HomeBlogESTRATÉGIA

Você ou sua empresa estão preparados?

 
"O conhecimento é em si mesmo um poder"
-Francis Bacon-

O mundo mudou e com isso todas as formas de informação e a maneira como são geradas, com isso os incidentes de segurança aumentam cada vez mais e com uma sofisticação em constante crescimento.

Pensando no modelo de resposta a incidentes, algumas empresas ainda estão despreparadas e sem norte para melhoria contínua em seu ambiente como um todo, empresas especializadas em segurança da informação como a Inteligência Brasil oferecem um serviço de SOC (Security Operation Center) ou MSSP (Managed Security Services Providers) entre outras práticas de segurança para auxiliar as empresas como se proteger.

Conforme a frase acima, é necessário verificar as melhores práticas e tecnologias para evitar um incidente de segurança onde leve a empresa a ter uma ou qualquer perda expressiva, tanto de cunho financeiro ou intelectual que seja. Assim descreveremos neste artigo um direcionamento com base no CERT.br e alinhamento do NIST onde mostram um framework bem alinhado com as necessidades de segurança da informação e um bom plano de resposta a incidente.

Preparação

Com a sofisticação dos ataques, devemos nos atualizar constantemente no quesito segurança, ao montar um ambiente com as ferramentas necessárias é preciso estar em conformidade com as boas práticas de mercado e recomendações de especialistas e consultores. Para manter um ambiente sempre alinhado com as melhores práticas precisamos seguir algumas das diversas recomendações de segurança da informação como veremos a seguir.

  • As ferramentas de monitoração estão operacionais?
  • Documentação interna está devidamente atualizada?
  • Processo de continuidade está bem definido?
  • Backup devidamente verificado?

A Compreensão desses tópicos são de extrema importância para que o negócio fique em pleno funcionamento e esteja preparado para um possível incidente.

Identificação

Detectar a infecção ou intrusão nem sempre é uma tarefa fácil, mas atualmente temos diversas maneiras preditivas para evitar ou mitigar esses ocorridos, como informações provenientes de várias fontes devem ser recolhidos e analisados para um melhor entendimento como veremos em;

  • Sistemas de IPS e IDS devidamente configurados;
  • Aumento de chamadas no suporte;
  • Phishing demasiado;
  • Violação de Políticas

Contenção

Na fase de contenção ou confinamento como muitas vezes é tratado em algumas literaturas, algumas ações devem ser realizadas e monitoradas pela célula de gestão incidentes, onde daremos início as primeiras respostas de incidente para correção em tempo aceitável caso ocorra alguma intrusão ou tentativa. Com o ambiente comprometido ou suspeita de intrusão tente encontrar evidências de cada ação do hacker como;

  • ocalizar todos os arquivos utilizados pelo atacante, incluindo arquivos apagados;
  • Verifique todos os arquivos acessados recentemente;
  • Inspecione compartilhamentos de rede para ver se o Malware se espalhou através dele;
  • De modo mais geral, rever como o atacante entrou no sistema.
  • Todas as ligações devem ser consideradas e lembre-se no caso de nenhuma prova ser encontrada no computador da intrusão, a ocorrência poderia vir de um acesso físico ou uma cumplicidade/roubo de informações de um colaborador.

Remediação

Após detecção de fato referente ao sistema comprometido, os seguintes procedimentos devem ser executados imediatamente;

  • Remoção temporária de todos os acessos;
  • Remoção temporária de todas as contas envolvidas no incidente;
  • Remover todos os arquivos instalados pelo atacante;
  • Monitorar continuamente a máquina envolvida no incidente;
  • Rever quaisquer acessos a esse ambiente onde fora comprometido.

Recuperação

Se manteve o foco nas descrições deste artigo como base de exemplo, a recuperação é algo mais rápido de certa forma uma vez que é voltar ao estado normal e plenamente funcional anterior, para isso verificaremos os pontos a seguir;

  • Condições de trabalho computacional;
  • Ambiente fora de perigo ou estável;
  • Equipes atentas para eventuais alterações no ambiente.

Resultado

Após realização dos passos descritos neste artigo, um relatório deve ser escrito e apresentado aos interessados e envolvidos no time de resposta a incidente, mesmo que via sistema, para elaboração deste relatório será necessário conter os seguintes tópicos;

  • Detecção Inicial;
  • Ações e cronogramas de cada evento importante;
  • O que deu certo no processo executado?;
  • O que deu errado?;
  • Custo do incidente.

Estes são alguns dos pontos a serem seguidos na descrição do relatório, demais observações são livres para apresentar aos responsáveis.

Com esse artigo vimos alguns dos principais pontos de resposta incidente, e dessa maneira conseguimos evoluir deste ponto de partida se ainda não houver um processo maduro de segurança da informação.

E agora você ou sua empresa estão preparados? Fale conosco para implementar uma estratégia de segurança adequada ao seu ambiente!

 
 

Referências

Cert.br, Cert.br Incidentes, NIST.

13 Likes
 

Copyright © 2024  Inteligência Brasil