O que é resposta a incidentes?
Um plano formal de resposta a incidentes permite que as equipes de cibersegurança limitem ou evitem danos causados por ciberataques ou violações de segurança.
Vista de um arranha-céu em plano fechado
O que é resposta a incidentes?

Resposta a incidentes (às vezes chamada de resposta a incidentes de segurança cibernética) refere-se aos processos e tecnologias de uma organização para detectar e responder a ameaças cibernéticas, violações de segurança ou ataques cibernéticos. O objetivo da resposta a incidentes é evitar ataques cibernéticos antes que aconteçam e minimizar os custos e a interrupção dos negócios resultantes de quaisquer ataques cibernéticos sofridos.

Idealmente, uma organização define processos e tecnologias de resposta a incidentes em Plano de Resposta a Incidentes (IRP) formal, que especifica exatamente como os diferentes tipos de ataques cibernéticos devem ser identificados, contidos e resolvidos. Um plano de resposta a incidentes eficiente pode ajudar as equipes de segurança cibernética a conter ameaças cibernéticas e restaurar os sistemas afetados de maneira mais rápida, além de reduzir a perda de receita, multas por descumprimento de regulamentações e outros custos associados a essas ameaças. O relatório Cost of a Data Breach de 2022 da IBM constatou que as organizações com equipes de resposta a incidentes que testam seus planos de resposta a incidentes com frequência possuem um custo com violações de dados, em média, USD 2,66 milhões menor em comparação com organizações sem equipes de resposta a incidentes e IRPs.
O que são incidentes de segurança?

A incidente de segurança ou evento de segurança é qualquer violação física ou digital que ameaça a confidencialidade, integridade ou disponibilidade dos sistemas de informação ou dados confidenciais de uma organização. Os incidentes de segurança podem variar desde ataques cibernéticos conduzidos por hackers ou usuários não autorizados, até violações não intencionais da política de segurança por usuários legitimamente autorizados.

Alguns dos incidentes de segurança mais comuns incluem:

Ransomware. Ransomware é um tipo de malware, ou software malicioso, que bloqueia os dados ou o dispositivo da vítima e ameaça mantê-los bloqueados, ou pior, a menos que a vítima pague um resgate. De acordo com o relatório Cost of a Data Breach de 2022 da IBM, os ataques de ransomware aumentaram 41% entre 2021 e 2022.

Saiba mais sobre ransomware.

Phishing e engenharia social. Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários a compartilhar informações confidenciais, fazer download de software malicioso, transferir dinheiro ou bens para pessoas desconhecidas ou que realizar outras ações prejudiciais. Golpistas criam mensagens de phishing para que aparentem vir de organizações ou indivíduos confiáveis, muitas vezes até de indivíduos que a vítima conheça pessoalmente.

Phishing é a causa mais onerosa e a segunda mais comum de violação de dados, de acordo com o relatório Cost of a Data Breach de 2022 da IBM. É também a forma mais comum de engenharia social, uma classe de ataques cujo alvo é a natureza humana em vez de vulnerabilidades de segurança digital, para ganhar acesso não autorizado a ativos ou dados confidenciais, sejam eles pessoais ou corporativos.

Saiba mais sobre engenharia social.

Ataques DDoS. Em um ataque distributed denial-of-service (DDoS), os hackers ganham controle remoto de um grande número de computadores e os usam para sobrecarregar com tráfego a rede ou servidores da organização alvo, tornando esses recursos indisponíveis para usuários legítimos.

Saiba mais sobre ataques DDoS.

Ataques à cadeia de suprimentos. Ataques à cadeia de suprimentos são ataques cibernéticos que infiltram uma organização alvo ao atacar seus fornecedores, por exemplo, roubando dados confidenciais do sistema de um fornecedor ou usando os serviços de um fornecedor para distribuir malware. Em julho de 2021, cibercriminosos se aproveitaram de uma falha na plataforma VSA da Kaseya  (link externo ao domínio ibm.com) para distribuir ransomware para clientes sob o disfarce de uma atualização de software legítima. Embora ataques à cadeia de suprimentos estejam aumentando em frequência, apenas 32 porcento das organizações têm planos de resposta a incidentes preparados para essa ameaça cibernética específica, de acordo com o documento 2021 Cyber Resilient Organization Study da IBM.

Saiba mais sobre a segurança da cadeia de suprimentos.

Ameaças internas. Existem dois tipos de ameaças internas. Internos maliciosos são funcionários, parceiros ou outros usuários autorizado que comprometem intencionalmente a segurança das informações uma organização. Internos negligentes são usuários autorizados que comprometem a segurança involuntariamente ao deixar de seguir as boas práticas de segurança, por exemplo, usando senhas fracas ou armazenando dados confidenciais em lugares não seguros. 

Saiba mais sobre ameaças internas.
Como funciona a resposta a incidentes

Planejamento de resposta a incidentes

Conforme observado acima, os esforços de resposta a incidentes de uma organização são guiados por um plano de resposta a incidentes. Normalmente, eles são criados e executados por uma equipe chamada computer security incident response team (CSIRT), composta por stakeholders de diversas partes da organização: o chief information security officer (CISO), security operations center (SOC) e equipe de TI, além de representantes das áreas de liderança executiva, jurídica, recursos humanos, conformidade regulatória e gestão de riscos.

Um plano de resposta a incidentes geralmente inclui

  • As funções e responsabilidades de cada membro da CSIRT;
  • As soluções de segurança, software, hardware e outras tecnologias a serem instaladas em toda empresa.
  • Um plano de continuidade dos negócios destacando os procedimentos de restauração dos sistemas críticos e dados afetados no menor tempo possível no caso de uma indisponibilidade;
  • Uma metodologia detalhada de resposta a incidentes delineando as etapas específicas a serem seguidas em cada fase do processo de resposta a incidentes (veja abaixo), e quem deve executá-las;
  • Um plano de comunicações para informar os líderes, funcionários, clientes e até mesmo autoridades policiais sobre os incidentes;
  • Instruções de documentação para coleta de informações e documentação de incidentes para revisão post-mortem e (se necessário) processos judiciais. 

Não é incomum que o CSIRT crie diferentes planos de resposta a incidentes para diversos tipos de incidentes, visto que cada tipo pode exigir uma resposta específica. De acordo com o documento 2021 Cyber Resilient Organization Study, da IBM, a maioria das organizações tem planos específico de resposta a incidentes para ataques DDoS, malware e ransomware e phishing, e quase metade possui planos para ameaças internas.

Algumas organizações complementam suas CSIRTs internas com parceiros externos que fornecem serviços de resposta a incidentes. Esses parceiros muitas vezes trabalham com base em contratos e auxiliam nos diversos aspectos do processo de gestão de incidentes, incluindo preparação e execução de IRPs.

O processo de resposta a incidentes

A maioria dos seguir IRPs também segue a mesma estrutura geral de resposta a incidentes, baseada no modelo desenvolvido pelo SANS Institute, pelo National Institute of Standards and Technology (NIST) e pela Cybersecurity and Infrastructure Agency (CISA).

Preparação. Esta primeira fase de resposta a incidentes é contínua, para garantir que a CSIRT sempre tenha os melhores procedimentos e as melhores ferramentas para identificar, conter e recuperar-se de um incidente o mais rápido possível e com o mínimo de interrupção nos negócios.

Por meio da avaliação de riscos, a CSIRT identifica as vulnerabilidades da rede, define os vários tipos de incidentes de segurança que apresentam risco à rede e prioriza cada tipo de acordo com seu impacto em potencial na organização. Com base nessa avaliação de risco, a CSIRT poderá atualizar os planos de resposta a incidentes atuais ou elaborar novo planos.

Detecção e Análise. Durante esta fase, os membros da equipe de segurança monitoram a rede em busca de atividades suspeitas e ameaças em potencial. Eles analisam dados, notificações e alertas coletados de logs de dispositivos e de várias ferramentas de segurança (software antivírus, firewalls) instalados na rede, filtrando os falsos positivos e fazendo a triagem dos alertas reais por ordem de gravidade.

Atualmente, a maioria das organizações usam uma ou mais soluções de segurança, como SIEM (Gerenciamento de eventos e informações de segurança) e EDR (endpoint detection and response) para ajudar as equipes de segurança a monitorar e analisar eventos de segurança em tempo real, além de automatizar processos de detecção de e reposta a incidentes. (Veja mais informações em "Tecnologias de resposta a incidentes" abaixo).

Também é nesta fase que o plano de comunicação entra em ação. Uma vez que a CSIRT tiver determinado o tipo de ameaça ou violação que estão enfrentando, ela notificará a equipe apropriada antes de ir para a próxima etapa do processo de resposta a incidentes. 

Contenção. A equipe de resposta a incidentes age para impedir que a violação cause mais danos à rede. As atividades de contenção podem ser divididas em duas categorias:

  • As medidas de curto prazo se concentram em impedir que a ameaça atual se espalhe, por meio do isolamento dos sistemas afetados, como colocar os dispositivos infectados off-line.
  • O objetivo das medidas de contenção a longo prazo é proteger os sistemas que não foram afetados ao aplicar controles de segurança mais restritos, como segmentar bancos de dados confidenciais do restante da rede.

Nesse estágio, a CSIRT também poderá criar backups dos sistemas afetados ou não para evitar a perda de dados adicionais e para capturar evidências forenses do incidente para estudo futuro. 

Erradicação. Uma vez que a ameaça foi contida, a equipe passa para a fase de correção total e remoção completa da ameaça do sistema. Isso envolve erradicar ativamente a própria ameaça, por exemplo, destruindo o malware, eliminando um usuário não autorizado ou nocivo da rede e revisando os sistemas afetados e não afetados para garantir que não exista nenhum traço remanescente da violação. 

Recuperação. Quando a equipe de resposta a incidentes estiver confiante que a ameaça foi completamente erradicada, ela irá restaurar o funcionamento normal dos sistemas afetados. Isso pode envolver a implementação de correções, reconstruir sistemas a partir de backups e devolver sistemas e dispositivos para o estado on-line.

Revisão pós-incidente. Durante cada fase do processo de resposta a incidentes, a CSIRT coleta evidências da violação e documenta as etapas tomadas para conter e erradicar a ameaça. Nesse estágio, a CSIRT analisa essas informações para melhor compreender o incidente. A CSIRT busca determinar a causa raiz do ataque, identificar como ele violou a rede com sucesso e resolver as vulnerabilidades para não ocorram incidentes desse tipo no futuro. 

A CSIRT também analisa o que funcionou e busca oportunidades para melhorar sistemas, ferramentas e processos para fortalecer as iniciativas de resposta a incidentes para ataques futuros. Dependendo das circunstâncias da violação, também pode ser necessário envolver autoridades policiais na investigação pós-incidente. 
Tecnologias de resposta a incidentes

Conforme observado anteriormente, além de descrever as etapas que a CSIRT deve seguir no caso de um incidente de segurança, os planos de resposta a incidentes geralmente descrevem as soluções de segurança que as equipes de resposta a incidentes devem possuir para conduzir ou automatizar fluxos de trabalho essenciais à resposta de incidentes, como a coleta e correlação de dados de segurança, detecção de incidentes em tempo real e resposta a ataques em andamento.

Algumas das tecnologias de detecção e resposta mais usadas incluem:

  • SIEM (Gerenciamento de Eventos e Informações de segurança): O SIEM agrega e correlaciona dados de eventos de segurança de diferentes ferramentas internas de segurança (por exemplo, firewalls, scanners de vulnerabilidade, feeds de inteligência de ameaças) e de dispositivos na rede. O SIEM pode ajudar as equipes de resposta a incidentes a combater a 'fadiga de alertas' por indicadores ameaças reais, devido ao alto volume de notificações geradas por essas ferramentas.
  • SOAR (security orchestration, automation and response): SOAR permite que as equipes definam playbooks, fluxos de trabalho formais que coordenam diferentes operações e ferramentas de segurança em resposta a incidentes de segurança e automatizem partes desses fluxos de trabalho sempre que possível.
  • EDR (endpoint detection and response): EDR é um software desenvolvido para proteger automaticamente os usuários finais, dispositivos de endpoint e ativos de TI de uma organização contra ameaças cibernéticas que passam despercebidas pelo software antivírus e por outras ferramentas tradicionais de segurança de endpoints. O EDR coleta dados continuamente de todos os endpoints na rede, analisa os dados em tempo real para obter evidência de ameaças cibernéticas conhecidas ou suspeitas e pode responder automaticamente para evitar ou minimizar danos de ameaças identificadas por ele.
  • XDR (extended detection and response): XDR é a tecnologia de segurança cibernética que unifica ferramentas de segurança, pontos de controle, fontes de dados e telemetria e análise em todo o ambiente híbrido de TI (endpoints, redes, clouds públicas e privadas) para criar um sistema único e central para prevenção, detecção e resposta a ameaças. Uma tecnologia ainda emergente, a XDR tem potencial para ajudar equipes de segurança e security operations centers (SOCs) sobrecarregados a fazer mais com menos recursos, eliminando silos entre as ferramentas de segurança e automatizando a resposta ao longo de toda a kill chain de ameaças cibernéticas.
  • UEBA (user and entity behavior analytics): UEBA usa análises de comportamento, algoritmos de machine learning e automação para identificar comportamentos anormais e potencialmente perigosos de usuários e dispositivos. A UEBA é particularmente eficaz em identificar ameaças internas, como agentes internos maliciosos ou hackers utilizando credenciais internas comprometidas que possam enganar outras ferramentas de segurança, pois imitam tráfego de rede autorizado. A funcionalidade do UEBA geralmente está inclusa nas soluções SIEM, EDR e XDR.
  • ASM (attach surface management): Soluções de ASM automatizam a descoberta, análise, remediação e monitoração contínuas das vulnerabilidades e dos vetores de ataque em potencial em todos os ativos da superfície de ataque de uma organização. O ASM é capaz de descobrir ativos de rede não monitorados, mapear relacionamentos entre ativos,
Soluções relacionadas
X-Force Incident Response Team

Receba a proteção de segurança que sua organização precisa para preparar-se corretamente contra violações com uma assinatura de contrato de resposta a incidentes junto à IBM Security. Ao entrar em contato com nossa equipe de elite de consultores de IR, você terá à sua disposição parceiros confiáveis para ajudar a reduzir o tempo de resposta a incidentes, minimizar seus impactos e recuperar-se em menos tempo antes que suspeitem de um incidente de segurança cibernética.

Conheça os serviços de resposta a incidentes
Orquestração, automação e resposta de segurança (SOAR)

A detecção de ameaça é apenas metade da equação de segurança. Você também precisa de resposta inteligente a incidentes para lidar com o crescente volume de alertas, alto número de ferramentas e escassez em sua equipe. Acelere a resposta a incidentes com automação, padronização de processos e integração com suas ferramentas de segurança existentes com a IBM.

Conheça as soluções de segurança SOAR
Serviços gerenciados de detecção e resposta

Com o crescente número de notebooks, desktops e trabalhadores remotos, cibercriminosos mais sofisticados têm à disposição um número ainda maior de oportunidades para entrar em sua organização. A partir desses pontos de entrada, eles podem ir longe e despercebidos. IBM Security Managed Detection and Response (MDR) oferece um recurso turnkey, disponível 24x7 para prevenção, detecção e resposta rápida, impulsionado por inteligência de ameaças e busca proativa de ameaças para identificar e solucionar ameaças avançadas.

Saiba mais sobre detecção e resposta gerenciada
Endpoint detection and response (EDR)

As tendências de trabalho remoto e um aumento na interconectividade de endpoints levaram a um aumento em atividades maliciosas. Reduza as cargas de trabalho de analistas utilizando um EDR moderno, impulsionado por IA, capaz de bloquear e isolar automaticamente ameaças de malware e ransomware.

Saiba mais sobre o IBM Security ReaQta
IBM Security Framing and Discovery Workshop

Entenda seu ambiente de segurança cibernética e priorize iniciativas em conjunto com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking de três horas, sem custo, virtual ou presencial.

Conheça o IBM Security Framing
Recursos IBM Security Framing and Discovery Workshop

Entenda seu ambiente de segurança cibernética e priorize iniciativas em conjunto com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking de três horas, sem custo, virtual ou presencial.

 Seis passos para resposta a incidentes

Crie uma estratégia robusta para enfrentar seus desafios de reposta a incidentes

 O que é ransomware?

Ransomware é um tipo de malware que mantém os dispositivos e dados das vítimas reféns até que um resgate seja pago.

 O que são ameaças internas?

Ameaças internas ocorrem quando usuários autorizados deliberadamente ou acidentalmente expõem dados confidenciais ou ativos de rede.

 X-Force Threat Intelligence Index

Entenda o risco de ciberataques com uma visão geral do cenário de ameaças.

 Custo de uma violação de dados

O relatório "Custo de uma violação de dados" explora os impactos financeiros e as medidas de segurança que podem ajudar sua organização a evitar uma violação de dados ou reduzir os seus custos.