Resposta a Incidentes de Segurança é uma abordagem organizada para solucionar e gerenciar um vazamento de dados ou incidente de segurança, também conhecido com ciberataque. O objetivo é lidar com a situação de uma forma a limitar os danos, reduzir o tempo de recuperação e minimizar os custos.

Idealmente, as atividades de Resposta a Incidentes de Segurança são conduzidas pela Equipe de Resposta a Incidentes de Segurança – CSIRT, um grupo previamente selecionado contendo membros da área de segurança, TI e executivos relacionados. O CSIRT de uma grande empresa também pode acabar contando com representantes legais, recursos humanos e relações públicas. A resposta efetuada pelo CSIRT deve estar em compliance com o Plano de Resposta a Incidentes (IRP), um conjunto de instruções impressas que definem como a empresa deve reagir a um ciberataque.

 

A Importância da Resposta a Incidentes de Segurança

Qualquer incidente que não seja propriamente contido ou solucionado pode – e provavelmente vai – se tornar um problema muito maior que em última instância pode levar ao colapso da rede corporativa ou a danos significativos. Responder rapidamente a um incidente vai fazer com que a empresa minimize as perdas, mitigue as vulnerabilidades exploradas, restore serviços e processos e reduza o risco de futuros incidentes.

A Resposta a Incidentes de Segurança permite à empresa estar preparada para o desconhecido e é um método comprovadamente eficiente para identificar um incidente de segurança imediatamente no momento em que ele ocorre. A Resposta a Incidentes de Segurança também funciona para que a empresa estabeleça uma série de boas práticas para deter uma intrusão antes mesmo que ela cause algum dano.

 

Plano de Resposta a Incidentes

Um IRP deve incluir procedimentos para detectar, responder e para limitar os efeitos de um incidente de segurança.

Um IRP usualmente inclui instruções sobre como responder a cenários potenciais de ataque, incluindo vazamentos de dados, DDoS, intrusões de rede, virus, worms, infecções de malware, insider threats, ransomware entre outros.

Sem contar com um IRP em operação, uma empresa pode não detectar o ataque, ou pode não seguir o protocolo adequado para conter a ameaça e se recuperar rapidamente posteriormente ao ciberataque.

De acordo com o Instituto SANS, existem 6 momentos-chave de um IRP:

 

1 Preparação

Preparar usuários e staff para lidar com potenciais incidentes que possam surgir.

 

2 Identificação

Determinar se um evento é verdadeiramente um incidente de segurança.

 

3 Contenção

Limitar o dano do incidente e isolar os sistemas afetados para evitar mais danos.

 

4 Erradicação

Encontrar a causa raiz do incidente, removendo os sistemas afetados do ambiente de produção.

 

5 Recuperação

Permitir aos sistemas afetados que retornem ao ambiente de produção, garantindo que nenhuma ameaça permanece.

 

6 Lições Aprendidas

Completar a documentação do incidente, realizando uma análise para se aprender com o incidente e potencialmente melhorar os esforços futuros de detecção, prevenção e resposta.

Um IRP pode ser benéfico para uma empresa ao desenhar como minimizar a duração e os danos de um ciberataque, identificar as partes envolvidas, melhorar a análise forense, diminuir o tempo de recuperação, reduzir a negatividade pública e aumentar a confiança dos investidores e executivos.

O Plano de Resposta a Incidentes deve identificar e descrever os papéis e responsabilidades  da equipe integrante do CSIRT, ele também deve especificar as ferramentas, tecnologias e recursos físicos que devem estar em ordem para que a Resposta a Incidentes de Segurança possa ocorrer da melhor forma possível.

 

Quem é responsável pela Resposta a Incidentes de Segurança?

Para estar devidamente preparado para responder às diferentes ameaças as quais as empresas estão submetidas hoje, é imprescindível contar com um CSIRT. Essa equipe é responsável por analisar as brechas de segurança e responder apropriadamente. Hoje em dia, é cada vez mais comum que o CSIRT contenha ou seja inteiramente composto por uma equipe terceirizada, especializada em Cibersegurança.

É importante ressaltar que o suporte gerencial é a chave para garantir os recursos necessários, orçamento, staff e comprometimento de tempo para o planejamento e execução do IRP. Muitos CSIRT incluem o próprio CISO ou algum outro executivo C-level, que atua como um defensor ou “champion” do grupo para o board executivo.