O DFIR integra duas disciplinas distintas de segurança cibernética: Forense digital, a investigação de ameaças cibernéticas, principalmente para reunir evidências digitais para litigar cibercriminosos; e resposta a incidentes, a detecção e mitigação de ataques cibernéticos em andamento. Ao combinar essas duas disciplinas, o DFIR ajuda as equipes de segurança a interromper as ameaças mais rapidamente, preservando as evidências que, de outra forma, poderiam ser perdidas na urgência da mitigação de ameaças.
A forense digital investiga e reconstrói incidentes de segurança cibernética coletando, analisando e preservando evidências digitais, vestígios deixados por agentes de ameaças, como arquivos de malware e scripts maliciosos. Essas reconstruções permitem que os investigadores identifiquem as causas dos ataques e identifiquem os culpados.
As investigações forenses digitais seguem uma cadeia de custódia rígida ou processo formal para rastrear como as evidências são coletadas e tratadas. A cadeia de custódia permite que os investigadores provem que as evidências não foram adulteradas. Como resultado, as evidências das investigações forenses digitais podem ser usadas para fins oficiais, como processos judiciais, reclamações de seguros e auditorias regulatórias.
The National Institute of Standards and Technology (NIST) (PDF, 2,7 MB) (link externo à ibm.com) aborda quatro etapas para investigações de forense digital:
Após uma violação, os investigadores forenses coletam dados de sistemas operacionais, contas de usuário, dispositivos móveis e quaisquer outros ativos de hardware e software que os agentes de ameaças possam ter acessado. Fontes comuns de dados forenses incluem:
- Forense do sistema de arquivos: dados encontrados em arquivos e pastas armazenados em terminais.
- Forense de memória: dados encontrados na memória de acesso aleatório de um dispositivo (RAM).
- Forense de rede: dados encontrados examinando a atividade da rede, como navegação na web e comunicações entre dispositivos.
- Análise forense de aplicativos: dados encontrados nos logs de aplicativos e outros softwares.
Para preservar a integridade das evidências, os investigadores fazem cópias dos dados antes de processá-los. Eles protegem os originais para que não possam ser alterados, e o restante da investigação é realizado nas cópias.
Os investigadores vasculham os dados em busca de sinais de atividade cibercriminosa, como e-mails de phishing, arquivos alterados e conexões suspeitas.
Os investigadores usam técnicas forenses para processar, correlacionar e extrair insights de evidências digitais. Os investigadores também podem consultar feeds de inteligência de ameaças proprietários e software livre para vincular suas descobertas a agentes de ameaças específicos.
Os investigadores compilam um relatório que explica o que aconteceu durante o evento de segurança e, se possível, identifica os suspeitos ou culpados. O relatório pode conter recomendações para impedir ataques futuros. Ele pode ser compartilhado com autoridades policiais, seguradoras, reguladores e outras autoridades.
Resposta a incidentes concentra-se em detectar e responder a violações de segurança. O objetivo da resposta a incidentes é prevenir ataques antes que eles aconteçam e minimizar o custo e a interrupção dos negócios dos ataques que ocorrem.
Os esforços de resposta a incidentes são guiados por planos de resposta a incidentes (IRP), que descrevem como a equipe de resposta a incidentes deve lidar com ameaças cibernéticas. O processo de resposta a incidentes tem seis etapas padrão:
- Preparação: preparação é o processo contínuo de avaliação de riscos, identificação e correção de vulnerabilidades (gerenciamento de vulnerabilidades) e elaboração de IRPs para diferentes ameaças cibernéticas.
- Detecção e análise: os responsáveis por incidentes monitoram a rede em busca de atividades suspeitas. Eles analisam dados, filtram falsos positivos e fazem a triagem de alertas.
- Restrição: quando uma violação é detectada, a equipe de resposta a incidentes toma medidas para impedir que a ameaça se espalhe pela rede.
- Erradicação: depois que a ameaça é contida, os responsáveis pelo incidente a removem da rede, por exemplo, destruindo arquivos de ransomware ou inicializando um agente de ameaça por meio de um dispositivo.
- Recuperação: depois que os responsáveis por incidentes removem todos os vestígios da ameaça, eles restauram os sistemas danificados para operações normais.
- Revisão pós-incidente: os responsáveis por incidentes revisam a violação para entender como ela aconteceu e se preparar para ameaças futuras.
Quando a análise forense digital e a resposta a incidentes são conduzidas separadamente, elas podem interferir uma na outra. Os responsáveis por incidentes podem alterar ou destruir evidências enquanto removem uma ameaça da rede, e os investigadores forenses podem atrasar a resolução da ameaça enquanto procuram evidências. As informações podem não fluir entre essas equipes, tornando todos menos eficientes do que poderiam ser.
O DFIR funde essas duas disciplinas em um único processo realizado por uma equipe. Isso gera duas vantagens importantes:
A coleta de dados forenses ocorre juntamente com a mitigação de ameaças. Durante o processo DFIR, os responsáveis por incidentes usam técnicas forenses para coletar e preservar evidências digitais enquanto contêm e erradicam uma ameaça. Isso garante que a cadeia de custódia seja seguida e que evidências valiosas não sejam alteradas ou destruídas pelos esforços de resposta a incidentes.
A revisão pós-incidente inclui o exame de evidências digitais. O DFIR usa evidências digitais para aprofundar os incidentes de segurança. As equipes do DFIR examinam e analisam as evidências que reuniram para reconstruir o incidente do início ao fim. O processo DFIR termina com um relatório detalhando o que aconteceu, como aconteceu, a extensão total do dano e como ataques semelhantes podem ser evitados no futuro.
Os benefícios resultantes incluem:
- Prevenção de ameaças mais eficaz. As equipes do DFIR investigam os incidentes com mais profundidade do que as equipes tradicionais de resposta a incidentes. As investigações do DFIR podem ajudar as equipes de segurança a entender melhor as ameaças cibernéticas, criar manuais de resposta a incidentes mais eficazes e interromper mais ataques antes que eles aconteçam. As investigações do DFIR também podem ajudar a simplificar a busca de ameaças, descobrindo evidências de ameaças ativas desconhecidas.
- Pouca ou nenhuma evidência perdida durante a resolução de ameaças. Em um processo padrão de resposta a incidentes, os responsáveis pelo incidente podem correr para conter a ameaça. Por exemplo, se os responsáveis desligarem um dispositivo infectado para conter a disseminação de uma ameaça, qualquer evidência deixada na RAM do dispositivo será perdida. Treinadas em forense digital e resposta a incidentes, as equipes do DFIR são hábeis em preservar evidências enquanto resolvem incidentes.
- Melhoria do suporte a litígios. As equipes do DFIR seguem a cadeia de custódia, o que significa que os resultados das investigações do DFIR podem ser compartilhados com as autoridades policiais e usados para processar criminosos cibernéticos. As investigações do DFIR também podem dar suporte a reivindicações de seguro e auditorias regulatórias pós-violação.
- Recuperação de ameaças mais rápida e robusta. Como as investigações forenses são mais robustas do que as investigações de resposta a incidentes padrão, as equipes do DFIR podem descobrir malware oculto ou danos ao sistema que, de outra forma, passariam despercebidos. Isso ajuda as equipes de segurança a erradicar ameaças e se recuperar de ataques de forma mais completa.
Em algumas empresas, o DFIR é administrado por uma equipe interna de resposta a incidentes de segurança de computador (CSIRT), às vezes chamada de equipe de resposta a emergências de computador (CERT). Os membros do CSIRT podem incluir o diretor de segurança de informações (CISO), centro de operações de segurança (SOC) e equipe de TI, líderes executivos e outros stakeholders de toda a empresa.
Muitas empresas carecem de recursos para realizar o DFIR por conta própria. Nesse caso, eles podem contratar serviços de DFIR de terceiros que funcionem em retentores.
Os especialistas internos e terceirizados em DFIR usam as mesmas ferramentas DFIR para detectar, investigar e resolver ameaças. São eles:
Informações de segurança e gerenciamento de eventos (SIEM): o SIEM coleta e correlaciona dados de eventos de segurança de ferramentas de segurança e outros dispositivos na rede.
Orquestração, automação e resposta de segurança (SOAR): a SOAR permite que as equipes do DFIR coletem e analisem dados de segurança, definam fluxos de trabalho de resposta a incidentes e automatizem tarefas de segurança repetitivas ou de baixo nível.
Detecção e resposta de terminal (EDR): o EDR integra ferramentas de segurança de terminal e usa análises em tempo real e automação orientada por IA para proteger as organizações contra ameaças cibernéticas que superam o software antivírus e outras tecnologias tradicionais de segurança de terminal.
Detecção e resposta estendidas (XDR): XDR é uma arquitetura de segurança cibernética aberta que integra ferramentas de segurança e unifica as operações de segurança em todas as camadas de segurança, como usuários, terminais, e-mail, aplicativos, redes, cargas de trabalho em cloud e dados. Ao eliminar as lacunas de visibilidade entre as ferramentas, o XDR ajuda as equipes de segurança a detectar e resolver ameaças com mais rapidez e eficiência, além de limitar os danos que elas causam.
Detecte, contenha e recupere-se de ataques com preparação para resposta a incidentes (IR) e serviços de emergência de IR 24 horas por dia, sete dias por semana, para reduzir os impactos de violação.
Identifique e impeça que ameaças e vulnerabilidades graves perturbem as operações comerciais.
Detecte ameaças ocultas antes que seja tarde demais com visibilidade de rede e análise avançada.
Descubra as tendências e inteligência de ameaças mais recentes em segurança em cloud e descubra como aprimorar sua postura de segurança usando insights do IBM Security X-Force.
O caminho para uma resposta a incidentes orquestrada começa com a capacitação das pessoas, o desenvolvimento de um processo consistente e replicável e o uso da tecnologia na execução. Este guia descreve as principais etapas para o desenvolvimento de uma boa função de resposta a incidentes.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos causados por ataques cibernéticos ou violações de segurança.
Informações de segurança e gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como rastreamento e registro de dados de segurança para fins de conformidade ou auditoria.
A inteligência de ameaça consiste em informações detalhadas com o objetivo de prevenir e combater as ameaças cibernéticas direcionadas a uma organização.
O Ransomware mantém os dispositivos e dados das vítimas reféns até que um resgate seja pago. Saiba como o ransomware funciona, porque cresceu nos últimos anos e como as organizações se defendem contra ele.