O que é resposta a incidentes?

O objetivo da resposta a incidentes é evitar ataques cibernéticos antes que eles aconteçam e minimizar os custos e a interrupção dos negócios resultantes de qualquer ataque cibernético que ocorra. A resposta a incidentes é a parte técnica do gerenciamento de incidentes, que também inclui a gestão executiva, de RH e jurídica de um incidente grave.

O ideal é que a organização defina os processos e as tecnologias de resposta a incidentes em um plano formal de resposta a incidentes (IRP) que especifique como os diferentes tipos de ataques cibernéticos devem ser identificados, contidos e resolvidos.

Um plano de resposta a incidentes eficaz pode ajudar a equipe de resposta a incidentes cibernéticos a detectar e conter ameaças cibernéticas, restaurar os sistemas afetados e reduzir a perda de receita, multas regulatórias e outros custos.

O relatório do custo das violações de dados da IBM constatou que ter uma equipe de resposta a incidentes e planos formais de resposta a incidentes permite que as organizações reduzam o custo de uma violação em quase meio milhão de dólares americanos (US$ 473.706), em média.

Um incidente de segurança, ou evento de segurança, é qualquer violação digital ou física que ameace a confidencialidade, a integridade ou a disponibilidade dos sistemas de informação ou dados confidenciais de uma organização. Os incidentes de segurança podem variar desde ataques cibernéticos intencionais por hackers ou usuários não autorizados até violações não intencionais da política de segurança de TI por usuários legítimos autorizados.

Alguns dos incidentes de segurança mais comuns incluem:

Ransomware é um tipo de software malicioso, ou malware, que bloqueia os dados ou o dispositivo de computação da vítima e ameaça mantê-los bloqueados ou piores, a menos que a vítima pague um resgate. O mais recente X-Force Threat Intelligence Index da IBM relata que 20% dos ataques à rede usaram ransomware e que os ataques baseados em extorsão são uma força motriz no crime cibernético, superado apenas por roubos e vazamentos de dados.

Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários de forma que eles compartilhem informações confidenciais, baixem softwares mal-intencionados, transfiram dinheiro ou ativos para as pessoas erradas ou executem alguma outra ação prejudicial.

Os invasores criam mensagens de phishing para parecer ou soar como se fossem de uma organização ou pessoa confiável, às vezes até mesmo de alguém que o destinatário conheça pessoalmente.

O phishing e as credenciais roubadas ou comprometidas são os dois vetores de ataque mais predominantes, de acordo com o relatório do custo das violações de dados da IBM. O phishing também é a forma mais comum de engenharia social, uma categoria de ataque que explora a natureza humana, em vez de vulnerabilidades de segurança digital, para obter acesso não autorizado a dados ou ativos confidenciais, tanto pessoais quanto empresariais.

Em um distributed denial-of-service (DDoS), os hackers obtêm o controle de um grande número de computadores e os usam para sobrecarregar a rede ou os servidores de uma organização alvo com tráfego falso, tornando esses recursos indisponíveis para usuários legítimos.

Os ataques à cadeia de suprimentos são ataques cibernéticos que se infiltram em uma organização-alvo atacando seus fornecedores. Por exemplo, pode incluir o roubo de dados confidenciais dos sistemas de um fornecedor ou o uso dos serviços de um fornecedor para distribuir malware.

Existem dois tipos de ameaças internas. Agentes internos maliciosos são funcionários, parceiros ou outros usuários autorizados que comprometem intencionalmente a segurança da informação de uma organização. Agentes internos negligentes são usuários autorizados que comprometem involuntariamente a segurança ao não seguir as melhores práticas de segurança, por exemplo, usando senhas fracas ou armazenando dados confidenciais em locais inseguros.

Um invasor, que primeiro obtém privilégios limitados em um sistema, e os usa para se movimentar lateralmente, recebendo privilégios mais altos e obtendo acesso a dados mais confidenciais ao longo do caminho.

As credenciais roubadas podem ajudar o invasor com a primeira entrada ou com o aumento de seus privilégios. De acordo com o X-Force Threat Intelligence Index, o abuso de contas válidas é a maneira mais comum pela qual os invasores violam os sistemas atualmente.

Em um ataque de MITM, o agente da ameaça intercepta uma comunicação, geralmente um e-mail contendo informações confidenciais, como nomes de usuário ou senhas, e rouba ou altera essa comunicação. O invasor usa as informações roubadas diretamente ou injeta o malware para ser encaminhado ao destinatário pretendido.

Os esforços de uma organização para lidar com incidentes são normalmente orientados por um plano de resposta a incidentes. Normalmente, os planos são criados e executados por uma equipe de resposta a incidentes de segurança de computadores (CSIRT) composta por stakeholders de toda a organização.

A equipe CSIRT pode incluir o diretor de segurança da informação (CISO), o centro de operações de segurança (SOC), analistas de segurança e equipe de TI. Também pode incluir representantes da liderança executiva, jurídica, recursos humanos, conformidade regulatória, gerenciamento de riscos e, eventualmente, especialistas terceirizados de provedores de serviços.

O relatório do custo das violações de dados destaca que, "Ao investir na preparação da resposta, a organização pode ajudar a reduzir os efeitos dispendiosos e disruptivos da violação de dados, apoiar a continuidade operacional e ajudar a preservar seus relacionamentos com clientes, parceiros e outros stakeholders importantes".

Um plano de resposta a incidentes geralmente inclui:

•  Um playbook de resposta a incidentes com as funções e responsabilidades de cada membro da CSIRT durante todo o ciclo de vida de resposta a incidentes.

• As soluções de segurança (software, hardware e outras tecnologias) instaladas em toda a empresa.

• Um plano de continuidade de negócios descrevendo procedimentos para restaurar sistemas e dados críticos o mais rápido possível em caso de interrupção.

• Uma metodologia de resposta a incidentes que detalha os passos específicos a serem adotados em cada fase do processo de resposta a incidentes e quem é o responsável.

• Um plano de comunicação para informar líderes da empresa, funcionários, clientes e autoridades policiais sobre os incidentes.

• Instruções para coletar e documentar informações sobre incidentes para revisão pós-morte e (se necessário) procedimentos legais.

A CSIRT pode elaborar diferentes planos de resposta a incidentes para diferentes tipos de incidentes, pois cada tipo pode exigir uma resposta única. Muitas organizações têm planos de resposta a incidentes específicos relacionados a ataques DDoS, malware, ransomware, phishing e ameaças internas.

Ter planos de resposta a incidentes personalizados para o ambiente, ou ambientes de uma organização é fundamental para reduzir o tempo de resposta, remediação e recuperação após um ataque.

Algumas organizações complementam as CSIRTs internas com parceiros externos que fornecem serviços de resposta a incidentes. Esses parceiros geralmente trabalham sob contrato e auxiliam em vários aspectos do processo geral de gerenciamento de incidentes, incluindo a preparação e a execução do planos de resposta a incidentes.

A maioria dos planos de resposta a incidentes segue o mesmo framework geral de resposta a incidentes, baseado em modelos desenvolvidos pelo Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)¹ e pelo SANS Institute². As etapas mais comuns de resposta a incidentes incluem:

Essa primeira fase da resposta a incidentes também é contínua. A CSIRT seleciona os melhores procedimentos, ferramentas e técnicas possíveis para responder, identificar, conter e se recuperar de um incidente o mais rápido possível, e com o mínimo de interrupção nos negócios.

Por meio de avaliações de risco regulares, a CSIRT identifica o ambiente de negócios a ser protegido, as possíveis vulnerabilidades da rede e os vários tipos de incidentes de segurança que representam um risco. A equipe prioriza cada tipo de incidente de acordo com seu possível impacto na organização.

A CSIRT pode montar um "estratégia de guerra" com várias técnicas de ataque diferentes e, em seguida, criar modelos das respostas mais eficazes para acelerar a ação durante um ataque real. O tempo de resposta pode ser monitorado para estabelecer métricas para casos futuros e possíveis ataques. Com base em uma avaliação completa dos riscos, a CSIRT pode atualizar os planos de resposta a incidentes existentes ou elaborar novos planos.

Durante essa fase, os membros da equipe de segurança monitoram a rede em busca de atividades suspeitas e possíveis ameaças. Eles analisam dados, notificações e alertas coletados de logs de dispositivos e de várias ferramentas de segurança (software antivírus, firewalls) para identificar incidentes em andamento. A equipe trabalha para filtrar falsos positivos de incidentes reais, fazendo a triagem dos alertas reais em ordem de gravidade.

Atualmente, a maioria das organizações utiliza uma ou mais soluções de segurança, como gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta de endpoint (EDR), para monitorar eventos de segurança em tempo real e automatizar esforços de resposta. (Consulte a seção "Tecnologias de resposta a incidentes" para mais informações.)

O plano de comunicação também entra em ação durante essa fase. Quando a CSIRT determinar com que tipo de ameaça ou violação está lidando, ela notificará o pessoal envolvido, e então passará para a próxima etapa do processo de resposta a incidentes.

A equipe de resposta a incidentes toma medidas para impedir que a violação ou outra atividade mal-intencionada cause mais danos à rede. Então, os planos de resposta a incidentes de emergência entram em ação. Há duas categories de atividades de contenção:

• As medidas de mitigação de curto prazo se concentram em impedir que a ameaça atual se espalhe, isolando os sistemas afetados, por exemplo, colocando os dispositivos infectados off-line.

• As medidas de contenção de longo prazo se concentram na proteção dos sistemas não afetados, inserindo controles de segurança mais fortes em torno deles, como a segmentação de bancos de dados confidenciais no restante da rede.

Nesse estágio, a CSIRT também pode criar backups de sistemas afetados e não afetados para evitar perda adicional de dados e capturar evidências forenses do incidente para estudos futuros.

Depois que a ameaça for contida, a equipe passará para a remediação completa e a remoção da ameaça do sistema. Isso pode incluir a remoção de malware ou a exclusão de um usuário não autorizado ou indesejado da rede. A equipe também avalia os sistemas afetados e não afetados para ajudar a garantir que nenhum vestígio da violação seja deixado para trás.

Quando a equipe de resposta a incidentes estiver convencida de que a ameaça foi totalmente erradicada, as operações normais dos sistemas afetados são restauradas. Essa remediação pode envolver a implementação de patches, a reconstrução de sistemas a partir de backups e a colocação de sistemas e dispositivos on-line novamente. Um registro do ataque e de sua resolução são guardados para análise e melhorias no sistema.

Durante cada fase do processo de resposta a incidentes, a CSIRT coleta evidências da violação e documenta as etapas necessárias para conter e erradicar a ameaça. Nessa fase, a CSIRT avalia essas informações para entender melhor o incidente e reunir as "lições aprendidas". A CSIRT busca determinar a causa raiz do ataque, identificar como a rede foi violada com sucesso, e resolver vulnerabilidades para que incidentes desse tipo não ocorram novamente no futuro.

A CSIRT também avalia o que deu certo e procura oportunidades de melhorar os sistemas, as ferramentas e os processos para fortalecer as iniciativas de resposta a incidentes contra ataques futuros. Dependendo das circunstâncias da violação, as autoridades policiais também podem estar envolvidas na investigação pós-incidente.

Além de descrever as etapas que as CSIRTs devem seguir durante um incidente de segurança, os planos de resposta a incidentes normalmente descrevem as soluções de segurança que as equipes de resposta a incidentes devem usar para implementar ou automatizar os principais fluxos de trabalho, como coletar e correlacionar dados de segurança, detectar incidentes em tempo real e responder a ataques em andamento.

Algumas das tecnologias de resposta a incidentes mais usadas incluem:

As soluções de ASM automatizam continuamente a descoberta, a análise, a remediação e o monitoramento de vulnerabilidades e possíveis vetores de ataque em todos os ativos da superfície de ataque de uma organização. O ASM pode descobrir ativos de rede não monitorados anteriormente e mapear relacionamentos entre eles.

EDR é um software projetado para proteger de forma automática os usuários, dispositivos de endpoint e ativos de TI de uma organização contra ameaças cibernéticas que passam por softwares antivírus e outras ferramentas tradicionais de segurança de endpoint.

A EDR coleta dados continuamente de todos os endpoints da rede. Ela também analisa os dados em tempo real em busca de evidências de ameaças cibernéticas conhecidas ou suspeitas, e pode responder de forma automática a fim de evitar ou minimizar os danos causados pelas ameaças identificadas.

O SIEM agrega e correlaciona dados de eventos de segurança das ferramentas díspares de segurança internas (por exemplo, firewall, scanners devulnerabilidade e feeds de inteligência de ameaças) e dos dispositivos na rede.

O SIEM pode ajudar as equipes de resposta a incidentes a combater a “fadiga de alertas”, distinguindo indicadores de ameaças reais do enorme volume de notificações geradas pelas ferramentas de segurança.

A SOAR permite que as equipes de segurança definam playbooks, fluxos de trabalho formalizados que coordenam diferentes operações e ferramentas de segurança em resposta a incidentes. As plataformas SOAR também podem automatizar partes desses fluxos de trabalho sempre que possível.

A UEBA utiliza análise comportamental, algoritmos de aprendizado de máquina e automação para identificar comportamentos anormais e potencialmente perigosos de usuários e dispositivos.

A UEBA é eficaz na identificação de ameaças internas (agentes internos maliciosos ou hackers que usam credenciais de agentes internos comprometidas) que podem escapar de outras ferramentas de segurança porque imitam o tráfego autorizado de rede. As funções da UEBA são geralmente incluídas nas soluções SIEM, EDR e XDR.

A XDR é uma tecnologia de cibersegurança que unifica ferramentas de segurança, pontos de controle, fontes de dados e telemetria, e análises em todo o ambiente híbrido de TI. A XDR cria um sistema corporativo único e central para prevenção, detecção e resposta a ameaças. A XDR pode ajudar equipes de segurança e SOCs sobrecarregados a fazerem mais com menos, eliminando silos entre ferramentas de segurança e automatizando respostas em toda a cadeia de ataque de ameaças cibernéticas.

A inteligência artificial (IA) pode ajudar as organizações a compor uma defesa mais forte contra as ameaças cibernéticas, assim como ladrões de dados e hackers estão usando a IA para fortalecer seus ataques.

A redução de custos decorrente do uso de proteção adicional de IA pode ser significativa. De acordo com o relatório do custo das violações de dados da IBM, as organizações que usam soluções de segurança impulsionadas por IA podem economizar até US$ 2,2 milhões com custos de violação.

Os sistemas de segurança de nível empresarial, impulsionados por IA, podem melhorar os recursos de resposta a incidentes por meio de:

Os sistemas impulsionados por IA podem acelerar a detecção e a mitigação de ameaças, monitorando grandes volumes de dados para acelerar a busca de padrões de tráfego ou comportamentos de usuários suspeitos.

Os sistemas impulsionados por IA podem apoiar processos mais proativos de resposta a incidentes, fornecendo insights em tempo real para a equipe de cibersegurança, automatizando a triagem de incidentes, coordenando as defesas contra ameaças cibernéticas e até mesmo isolando os sistemas sob ataque.

A análise de risco impulsionada por IA pode criar resumos de incidentes a fim de acelerar as investigações de alertas e ajudar a encontrar a causa raiz de uma falha. Esses resumos de incidentes podem ajudar a prever quais ameaças têm maior probabilidade de ocorrer no futuro, para que a equipe de resposta a incidentes possa efetuar um ajuste fino de um plano mais forte para enfrentá-las.