada chamada spear phishing usa pesquisa profunda para criar uma mensagem que pretende ser persuasiva para um indivíduo. -
Malware
Malware refere-se a qualquer software elaborado para danificar um sistema de computador ou exfiltrar dados. Ele vem em muitas formas diferentes, incluindo vírus, ransomware, spyware e cavalos de troia. Agentes mal intencionados instalam malware tirando proveito de vulnerabilidades de hardware e software ou convencendo um funcionário a fazer isso usando uma técnica de engenharia social.
-
Ransomware
Em um ataque de ransomware, agentes mal intencionados usam malware para criptografar dados e sistemas críticos, e ameaçam tornar os dados públicos ou destruí-los se a vítima não pagar o resgate.
-
Negação de serviço
Em um ataque DDoS (ataque de negação de serviço), um ator de ameaça sobrecarrega uma rede ou um sistema com tráfego até que ele diminua ou falhe. Normalmente, os invasores visam empresas de alto perfil, como bancos ou governos, com o objetivo de custar tempo e dinheiro. Mas organizações de todos os tamanhos podem ser vítimas desse tipo de ataque.
-
Man in the middle
Outro método que os cibercriminosos usam para roubar dados pessoais é se inserir no meio de uma conversa online entre pessoas que acreditam estar se comunicando em particular. Ao interceptar mensagens e copiar ou alterar antes de enviar ao destinatário pretendido, eles tentam manipular um dos participantes a fornecer dados valiosos.
-
Ameaça interna
Embora a maioria dos ataques seja conduzida por pessoas de fora da organização, as equipes de segurança também precisam estar atentas a ameaças internas. Funcionários e outras pessoas que têm acesso legítimo a recursos restritos podem vazar dados confidenciais inadvertidamente ou, em alguns casos, intencionalmente.
-
Acesso não autorizado
Muitas violações de segurança começam com credenciais de conta roubadas. Independentemente de os agentes mal intencionados adquirirem senhas por meio de uma campanha de phishing ou adivinhando uma senha comum, assim que obtêm acesso a um sistema, eles podem instalar malware, fazer reconhecimento de rede ou aumentar seus privilégios para permitir acesso a sistemas e dados mais confidenciais.
O que é um plano de resposta a incidentes?
Responder a um incidente exige que uma equipe trabalhe em conjunto de forma eficiente e eficaz para eliminar a ameaça e atender aos requisitos regulamentares. Nessas situações de alto estresse, é fácil ficar confuso e cometer erros. Por isso que muitas empresas desenvolvem um plano de resposta a incidentes. O plano define as funções e responsabilidades e inclui as etapas necessárias para resolver corretamente, documentar e comunicar sobre um incidente.
A importância de um plano de resposta a incidentes
Um ataque significativo não apenas prejudica as operações de uma organização, como também afeta a reputação da empresa entre os clientes e a comunidade. Também pode ter ramificações legais. Tudo influencia o custo geral, incluindo a rapidez com que a equipe de segurança responde ao ataque e como os executivos se comunicam sobre o incidente.
As empresas que escondem danos de clientes e governos ou que não levam uma ameaça a sério o suficiente podem entrar em conflito com os regulamentos. Esses tipos de erros são mais comuns quando os participantes não têm um plano. No calor do momento, há um risco de que as pessoas tomem decisões precipitadas movidas por medo, o que acaba prejudicando a organização.
Um plano bem elaborado permite que as pessoas saibam o que devem fazer em cada fase de um ataque, para que não precisem descobrir na hora. Após a recuperação, se houver perguntas do público, a organização poderá mostrar exatamente como respondeu e dar aos clientes a tranquilidade de saber que levou o incidente a sério e implementou as etapas necessárias para evitar um resultado pior.
Etapas da resposta a incidentes
Há mais de uma maneira de abordar a resposta a incidentes, e muitas organizações contam com uma organização de padrões de segurança para orientar sua abordagem. O SANS (SysAdmin Audit Network Security) é uma organização privada que oferece uma estrutura de resposta de seis etapas, que está destacada abaixo. Muitas organizações também adotam a estrutura de recuperação de incidentes da NIST (National Institute of Standards and Technology).
- Preparação – antes de ocorrer um incidente, é importante reduzir vulnerabilidades e definir políticas e procedimentos de segurança. Na fase de preparação, as organizações conduzem uma avaliação de risco para determinar se eles têm pontos fracos e priorizam ativos. Esta fase inclui escrever e refinar procedimentos de segurança, definir funções e responsabilidades e atualizar sistemas para reduzir riscos. A maioria das organizações revisita regularmente esse estágio e faz melhorias em políticas, procedimentos e sistemas conforme aprende lições ou muda as tecnologias.
- Identificação de ameaças – em um determinado dia, uma equipe de segurança pode receber milhares de alertas que indicam atividade suspeita. Algumas delas são falso positivos ou podem não chegar ao nível de um incidente. Depois que um incidente é identificado, a equipe investiga a natureza da violação e documenta as descobertas, incluindo a origem da violação, o tipo de ataque e os objetivos do invasor. Neste estágio, a equipe também precisa informar as partes interessadas e comunicar as próximas etapas.
- Contenção de ameaças – conter uma ameaça o mais rapidamente possível é a próxima prioridade. Quanto mais tempo os agentes mal intencionados tiverem permissão de acesso, maior dano poderão causar. A equipe de segurança trabalha para isolar rapidamente aplicativos ou sistemas sob ataque do resto das redes. Isso ajuda a impedir que os invasores acessem outras partes do negócio.
- Eliminação de ameaças – após a conclusão da contenção, a equipe remove o invasor e qualquer malware dos sistemas e recursos afetados. Isso pode envolver a desativação dos sistemas. A equipe também continua a manter as partes interessadas informadas do progresso.
- Recuperação e restauração – a recuperação de um incidente pode levar várias horas. Depois que a ameaça desaparece, a equipe restaura os sistemas, recupera os dados do backup e monitora as áreas afetadas para garantir que o invasor não volte.
- Comentários e refinamento – quando o incidente é resolvido, a equipe revisa o que aconteceu e identifica melhorias que podem ser realizadas no processo. Aprender com esta fase ajuda a equipe a melhorar as defesas da organização.
O que é uma equipe de resposta a incidentes?
Uma equipe de resposta a incidentes, também chamada de CSIRT (equipe de resposta a incidentes de segurança do computador), CIRT (equipe de resposta a incidentes cibernéticos) ou CERT (equipe de resposta a emergências de computador), inclui um grupo multifuncional de pessoas na organização que são responsáveis pela execução do plano de resposta a incidentes. Isso inclui não apenas as pessoas que removem a ameaça, mas também aquelas que tomam decisões comerciais ou legais relacionadas a um incidente. Uma equipe típica inclui os seguintes membros:
Um gerente de resposta a incidentes, geralmente o diretor de TI, supervisiona todas as fases da resposta e mantém as partes interessadas internas informadas.
Analistas de segurança pesquisam o incidente para tentar entender o que está acontecendo. Eles também documentam suas descobertas e coletam evidências forenses.
Os pesquisadores de ameaças procuram coletar fora da organização informações que forneçam contexto adicional.
Alguém da administração, como um responsável pela segurança da informação ou um diretor de informações, fornece orientação e serve como um elo de ligação com outros executivos.
Especialistas em recursos humanos ajudam a gerenciar ameaças internas.
O conselho geral ajuda a equipe a lidar com questões de responsabilidade e garante que as evidências forenses sejam coletadas.
- Os especialistas em relações públicas coordenam a comunicação externa precisa para mídia, clientes e outras partes interessadas.
Uma equipe de resposta a incidentes pode ser um subconjunto de um SOC (centro de operações de segurança), que lida com operações de segurança além da resposta a incidentes.
Automação da resposta a incidentes
Na maioria das organizações, soluções de rede e segurança geram mais alertas de segurança do que a equipe de resposta a incidentes pode gerar de forma real. Para ajudar a focar em ameaças legítimas, muitas empresas implementam uma automação de resposta a incidentes. A automação usa IA e aprendizado de máquina para triagem de alertas, identificação de incidentes e erradicação de ameaças aplicando um manual de resposta baseado em scripts programáticos.
SOAR (automação e resposta da orquestração de segurança) é uma categoria de ferramentas de segurança que as empresas usam para automatizar a resposta a incidentes. Essas soluções oferecem os seguintes recursos:
Correlacione dados em vários pontos de extremidade e soluções de segurança para identificar incidentes para os humanos acompanharem.
Execute um guia estratégico pré-programado para isolar e abordar tipos de incidentes conhecidos.
Gere uma linha do tempo investigativa que inclua ações, decisões e evidências forenses que podem ser usadas para análise.
Trazer inteligência externa relevante para análise humana.
Como implementar um plano de resposta a incidentes
Desenvolver um plano de resposta a incidentes pode parecer assustador, mas pode reduzir significativamente o risco de sua empresa ficar despreparada durante um incidente grave. Veja como começar:
-
Identificar e priorizar ativos
A primeira etapa em um plano de resposta a incidentes é saber o que você está protegendo. Documente os dados críticos da sua organização, incluindo onde eles residem e seu nível de importância para os negócios.
-
Determinar possíveis riscos
Cada organização tem diferentes riscos. Familiarize-se com as maiores vulnerabilidades de sua organização e avalie as maneiras pelas quais um invasor pode explorá-las.
-
Desenvolver procedimentos de resposta
Durante um incidente estressante, procedimentos claros ajudarão bastante a garantir que o incidente seja resolvido de forma rápida e eficaz. Comece definindo o que se qualifica como um incidente e determine as etapas que sua equipe deve seguir para detectar, isolar e se recuperar do incidente, incluindo procedimentos para documentar decisões e coletar evidências.
-
Criar uma equipe de resposta a incidentes
Crie uma equipe multifuncional responsável por entender os procedimentos de resposta e mobilizar se houver um incidente. Defina claramente as funções e crie funções não técnicas que podem ajudar a tomar decisões relacionadas à comunicação e responsabilidade. Inclua alguém na equipe executiva que defenda a equipe e suas necessidades nos níveis mais altos da empresa.
-
Definir seu plano de comunicação
Um plano de comunicação eliminará as suposições sobre quando e como contar a outras pessoas dentro e fora da organização o que está acontecendo. Pense em vários cenários para ajudar a determinar em quais circunstâncias você precisa informar os executivos, toda a organização, os clientes e a mídia ou outras partes interessadas externas.
-
Treinar funcionários
Os agentes mal intencionados visam funcionários em todos os níveis da organização. Por isso é tão importante que todos entendam seu plano de resposta e saibam o que fazer se suspeitarem que foram vítimas de um ataque. Periodicamente, teste os funcionários para confirmar que eles podem reconhecer emails de phishing e facilite a notificação para a equipe de resposta a incidentes se eles clicarem acidentalmente em um link inválido ou abrirem um anexo infectado.
Soluções de resposta a incidentes
Estar preparado para um grande incidente é uma parte importante para manter sua organização protegida contra ameaças. A criação de uma equipe de resposta a incidentes interna dará a confiança de que você estará pronto se for vítima de um agente mal intencionado.
Aproveite as soluções SIEM e SOAR, como o Microsoft Sentinel, que usam automação para ajudar a identificar e responder automaticamente a incidentes. Organizações com menos recursos podem aumentar suas equipes com um provedor de serviços que pode lidar com várias fases de resposta a incidentes. Mas tenha um plano, independentemente de sua equipe de resposta a incidentes ser interna ou externa.
Saiba mais sobre a Segurança da Microsoft
Proteção contra Ameaças da Microsoft
Identifique e responda a incidentes em sua organização com o que há de mais moderno em proteção contra ameaças.
Microsoft Sentinel
Descubra ameaças sofisticadas e responda de forma decisiva com uma solução SIEM poderosa, alimentada pela nuvem e IA.
Microsoft Defender XDR
Interrompa ataques em pontos de extremidade, emails, identidades, aplicativos e dados.
Perguntas frequentes
-
Resposta a incidentes são todas as atividades que uma organização realiza quando suspeita de uma violação de segurança. O objetivo é isolar e erradicar os invasores o mais rápido possível, cumprir os regulamentos de privacidade de dados e recuperar com segurança, com o menor dano possível à organização.
-
Uma equipe multifuncional é responsável pela resposta a incidentes. O departamento de TI normalmente será responsável por identificar, isolar e se recuperar de ameaças. No entanto, há mais na resposta a incidentes do que apenas localizar e se livrar de agentes mal intencionados. Dependendo do tipo de ataque, alguém precisar tomar uma decisão comercial, como lidar com um resgate. Profissionais de aconselhamento jurídico e relações públicas ajudam a garantir que a organização cumpra as leis de privacidade de dados, incluindo notificação apropriada de clientes e governos. Se a ameaça for perpetrada por um funcionário, o departamento de recursos humanos aconselha sobre as ações apropriadas.
-
CSIRT é outro nome da equipe de resposta a incidentes. Inclui uma equipe multifuncional de pessoas responsáveis por gerenciar todos os aspectos da resposta a incidentes, incluindo detecção, isolamento e eliminação da ameaça, recuperação, comunicação interna e externa, documentação e análise forense.
-
A maioria das organizações usam uma solução SIEM ou SOAR para ajudar a identificar e responder a ameaças. Essas soluções geralmente agregam dados de vários sistemas e usam aprendizado de máquina para ajudar a identificar ameaças verdadeiras. Eles também podem automatizar a resposta a determinados tipos de ameaças com base em guias estratégicos pré-criados.
-
O ciclo de vida da resposta a incidentes inclui seis estágios:
- A preparação ocorre antes que um incidente seja identificado e inclui uma definição do que a organização considera um incidente e todas as políticas e procedimentos necessários para prevenir, detectar, eliminar e se recuperar de um ataque.
- A identificação de ameaças é um processo que usa analistas humanos e automação para identificar quais eventos são ameaças reais que precisam ser abordadas.
- Contenção de ameaças são as ações que a equipe realiza para isolar a ameaça e impedir que ela afete outras áreas do negócio.
- A eliminação de ameaças inclui etapas para remover malware e invasores de uma organização.
- Recuperação e restauração incluem a reinicialização de sistemas e máquinas e a restauração de todos os dados perdidos.
- Feedback e refinamento é o processo que a equipe adota para tirar lições do incidente e aplicar esses aprendizados a políticas e procedimentos.
Siga a Segurança da Microsoft