Não importa o quanto seja investido em prevenção, incidentes podem acontecer e é importante estar preparado. Porém, estabelecer um plano de resposta a incidentes é mais complexo do que parece, e vai além de simplesmente ter as ferramentas e competências técnicas. O NIST pode ajudar na elaboração deste plano. O manual SP 800-61 Rev. 2, também conhecido como "Computer Security Incident Handling Guide", define quatro etapas a serem projetadas para apoiar tanto no planejamento, quanto durante uma crise.
Preparation
Um passo muito importante (as vezes não tão priorizado) é estar pronto para o momento em que coisas ruins acontecem. A etapa de preparação ajuda a ter em mente o que deve ser feito em caso de um incidente, incluindo:- Estabelecimento de um comitê de crise multi-departamental, com papéis e responsabilidades definidos.
- Criação de um plano e sua transformação em uma política de resposta à incidentes
- Mapeamento dos ativos críticos.
- Estabelecimento de canais de comunicação e matriz de escalonamento.
- Definição do que é considerado um incidente e quando deve ser declarado.
- Verificação recorrente do funcionamento de ferramentas e acessos necessários para uma resposta rápida e efetiva, no caso de incidente.
- Elaboração de regras de correlação.
- Teste do plano.
Detection and Analysis
Nesta etapa, eventos são monitorados em busca de incidentes reais. É neste momento que eventos podem virar incidentes. Ao contrario do que se pensa, nem sempre um incidente virá de um centro de operações. Pode ser através de um canal de comunicação interno, ou até mesmo através de uma divulgação na mídia. Nesta etapa:
- Logs são coletados e transformados em eventos.
- Eventos são correlacionados baseados em casos de uso.
- Equipes de monitoração e resposta identificam eventos em busca de possíveis incidentes.
- Declaração e notificação do momento que um incidente acontece.
Containment, Eradication, and Recovery
Uma vez que o incidente é declarado, o primeiro objetivo passa a ser sua contenção e erradicação, a fim de reduzir o impacto ao máximo possível. Um vez que o incidente foi controlado, inicia-se o processo de recuperação e restauração dos serviços afetados. Alguns ações tomadas nesta etapa são:
- Coleta e preservação de evidências.
- Determinação da causa raiz.
- Contenção e erradicação do incidente.
- Mapeamento do impacto.
- Comunicação com stakeholders e possivelmente com público externo, clientes e etc.
- Restauração de backups.
Post-Incident Activity
Assim como a etapa de preparação, esta também é por vezes não priorizada, mas também de grande importância. Aqui as lições são aprendidas, falhas são identificadas e ações para que o evento não se repita, ou que seu impacto seja menor, são tomadas como:
- Documentação do incidente
- Levantamento de métricas e KPI's como MTTD, MTTR, RTO e RPO.
- Identificação de controles que falharam em impedir que o incidente tivesse se materializado.
- Identificação de controles que detectaram o incidente.
- O que precisa ser feito para que não aconteça novamente.
Como podemos ver, a disciplina de resposta a incidente é muito mais do que apenas apagar incêndios. Um bom planejamento nas fases de Preparação e Pós-Incidente serão fundamentais para redução de impactos.
O NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide está disponível gratuitamente em para download em:
É uma leitura super recomendada para estruturar um processo de resposta a incidentes.
Postar um comentário