Resposta a incidentes

A resposta a incidentes é a prática de investigar e remediar campanhas de ataque activas dentro de uma organização. A resposta a incidentes faz parte da disciplina de operações de segurança (SecOps) e é principalmente de natureza reativa.

A resposta a incidentes tem a maior influência directa no tempo médio de reconhecimento ( MTTA - Mean Time To Ccknowledge) e no tempo médio de correção (MTTR Mean Time To Remediate) que medem a eficácia das operações de segurança em reduzir o risco organizacional. As equipas de resposta a incidentes dependem fortemente de boas relações de trabalho entre as equipas de caça a ameaças, inteligência e gestão de incidentes (se houver) para realmente reduzir o risco.

Processo de resposta a um incidente

O primeiro passo é ter um plano de resposta a incidentes que abranja processos internos e externos para responder a incidentes de segurança cibernética. O plano deve detalhar como a organização deve:

• Aborde os ataques que variam de acordo com o risco comercial e o impacto do incidente, que pode variar desde um site isolado que não está mais disponível até o comprometimento de credenciais de nível administrativo.
• Defina o objetivo da resposta, como o retorno ao serviço ou o tratamento dos aspectos legais ou de relações públicas do ataque.
• Priorize o trabalho que precisa ser feito em termos de quantas pessoas devem trabalhar no incidente e suas tarefas.

Depois de implementar o seu plano de resposta a incidentes, teste-o regularmente para os tipos mais graves de ciberataques, a fim de garantir que a sua organização possa responder de forma rápida e eficiente. Embora o processo de resposta a incidentes de cada organização possa ser diferente com base na estrutura organizacional, nas capacidades e na experiência histórica, considere o conjunto de recomendações e melhores práticas apresentadas neste artigo para responder a incidentes de segurança. Durante um incidente, é fundamental:

• Mantenter-se calmo e concentrar-se em priorizar esforços nas acções mais impactantes.
• Confirme se a sua resposta foi concebida e executada de forma a evitar a perda de dados, a perda de funcionalidades críticas para o negócio e a perda de provas. Evite decisões que possam prejudicar a sua capacidade de criar cronologias forenses, identificar a causa raiz e aprender lições importantes.
• Envolver o departamento jurídico e saber se planeiam envolver as autoridades locais para que possa planear adequadamente procedimentos de investigação e recuperação.
• Confirmar que tudo o que partilha com clientes e com o público é baseado no aconselhamento do departamento jurídico.

Tal como o diagnóstico e o tratamento de uma doença médica, a investigação e resposta de cibersegurança para um incidente grave requer a defesa de um sistema que não pode ser desligado para ser trabalhado.