O que é a resposta a incidentes?
Explore como uma resposta a incidentes eficaz ajuda as organizações a detetar, abordar e impedir ciberataques.
Definição de resposta a incidentes
Antes de definir a resposta a incidentes, é importante esclarecer o que é um incidente. Em TI, existem três termos que são, por vezes, utilizados de forma semelhante, mas com significados diferentes:
- Um evento refere-se a uma ação inofensiva que ocorre com frequência, como a criação de um ficheiro, a eliminação de uma pasta ou a abertura de um e-mail. Por norma, um evento não se trata de um indicador de falhas de segurança. No entanto, quando combinado com outros eventos, pode ser sinal de uma ameaça.
- Um alerta refere-se a uma notificação acionada por um evento, que pode ou não ser uma ameaça.
- Um incidente refere-se a um grupo de alertas correlacionados que as pessoas ou as ferramentas automatizadas consideram ser uma ameaça real. Por si só, cada alerta pode não parecer uma ameaça. No entanto, quando são combinados, podem indicar uma potencial falha de segurança.
A resposta a incidentes consiste nas medidas tomadas por uma organização quando acredita que os respetivos dados ou sistemas de TI têm uma falha de segurança. Por exemplo, os profissionais de segurança tomam medidas caso se deparem com indícios de um utilizador não autorizado, malware ou falhas nas medidas de segurança.
O objetivo da resposta passa por eliminar os ciberataques o mais rapidamente possível, recuperar e notificar os clientes ou agências governamentais, conforme exigido pelas leis regionais, e saber como eliminar o risco de uma falha de segurança semelhante no futuro.
Como funciona a resposta a incidentes?
Por norma, a resposta a incidentes começa quando a equipa de segurança recebe um alerta fidedigno de um sistema de gestão de informações e eventos de segurança (SIEM).
Os membros da equipa têm de garantir que o evento é um incidente, isolar os sistemas infetados e remover a ameaça. Se o incidente for grave ou demorar muito tempo a ser resolvido, as organizações poderão ter de restaurar cópias de segurança de dados, lidar com um resgate ou notificar os clientes de que os dados foram comprometidos.
Por este motivo, as pessoas normalmente envolvidas na resposta não pertencem à equipa de cibersegurança. Os peritos em privacidade, advogados e responsáveis pelas decisões empresariais ajudam a determinar a abordagem da organização relativamente a um incidente e ao respetivo resultado.
Tipos de incidentes de segurança
Existem várias formas através das quais os atacantes tentam aceder aos dados de uma empresa ou comprometer os respetivos sistemas e operações empresariais. Seguem-se alguns dos métodos mais comuns:
-
Phishing
O phishing é um tipo de engenharia social em que um atacante utiliza um e-mail, uma mensagem de texto ou uma chamada telefónica para usurpar a identidade de uma marca ou pessoa reconhecida. Por norma, um ataque de phishing tenta coagir os destinatários a transferir malware ou fornecer as respetivas palavras-passe. Estes ataques exploram a confiança das pessoas e implementam técnicas psicológicas, como o medo e a coação. Muitos destes ataques não têm um alvo definido. Em vez disso, são direcionados a milhares de pessoas com a esperança de que alguma responda. No entanto, uma versão mais sofisticada chamada spear phishing utiliza pesquisa aprofundada para criar uma mensagem persuasiva a uma única pessoa.
-
Malware
O malware consiste em software concebido para afetar um sistema informático ou exfiltrar dados. Assume muitas formas diferentes, como vírus, ransomware, spyware e trojan horses. Os atores maliciosos instalam malware ao tirar partido de vulnerabilidades do hardware e software ou ao convencer um colaborador a fazê-lo através de uma técnica de engenharia social.
-
Ransomware
Num ataque de ransomware, os atores maliciosos utilizam malware para encriptar dados e sistemas críticos e, em seguida, ameaçam divulgá-los ou destruí-los caso a vítima não pague um resgate.
-
Denial-of-service
Num ataque denial-of-service distribuído (ataque DDoS), um ator da ameaça sobrecarrega uma rede ou sistema com tráfego até o mesmo ficar mais lento ou ter uma falha. Por norma, os atacantes têm como alvo grandes empresas, como bancos ou governos, com o objetivo de lhes roubar tempo e dinheiro. No entanto, as empresas de todos os tamanhos podem ser vítimas deste tipo de ataque.
-
Man-in-the-middle
Um outro método utilizado pelos cibercriminosos para roubar dados pessoais passa por se inserir numa conversa online entre pessoas que pensam estar a comunicar em privado. Ao intercetarem mensagens e copiá-las ou editá-las antes de as enviar para o destinatário pretendido, tentam manipular um dos participantes a fornecer dados importantes.
-
Ameaça interna
Embora a maioria dos ataques seja levada a cabo por pessoas fora de uma organização, as equipas de segurança também têm de permanecer alerta relativamente às ameaças internas. Os colaboradores e outras pessoas com acesso legítimo a recursos restringidos podem provocar fugas de dados confidenciais inadvertida ou intencionalmente.
-
Acesso não autorizado
Muitas falhas de segurança começam com o roubo de credenciais de contas. Quer os atores maliciosos adquiram palavras-passe através de uma campanha de phishing ou ao adivinhar uma palavra-passe comum, depois de obterem acesso a um sistema, podem instalar malware, fazer reconhecimento da rede ou alterar os respetivos privilégios para acederem a sistemas e dados mais confidenciais.
O que é um plano de resposta a incidentes?
A resposta a um incidente requer que uma equipa trabalhe em conjunto de forma eficiente, elimine a ameaça de modo eficaz e cumpra os requisitos regulamentares. Nestas situações difíceis, as pessoas ficam perturbadas e cometem erros. Por esse motivo, muitas empresas desenvolvem um plano de resposta a incidentes. O plano define as funções e as responsabilidades e inclui os passos necessários para resolver, documentar e comunicar um acidente de forma adequada.
Importância de um plano de resposta a incidentes
Um ataque importante afeta as operações de uma organização, bem como a respetiva reputação entre os clientes e a comunidade, e também pode ter ramificações jurídicas. Tudo, incluindo a rapidez da resposta da equipa de segurança e a forma como os executivos comunicam o incidente, influencia o custo geral.
As empresas que ocultam os danos dos clientes ou governos ou não levam uma ameaça a sério podem estar a desrespeitar os regulamentos. Estes tipos de erros são mais comuns quando os participantes não têm um plano. No calor do momento, existe o risco de as pessoas tomarem decisões precipitadas e motivadas pelo medo que podem acabar por prejudicar a organização.
Um plano bem concebido permite às pessoas saber o que devem fazer em todas as fases de um ataque para que não tenham de improvisar no momento. Após a recuperação, caso as pessoas tenham perguntas, a organização poderá mostrar exatamente como respondeu e tranquilizar os clientes ao informá-los de que levou o incidente a sério e implementou os passos necessários para prevenir um resultado mais prejudicial.
Passos de resposta a incidentes
Existe mais do que uma abordagem de resposta a incidentes e muitas organizações recorrem a uma organização de normas de segurança para orientar a respetiva abordagem. A SysAdmin Audit Network Security (SANS) é uma organização privada que oferece uma arquitetura de resposta de seis passos, conforme descrito abaixo. Muitas organizações também adotam a arquitetura de recuperação de incidentes do National Institute of Standards and Technology (NIST).
- Preparação – antes de ocorrer um acidente, é importante reduzir as vulnerabilidades e definir políticas e procedimentos de segurança. Na fase de preparação, as organizações efetuam uma avaliação do risco para determinar onde têm fragilidades e priorizar recursos. Esta fase inclui a criação e o refinamento dos procedimentos de segurança, a definição de funções e responsabilidades e a atualização dos sistema para reduzir o risco. A maioria das organizações revisita frequentemente esta fase e melhora as políticas, procedimentos e sistemas à medida que aprende novas lições ou as tecnologias mudam.
- Identificação de ameaças – todos os dias, uma equipa de segurança podem receber milhares de alertas relativos a atividades suspeitas. Alguns são falsos positivos ou podem não constituir necessariamente um incidente. Após a identificação de um incidente, a equipa investiga o tipo de falha de segurança e regista os resultados, incluindo a origem da falha, o tipo de ataque e os objetivos do atacante. Nesta fase, a equipa também tem de informar os intervenientes e comunicar os próximos passos a seguir.
- Contenção de ameaças – conter uma ameaça o mais rapidamente possível é a prioridade seguinte. Quanto mais tempo os atores maliciosos têm acesso, maiores serão os danos. Uma equipa de segurança trabalha para isolar rapidamente aplicações ou sistemas afetadas das restantes redes. Isto ajuda a impedir que os atacantes acedam a outras partes da empresa.
- Eliminação de ameaças – após a conclusão da contenção, a equipa remove o atacante e todo o malware dos sistemas e recursos afetados. Para tal, é possível que tenha de desligar os sistemas. A equipa também continua a manter os intervenientes informados sobre o progresso.
- Recuperação e restauro – recuperar de um incidente pode demorar várias horas. Após a eliminação da ameaça, a equipa restaura os sistemas, recupera os dados através de cópias de segurança e monitoriza as áreas afetadas para garantir que o atacante não volta.
- Feedback e refinamento – após a resolução de um incidente, a equipa analisa o que aconteceu e identifica as melhorias que podem ser implementadas no processo. Aprender com esta fase ajuda a equipa a melhorar as defesas da organização.
O que é uma equipa de resposta a incidentes?
Uma equipa de resposta a incidentes, também denominada equipa de resposta a incidentes de segurança de computadores (CIRT), ou uma equipa de resposta a emergências de computadores (CERT) inclui um grupo multifuncional de pessoas na organização responsáveis pela execução do plano de resposta a incidentes. Isto inclui as pessoas que removem a ameaça, bem como as que tomam decisões empresariais ou legais relacionadas com um incidente. Uma equipa típica inclui os seguintes membros:
Um gestor de resposta a incidentes, muitas vezes o diretor de TI, supervisiona todas as fases da resposta e mantém os intervenientes internos informados.
Os analistas de segurança investigam o incidente para tentarem compreender o que está a acontecer. Além disso, documentam os resultados da investigação e recolhem provas forenses.
Os investigadores de ameaças recolhem informações fora da organização que possam fornecer contexto adicional.
Uma pessoa da equipa de gestão, como o responsável pela segurança das informações ou o diretor de informações, fornece orientações e serve como intermediário para os outros executivos.
Os peritos em recursos humanos ajudam a gerir as ameaças internas.
A consultoria geral ajuda a equipa a evitar problemas de responsabilidade e garante a recolha das provas forenses.
- Os peritos em relações-públicas coordenam uma comunicação externa precisa com os meios de comunicação, clientes e outros intervenientes.
Uma equipa de resposta a incidentes pode ser um subconjunto de um centro de operações de segurança (SOC), que é responsável pelas operações de segurança além da resposta a incidentes.
Automatização da resposta a incidentes
Na maioria das organizações, as redes e soluções de segurança geram muitos mais alertas do que aqueles que a equipa de resposta consegue gerir. Para ajudá-la a colocar o foco em ameaças legítimas, muitas empresas implementam a automatização da resposta a incidentes. A automatização utiliza IA e aprendizagem automática para rastear alertas, identificar incidentes e eliminar ameaças ao executar um manual de procedimentos de resposta baseado em scripts programáticos.
A automatização e resposta de orquestração de segurança (SOAR) é uma categoria de ferramentas de segurança utilizada pelas empresas para automatizar a resposta a incidentes. Estas soluções oferecem as seguintes funcionalidades:
Correlação de dados em várias soluções de segurança e pontos finais para identificar incidentes para seguimento posterior por humanos.
Execução de um manual de procedimentos pré-configurado para isolar e abordar tipos de incidentes conhecidos.
Geração de uma linha cronológica de investigação que inclui medidas, decisões e provas forenses que podem ser utilizadas para análise.
Inclusão de informações externas relevantes para análise humana.
Como implementar um plano de resposta a incidentes
O desenvolvimento de um plano de resposta a incidentes pode parecer assustador, mas pode reduzir significativamente o risco de a sua empresa não estar preparada durante um incidente grave. Eis como pode começar:
-
Identifique e priorize recursos
O primeiro passo num plano de resposta a incidentes é saber o que está a proteger. Registe os dados críticos da sua organização, incluindo a localização onde estão alojados e o nível de importância para a empresa.
-
Determine potenciais riscos
Todas as organizações têm riscos diferentes. Familiarize-se com as maiores vulnerabilidades da sua empresa e avalie as formas através das quais os atacantes as podem explorar.
-
Desenvolva procedimentos de resposta
Durante um incidente grave, a implementação de procedimentos claros ajuda a garantir que o mesmo é resolvido de forma rápida e eficaz. Comece por definir o que é um incidente e, em seguida, determine os passos que a sua equipa deve seguir para detetar, isolar e recuperar de um incidente, incluindo procedimentos de documentação de decisões e recolha e provas.
-
Crie uma equipa de resposta a incidentes
Crie uma equipa multifuncional responsável pela compreensão dos procedimentos de resposta e pela mobilização em caso de incidentes. Defina claramente as funções e assuma funções não técnicas que possam ajudar a tomar decisões relacionadas com a comunicação e responsabilidade. Inclua alguém na equipa executiva que defenda a equipa e as respetivas necessidades nos mais altos níveis da empresa.
-
Defina o seu plano de comunicação
O plano de comunicação elimina as dificuldades de quando e como informar as pessoas dentro e fora da organização sobre o que se está a ocorrer. Planeie vários cenários para ajudar a determinar as circunstâncias sob as quais tem de informar os executivos, toda a organização, os clientes e a comunicação social ou outros intervenientes externos.
-
Ofereça formação aos colaboradores
Os atores maliciosos têm como alvo colaboradores de todos os níveis da organização, logo é muito importante que todos compreendam o seu plano de resposta e saibam o que fazer em caso de suspeita de um ataque. Teste periodicamente os seus colaboradores para confirmar que conseguem reconhecer e-mails de phishing e facilitar o processo de notificação da equipa de resposta a incidentes caso cliquem acidentalmente numa ligação maliciosa ou abram um anexo infetado.
Soluções de resposta a incidentes
É importante preparar-se para um incidente grave para manter a organização protegida contra ameaças. A criação de uma equipa interna de resposta a incidentes garante que a sua organização está preparada caso seja vítima de um ator malicioso.
Tire partido de soluções SIEM e SOAR, como o Microsoft Sentinel, que utilizam automatização para ajudar a identificar e responder automaticamente a incidentes. As organizações com poucos recursos podem expandir as respetivas equipas com um fornecedor de serviços capaz de lidar com várias fases da resposta a incidentes. No entanto, certifique-se de que tem um plano quer tenha uma equipa de resposta a incidentes interna ou externa.
Saiba mais sobre o Microsoft Security
Proteção contra ameaças da Microsoft
Identifique e responda a incidentes em toda a sua organização com os últimos desenvolvimentos em matéria de proteção contra ameaças.
Microsoft Sentinel
Detete ameaças sofisticadas e responda de forma decisiva com uma solução SIEM avançada com tecnologia da cloud e IA.
Microsoft Defender XDR
Pare ataques em pontos finais, e-mails, identidades, aplicações e dados.
Perguntas mais frequentes
-
A resposta a incidentes consiste em todas as atividades efetuadas por uma organização em caso de suspeita de falha de segurança. O objetivo é isolar e combater os atacantes o mais rapidamente possível, cumprir os regulamentos de privacidade de dados e recuperar de forma segura com o mínimo de dano possível para a organização.
-
Uma equipa multifuncional é responsável pela resposta a incidentes. Normalmente, as equipas de TI são responsáveis pela identificação, isolamento e recuperação de ameaças. No entanto, a resposta a incidentes é mais do que encontrar e combater atores maliciosos. Consoante o tipo de ataque, alguém pode ter de tomar uma decisão empresarial, como lidar com um resgate. Os profissionais de consultoria jurídica e relações-públicas ajudam a garantir que a organização cumpre as leis de privacidade de dados, incluindo a notificação adequados dos clientes e governos. Se a ameaça for levada a cabo por um colaborador, as equipas de recursos humanos fornecerão conselhos sobre as medidas adequadas.
-
CSIRT é outro nome para uma equipa de resposta a incidentes. Inclui uma equipa multifuncional de pessoas responsáveis pela gestão de todos os aspetos da resposta a incidentes, incluindo a deteção, isolamento e eliminação da ameaça, recuperação, comunicação interna e externa, documentação e análise forense.
-
A maioria das organizações utiliza uma solução SIEM ou SOAR para ajudar a identificar e responder a ameaças. Normalmente, estas soluções agregam dados de vários sistemas e utilizam aprendizagem automática para ajudar a identificar ameaças reais. Além disso, podem automatizar a resposta a determinados tipos de ameaças com base em manuais de procedimentos pré-configurados.
-
O ciclo de vida da resposta a incidentes inclui seis fases:
- A preparação ocorre antes da identificação de um incidente e inclui uma definição do que a organização considera um incidente, bem como todas as políticas e procedimentos necessários para prevenir, detetar, eliminar e recuperar de uma ataque.
- A identificação de ameaças é um processo que utiliza analistas humanos e automatização para identificar os eventos que são ameaças reais e têm de ser abordados.
- A contenção de ameaças consiste nas medidas levadas a cabo pela equipa para isolar a ameaça e impedi-la de infetar outras áreas da empresa.
- A eliminação de ameaças inclui passos para remover malware e atacantes de uma organização.
- A recuperação e o restauro incluem reiniciar sistemas e máquinas e restaurar os dados perdidos.
- O feedback e o refinamento consistem no processo empreendido pela equipa para retirar lições do incidente e aplicar essas informações a políticas e procedimentos.
Siga o Microsoft Security