A resposta a incidentes é a arte de limpeza e recuperação de uma violação de segurança cibernética. Você também conhece essas violações como incidentes de TI e incidentes de segurança. Seja qual for o termo, é preciso ter um plano e uma equipe dedicados a gerenciar o incidente e minimizar os danos e custos da recuperação.
A missão dessa equipe é promulgar o plano de resposta a incidentes estabelecido pela empresa assim que um sinal soar.
Sua empresa tem um plano de respostas a incidentes aprovado, certo?
Importância da Resposta a Incidentes (RI)
Se você trabalha com segurança de dados, lida com incidentes de segurança no dia-a-dia. Ocasionalmente, um pequeno problema de segurança acaba causando pânico. Quando o sinal soar, todos saberão o que fazer? Todos os membros da equipe de resposta a incidentes sabem seus papeis, responsabilidades e qual o plano que deve ser seguido?
Se não houver um plano, não há garantia que a resposta da equipe seja a mais adequada. O plano de resposta a incidentes define como identificar, conter e gerenciar incidentes de segurança de dados.
6 etapas para um plano de resposta a incidentes bem-sucedido
- Preparação: Sua equipe precisa executar o plano perfeitamente quando chegar a hora. Defina uma política de segurança corporativa. Tenha um passo-a-passo de como a equipe deve lidar com um incidente e que contenha uma documentação sobre incidentes e comunicações internas e externas.
- Identificação: Defina quais critérios ativam a equipe de resposta a incidentes. Pode ser desde um “encontrada uma unidade USB desconhecida” até um “ataque de força bruta detectado” pelo Varonis DatAlert. Ou, ainda, um conjunto de circunstâncias que acionam o plano.
- Contenção: Contenha a ameaça. Existem dois tipos de contenção: a de longo prazo e a de curto prazo. A de curto prazo é uma resposta imediata, impedindo que a ameaça se espalhe e cause muitos danos. A de longo prazo inclui a mudança de status do sistema, de forma a permitir que a operação comercial da empresa continue, mas sem acesso a contas e portas que permitam a intrusão.
- Erradicação: Estabeleça um processo para restaurar todos os sistemas afetados. Um bom ponto de partida é recriar todos os sistemas envolvidos no incidente e remover quaisquer vestígios da invasão. Essa etapa deve incluir detalhes sobre o software de clonagem de disco e as imagens que a empresa validou. Por fim, atualize seus sistemas de defesa para evitar que o mesmo incidente ocorra novamente.
- Recuperação: Determine como trazer todos os sistemas de volta à produção completa depois de verificar se estão limpos e livres de qualquer inconveniência que possa levar a um novo incidente.
- Lições aprendidas: Revise a documentação do incidente com a equipe de resposta a incidentes para fins de treinamento. Atualize o plano de RI com base no feedback e em qualquer deficiência identificada.
Quem é responsável pela resposta a incidentes
O que quer que você chame de sua equipe de resposta a incidentes, ela precisa ser completa. Podem ser profissionais de segurança em tempo integral ou que tenham outras responsabilidades e funções na empresa e sua atribuição à equipe é secundária.
Algumas das funções da equipe são:
- Gerente de respostas a incidentes: é o líder da equipe, que supervisiona o plano de RI
- Analistas de segurança: São responsáveis pela neutralização de ameaças e contenção de um incidente ativo
- Pesquisadores: É a equipe responsável por pesquisar e adicionar contexto ao incidente de segurança. Pesquisam outros incidentes e analisam registros para encontrar informações sobre incidentes.
Além dessas funções, é possível incluir algum suporte vindo de outras áreas da empresa:
- Gestão: A empresa deve fornecer recursos à equipe de resposta a incidentes e ao plano de RI
RH: O RH deve apoiar os esforços da equipe em relação ao envolvimento de funcionários
- Conselho da empresa: A conformidade e regulamentação são parte integrante da segurança de dados, portanto, envolva toda a empresa
- Relações públicas: Ajuda a gerenciar as comunicações após um incidente
O que fazer após um incidente?
O incidente foi resolvido. O que fazer agora? Faça uma análise da situação e volte a executar avaliações de vulnerabilidades e riscos para eliminar qualquer brecha de segurança.
Analise o plano de Ri e faça alterações se necessário. Adicione novos processos ou monitoramentos. Implemente a solução Varonis Data Secutiry Platform para melhorar a análise de segurança de dados e para obter alertas avançados e insights comportamentais.