Componentes do Plano de Resposta a Incidentes
A política de resposta a incidentes deve fazer referência a um plano de resposta a incidentes que todos os funcionários seguirão, dependendo de seu papel no processo. O plano pode conter vários procedimentos e padrões relacionados à resposta a incidentes. É uma representação viva da política de resposta a incidentes de uma organização.
A visão, estratégia e missão da organização devem moldar o processo de resposta a incidentes. Os procedimentos para implementar o plano devem definir os processos técnicos, técnicas, listas de verificação e outras ferramentas que as equipes usarão ao responder a um incidente.
Para se preparar para incidentes, aqui estão os componentes comumente encontrados em um plano de resposta a incidentes:
Preparação
- Desenvolver uma política aprovada pela gestão.
- Identificar dados e sistemas críticos, pontos únicos de falha.
- Treinar os funcionários em resposta a incidentes.
- Implementar uma equipe de resposta a incidentes. (coberto em tópico subsequente)
- Praticar a identificação de incidentes. (Primeira Resposta)
- Identificar papéis e responsabilidades.
- Planejar a coordenação da comunicação entre as partes interessadas.
Detecção e Análise
- Monitorar todos os possíveis vetores de ataque.
- Analisar o incidente usando dados conhecidos e inteligência de ameaças.
- Priorizar a resposta ao incidente.
- Padronizar a documentação de incidentes.
Contenção
- Recolher evidências.
- Escolher uma estratégia de contenção apropriada.
- Identificar o atacante.
- Isolar o ataque.
Atividade Pós-Incidente
- Identificar evidências que podem precisar ser retidas.
- Documentar lições aprendidas.
- Retrospectiva
- Preparação
- Detecção e Análise
- Contenção, Erradicação e Recuperação
- Atividade pós-incidente
Terminologia de Incidentes
Enquanto profissionais de segurança se esforçam para proteger sistemas contra ataques maliciosos ou descuidos humanos, inevitavelmente, apesar desses esforços, coisas dão errado. Por essa razão, profissionais de segurança também desempenham o papel de primeiros socorristas. O entendimento da resposta a incidentes começa com o conhecimento dos termos usados para descrever vários ciberataques.
Violação A perda de controle, comprometimento, divulgação não autorizada, aquisição não autorizada ou qualquer ocorrência similar em que: uma pessoa diferente de um usuário autorizado acessa ou potencialmente acessa informações de identificação pessoal; ou um usuário autorizado acessa informações de identificação pessoal para outro propósito que não o autorizado. NIST SP 800-53 Rev. 5
Evento Qualquer ocorrência observável em uma rede ou sistema. NIST SP 800-61 Rev 2
Exploração Um ataque particular. É chamado assim porque esses ataques exploram vulnerabilidades do sistema.
Incidente Um evento que realmente ou potencialmente compromete a confidencialidade, integridade ou disponibilidade de um sistema de informação ou da informação que o sistema processa, armazena ou transmite.
Intrusão Um evento de segurança, ou combinação de eventos, que constitui um incidente de segurança deliberado em que um intruso obtém, ou tenta obter, acesso a um sistema ou recurso do sistema sem autorização. IETF RFC 4949 Ver 2
Ameaça
Qualquer circunstância ou evento com potencial de impactar adversamente as operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais, indivíduos, outras organizações ou a nação por meio de um sistema de informação
Vulnerabilidade
Fraqueza em um sistema de informação, procedimentos de segurança do sistema, controles internos ou implementação que
Dia Zero
Uma vulnerabilidade de sistema previamente desconhecida com potencial de exploração sem risco de detecção ou prevenção porque, em geral, não se encaixa em padrões, assinaturas ou métodos reconhecidos.
Como é a resposta a incidentes em cibersegurança? Nenhuma chamada para o 911 foi relatada sobre um incidente. Nenhuma ambulância ou caminhão de bombeiros está vindo para o resgate. Cabe aos profissionais de cibersegurança detectar e responder aos incidentes.
- Incident - An event that actually or potentially jeopardizes the confidentiality, integrity or availability of an information system or the information the system processes, stores or transmits.
- Incident Handling or Incident Response (IR) - The process of detecting and analyzing incidents to limit the incident's effect.
- Incident Response Plan (IRP) - The documentation of a predetermined set of instructions or procedures to detect, respond to and limit consequences of a malicious cyberattack against an organization’s information systems(s). Source: NIST SP 800-34 Rev 1
- Intrusion - A security event, or combination of security events, that constitutes a security incident in which an intruder gains, or attempts to gain, access to a system or system resource without authorization. Source: IETF RFC 4949 Ver 2
- Security Operations Center - A centralized organizational function fulfilled by an information security team that monitors, detects and analyzes events on the network or system to prevent and resolve issues before they result in business disruptions.
- Vulnerability - Weakness in an information system, system security procedures, internal controls or implementation that could be exploited or triggered by a threat source. Source: NIST SP 800-128.
- Zero Day - A previously unknown system vulnerability with the potential of exploitation without risk of detection or prevention because it does not, in general, fit recognized patterns, signatures or methods.
- A) Emergency
- B) Event (x)
- C) Policy (e)
- D) Disaster
Correct. The user has reported that something measurable has occurred; at this point, we are not sure what it might be (if it is a normal occurrence, or something that poses adverse impact), so the best description is "event."
- A) Risk management
- B) Incident detection (x)
- C) Malware
- D) Disaster
- A) Exploit
- B) Intrusion (x)
- C) Event
- D) Malware
- A) Malware
- B) Critical
- C) Fractal
- D) Zero-day (x)
- True
- False (x)
- A) Business (x)
- B) Technical
- C) IT
- D) Financial
- A) Guard dogs
- B) Data backups (x)
- C) Contract personnel
- D) Anti-malware solutions
- A) Checklists (x)
- B) Firewalls
- C) Motion detectors (e)
- D) Non-repudiation
Correct. Both BC and DR activities typically include checklists for the people participating in the effort.
- A) Employees returning to the primary production location
- B) Running anti-malware solutions
- C) Scanning the IT environment for vulnerabilities (e)
- D) Zero-day exploits (e)
Incorrect. Vulnerability scans are a regular part of IT security practices, but not typically associated with DR efforts.
- A) Routers
- B) Laptops
- C) Firewalls
- D) Backups (x)
Nenhum comentário:
Postar um comentário