PLANO DE RESPOSTA A INCIDENTE
CIBERNÉTICO
OBJETIVO
- Ter a capacidade e habilidade de lidar e responder a diferentes
tipos de incidentes de cibersegurança de forma sistemática.
- Garantir a capacidade de identificar, conter e se recuperar de um
ataque.
- Reintegrar as operações regulares da empresa o mais rápido
possível e mitigar o impacto negativo nas operações de negócio.
- Possuir políticas de segurança com eficácia e garantir que a
qualidade dos serviços se mantenha nos níveis combinados.
- Minimizar a perda e os efeitos pós violação.
- Para a empresa, melhorar as habilidades no tratamento de
incidentes e aumentar sua empregabilidade.
CONCEITO DE INCIDENT HANDLER
Manipulador de Incidentes - É um programa abrangente de nível especializado
que transmite o conhecimento e as habilidades de que as organizações precisam
para lidar com as consequências pós-violação, reduzindo o impacto do incidente,
tanto do ponto de vista financeiro quanto de reputação.
Desta
forma, é possível dizer que o Manipulador
de Incidentes é um termo usado para descrever as atividades de um
organização para identificar, analisar e corrigir perigos para prevenir uma
recorrência futura. Esses incidentes dentro de uma estrutura organização são
normalmente tratadas por um Incidente Equipe de Resposta (IRT) ou Equipe de
Gerenciamento de Incidentes (IMT).
Essas
equipes são frequentemente designadas de antemão ou durante o evento e são
colocados no controle da organização enquanto o incidente é tratado, a fim de
reter os processos de negócios.
CRIAÇÃO DE:
· PROTOCOLO DE RESPOSTA DE CRISES CIBERNÉTICAS;
· UM PLANO DE CONTINGÊNCIA;
· MONITORAMENTO ATIVO E REATIVO;
Ideia central – Cada unidade (filial)
terá um responsável direto treinado para relatar, avaliar (classificar) e
tratar nos primeiros minutos ao identificar um evento. Uma vez identificado e
classificado, o PLANO de Resposta a Incidentes irá:
1.
Levantar as
informações e soluções;
2.
Investigar a causa
e efeito;
3.
Avaliará o impacto
no vazamento dos dados;
4.
Aplicará a devida
Mitigação e Controles;
5.
Criará um Relatório
Final.
Em conformidade ao NIST's Computer
Security Incident Handling Guide, há um processo de Handling:
 |
| Figura 1 - Processo de Handling |
SUGESTÃO PARA CRIAÇÃO DE UM TIME
MULTIDISCIPLINAR PARA RESPOSTA INCIDENTE
· Identificar e
quantificar pessoas para se juntar ao time;
·
Escolher o esquema
do time, como local, centralizado ou times combinados;
·
Usar um time
multidisciplinar:
I.
Operações Jurídico
II.
Recursos Humanos
III.
Relações Publicas
IV.
Recuperação de
Desastres
· Ideal é possuir pelo menos 10% do tempo destinado
ao incidente handling. Estabelecer um baseline de tempo de resposta;
· 15 a 120 minutos dependendo da sensibilidade da
infraestrutura da empresa;
· Possuir um técnico experiente no site em um
tempo determinado;
· Pode não reportar ao incident handler team, mas
fazer parte da unidade de negócio. Ter certeza que isto faz parte do Descrição do seu Trabalho para o time
de suporte.
PREPARAÇÃO – CHECKLISTS
Administradores devem preparam
check-lists e procedimentos para recuperar um sistema em seu controle:
· Criar um breve documento por tipo de sistema;
· Estabelecer um plano de compensação e
visibilidade para o time. Obtendo acesso para sistemas e dados;
· O time de incidente necessita possuir acesso aos
sistemas para o respectivo fim que se destina;
·
Deve possuir
senhas e chaves criptográficas de sistemas críticos.
PREPARAÇÃO E COMUNICAÇÃO
·
Criar uma lista de
chamadas e estabelecer métodos de informar as pessoas rapidamente;
·
Obter um número de
conferência que pode ser configurado com notificação instantânea (conceito de
primeiro membro na cena deixa mensagens para outros)
·
Imprimir no
tamanho de cartão de credito com uma lista de contatos do time de Incident
Handling.
·
Testar a lista de
contatos e árvore de contatos.
PREPRAÇÃO E RELACIONAMENTO
FORNECER FACILIDADES ENTRE AS COMUNICAÇÕES:
·
Educar usuários
quando contratados;
·
Publicar a lista
de indicadores de um incidente;
·
Usar mecanismos
múltiplos como o telefone (hotline), e-mail e intranet;
·
Recompensar pelo
reporting;
·
Atualizar a gerencia
continuamente.
CULTIVAR RELACIONAMENTOS:
·
Ao time de campo,
coordenar para que eles sejam: os olhos e ouvidos.
·
Atenção particular
com o relacionamento com os administradores - envolve-los no time.
·
Conduzir
treinamentos proativos;
·
Capacitar o time
na leitura de log.
RELACIONAMENTO
TREINAR O TIME:
· Realizar reuniões de treinamento/planejamento em
cenários;
· Fazer treinamentos de ferramentas e técnicas;
· Considerar distribuir um honeypot interno para
analise;
· Estocar drivers de alta capacidade para praticar
a realização de imagens forense;
· Conduzir War Games - Fazer um pentest sem avisar
e analisar a resposta do time. Principais problemas são as competências na
criação de imagens forense e keyboard skills.
INCIDENT HANDLING
Incident Handling é um plano de ação para lidar com o mal uso
de redes e sistemas computacionais.
 |
| Figura 2 - Plano de Ação |
O intuito é possuir procedimentos e
políticas pré-definidas, desta forma será mais fácil aplicar rotinas de mitigação para contornar qualquer tipo de intrusão.
Cedo ou tarde, um incidente poderá
acontecer, estas políticas determinarão quão preparadas o pátio computacional
está e será crucial para manter a continuidade do negócio.
O termo incidente refere-se a um evento
adverso em um sistema de informação ou rede, ou ameaça iminente.
Exemplos de incidentes:· Uso de uma conta de forma não
autorizada;
· Uso de privilégios de sistemas não
autorizados;
· Execução de um código malicioso que irá
destruir dado.
SUGESTÃO PARA PREPARAÇÃO:
Manter
o ambiente e o time prontos para lidar com os incidentes. Neste quesito,
aconselha-se a criação de um Banner de aviso em todos os sistemas utilizados
pela empresa do tipo: “O uso, ou modificação indevido é proibida e será
penalizado com o rigor das leis vigentes, o uso de todos os sistemas
informatizados são monitorados e gravados”. Sempre buscar revisão com o jurídico.
ABORDAGEM:
 |
| Figura 3 - Preparação |
Para o uso de VPN, incluir um warning
banner com um alerta explanando que todos os sistemas conectados são sujeitos a
buscas remotas e estão sendo monitoradas. Incluir este alerta nas iniciativas
de conscientização para o empregado.
Estabelecer
uma política para lidar com incidentes relacionada a todas as partes envolvidas
no negócio. Observe abaixo:
 |
| Figura 4 - Estabelecendo Políticas. |
Por fim, estas são as considerações
sobre um Plano de Incidente.
