Apesar do aumento de vazamentos e incidentes de segurança que ouvimos regularmente nos últimos anos, muitas equipes de resposta a incidentes continuam defasadas em termos de membros ou possuem dificuldade para encontrar o conjunto certo de skills para que o trabalho seja feito de forma satisfatória.

Hoje, mais equipes de resposta a incidentes de segurança buscam ativamente por oportunidades para automatizar processos que demandam muito tempo ou analistas altamente qualificados, assim como os que requerem muitas atividades repetitivas e provêem pouco valor para a investigação. Atividades comuns que muitas equipes consideram automatizar incluem:

 

Identificar e Correlacionar Alertas

Diversos analistas empregam tempo considerável passando por alertas e alarmes de diversos logs e fontes de eventos, então gastam tempo juntando e correlacionando eventos semelhantes numa estratégia de correlacionamento. Enquanto isso é valioso nos estágios finais da investigação, pode ser altamente repetitivo e pode ser automatizado em algumas instâncias.

 

Identificar e Suprimir Falsos-Positivos

Esse pode ser um trabalho muito tedioso em um dia bom e um trabalho sem fim num dia com um pouco mais de azar. Identificar falsos-positivos pode ser algo muitas vezes automatizado usando sistemas modernos de gerenciamento de eventos e ferramentas de automação de resposta a incidentes.

 

Abertura e Update de Tickets e Chamados

Devido a melhor integração entre sistema de tickets, gerenciamento de eventos e ferramentas de monitoramento utilizada pela equipe de resposta a incidentes é possível que isso seja automatizado, abrindo os tickets diretamente para a pessoa ou setor responsável, assim como fazer o update automático na medida em que as evidências e desdobramentos vão acontecendo.

 

Investigação Inicial e Threat Hunting

Analistas precisam rapidamente encontrar evidências de sistemas comprometidos ou atividade não-usual, e precisam fazer isso com escala, em grandes volumes de dados.

 

Produzir Relatórios e Métricas

Uma vez que a evidência foi coletada e os casos resolvidos ou em resolução, gerar relatórios é algo que pode tomar um tempo considerável dos analistas.

 

Exemplos de Táticas de Automação de Resposta a Incidentes

  • Busca automatizada de DNS vistos anteriormente dirigidos por proxy e logs de DNS.
  • Buscas automatizadas de IoCs detectados.
  • Automação de criação de imagem de disco e memória de um sistema suspeito de comprometimento por meio de alertas triggados na rede e endpoints.
  • Controles de acesso à rede automaticamente bloqueando canais de comando e controle de um sistema previamente suspeito.

Existem muitas outras áreas sobre as quais a automação de resposta a incidentes pode ajudar, especialmente em coleta de evidências forenses, threat hunting e até mesmo quarentena automatizada e atividades de remediação em sistemas suspeitos.

Os fabricantes de endpoint já começaram a enfatizar as atividades de automação de resposta a incidentes e a integração com as capacidades de detecção, resposta e análise forense. Os analistas precisam rapidamente identificar indicadores de comprometimento e realizar ações de monitoramento sobre outros sistemas, automatizando o máximo que for possível no processo.

 

Automação de Resposta a Incidentes na Nuvem

Resposta a incidentes na nuvem pode acabar necessitando de mais scripts, automação e monitoramento contínuo do que a resposta a incidentes nos limites da rede corporativa. Atualmente, muitas das ferramentas de detecção e resposta surgindo para a nuvem possuem como característica fortes capacidades de automação, que costumam ser escritas para APIs de provedores específicos, por exemplo, a Amazon AWS.

Para realmente implementar uma resposta a incidentes automatizada na nuvem, as equipes vão precisar construir alertas automatizados para tipos de eventos que ocorrem a todo momento, como é o caso dos filtros AWS CloudWatch, especialmente se ambiente se tornar mais dinâmico.

Decidir quais alertas implementar e quais ações tomar é o aspecto que mais consome tempo na construção de um framework automatizado para a nuvem. Você foca nas ações dos usuários? Eventos específicos gerados por instâncias ou objetos armazenados? Eventos de falha? Investir tempo para aprender sobre o comportamento do ambiente da nuvem e trabalhar melhor o entendimento sobre os padrões normais de comportamento e uso tornam-se essenciais aqui.

Por fim, podemos dizer que nenhuma das soluções de automação e métodos vão substituir analistas de segurança com skill e conhecimento técnico nos processos de resposta a incidentes de segurança e que saibam reagir de forma correta em um cenário de incidente. Contudo, a não ser que os analistas consigam radicalmente passar a responder e detectar de forma muito mais rápida, não teremos como estar a frente dos atacantes de agora e do futuro.