Resposta a incidentes explicada: estágios e software de código aberto

A era atual é de supercomputadores em nossos bolsos. No entanto, apesar de utilizarem as melhores ferramentas de segurança, os criminosos continuam a atacar os recursos online. Este post é para apresentá-lo ao Incident Response (IR) , explicar os diferentes estágios do IR e, em seguida, listar três softwares de código aberto gratuitos que ajudam no IR.

O que é Resposta a Incidentes

RESPOSTA A INCIDENTES

O que é um Incidente(Incident) ? Pode ser um cibercriminoso ou qualquer malware tomando conta do seu computador. Você não deve ignorar o IR porque pode acontecer com qualquer um. Se você acha que não será afetado, pode estar certo. Mas não por muito tempo, porque não há garantia de nada conectado à Internet como tal. Qualquer artefato lá pode ser desonesto e instalar algum malware ou permitir que um cibercriminoso acesse diretamente seus dados.

Você deve ter um modelo de resposta a incidentes(Incident Response Template) para poder responder em caso de ataque. Em outras palavras, RI(IR) não é sobre SE,(IF,) mas está preocupado com QUANDO(WHEN) e COMO(HOW) da ciência da informação.

A Resposta a Incidentes(Incident Response) também se aplica a desastres naturais. Você sabe que todos os governos e pessoas estão preparados quando ocorre qualquer desastre. Eles não podem se dar ao luxo de imaginar que estão sempre seguros. Em um incidente tão natural, governo, exército e muitas organizações não governamentais ( ONGs(NGOs) ). Da mesma forma(Likewise) , você também não pode se dar ao luxo de ignorar a Resposta a Incidentes(Incident Response) (IR) em TI.

Basicamente, IR significa estar pronto para um ataque cibernético e interrompê-lo antes que cause algum dano.

Resposta a Incidentes - Seis Etapas

A maioria dos gurus de TI(IT Gurus) afirmam que existem seis estágios de resposta a incidentes(Incident Response) . Alguns outros mantêm em 5. Mas seis são bons porque são mais fáceis de explicar. Aqui estão os estágios de RI que devem ser mantidos em foco ao planejar um modelo de resposta a incidentes(Incident Response) .

  1. Preparação
  2. Identificação
  3. Contenção
  4. Erradicação
  5. Recuperação, e
  6. Lições aprendidas

1] Resposta a Incidentes - Preparação(1] Incident Response – Preparation)

Você precisa estar preparado para detectar e lidar com qualquer ataque cibernético. Isso significa que você deve ter um plano. Também deve incluir pessoas com certas habilidades. Pode incluir pessoas de organizações externas se você não tiver talento em sua empresa. É melhor ter um modelo de IR que explique o que fazer em caso de ataque cibernético. Você pode criar um você mesmo ou baixar um da Internet . Existem muitos modelos de resposta a incidentes disponíveis na (Incident Response)Internet . Mas é melhor envolver sua equipe de TI com o modelo, pois eles conhecem melhor as condições de sua rede.

2] RI – Identificação(2] IR – Identification)

Isso se refere a identificar o tráfego de rede da sua empresa para quaisquer irregularidades. Se você encontrar alguma anomalia, comece a agir de acordo com seu plano de RI. Você pode já ter instalado equipamentos e softwares de segurança para manter os ataques afastados.

3] IR – Contenção(3] IR – Containment)

O objetivo principal do terceiro processo é conter o impacto do ataque. Aqui, conter significa reduzir o impacto e prevenir o ataque cibernético antes que ele possa danificar qualquer coisa.

A contenção da resposta(Incident Response) a incidentes indica planos de curto e longo prazo (supondo que você tenha um modelo ou plano para combater incidentes).

4] RI – Erradicação(4] IR – Eradication)

Erradicação, nas seis etapas do Incident Response, significa restaurar a rede que foi afetada pelo ataque. Pode ser tão simples quanto a imagem da rede armazenada em um servidor separado que não esteja conectado a nenhuma rede ou Internet . Ele pode ser usado para restaurar a rede.

5] RI – Recuperação(5] IR – Recovery)

O quinto estágio da Resposta a Incidentes(Incident Response) é limpar a rede para remover qualquer coisa que possa ter ficado para trás após a erradicação. Também se refere a trazer de volta à vida a rede. Nesse ponto, você ainda estaria monitorando qualquer atividade anormal na rede.

6] Resposta a Incidentes - Lições Aprendidas(6] Incident Response – Lessons Learned)

O último estágio dos seis estágios da Resposta a Incidentes trata de analisar o incidente e anotar as coisas que estavam erradas. As pessoas muitas vezes dão uma falta nessa etapa, mas é preciso aprender o que deu errado e como você pode evitar isso no futuro.

Software de código aberto(Open Source Software) para gerenciar a resposta a incidentes(Incident Response)

1] CimSweep é um conjunto de ferramentas sem agente que o ajuda com a Resposta a Incidentes(Incident Response) . Você pode fazê-lo remotamente também se não puder estar presente no local onde aconteceu. Este conjunto contém ferramentas para identificação de ameaças e resposta remota. Ele também oferece ferramentas forenses que ajudam você a verificar logs de eventos, serviços e processos ativos, etc. Mais detalhes aqui(More details here) .

2] A Ferramenta de Resposta Rápida GRR(2] GRR Rapid Response Tool) está disponível no GitHub e ajuda você a realizar diferentes verificações em sua rede ( Home ou Office ) para ver se há alguma vulnerabilidade. Possui ferramentas para análise de memória em tempo real, pesquisa de registro, etc. Ele é construído em Python , portanto, é compatível com todos os sistemas operacionais Windows – XP(Windows OS – XP) e versões posteriores, incluindo Windows 10. Confira no Github(Check it out on Github) .

3] TheHive é mais uma ferramenta de resposta a incidentes gratuita e de código aberto. (Incident Response)Permite trabalhar em equipe. O trabalho em equipe facilita o combate a ataques cibernéticos, pois o trabalho (deveres) é reduzido para pessoas diferentes e talentosas. Assim, auxilia no monitoramento em tempo real do IR. A ferramenta oferece uma API que a equipe de TI pode usar. Quando usado com outro software, o TheHive pode monitorar até cem variáveis ​​por vez – para que qualquer ataque seja detectado imediatamente e a Resposta a Incidentes(Incident Response) comece rapidamente. Mais informações aqui(More information here) .

A descrição acima explica resumidamente a Resposta a Incidentes, verifica os seis estágios da Resposta a Incidentes e nomeia três ferramentas para ajudar a lidar com Incidentes. Se você tiver algo a acrescentar, faça-o na seção de comentários abaixo.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.



Related posts