O que é resposta a incidentes?

Ransomware é um tipo de software malicioso, ou malware, que bloqueia os dados ou o dispositivo de computação de uma vítima e ameaça mantê-los bloqueados, a não ser que a vítima pague um resgate. O mais recente X-Force Threat Intelligence Index da IBM relata que 20% dos ataques à rede usaram ransomware e que os ataques de extorsão são uma força motriz do crime cibernético, superado apenas por roubos e vazamentos de dados.

Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários de forma que eles compartilhem informações confidenciais, baixem softwares mal-intencionados, transfiram dinheiro ou ativos para as pessoas erradas ou executem alguma outra ação prejudicial.  

Os invasores criam mensagens de phishing para parecer ou soar como se fossem de uma organização ou pessoa confiável, às vezes até mesmo de alguém que o destinatário conheça pessoalmente.

O Phishing e as credenciais roubadas ou comprometidas são os dois vetores de ataque mais predominantes, de acordo com o relatório do custo das violações de dados da IBM. O phishing também é a forma mais comum de engenharia social, uma categoria de ataque que explora a natureza humana, em vez de vulnerabilidades de segurança digital, para obter acesso não autorizado a dados ou ativos confidenciais, tanto pessoais quanto empresariais.

Em um distributed denial-of-service (DDoS), os hackers obtêm o controle de um grande número de computadores e os usam para sobrecarregar a rede ou os servidores de uma organização alvo com tráfego falso, tornando esses recursos indisponíveis para usuários legítimos.

Os ataques à cadeia de suprimentos são ataques cibernéticos que se infiltram em uma organização-alvo atacando seus fornecedores. Por exemplo, pode incluir o roubo de dados confidenciais dos sistemas de um fornecedor ou o uso dos serviços de um fornecedor para distribuir malware. 

Existem dois tipos de ameaças internas. Agentes internos maliciosos são funcionários, parceiros ou outros usuários autorizados que comprometem intencionalmente a segurança da informação de uma organização. Agentes internos negligentes são usuários autorizados que comprometem involuntariamente a segurança ao não seguir as melhores práticas de segurança, como por exemplo, usar senhas fracas ou armazenar dados confidenciais em locais inseguros.

Um invasor, que primeiro obtém privilégios limitados em um sistema, e os usa para se movimentar lateralmente, recebendo privilégios mais altos e obtendo acesso a dados mais confidenciais ao longo do caminho. 

As credenciais roubadas podem ajudar o invasor com a primeira entrada ou com o aumento de seus privilégios. De acordo com o X-Force Threat Intelligence Index, o abuso de contas válidas é a maneira mais comum pela qual os invasores violam os sistemas atualmente.

Em um ataque MITM, o agente de ameaça intercepta uma comunicação ‑ geralmente um e-mail contendo informações confidenciais, como nomes de usuário ou senhas ‑ e rouba ou altera essa comunicação. O invasor usa as informações roubadas diretamente ou injeta o malware para ser encaminhado ao destinatário pretendido.

Essa primeira fase da resposta a incidentes também é contínua. A CSIRT seleciona os melhores procedimentos, ferramentas e técnicas possíveis para responder, identificar, conter e se recuperar de um incidente o mais rápido possível, e com o mínimo de interrupção nos negócios.

Por meio de avaliações de risco regulares, a CSIRT identifica o ambiente de negócios a ser protegido, as possíveis vulnerabilidades da rede e os vários tipos de incidentes de segurança que representam um risco. A equipe prioriza cada tipo de incidente de acordo com seu possível impacto na organização.  

A CSIRT pode montar um "estratégia de guerra" com várias técnicas de ataque diferentes e, em seguida, criar modelos das respostas mais eficazes para acelerar a ação durante um ataque real. O tempo de resposta pode ser monitorado para estabelecer métricas para casos futuros e possíveis ataques. Com base em uma avaliação completa dos riscos, a CSIRT pode atualizar os planos de resposta a incidentes existentes ou elaborar novos planos.

Durante essa fase, os membros da equipe de segurança monitoram a rede em busca de atividades suspeitas e possíveis ameaças. Eles analisam dados, notificações e alertas coletados de logs de dispositivos e de várias ferramentas de segurança (software antivírus, firewalls) para identificar incidentes em andamento. A equipe trabalha para filtrar falsos positivos de incidentes reais, fazendo a triagem dos alertas reais por ordem de gravidade.

Atualmente, a maioria das organizações utiliza uma ou mais soluções de segurança, como gerenciamento de informações e eventos de segurança (SIEM) e detecção e resposta de endpoint (EDR), para monitorar eventos de segurança em tempo real e automatizar esforços de resposta. (Consulte a seção "Tecnologias de resposta a incidentes" para mais informações.)

O plano de comunicação também entra em ação durante essa fase. Quando a CSIRT determinar com que tipo de ameaça ou violação está lidando, ela notificará o pessoal envolvido, e então passará para a próxima etapa do processo de resposta a incidentes.

A equipe de resposta a incidentes toma medidas para impedir que a violação ou outra atividade mal-intencionada cause mais danos à rede. Então, os planos de resposta a incidentes de emergência entram em ação. Há duas categories de atividades de contenção:

• As medidas de mitigação de curto prazo se concentram em impedir que a ameaça atual se espalhe, isolando os sistemas afetados, por exemplo, colocando os dispositivos infectados off-line.

• As medidas de contenção de longo prazo se concentram na proteção dos sistemas não afetados, inserindo controles de segurança mais fortes em torno deles, como a segmentação de bancos de dados confidenciais no restante da rede.

Nesse estágio, a CSIRT também pode criar backups de sistemas afetados e não afetados para evitar perda adicional de dados e capturar evidências forenses do incidente para estudos futuros.  

Depois que a ameaça for contida, a equipe passará para a correção completa e a remoção da ameaça do sistema. Isso pode incluir a remoção de malware ou a exclusão de um usuário não autorizado ou indesejado da rede. A equipe também avalia os sistemas afetados e não afetados para ajudar a garantir que nenhum vestígio da violação seja deixado para trás.   

Quando a equipe de resposta a incidentes estiver convencida de que a ameaça foi totalmente erradicada, as operações normais dos sistemas afetados são restauradas. Essa remediação pode envolver a implementação de patches, a reconstrução de sistemas a partir de backups e a colocação de sistemas e dispositivos on-line novamente. Um registro do ataque e de sua resolução são guardados para análise e melhorias no sistema.

Durante cada fase do processo de resposta a incidentes, a CSIRT coleta evidências da violação e documenta as etapas necessárias para conter e erradicar a ameaça. Nessa fase, a CSIRT analisa essas informações para entender melhor o incidente e reunir as "lições aprendidas". A CSIRT busca determinar a causa raiz do ataque, identificar como a rede foi violada com sucesso, e resolver vulnerabilidades para que incidentes desse tipo não ocorram novamente no futuro. 

A CSIRT também avalia o que deu certo e procura oportunidades de melhorar os sistemas, as ferramentas e os processos para fortalecer as iniciativas de resposta a incidentes contra ataques futuros. Dependendo das circunstâncias da violação, as autoridades policiais também podem estar envolvidas na investigação pós-incidente. 

As soluções ASM automatizam continuamente a descoberta, a análise, a remediação e o monitoramento de vulnerabilidades e possíveis vetores de ataque em todos os ativos da superfície de ataque de uma organização. O ASM pode descobrir ativos de rede não monitorados anteriormente e mapear relacionamentos entre eles.

EDR é um software projetado para proteger de forma automática os usuários, dispositivos de endpoint e ativos de TI de uma organização contra ameaças cibernéticas que passam por softwares antivírus e outras ferramentas tradicionais de segurança de endpoint. 

A EDR coleta dados continuamente de todos os endpoints da rede. Ela também analisa os dados em tempo real em busca de evidências de ameaças cibernéticas conhecidas ou suspeitas, e pode responder de forma automática a fim de evitar ou minimizar os danos causados pelas ameaças identificadas.

O SIEM agrega e correlaciona dados de eventos de segurança das ferramentas díspares de segurança internas (por exemplo, firewall, scanners de vulnerabilidade e feeds de inteligência de ameaças) e dos dispositivos na rede.

O SIEM pode ajudar as equipes de resposta a incidentes a combater a “fadiga de alertas”, distinguindo indicadores de ameaças reais do enorme volume de notificações geradas pelas ferramentas de segurança.

A SOAR permite que as equipes de segurança definam playbooks, fluxos de trabalho formalizados que coordenam diferentes operações e ferramentas de segurança em resposta a incidentes. As plataformas SOAR também podem automatizar partes desses fluxos de trabalho sempre que possível.

A UEBA utiliza análise comportamental, algoritmos de aprendizado de máquina e automação para identificar comportamentos anormais e potencialmente perigosos de usuários e dispositivos.

A UEBA é eficaz na identificação de ameaças internas — agentes internos maliciosos ou hackers que usam credenciais de agentes internos comprometidas — que podem escapar de outras ferramentas de segurança porque imitam o tráfego autorizado de rede. As funções UEBA são geralmente incluídas nas soluções SIEM, EDR e XDR.

XDR é uma tecnologia de cibersegurança que unifica ferramentas de segurança, pontos de controle, fontes de dados e telemetria, e análises em todo o ambiente híbrido de TI. A XDR cria um sistema corporativo único e central para prevenção, detecção e resposta a ameaças. A XDR pode ajudar equipes de segurança e SOCs sobrecarregados a fazerem mais com menos, eliminando silos entre ferramentas de segurança e automatizando respostas em toda a cadeia de ataque de ameaças cibernéticas.

Os sistemas impulsionados por IA podem acelerar a detecção e a mitigação de ameaças, monitorando grandes volumes de dados para acelerar a busca de padrões de tráfego ou comportamentos de usuários suspeitos.

Os sistemas impulsionados por IA podem apoiar processos mais proativos de resposta a incidentes, fornecendo insights em tempo real para a equipe de cibersegurança, automatizando a triagem de incidentes, coordenando as defesas contra ameaças cibernéticas e até mesmo isolando os sistemas sob ataque. 

A análise de risco impulsionada por IA pode criar resumos de incidentes a fim de acelerar as investigações de alertas e ajudar a encontrar a causa raiz de uma falha. Esses resumos de incidentes podem ajudar a prever quais ameaças têm maior probabilidade de ocorrer no futuro, para que a equipe de resposta a incidentes possa efetuar um ajuste fino de um plano mais forte para enfrentá-las.