Resposta a incidentes (às vezes chamada de resposta a incidentes de segurança cibernética) refere-se aos processos e tecnologias de uma organização para detectar e responder a ameaças cibernéticas, violações de segurança ou ataques cibernéticos. O objetivo da resposta a incidentes é evitar ataques cibernéticos antes que aconteçam e minimizar os custos e a interrupção dos negócios resultantes de quaisquer ataques cibernéticos sofridos.
Idealmente, uma organização define processos e tecnologias de resposta a incidentes em Plano de Resposta a Incidentes (IRP) formal, que especifica exatamente como os diferentes tipos de ataques cibernéticos devem ser identificados, contidos e resolvidos. Um plano de resposta a incidentes eficiente pode ajudar as equipes de segurança cibernética a conter ameaças cibernéticas e restaurar os sistemas afetados de maneira mais rápida, além de reduzir a perda de receita, multas por descumprimento de regulamentações e outros custos associados a essas ameaças. O relatório Cost of a Data Breach de 2022 da IBM constatou que as organizações com equipes de resposta a incidentes que testam seus planos de resposta a incidentes com frequência possuem um custo com violações de dados, em média, USD 2,66 milhões menor em comparação com organizações sem equipes de resposta a incidentes e IRPs.
A incidente de segurança ou evento de segurança é qualquer violação física ou digital que ameaça a confidencialidade, integridade ou disponibilidade dos sistemas de informação ou dados confidenciais de uma organização. Os incidentes de segurança podem variar desde ataques cibernéticos conduzidos por hackers ou usuários não autorizados, até violações não intencionais da política de segurança por usuários legitimamente autorizados.
Alguns dos incidentes de segurança mais comuns incluem:
Ransomware. Ransomware é um tipo de malware, ou software malicioso, que bloqueia os dados ou o dispositivo da vítima e ameaça mantê-los bloqueados, ou pior, a menos que a vítima pague um resgate. De acordo com o relatório Cost of a Data Breach de 2022 da IBM, os ataques de ransomware aumentaram 41% entre 2021 e 2022.
Phishing e engenharia social. Ataques de phishing são mensagens digitais ou de voz que tentam manipular os destinatários a compartilhar informações confidenciais, fazer download de software malicioso, transferir dinheiro ou bens para pessoas desconhecidas ou que realizar outras ações prejudiciais. Golpistas criam mensagens de phishing para que aparentem vir de organizações ou indivíduos confiáveis, muitas vezes até de indivíduos que a vítima conheça pessoalmente.
Phishing é a causa mais onerosa e a segunda mais comum de violação de dados, de acordo com o relatório Cost of a Data Breach de 2022 da IBM. É também a forma mais comum de engenharia social, uma classe de ataques cujo alvo é a natureza humana em vez de vulnerabilidades de segurança digital, para ganhar acesso não autorizado a ativos ou dados confidenciais, sejam eles pessoais ou corporativos.
Saiba mais sobre engenharia social.
Ataques DDoS. Em um ataque distributed denial-of-service (DDoS), os hackers ganham controle remoto de um grande número de computadores e os usam para sobrecarregar com tráfego a rede ou servidores da organização alvo, tornando esses recursos indisponíveis para usuários legítimos.
Saiba mais sobre ataques DDoS.
Ataques à cadeia de suprimentos. Ataques à cadeia de suprimentos são ataques cibernéticos que infiltram uma organização alvo ao atacar seus fornecedores, por exemplo, roubando dados confidenciais do sistema de um fornecedor ou usando os serviços de um fornecedor para distribuir malware. Em julho de 2021, cibercriminosos se aproveitaram de uma falha na plataforma VSA da Kaseya (link externo ao domínio ibm.com) para distribuir ransomware para clientes sob o disfarce de uma atualização de software legítima. Embora ataques à cadeia de suprimentos estejam aumentando em frequência, apenas 32 porcento das organizações têm planos de resposta a incidentes preparados para essa ameaça cibernética específica, de acordo com o documento 2021 Cyber Resilient Organization Study da IBM.
Saiba mais sobre a segurança da cadeia de suprimentos.
Ameaças internas. Existem dois tipos de ameaças internas. Internos maliciosos são funcionários, parceiros ou outros usuários autorizado que comprometem intencionalmente a segurança das informações uma organização. Internos negligentes são usuários autorizados que comprometem a segurança involuntariamente ao deixar de seguir as boas práticas de segurança, por exemplo, usando senhas fracas ou armazenando dados confidenciais em lugares não seguros.
Planejamento de resposta a incidentes
Conforme observado acima, os esforços de resposta a incidentes de uma organização são guiados por um plano de resposta a incidentes. Normalmente, eles são criados e executados por uma equipe chamada computer security incident response team (CSIRT), composta por stakeholders de diversas partes da organização: o chief information security officer (CISO), security operations center (SOC) e equipe de TI, além de representantes das áreas de liderança executiva, jurídica, recursos humanos, conformidade regulatória e gestão de riscos.
Um plano de resposta a incidentes geralmente inclui
Não é incomum que o CSIRT crie diferentes planos de resposta a incidentes para diversos tipos de incidentes, visto que cada tipo pode exigir uma resposta específica. De acordo com o documento 2021 Cyber Resilient Organization Study, da IBM, a maioria das organizações tem planos específico de resposta a incidentes para ataques DDoS, malware e ransomware e phishing, e quase metade possui planos para ameaças internas.
Algumas organizações complementam suas CSIRTs internas com parceiros externos que fornecem serviços de resposta a incidentes. Esses parceiros muitas vezes trabalham com base em contratos e auxiliam nos diversos aspectos do processo de gestão de incidentes, incluindo preparação e execução de IRPs.
O processo de resposta a incidentes
A maioria dos seguir IRPs também segue a mesma estrutura geral de resposta a incidentes, baseada no modelo desenvolvido pelo SANS Institute, pelo National Institute of Standards and Technology (NIST) e pela Cybersecurity and Infrastructure Agency (CISA).
Preparação. Esta primeira fase de resposta a incidentes é contínua, para garantir que a CSIRT sempre tenha os melhores procedimentos e as melhores ferramentas para identificar, conter e recuperar-se de um incidente o mais rápido possível e com o mínimo de interrupção nos negócios.
Por meio da avaliação de riscos, a CSIRT identifica as vulnerabilidades da rede, define os vários tipos de incidentes de segurança que apresentam risco à rede e prioriza cada tipo de acordo com seu impacto em potencial na organização. Com base nessa avaliação de risco, a CSIRT poderá atualizar os planos de resposta a incidentes atuais ou elaborar novo planos.
Detecção e Análise. Durante esta fase, os membros da equipe de segurança monitoram a rede em busca de atividades suspeitas e ameaças em potencial. Eles analisam dados, notificações e alertas coletados de logs de dispositivos e de várias ferramentas de segurança (software antivírus, firewalls) instalados na rede, filtrando os falsos positivos e fazendo a triagem dos alertas reais por ordem de gravidade.
Atualmente, a maioria das organizações usam uma ou mais soluções de segurança, como SIEM (Gerenciamento de eventos e informações de segurança) e EDR (endpoint detection and response) para ajudar as equipes de segurança a monitorar e analisar eventos de segurança em tempo real, além de automatizar processos de detecção de e reposta a incidentes. (Veja mais informações em "Tecnologias de resposta a incidentes" abaixo).
Também é nesta fase que o plano de comunicação entra em ação. Uma vez que a CSIRT tiver determinado o tipo de ameaça ou violação que estão enfrentando, ela notificará a equipe apropriada antes de ir para a próxima etapa do processo de resposta a incidentes.
Contenção. A equipe de resposta a incidentes age para impedir que a violação cause mais danos à rede. As atividades de contenção podem ser divididas em duas categorias:
Nesse estágio, a CSIRT também poderá criar backups dos sistemas afetados ou não para evitar a perda de dados adicionais e para capturar evidências forenses do incidente para estudo futuro.
Erradicação. Uma vez que a ameaça foi contida, a equipe passa para a fase de correção total e remoção completa da ameaça do sistema. Isso envolve erradicar ativamente a própria ameaça, por exemplo, destruindo o malware, eliminando um usuário não autorizado ou nocivo da rede e revisando os sistemas afetados e não afetados para garantir que não exista nenhum traço remanescente da violação.
Recuperação. Quando a equipe de resposta a incidentes estiver confiante que a ameaça foi completamente erradicada, ela irá restaurar o funcionamento normal dos sistemas afetados. Isso pode envolver a implementação de correções, reconstruir sistemas a partir de backups e devolver sistemas e dispositivos para o estado on-line.
Revisão pós-incidente. Durante cada fase do processo de resposta a incidentes, a CSIRT coleta evidências da violação e documenta as etapas tomadas para conter e erradicar a ameaça. Nesse estágio, a CSIRT analisa essas informações para melhor compreender o incidente. A CSIRT busca determinar a causa raiz do ataque, identificar como ele violou a rede com sucesso e resolver as vulnerabilidades para não ocorram incidentes desse tipo no futuro.
A CSIRT também analisa o que funcionou e busca oportunidades para melhorar sistemas, ferramentas e processos para fortalecer as iniciativas de resposta a incidentes para ataques futuros. Dependendo das circunstâncias da violação, também pode ser necessário envolver autoridades policiais na investigação pós-incidente.
Conforme observado anteriormente, além de descrever as etapas que a CSIRT deve seguir no caso de um incidente de segurança, os planos de resposta a incidentes geralmente descrevem as soluções de segurança que as equipes de resposta a incidentes devem possuir para conduzir ou automatizar fluxos de trabalho essenciais à resposta de incidentes, como a coleta e correlação de dados de segurança, detecção de incidentes em tempo real e resposta a ataques em andamento.
Algumas das tecnologias de detecção e resposta mais usadas incluem:
Receba a proteção de segurança que sua organização precisa para preparar-se corretamente contra violações com uma assinatura de contrato de resposta a incidentes junto à IBM Security. Ao entrar em contato com nossa equipe de elite de consultores de IR, você terá à sua disposição parceiros confiáveis para ajudar a reduzir o tempo de resposta a incidentes, minimizar seus impactos e recuperar-se em menos tempo antes que suspeitem de um incidente de segurança cibernética.
A detecção de ameaça é apenas metade da equação de segurança. Você também precisa de resposta inteligente a incidentes para lidar com o crescente volume de alertas, alto número de ferramentas e escassez em sua equipe. Acelere a resposta a incidentes com automação, padronização de processos e integração com suas ferramentas de segurança existentes com a IBM.
Com o crescente número de notebooks, desktops e trabalhadores remotos, cibercriminosos mais sofisticados têm à disposição um número ainda maior de oportunidades para entrar em sua organização. A partir desses pontos de entrada, eles podem ir longe e despercebidos. IBM Security Managed Detection and Response (MDR) oferece um recurso turnkey, disponível 24x7 para prevenção, detecção e resposta rápida, impulsionado por inteligência de ameaças e busca proativa de ameaças para identificar e solucionar ameaças avançadas.
As tendências de trabalho remoto e um aumento na interconectividade de endpoints levaram a um aumento em atividades maliciosas. Reduza as cargas de trabalho de analistas utilizando um EDR moderno, impulsionado por IA, capaz de bloquear e isolar automaticamente ameaças de malware e ransomware.
Entenda seu ambiente de segurança cibernética e priorize iniciativas em conjunto com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking de três horas, sem custo, virtual ou presencial.
Entenda seu ambiente de segurança cibernética e priorize iniciativas em conjunto com arquitetos e consultores de segurança sênior da IBM em uma sessão de design thinking de três horas, sem custo, virtual ou presencial.
Crie uma estratégia robusta para enfrentar seus desafios de reposta a incidentes
Ransomware é um tipo de malware que mantém os dispositivos e dados das vítimas reféns até que um resgate seja pago.
Ameaças internas ocorrem quando usuários autorizados deliberadamente ou acidentalmente expõem dados confidenciais ou ativos de rede.
Entenda o risco de ciberataques com uma visão geral do cenário de ameaças.
O relatório "Custo de uma violação de dados" explora os impactos financeiros e as medidas de segurança que podem ajudar sua organização a evitar uma violação de dados ou reduzir os seus custos.