🔥Entendendo e tratando incidentes de segurança

Saudações, viajante! Nesse post, trago um resumo sobre como podemos olhar para um incidente de segurança e qual sua definição prática. Enjoy! :)

Definição e escopo

CSIRT - Computer Security Incident Response Team

Gerenciar incidentes de segurança é fundamental para enriquecer as capacidades defensivas de uma organização. A definição de um incidente de segurança pode ser bem subjetiva, levando em conta que a termologia pode ser utilizada de forma distinta entre as organizações.

Embora já existam medidas de proteção que são constantemente implementadas nas empresas de modo geral, a capacidade de gerenciamento e tratamento de incidentes de segurança é essencial para que não haja o comprometimento da integridade, confidencialidade e/ou disponibilidade das informações. Essas capacidades podem ser implementadas internamente ou através de terceiros.

Um evento de segurança é uma ação ocorrida no sistema ou na rede. Podemos considerar como eventos:

• Um e-mail enviado

• Um clique de mouse

• Um firewall permitindo uma conexão

Um incidente de segurança nada mais é do que um evento com consequências potencialmente negativas. Alguns exemplos de incidentes são:

• Falha sistemática

• Acesso indevido a dados sensíveis

• Roubo de informações

• Instalação e/ou utilização de softwares maliciosos

A capacidade de tratar incidentes de segurança consiste em um conjunto de procedimentos necessários para gerenciar e responder tais incidentes em um ativo ou em uma rede.

Valores

Incidentes de segurança de TI frequentemente envolvem a exposição de dados pessoais e corporativos, tornando essencial uma resposta ágil e eficiente. Em alguns casos, o impacto pode ser restrito a dispositivos específicos, enquanto em outros, uma ampla porção do ambiente pode ser comprometida. Ter uma equipe dedicada ao tratamento de incidentes, também conhecida como Equipe de Resposta a Incidentes (CSIRT), oferece a vantagem de uma abordagem sistemática, garantindo a tomada de decisões adequadas. O principal objetivo da Equipe de CSIRT é minimizar o roubo de informações e interrupções nos serviços provocados pelo incidente, alcançando isso por meio de investigações e etapas de correção, as quais exploraremos detalhadamente em breve. Em resumo, as decisões tomadas antes, durante e após um incidente terão impacto direto em suas consequências.

Dado que diferentes incidentes afetam a organização de maneiras diversas, é crucial compreender a importância da priorização. Incidentes mais graves demandam atenção imediata e a alocação de recursos adequados, enquanto incidentes de menor gravidade também podem requerer uma análise inicial para determinar se, de fato, se trata de um incidente de segurança de TI.

A equipe de tratamento de incidentes é liderada por um gerente de incidentes, geralmente ocupado por um gerente de SOC, CISO/CIO ou um fornecedor terceirizado confiável. Essa pessoa, frequentemente, possui a autoridade para solicitar a cooperação ágil de qualquer funcionário da organização, se necessário. O gerente de incidentes desempenha o papel de ponto central de comunicação, supervisionando todas as atividades realizadas durante a investigação e seu status de conclusão.

Um recurso amplamente utilizado no tratamento de incidentes é o Computer Security Incident Handling Guide, do NIST. Este documento tem como objetivo auxiliar as empresas na mitigação dos riscos relacionados a incidentes de segurança, oferecendo orientações práticas para uma resposta eficaz e eficiente a esses incidentes.