O DFIR integra duas disciplinas distintas de segurança cibernética: Forense digital, a investigação de ameaças cibernéticas, principalmente para reunir evidências digitais para litigar cibercriminosos; e resposta a incidentes, a detecção e mitigação de ataques cibernéticos em andamento. Ao combinar essas duas disciplinas, o DFIR ajuda as equipes de segurança a interromper as ameaças mais rapidamente, preservando as evidências que, de outra forma, poderiam ser perdidas na urgência da mitigação de ameaças.
A forense digital investiga e reconstrói incidentes de segurança cibernética coletando, analisando e preservando evidências digitais, vestígios deixados por agentes de ameaças, como arquivos de malware e scripts maliciosos. Essas reconstruções permitem que os investigadores identifiquem as causas dos ataques e identifiquem os culpados.
As investigações forenses digitais seguem uma cadeia de custódia rígida ou processo formal para rastrear como as evidências são coletadas e tratadas. A cadeia de custódia permite que os investigadores provem que as evidências não foram adulteradas. Como resultado, as evidências das investigações forenses digitais podem ser usadas para fins oficiais, como processos judiciais, reclamações de seguros e auditorias regulatórias.
The National Institute of Standards and Technology (NIST) (PDF, 2,7 MB) (link externo à ibm.com) aborda quatro etapas para investigações de forense digital:
Após uma violação, os investigadores forenses coletam dados de sistemas operacionais, contas de usuário, dispositivos móveis e quaisquer outros ativos de hardware e software que os agentes de ameaças possam ter acessado. Fontes comuns de dados forenses incluem:
Para preservar a integridade das evidências, os investigadores fazem cópias dos dados antes de processá-los. Eles protegem os originais para que não possam ser alterados, e o restante da investigação é realizado nas cópias.
Os investigadores vasculham os dados em busca de sinais de atividade cibercriminosa, como e-mails de phishing, arquivos alterados e conexões suspeitas.
Os investigadores usam técnicas forenses para processar, correlacionar e extrair insights de evidências digitais. Os investigadores também podem consultar feeds de inteligência de ameaças proprietários e software livre para vincular suas descobertas a agentes de ameaças específicos.
Os investigadores compilam um relatório que explica o que aconteceu durante o evento de segurança e, se possível, identifica os suspeitos ou culpados. O relatório pode conter recomendações para impedir ataques futuros. Ele pode ser compartilhado com autoridades policiais, seguradoras, reguladores e outras autoridades.
Resposta a incidentes concentra-se em detectar e responder a violações de segurança. O objetivo da resposta a incidentes é prevenir ataques antes que eles aconteçam e minimizar o custo e a interrupção dos negócios dos ataques que ocorrem.
Os esforços de resposta a incidentes são guiados por planos de resposta a incidentes (IRP), que descrevem como a equipe de resposta a incidentes deve lidar com ameaças cibernéticas. O processo de resposta a incidentes tem seis etapas padrão:
Quando a análise forense digital e a resposta a incidentes são conduzidas separadamente, elas podem interferir uma na outra. Os responsáveis por incidentes podem alterar ou destruir evidências enquanto removem uma ameaça da rede, e os investigadores forenses podem atrasar a resolução da ameaça enquanto procuram evidências. As informações podem não fluir entre essas equipes, tornando todos menos eficientes do que poderiam ser.
O DFIR funde essas duas disciplinas em um único processo realizado por uma equipe. Isso gera duas vantagens importantes:
A coleta de dados forenses ocorre juntamente com a mitigação de ameaças. Durante o processo DFIR, os responsáveis por incidentes usam técnicas forenses para coletar e preservar evidências digitais enquanto contêm e erradicam uma ameaça. Isso garante que a cadeia de custódia seja seguida e que evidências valiosas não sejam alteradas ou destruídas pelos esforços de resposta a incidentes.
A revisão pós-incidente inclui o exame de evidências digitais. O DFIR usa evidências digitais para aprofundar os incidentes de segurança. As equipes do DFIR examinam e analisam as evidências que reuniram para reconstruir o incidente do início ao fim. O processo DFIR termina com um relatório detalhando o que aconteceu, como aconteceu, a extensão total do dano e como ataques semelhantes podem ser evitados no futuro.
Os benefícios resultantes incluem:
Em algumas empresas, o DFIR é administrado por uma equipe interna de resposta a incidentes de segurança de computador (CSIRT), às vezes chamada de equipe de resposta a emergências de computador (CERT). Os membros do CSIRT podem incluir o diretor de segurança de informações (CISO), centro de operações de segurança (SOC) e equipe de TI, líderes executivos e outros stakeholders de toda a empresa.
Muitas empresas carecem de recursos para realizar o DFIR por conta própria. Nesse caso, eles podem contratar serviços de DFIR de terceiros que funcionem em retentores.
Os especialistas internos e terceirizados em DFIR usam as mesmas ferramentas DFIR para detectar, investigar e resolver ameaças. São eles:
Informações de segurança e gerenciamento de eventos (SIEM): o SIEM coleta e correlaciona dados de eventos de segurança de ferramentas de segurança e outros dispositivos na rede.
Orquestração, automação e resposta de segurança (SOAR): a SOAR permite que as equipes do DFIR coletem e analisem dados de segurança, definam fluxos de trabalho de resposta a incidentes e automatizem tarefas de segurança repetitivas ou de baixo nível.
Detecção e resposta de terminal (EDR): o EDR integra ferramentas de segurança de terminal e usa análises em tempo real e automação orientada por IA para proteger as organizações contra ameaças cibernéticas que superam o software antivírus e outras tecnologias tradicionais de segurança de terminal.
Detecção e resposta estendidas (XDR): XDR é uma arquitetura de segurança cibernética aberta que integra ferramentas de segurança e unifica as operações de segurança em todas as camadas de segurança, como usuários, terminais, e-mail, aplicativos, redes, cargas de trabalho em cloud e dados. Ao eliminar as lacunas de visibilidade entre as ferramentas, o XDR ajuda as equipes de segurança a detectar e resolver ameaças com mais rapidez e eficiência, além de limitar os danos que elas causam.
Detecte, contenha e recupere-se de ataques com preparação para resposta a incidentes (IR) e serviços de emergência de IR 24 horas por dia, sete dias por semana, para reduzir os impactos de violação.
Identifique e impeça que ameaças e vulnerabilidades graves perturbem as operações comerciais.
Detecte ameaças ocultas antes que seja tarde demais com visibilidade de rede e análise avançada.
Descubra as tendências e inteligência de ameaças mais recentes em segurança em cloud e descubra como aprimorar sua postura de segurança usando insights do IBM Security X-Force.
O caminho para uma resposta a incidentes orquestrada começa com a capacitação das pessoas, o desenvolvimento de um processo consistente e replicável e o uso da tecnologia na execução. Este guia descreve as principais etapas para o desenvolvimento de uma boa função de resposta a incidentes.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos causados por ataques cibernéticos ou violações de segurança.
Informações de segurança e gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como rastreamento e registro de dados de segurança para fins de conformidade ou auditoria.
A inteligência de ameaça consiste em informações detalhadas com o objetivo de prevenir e combater as ameaças cibernéticas direcionadas a uma organização.
O Ransomware mantém os dispositivos e dados das vítimas reféns até que um resgate seja pago. Saiba como o ransomware funciona, porque cresceu nos últimos anos e como as organizações se defendem contra ele.