Serviços > Resposta a Incidentes

Resposta a Incidentes

Resposta ao seu incidente para análise, crie planos de resposta a incidentes e auxilie no processo.

Resposta a Incidentes é o processo que descreve como uma organização deverá lidar com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. O objetivo é minimizar os danos que poderiam ser causados pelo incidente, reduzir o tempo de ação e os custos de recuperação.

O CSIRT (Computer Security Incident Response Team) funciona como um time responsável pelo monitoramento e resposta a possíveis incidentes de segurança. Ele desenvolve e cumpre juntamente a outros departamentos os procedimentos contidos no plano de resposta a incidentes. Para criar soluções efetivas, a SANS Institute desenvolveu um manual com 6 passos que direcionam ao seu desenvolvimento.
As etapas que compõem o plano de resposta a incidentes!

Dessa maneira, para concluir cada uma dessas etapas de elaboração do plano de resposta a incidentes.

1 – Preparação

A preparação aborda como a equipe vai lidar com a ocorrência de um incidente. Isso inclui comunicação externa e interna, bem como documentação de incidentes. Para essa finalidade é fundamental ter uma política de segurança corporativa definida contendo diretrizes sobre quais os riscos a empresa está exposta e quais medidas preventivas devem ser tomadas.

2 – Identificação

Esta etapa define os critérios que vão ativar o CSIRT. Por exemplo, quando um ataque de força bruta é detectado, imediatamente o plano de resposta a incidentes é acionado e a equipe entra em ação. Todo conjunto de atividade incomum deve ser tratado o mais rápido possível pelo time assim que identificado e os alertas emitidos.

3 – Contenção

Há dois tipos de contenção: curta e longa. A de curto prazo tem a característica de ser uma resposta imediata, a fim de impedir que o ataque cause danos. Já a contenção de longo prazo abrange o restabelecimento do sistema à sua produção normal após a neutralização dos backdoors e arquivos maliciosos que viabilizaram o ataque.

4 – Erradicação

Esta fase é fundamental para a continuidade dos negócios. Ela visa restaurar todos os sistemas corporativos afetados por um incidente de segurança. Isso se dá por meio da aplicação do plano de resposta a incidentes, removendo qualquer vestígio do ataque. A atualização constante dos sistemas e medidas corretivas são essenciais para evitar a repetição da mesma situação.

5 – Recuperação

A recuperação aborda como trazer todo o sistema a seu funcionamento padrão. Nesse momento é preciso fazer uma varredura para averiguar se não ouve perdas e como recuperar possíveis dados perdidos. Isso envolve cópias de segurança armazenadas em um sistema em nuvem para restabelecer todas as informações necessárias para o fluxo de trabalho.

6 – Lições aprendidas

Esta fase aborda a documentação das ocorrências de incidentes e os procedimentos de resposta a eles. Dentro disso, a empresa consegue criar um material com o histórico de ocorrências contra a segurança e as devidas ações tomadas, tornando a organização mais preparada para lidar com transtornos futuros.

Dessa maneira, para concluir cada uma dessas etapas de elaboração do plano de resposta a incidentes.