Resposta a Incidentes e Análise Forense

Por Carlos Munhos – CyberSecurity Analyst da DropReal

No ambiente digital contemporâneo, as ameaças cibernéticas evoluíram significativamente em complexidade e frequência. As organizações, independentemente de seu porte ou setor, enfrentam um cenário onde os incidentes de segurança não são mais uma questão de “se” ocorrerão, mas de “quando” acontecerão. Diante dessa realidade, a segurança da informação tornou-se uma prioridade estratégica. Este artigo explora as práticas de resposta a incidentes e análise forense, fundamentadas em referências reconhecidas como NIST SP 800-61, [CERT.br] e ISO 27037, oferecendo uma visão abrangente para fortalecer a postura de segurança das organizações.

Definições

Segundo o NIST, um evento é qualquer ocorrência observável em um sistema ou rede. Exemplos incluem:

  • Um usuário conectando-se a um compartilhamento de arquivos.
  • Um servidor recebendo uma solicitação de página da web.
  • Um usuário enviando e-mails.
  • Um firewall bloqueando uma tentativa de conexão.

Eventos adversos são eventos com consequências negativas, como:

  • Falhas no sistema.
  • Inundações de pacotes (packet floods).
  • Uso não autorizado de privilégios do sistema.
  • Acesso não autorizado a dados sensíveis.
  • Execução de malware que destrói dados.

Já um incidente de segurança de computadores refere-se a uma violação ou ameaça iminente de violação das políticas de segurança de computadores, políticas de uso aceitável ou práticas padrão de segurança.

Resposta a Incidentes

A resposta a incidentes (IR – Incident Response) consiste em um conjunto de processos estruturados destinados a lidar com incidentes de segurança de maneira eficaz. Para isso, é fundamental contar com políticas, planos e procedimentos bem definidos, que orientem a equipe de resposta a incidentes em todas as etapas.

  • Política: Diretrizes gerais que estabelecem como a organização deve tratar incidentes de segurança.
  • Plano: Documento estratégico que descreve a preparação, as ações de resposta e as atividades de recuperação diante de incidentes.
  • Procedimento: Instruções operacionais detalhadas, especificando etapas e métodos para lidar com diversos tipos de incidentes.
  • Comunicação: Estratégia clara e transparente, que defina como e quando as partes interessadas serão informadas, garantindo coordenação e alinhamento interno e externo.

A equipe de resposta a incidentes é responsável por executar os procedimentos estabelecidos, alinhando-se às diretrizes da política e aos direcionamentos estratégicos do plano de resposta a incidentes. Além disso, é essencial manter um plano de comunicação abrangente que inclua o reporte a órgãos reguladores quando necessário. Por exemplo, em casos de incidentes que comprometam dados pessoais, a comunicação à Agência Nacional de Proteção de Dados (ANPD) deve estar prevista (veja mais em: [Comunicação de Incidente de Segurança – ANPD]). Da mesma forma, outros órgãos reguladores ou entidades específicas do segmento também devem ser contemplados no Plano de Comunicação de Incidentes.

Principais serviços de um time de resposta a incidentes:

  • Operacionalização da resposta a incidentes: Conduzir os processos de acordo com o Plano de resposta a incidentes.
  • Alertas de novas vulnerabilidades e ameaças: Monitorar continuamente fontes confiáveis, comunicar rapidamente novos riscos e orientar sobre medidas preventivas.
  • Educação e treinamentos: Capacitar a equipe interna e parceiros sobre práticas de segurança, procedimentos de resposta e uso adequado das ferramentas.
  • Compartilhamento de informações: Trocar dados e inteligência sobre ameaças com outras equipes de segurança, comunidades setoriais e autoridades competentes.

Seguindo a metodologia do NIST, abaixo estão descritas as fases de uma resposta a incidentes.

  1. Preparar: Estabelecer planos, procedimentos, políticas e treinamentos para garantir uma resposta eficaz e coordenada quando um incidente ocorrer.
  2. Detecção e Análise: Identificar rapidamente o incidente, avaliar o escopo e o impacto, e determinar a gravidade e a natureza do problema.
  3. Conter, Erradicar e Recuperar: Conter a propagação da ameaça, remover a causa raiz (erradicar) e restaurar os sistemas afetados ao estado operacional seguro.
  4. Lições Aprendidas: Analisar o incidente ocorrido, revisar a eficácia dos controles, ajustar os procedimentos e promover melhorias contínuas na postura de segurança.

Forense Digital

A Forense Digital é uma área da segurança da informação especializada na identificação, coleta, análise e preservação de evidências digitais. Seu objetivo é auxiliar investigações de incidentes cibernéticos, fraudes, crimes digitais e outras ocorrências que envolvam sistemas computacionais. Por meio de técnicas e ferramentas especializadas, a forense digital assegura a integridade dos dados coletados, permitindo que sejam utilizados de forma confiável em processos legais, auditorias internas ou respostas a incidentes. Dessa forma, contribui para a responsabilização dos envolvidos e para o fortalecimento da segurança da informação.

A sigla DFIR (Digital Forensics and Incident Response) é amplamente utilizada para referir-se às práticas e procedimentos de forense digital e resposta a incidentes. A seguir, estão os principais conceitos associados:

  • Cadeia de Custódia: É um documento, ou uma série de documentos relacionados, que detalha as ações realizadas nas potenciais evidências digitais e os registros de quem foi o responsável pelo manuseio da potencial evidência digital.
  • Identificação: Determinação das fontes de evidências digitais (sistemas, dispositivos, arquivos) relevantes para o incidente.
  • Coleta: Captura inicial dos dados, respeitando a volatilidade das informações e assegurando o registro de cada etapa e a manutenção da cadeia de custódia.
  • Aquisição: Criação de cópias forenses exatas dos dados originais, garantindo a integridade e a não adulteração do conteúdo.
  • Preservação: Armazenamento seguro e documentação adequada das evidências digitais, assegurando sua disponibilidade para análises futuras, investigações e procedimentos legais.

A forense digital é importante na resposta a incidentes porque ajuda a identificar, analisar e registrar evidências relacionadas a atividades em sistemas digitais. Isso permite entender a origem e o impacto do incidente, ajudando a aplicar medidas corretivas e prevenir novos problemas. Além disso, as informações coletadas podem ser usadas em investigações e processos legais.

Por Carlos Munhos – CyberSecurity Analyst da DropReal

Continue lendo

Últimas publicações

Solicite maiores informações

Solicite maiores informações
Politica *
Facebook-f Instagram Twitter Linkedin-in Youtube
Navegue
Parceiros Tecnológicos
Segurança Cibernética (Red and Blue Team)
Gestão em segurança da Informação
LGPD
Teste Nossos Produtos e Serviços
Contato
Offices
DropReal Brasil Ltda

São Paulo / SP
Av. Nações Unidas, 12901 – 15°  And. Torre Norte – Brooklin
Fone: +55 11 4270.0307

Canoas / RS (Headquarters)
Domingos Martins, 360/501 – Centro
Fone: +55 51 3059.5778

Vila Velha / ES
R. João Pessoa de Matos, 530/508 – Praia da Costa
Fone: +55 27 3441.5037

Brasília / DF
Fone: +55 61 3246.6042 

SOC (Centro de Operações de Segurança)

Fone: 0800.SAFE
Area CSM

Comercial

[email protected]

Jobs

Trabalhe na DropReal  #VemPraDrop