Um modelo de plano de resposta a incidentes acionável
Um guia de início rápido para criar um plano robusto de resposta a incidentes, projetado especificamente para empresas com implantações baseadas em nuvem.
O que é Resposta a Incidentes (Incident Response)? Um guia rápido para SOCs
A resposta a incidentes é uma abordagem estratégica para detectar e responder a ataques cibernéticos com o objetivo de minimizar seu impacto em seus sistemas de TI e nos negócios como um todo.
Equipe de especialistas do Wiz
11 minutos lidos
O que é resposta a incidentes?
A resposta a incidentes é uma abordagem estratégica para detectar e responder a ataques cibernéticos. Ele compreende uma série coordenada de procedimentos para ajudá-lo a detectar, remover e se recuperar do impacto de uma ameaça de maneira organizada, eficiente e oportuna. Além disso, abrange medidas de preparação e ajuste fino, como planos e manuais documentados, ferramentas e tecnologias, testes e revisões, para ajudar a garantir que ele atinja essas metas.
A resposta a incidentes faz parte do Gerenciamento de incidentes, que se refere à maneira mais ampla pela qual você lidaria com um ataque, envolvendo Direção Sênior, Equipes jurídicas, RH, Comunicações, e o mais amplo Departamento de TI.
Este guia se concentra essencialmente na resposta a incidentes. Mas aborda brevemente outros aspectos do gerenciamento de incidentes, pois'é importante que uma organização adote uma abordagem holística para lidar com incidentes futuros.
Deixar's começam passando por alguns conceitos básicos.
As equipes de resposta a incidentes precisam agir rapidamente no caso de're chamado à ação. Portanto, eles não podem se dar ao luxo de mal-entendidos demorados que podem surgir devido ao uso incorreto da terminologia. Isso'é por isso que eles precisam entender exatamente o que constitui um incidente de segurança e como ele difere de termos semelhantes, como Evento de segurança e atacar.
Um Evento de segurança é a presença de um comportamento de rede incomum, como um pico repentino no tráfego ou escalonamento de privilégios, que pode ser o indicador de uma violação de segurança. No entanto, não't significa necessariamente que você tem um problema de segurança. Em uma investigação mais aprofundada, pode vir a ser uma atividade perfeitamente legítima.
Um Incidente de segurança é um ou mais eventos de segurança correlacionados com impacto negativo potencial confirmado, como a perda ou o acesso não autorizado aos dados, seja deliberado ou acidental.
Anoatacaré uma violação premeditada de segurança com intenção maliciosa.
Tipos de incidentes de segurança
Você deve estar adequadamente preparado para diferentes tipos de incidentes, independentemente de sua natureza. Então você'Será necessário considerar uma variedade de cenários. Isso inclui diferentes tipos de aplicativos e infraestrutura subjacente, mas, acima de tudo, diferentes tipos de ataque.
Os mais comuns são:
Negação de serviço (DoS): Uma tentativa de inundar um serviço com solicitações falsas, tornando-o indisponível para usuários legítimos.
Comprometimento do aplicativo: Um aplicativo que's foi hackeado, usando técnicas como Injeção de SQL, script entre sites (XSS)e envenenamento de cache, com o objetivo de corromper, excluir ou exfiltrar dados ou executar outras formas de código malicioso.
Ransomware: Um tipo de malware que usa criptografia para bloquear o acesso aos seus dados. O invasor então exige um resgate em troca das chaves de criptografia.
Violação de dados: Uma violação de segurança que envolve especificamente acesso não autorizado a dados sensíveis ou confidenciais.
Homem no meio (MitM): Uma forma moderna de escuta telefônica em que um adversário intercepta secretamente a troca de dados entre duas partes e manipula a comunicação entre elas.
Você deve desenvolver uma compreensão profunda dos diferentes tipos de ataque e possíveis vulnerabilidades em seus sistemas de acordo. Isso ajudará você a formular procedimentos de resposta e identificar requisitos de ferramentas e tecnologia. Ao mesmo tempo, ajudará você a melhorar suas defesas de segurança e reduzir o risco de um incidente grave surgir em primeiro lugar.
Tendo em vista a ampla adoção da nuvem, a resposta a incidentes está evoluindo para enfrentar os desafios trazidos por novos tipos de ameaças e diferentes modelos de implantação de aplicativos.
No entanto, muitas organizações ainda dependem de procedimentos desatualizados de resposta a incidentes. Portanto, eles precisam permanecer adequadamente preparados, adaptando suas estratégias de resposta à nova superfície de ataque. Por exemplo:
Garantir que a equipe de resposta a incidentes receba treinamento suficiente para entender seu ambiente de TI baseado em nuvem
Implementando ferramentas que's especificamente projetados para a natureza complexa e dinâmica da nuvem
Fazendo uso da telemetria disponível de seu CSP (provedor de serviços de nuvem)
Um curso de ação formalmente documentado é um componente essencial de qualquer estratégia robusta de resposta a incidentes, pois fornece um roteiro claro para lidar com incidentes e garante que você'estão adequadamente equipados para fazê-lo.
Como regra geral, o material de resposta a incidentes consiste em três tipos de documentos, como segue.
Política de resposta a incidentes
O política O documento dá o pontapé inicial para sua iniciativa, servindo como um amplo plano para sua estratégia de resposta a incidentes.
Ele busca a adesão dos tomadores de decisão seniores, apresentando o caso de negócios para resposta a incidentes. Ele exige a criação de uma equipe de resposta a incidentes e um programa completo de resposta a incidentes. Deve ser aprovado pela equipe de liderança, dando a você autoridade para levar sua missão adiante.
É um documento único que fornece o trampolim para uma documentação mais detalhada voltada para os aspectos práticos do processo de resposta a incidentes.
O Plano de Resposta a Incidentes expande seu documento de política, explicando com mais detalhes as medidas que você deve adotar para lidar com incidentes de segurança cibernética. Ele percorre todo o ciclo de vida da resposta com planos gerais sobre como:
Detectar e classificar um incidente de segurança
Determine o funcionamento completo do ataque
Limite o impacto em seus sistemas de TI e operações de negócios
Elimine a ameaça
Recupere-se do incidente
Além disso, estabelece:
Preparativos para você'll fazer em antecipação a um ataque
Propostas de atividade pós-incidente para análise e revisões
Um plano de resposta a incidentes também é um documento único, estabelecendo as bases que dão suporte aos seus manuais de resposta a incidentes.
Em termos gerais, um manual de resposta a incidentes é um documento que fornece um conjunto altamente detalhado de procedimentos para lidar com um tipo específico de incidente.
Cada manual é adaptado a diferentes circunstâncias. Por exemplo, você'd normalmente cria uma série de manuais para diferentes vetores de ataque. No entanto, você também pode usar um guia estratégico para fornecer instruções para uma função específica na equipe de resposta a incidentes. Isso é comum no processo mais amplo de gerenciamento de incidentes. Por exemplo, você'd normalmente criam manuais para equipes jurídicas e de relações públicas para ajudá-las a atender aos requisitos de conformidade e lidar com as comunicações, respectivamente.
A equipe de resposta a incidentes
A equipe de resposta a incidentes é um grupo multifuncional de pessoas responsáveis por orquestrar a operação de resposta a incidentes.
Ele é montado a partir de uma gama diversificada de funções de trabalho em toda a organização e geralmente inclui o seguinte:
Patrocinador executivo.Um membro da gerência sênior, como o diretor de segurança (CSO) ou o diretor de segurança da informação (CISO), que atua como defensor de sua iniciativa de resposta a incidentes. Eles geralmente assumem a responsabilidade de relatar o progresso à sua empresa's equipe executiva.
Gerente de resposta a incidentes: O líder da equipe, que desenvolve e refina a estratégia de resposta a incidentes e coordena a atividade. Eles assumem responsabilidade e autoridade gerais durante todo o processo de resposta.
Equipe de comunicação: Representantes de seus departamentos de relações públicas, mídia social e RH, juntamente com porta-vozes e blogueiros da empresa, que seriam responsáveis por manter funcionários, clientes, público e outras partes interessadas informados sobre os desenvolvimentos.
Equipe jurídica: Representantes legais designados, que lidam com a conformidade e as implicações criminais de um incidente, juntamente com possíveis violações de contrato.
Equipe técnica.Indivíduos de suas equipes de operações de TI e segurança, que são devidamente qualificados para executar as tarefas técnicas envolvidas na detecção, análise, contenção e remoção da ameaça.
Ciclo de vida de resposta a incidentes
Um ciclo de vida de resposta a incidentes bem estruturado e sistemático é fundamental para um gerenciamento eficaz de incidentes, fornecendo um processo passo a passo para lidar com um ataque. No entanto, você não'É necessário começar do zero para desenvolver seu próprio ciclo de vida de resposta, pois várias estruturas estão disponíveis para guiá-lo pelo processo.
Estes incluem:
NIST 800-61: Guia de Tratamento de Incidentes de Segurança do Computador
Ciclo de resposta a incidentes SANS 504-B
Série ISO/IEC 27035: Tecnologia da Informação — Gerenciamento de Incidentes de Segurança da Informação
Em linhas semelhantes, Wiz publicou recentemente um Modelo de plano de resposta a incidentes Isso'destinadas especificamente aos responsáveis pela protecção da Nuvem pública, Nuvem híbrida e multinuvem Implantações.
Embora cada estrutura de resposta a incidentes tenha uma abordagem ligeiramente diferente, todas elas essencialmente dividem o ciclo de vida nas fases seguintes.
Preparação
O pior momento para começar a trabalhar em uma estratégia de resposta é apenas quando ocorre um incidente, pois você precisa agir rapidamente para minimizar os danos e reduzir a interrupção do seu negócio. Isso'é por isso que a preparação é tão importante.
A fase de preparação da resposta a incidentes garante que você tenha tudo pronto com antecedência para que possa responder a um incidente sem demora. Incluirá disposições como:
A formação da equipe de resposta a incidentes
Um inventário de ativos atualizado para ajudar a garantir que você tenha todas as bases cobertas
Captura de dados de log para dar suporte à análise da linha do tempo após um incidente
Aquisição de ferramentas para detecção e contenção rápidas
Implementação de um sistema de rastreamento de problemas para escalonamento de casos e monitoramento do progresso
Medidas de contingência para minimizar a interrupção das operações comerciais
Treinamento de resposta a incidentes
Exercícios de teste de resposta a incidentes
Cobertura de seguro cibernético
Detecção
A fase de detecção adota uma abordagem metódica para identificar se um incidente de segurança ocorreu ou está prestes a ocorrer. Os primeiros sinais de um ataque incluem:
um alto número de tentativas de login com falha
Solicitações de acesso a serviços incomuns
Escalonamentos de privilégios
Acesso bloqueado a contas ou recursos
Ativos de dados ausentes
sistemas de execução lenta
uma falha do sistema
No entanto, a detecção é um dos aspectos mais desafiadores da resposta a incidentes, pois envolve a correlação de informações de várias fontes para confirmar que tais eventos representam um incidente de segurança real. As fontes podem incluir:
Telemetria de carga de trabalho
Telemetria disponível em um CSP
Inteligência de ameaças de terceiros
Feedback dos usuários finais
Outras partes em sua cadeia de suprimentos de software
Investigação/Análise
A fase de investigação de incidentes compreende uma série sistemática de etapas para determinar a causa raiz do ataque, o impacto provável em suas implantações e a ação corretiva apropriada.
Assim como na fase de detecção, ela envolve reunir dados de eventos de diferentes fontes de log para criar uma imagem completa do incidente.
Contenção
O objetivo da fase de contenção é:
Minimize o raio de explosão de um ataque
Limite o impacto em seus sistemas de TI e operações de negócios
Compre tempo antes de tomar medidas de correção mais abrangentes
Os métodos variam de acordo com o tipo de incidente. Por exemplo, para conter um ataque de negação de serviço (DoS), você'd implementar medidas de rede, como filtragem de endereços IP. Mas, em muitos outros casos, você'd isolar recursos para evitar o movimento lateral do ataque. Do jeito que você'd fazer isso dependeria do tipo de infraestrutura. Em um ambiente de TI tradicional, uma ferramenta de segurança como detecção e resposta de endpoint (EDR) seria o método mais eficiente. Mas em um ambiente baseado em nuvem, ele'Geralmente, é mais simples alterar as configurações do grupo de segurança do recurso por meio do plano de controle.
Dica profissional
Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.
Erradicação
A erradicação é a fase em que você remove completamente a ameaça para que ela'não está mais presente em qualquer lugar dentro da rede da sua organização.
As maneiras de livrar seus sistemas de uma ameaça incluem:
Removendo código malicioso
Reinstalando aplicativos
Segredos rotativos, como credenciais de login e tokens de API
Bloqueio de pontos de entrada
Corrigindo vulnerabilidades
Atualizando modelos de infraestrutura como código (IaC)
Restaurando arquivos ao seu estado pré-infecção
Ela'também é vital verificar os sistemas afetados e não afetados após a correção - para garantir que nenhum vestígio da intrusão tenha sido deixado para trás.
Revisão pós-incidente
A fase de revisão oferece a oportunidade de refinar sua estratégia de resposta para que você'estão mais bem equipados para lidar com possíveis incidentes no futuro. Ele deve considerar a maneira como você respondeu ao incidente, o feedback da equipe de resposta a incidentes e o impacto do incidente na operação de sua empresa.
A seguir estão os tipos de perguntas que você deve fazer ao conduzir sua revisão:
Nossa documentação foi suficientemente clara?
As informações eram precisas?
Os membros da equipe de resposta a incidentes entenderam suas funções e responsabilidades?
Quanto tempo demorou para concluir diferentes tarefas?
Precisamos de mais medidas para evitar incidentes semelhantes no futuro?
Houve alguma lacuna em nossas ferramentas de segurança?
Cometemos algum erro que atrasou o tempo de recuperação?
O incidente revelou alguma violação dos requisitos de conformidade?
BCDR (continuidade de negócios e recuperação de desastres)
Continuidade de negócios (BC) é a série de medidas de contingência que sua organização deve ter em vigor para manter as operações de missão crítica em execução durante um período de interrupção, como um incidente de segurança. DR (recuperação de desastres), por outro lado, é o conjunto de provisões que você faz para restaurar os sistemas ao normal, com o mínimo de tempo de inatividade e impacto em seus negócios.
Ambas as disciplinas são, portanto, essenciais para o sucesso de sua resposta. No entanto, eles precisam se coordenar com sua estratégia de gerenciamento de incidentes para:
Certifique-se de acionar procedimentos BCDR no ponto mais apropriado no ciclo de vida da resposta
Minimize o risco de persistência de ameaças
Para atingir esses objetivos, você precisa dar a devida consideração a:
A segurança de qualquer sistema de failover
Práticas de higiene de backup para prevenir infecções
Prioridades de recuperação
Dependências do sistema
Ferramentas e tecnologias
A ferramenta certa é uma dádiva de Deus quando você se depara com um incidente de segurança ao vivo e precisa lidar com a ameaça o mais rápido possível. Então, para encerrar, nós'listou algumas das ferramentas e tecnologias que você'Será necessário uma resposta eficaz a incidentes, juntamente com o papel que desempenham no ciclo de vida da resposta.
Technology
Description
Role in response lifecycle
Threat detection and response (TDR)
A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).
Detection, investigation, containment, and eradication
Security information and event management (SIEM)
An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.
Detection and investigation
Security orchestration, automation and response (SOAR)
A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.
Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)
A traditional defense system that detects and blocks network-level threats before they reach endpoints.
Detection and investigation
Threat intelligence platform (TIP)
An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.
Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)
A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.
Containment and eradication
Wiz para IR nativo da nuvem
Wiz oferece um abrangente Solução de detecção e resposta na nuvem (CDR) para ajudar as organizações a detectar, investigar e responder com eficácia a incidentes de segurança em ambientes de nuvem. Aqui estão os principais aspectos do Wiz'Abordagem da S para resposta a incidentes na nuvem:
Detecção de ameaças contextualizadas: O Wiz correlaciona ameaças em sinais em tempo real e atividade na nuvem em uma visão unificada, permitindo que os defensores descubram rapidamente o movimento do invasor na nuvem. Essa contextualização ajuda a priorizar alertas e reduzir falsos positivos, abordando a questão da fadiga de alertas que muitas equipes de segurança enfrentam.
Monitoramento nativo da nuvem: A plataforma monitora eventos de carga de trabalho e atividade na nuvem para detectar ameaças conhecidas e desconhecidas e comportamento malicioso. Essa abordagem nativa da nuvem é crucial, pois as soluções de segurança tradicionais geralmente lutam com a natureza dinâmica dos ambientes de nuvem.
Manuais de resposta automatizada: A Wiz fornece manuais de resposta prontos para uso projetados para investigar e isolar recursos afetados usando recursos nativos da nuvem. Ele também automatiza a coleta de evidências, permitindo que as equipes de segurança passem rapidamente pelas fases de contenção, erradicação e recuperação.
Gráfico de segurança para análise de causa raiz: Wiz'O Security Graph oferece análise automatizada de causa raiz e raio de explosão, o que é essencial para a resposta a incidentes. Ele ajuda a responder a perguntas críticas, como como um recurso foi comprometido e quais caminhos potenciais um invasor pode seguir no ambiente. Saiba Mais->
Análise forense da nuvem: A Wiz aprimora seus recursos forenses, fornecendo uma maneira automatizada de coletar evidências importantes quando um recurso pode ter sido comprometido. Isso inclui copiar volumes de VM, baixar pacotes forenses com logs e artefatos e usar sensores de tempo de execução para exibir processos em contêineres ou VMs.
Avaliação do raio de explosão: O gráfico de segurança permite que as equipes de RI identifiquem rapidamente o escopo do impacto, rastreiem caminhos de ataque e identifiquem a causa raiz dos incidentes. Isso é particularmente útil para entender o impacto potencial de um recurso comprometido nos negócios. Saiba Mais->
Monitoramento de tempo de execução: O Wiz monitora continuamente as cargas de trabalho em busca de atividades suspeitas em tempo de execução, adicionando contexto à análise do raio de explosão. Isso inclui a detecção de eventos suspeitos executados por contas de serviço de computador ou usuários específicos.
Data detection and response (DDR) is a cybersecurity solution that uses real-time data monitoring, analysis, and automated response to protect sensitive data from sophisticated attacks that traditional security measures might miss, such as insider threats, advanced persistent threats (APTs), and supply chain attacks.
Enterprise cloud security is the comprehensive set of practices, policies, and controls used by enterprises to protect their data, applications, and infrastructure in the cloud.
A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.
In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.