Visão geral da resposta a incidentes
A resposta a incidentes é a prática de investigar e corrigir campanhas de ataque ativas na organização. A resposta a incidentes faz parte da disciplina de operações de segurança (SecOps) e é principalmente reativa por natureza.
A resposta a incidentes tem a maior influência direta sobre o MTTA (Tempo Médio de Confirmação) geral e o MTTR (Tempo Médio de Correção), que medem a capacidade das operações de segurança de reduzir o risco organizacional. As equipes de resposta a incidentes dependem muito de boas relações de trabalho entre as equipes de busca de ameaças, inteligência e gerenciamento de incidentes (se presente) para reduzir o risco de fato. Para obter mais informações, consulte Métricas de SecOps.
Para obter mais informações sobre funções e responsabilidades de operações de segurança, confira Funções de SOC de nuvem.
Processo de resposta a incidentes
A primeira etapa é ter um plano de resposta a incidentes em vigor que abranja processos internos e externos de resposta a incidentes de segurança cibernética. O plano deve detalhar como sua organização deve:
- Abordar ataques que variam de acordo com o risco comercial e o impacto do incidente, que podem ser desde um site isolado que não está mais disponível até o comprometimento de credenciais no nível do administrador.
- Definir a finalidade da resposta, como um retorno ao serviço ou como lidar com aspectos jurídicos ou de relações públicas do ataque.
- Priorizar o trabalho que precisa ser feito em termos de quantas pessoas devem estar trabalhando no incidente e as tarefas delas.
Confira o artigo de planejamento de resposta a incidentes para ver uma lista de verificação de atividades a considerar, incluindo o seu plano de resposta a incidentes. Quando o plano de resposta a incidentes estiver em vigor, teste-o regularmente para os tipos mais sérios de ataques cibernéticos para garantir que sua organização possa responder de maneira rápida e eficiente.
Embora o processo de resposta a incidentes de cada organização possa ser diferente com base na estrutura, nas funcionalidades e na experiência histórica da organização, considere o conjunto de recomendações e de melhores práticas neste artigo para responder aos incidentes de segurança.
Durante um incidente, é essencial:
Manter a calma
Os incidentes são interrupções incômodas que podem gerar cargas emocionais negativas. Mantenha-se calmo e concentre-se em priorizar os esforços nas ações mais impactantes primeiro.
Não gerar danos
Confirme se a resposta foi elaborada e executada de modo a evitar perda de dados e de funcionalidades comercialmente críticas ou a comprometer evidências. Evite decisões que possam prejudicar sua capacidade de criar linhas do tempo forenses, identificar a causa raiz e aprender lições críticas.
Envolver seu departamento jurídico
Determine se eles planejam envolver a aplicação de leis para que você possa planejar seus procedimentos de investigação e de recuperação adequadamente.
Tenha cuidado ao compartilhar informações sobre o incidente publicamente
Verifique se tudo o que você compartilha com seus clientes e o público é baseado nos conselhos do departamento jurídico.
Obter ajuda quando necessário
Aproveite os mais profundos conhecimentos e experiências ao investigar e responder a ataques de invasores sofisticados.
Para diagnosticar e tratar uma condição médica, investigar a segurança cibernética e responder a um importante incidente é preciso defender um sistema que seja:
- Extremamente importante (não é possível desligar para trabalhar nele).
- Complexo (normalmente além da compreensão de qualquer pessoa).
Durante um incidente, você deve buscar equilibrar os seguintes elementos críticos:
Velocidade
Equilibre a necessidade de agir rapidamente para satisfazer os stakeholders com o risco de tomar decisões apressadas.
Compartilhamento de informações
Informe os investigadores, os stakeholders e os clientes com base nos conselhos do departamento jurídico para limitar a obrigação e evitar expectativas irreais.
Este artigo foi projetado para reduzir o risco de incidentes de segurança cibernética para sua organização identificando erros comuns a serem evitados e fornecendo diretrizes sobre quais ações podem ser tomadas rapidamente a fim de reduzir os riscos e atender às necessidades dos stakeholders.
Observação
Para obter mais diretrizes sobre como preparar sua organização para ransomware e outros tipos de ataques de várias fases, confira Preparar seu plano de recuperação.
Melhores práticas de resposta
A resposta a incidentes pode ser feita efetivamente por meio de perspectivas técnicas e de operações com essas recomendações.
Observação
Para obter mais diretrizes detalhadas do setor, confira o Guia de Tratamento de Incidentes de Segurança da Computação NIST.
Melhores práticas de resposta técnica
Para os aspectos técnicos da resposta a incidentes, veja abaixo algumas metas a serem consideradas:
Tente identificar o escopo da operação de ataque.
A maioria dos adversários usa vários mecanismos de persistência.
Identifique o objetivo do ataque, se possível.
Invasores persistentes geralmente retornam com frequência em novos ataques para tentar alcançar o objetivo deles (dados/sistemas).
Aqui estão algumas dicas úteis:
Não carregue arquivos para uso em scanners online
Muitos adversários monitoram a contagem de instâncias em serviços como VirusTotal para descoberta de malware de destino.
Considere cuidadosamente as modificações
A menos que você enfrente uma ameaça iminente de perda de dados comercialmente críticos, como exclusão, criptografia e exfiltração, avalie o risco de não fazer a modificação com relação ao impacto comercial projetado. Por exemplo, desligar temporariamente o acesso à Internet da sua organização pode ser necessário para proteger ativos comercialmente críticos durante um ataque ativo.
Se as alterações forem necessárias quando o risco de não tomar uma ação for maior do que o risco de tomá-la, documente a ação em um log de alterações. As alterações feitas durante a resposta a incidentes se concentram em interromper o invasor e podem afetar os negócios negativamente. Você precisará reverter essas alterações após o processo de recuperação.
Não investigue para sempre
Seja criterioso ao priorizar seus esforços de investigação. Por exemplo, só execute análises forenses em pontos de extremidade que os invasores tenham usado ou modificado. Por exemplo, em incidentes mais graves, nos quais o invasor obteve privilégios administrativos, é praticamente impossível investigar todos os recursos potencialmente comprometidos (que podem incluir todos os recursos da organização).
Compartilhe as informações
Verifique se todas as equipes de investigação, incluindo todas as equipes internas e investigadores externos ou provedores de seguros, estão compartilhando os dados entre si, com base nos conselhos do departamento jurídico.
Acesse os conhecimentos certos
Verifique se uma equipe com conhecimentos avançados dos sistemas foi integrada à investigação, como funcionários internos ou entidades externas, como fornecedores, não apenas generalistas de segurança.
Prepare-se para uma eventual redução da sua capacidade de resposta
Esteja pronto para atuar com 50% da sua equipe, operando a 50% da capacidade normal em virtude da pressão situacional.
Uma das principais expectativas a gerenciar com os stakeholders é que você talvez nunca consiga identificar o ataque inicial, pois os dados necessários para isso foram excluídos antes do início da investigação, como nos casos em que o invasor apaga os rastros por meio da adulteração dos registros.
Melhores práticas de resposta a operações
Para os aspectos de operações de segurança (SecOps) da resposta a incidentes, confira abaixo algumas metas a serem consideradas:
Manter o foco
Mantenha o foco nos dados comercialmente críticos, no impacto sobre o cliente e em se preparar para a correção.
Fornecer coordenação e clareza de função
Estabeleça funções distintas para as operações que dão suporte à equipe de crise e confirme se as equipes técnicas, jurídicas e de comunicações estão se mantendo informadas.
Manter a perspectiva de negócios
Você deve sempre considerar o impacto das ações do adversário e das suas próprias ações de resposta sobre as operações de negócios.
Aqui estão algumas dicas úteis:
Considere o ICS (Sistema de Comando de Incidentes) para gerenciamento de crises
Se você não tiver uma organização permanente que gerencia os incidentes de segurança, recomendamos usar o ICS como estrutura organizacional temporária para gerenciar crises.
Manter intactas as operações diárias contínuas
Verifique se as SecOps normais não estão sendo completamente deixadas de lado para dar suporte às investigações de incidentes. Esses trabalhos ainda precisam ser feitos.
Evitar gastos excessivos
Muitos incidentes graves resultam na compra precipitada de ferramentas de segurança caras que nunca são implantadas ou usadas. Se não for possível implantar e usar a ferramenta durante a investigação, o que pode incluir a contratação e o treinamento de mais pessoal com as habilidades necessárias para operar a ferramenta, adie a aquisição até o término das investigações.
Acessar conhecimentos profundos
Verifique se você pode direcionar perguntas e problemas para especialistas experientes em plataformas críticas. Essa habilidade pode exigir acesso ao sistema operacional e ao fornecedor do aplicativo de sistemas comercialmente críticos e componentes de toda a empresa, como áreas de trabalho e servidores.
Estabelecer fluxos de informações
Defina diretrizes e expectativas claras com relação ao fluxo de informações entre os líderes sêniores de resposta a incidentes e os stakeholders da organização. Para obter mais informações, confira o planejamento da resposta a incidentes.
Melhores práticas de recuperação
A recuperação de incidentes pode ser feita efetivamente por meio de perspectivas técnicas e de operações com essas recomendações.
Melhores práticas de recuperação técnica
Para os aspectos técnicos da recuperação de incidentes, veja abaixo estão algumas metas a serem consideradas:
Não dê o passo maior que a perna
Limite o escopo de resposta para que a operação de recuperação possa ser executada em, no máximo, 24 horas. Planeje um fim de semana para tratar contingências e aplicar ações corretivas.
Evitar distrações
Adie os investimentos em segurança de longo prazo, como a implementação de novos sistemas de segurança grandes e complexos e a substituição de soluções antimalware até após a operação de recuperação. Qualquer coisa que não tenha um impacto direto e imediato sobre a operação de recuperação em andamento é uma distração.
Aqui estão algumas dicas úteis:
Nunca redefinir todas as senhas de uma só vez
As redefinições de senha devem se concentrar primeiro nas contas comprometidas conhecidas, de acordo com a sua investigação, que sejam possivelmente contas de administrador ou de serviço. Se garantidas, as senhas de usuário deverão ser redefinidas apenas de maneira preparada e controlada.
Consolidar a execução das tarefas de recuperação
A menos que esteja enfrentando a ameaça iminente de perda de dados comercialmente críticos, você deve planejar uma operação consolidada para corrigir rapidamente todos os recursos comprometidos (como hosts e contas) em vez de corrigir os recursos comprometidos à medida que os encontra. A compactação dessa janela de tempo dificulta que os invasores se adaptem e mantenham a persistência.
Usar as ferramentas existentes
Pesquise e use as funcionalidades das ferramentas que você já implantou antes de tentar implantar e aprender novas ferramentas durante uma recuperação.
Evitar dar pistas de suas ações ao adversário
Na medida do possível, adote medidas para limitar as informações sobre a operação de recuperação disponíveis aos adversários. Normalmente, em um incidente grave de segurança cibernética, os adversários obtêm acesso a todos os dados de produção e emails. Mas, na prática, a maioria dos invasores não tem tempo hábil para monitorar todas as suas comunicações.
O SOC (Centro de Operações de Segurança) da Microsoft usa um locatário não pertencente à produção do Microsoft 365 para comunicação segura e colaboração entre os membros da equipe de resposta a incidentes.
Melhores práticas de recuperação de operações
Para os aspectos da operação de recuperação de incidentes, veja abaixo estão algumas metas a serem consideradas:
Ter um plano claro e um escopo limitado
Trabalhe em estreita colaboração com suas equipes técnicas para criar um plano claro com escopo limitado. Embora os planos possam mudar com base nas atividades do adversário ou em novas informações, você deve trabalhar com empenho para limitar a expansão do escopo e a realização de mais tarefas.
Ter clara a propriedade do plano
As operações de recuperação envolvem muitas pessoas realizando muitas tarefas diferentes ao mesmo tempo. Portanto, designe um líder de projeto para a operação a fim de proporcionar clareza na tomada de decisões e estabelecer um fluxo de informações definitivas entre as equipes de crise.
Manter a comunicação entre os stakeholders
Trabalhe com as equipes de comunicação a fim de fornecer atualizações oportunas e um gerenciamento ativo de expectativas para os stakeholders da organização.
Aqui estão algumas dicas úteis:
Conhecer suas funcionalidades e seus limites
Gerenciar incidentes graves de segurança é muito desafiador, muito complexo e novo para muitos profissionais do setor. Você deve considerar a possibilidade de trazer conhecimentos de organizações ou serviços profissionais externos, caso suas equipes estejam sobrecarregadas ou inseguras sobre como proceder.
Capturar as lições aprendidas
Crie e aprimore continuamente manuais específicos de cada função para as SecOps, mesmo que seja seu primeiro incidente sem nenhum procedimento escrito.
As comunicações no âmbito do conselho ou da gerência executiva sobre resposta a incidentes podem ser desafiadoras se não forem preparadas ou realizadas com frequência. Verifique se você tem um plano de comunicação para gerenciar os relatórios de progresso e as expectativas de recuperação.
Processo de resposta a incidentes das SecOps
Considere essas diretrizes gerais sobre o processo de resposta a incidentes para suas SecOps e sua equipe.
1. Decidir e agir
Depois que uma ferramenta de detecção de ameaças, como o Microsoft Sentinel ou o Microsoft Defender XDR, detecta um ataque provável, ele cria um incidente. A medida MTTA (Tempo Médio de Reconhecimento) da capacidade de resposta do SOC começa com o momento em que sua equipe de segurança percebe o ataque.
O analista que estiver em seu posto será designado ou assumirá a propriedade do incidente e executará uma análise inicial. O carimbo de data/hora para isso é o final da medida de capacidade de resposta do MTTA e inicia a medida MTTR (Tempo Médio de Correção).
Como o analista proprietário do incidente desenvolve um nível alto o suficiente de confiança de que entende a história e o escopo do ataque, ele pode mudar rapidamente para o planejamento e a execução de ações de limpeza.
Dependendo da natureza e do escopo do ataque, os analistas podem limpar os artefatos de ataque em paralelo à análise (como emails, pontos de extremidade e identidades) ou podem criar uma lista de recursos comprometidos para limpar tudo de uma vez (conhecido como Big Bang)
Limpar em paralelo à análise
Para a maioria dos incidentes típicos detectados no início da operação de ataque, os analistas podem limpar rapidamente os artefatos à medida que são detectados. Essa prática coloca o adversário em desvantagem e impede que ele avance para a próxima fase do ataque.
Preparar-se para um Big Bang
Essa abordagem é apropriada para cenários em que o adversário já invadiu e estabeleceu mecanismos de acesso redundantes para o seu ambiente. Esta prática é frequentemente vista em incidentes de clientes investigados pela Equipe de Resposta a Incidentes da Microsoft. Nessa abordagem, os analistas devem evitar dar pistas de suas ações ao adversário até a descoberta completa da presença do invasor, já que a surpresa pode ajudar a interromper totalmente a invasão.
A Microsoft aprendeu que a correção parcial geralmente fornece pistas de suas ações ao adversário, dando a ele a oportunidade de reagir e rapidamente tornar o incidente ainda pior. Por exemplo, o invasor pode difundir ainda mais o ataque, alterar os métodos de acesso para evitar a detecção, apagar os rastros ou causar danos ou destruição aos dados ou ao sistema como forma de vingança.
A limpeza de emails de phishing e mal-intencionados geralmente pode ser feita sem dar pistas de suas ações ao invasor, mas a limpeza de malware de host e a recuperação do controle de contas tem uma grande chance de descoberta.
Essas decisões não são fáceis de tomar e somente a experiência poderá ajudar você a escolher a melhor opção nesses momentos. Uma cultura e um ambiente de trabalho colaborativo em seu SOC ajudam a garantir que os analistas possam explorar a experiência uns dos outros.
As etapas de resposta específicas dependem da natureza do ataque, mas os procedimentos mais comuns usados pelos analistas podem incluir:
Pontos de extremidade do cliente (dispositivos)
Isole o ponto de extremidade e entre em contato com o usuário ou com as operações de TI/a assistência técnica para iniciar um procedimento de reinstalação.
Servidor ou aplicativos
Trabalhe com as operações de TI e com os proprietários de aplicativos para organizar a correção rápida desses recursos.
Contas de usuário
Recupere o controle desabilitando a conta e redefinindo a senha da conta comprometida. Esses procedimentos podem evoluir à medida que os usuários fazem a transição para a autenticação sem senha usando o Windows Hello ou outra forma de MFA (autenticação multifator). Uma etapa separada é expirar todos os tokens de autenticação da conta com o Microsoft Defender para Aplicativos de Nuvem.
Seus analistas também podem revisar o número de telefone e o registro do dispositivo do método MFA para garantir que ele não foi sequestrado contatando o usuário e redefinindo essas informações conforme necessário.
Contas de Serviço
Devido ao alto risco de impacto sobre o serviço ou os negócios, seus analistas devem trabalhar com o proprietário da conta de serviço do registro, voltando às operações de TI conforme necessário, para organizar a correção rápida desses recursos.
Emails
Exclua os emails de ataque ou phishing e, às vezes, limpe-os para impedir que os usuários recuperem os emails excluídos. Sempre salve uma cópia do email original para pesquisa posterior durante as análise pós-ataque, como títulos, conteúdo e scripts ou anexos.
Outro
Você pode executar ações personalizadas com base na natureza do ataque, como revogar tokens de aplicativo e reconfigurar servidores e serviços.
2. Limpeza pós-incidente
Como você não se beneficia das lições aprendidas até alterar suas ações futuras, sempre integre todas as informações úteis aprendidas na investigação às suas SecOps.
Determine as conexões existentes entre incidentes passados e futuros cometidos pelos mesmos atores ou métodos de ameaça e capture esses aprendizados para evitar repetir trabalhos manuais e atrasos de análises no futuro.
Esses aprendizados podem assumir muitas formas, mas as práticas comuns incluem a análise de:
IoCs (Indicadores de Comprometimento).
Registre todos os IoCs aplicáveis, como hashes de arquivo, endereços IP mal-intencionados e atributos de email em seus sistemas de inteligência contra ameaças do SOC.
Vulnerabilidades desconhecidas ou sem patch.
Seus analistas podem iniciar processos para garantir que os patches de segurança ignorados sejam aplicados, que as configurações incorretas sejam corrigidas e que os fornecedores (incluindo a Microsoft) sejam informados sobre as vulnerabilidades do "dia zero" para que possam criar e distribuir patches de segurança.
Ações internas, como habilitar o registro em log sobre ativos que abrangem seus recursos locais e baseados em nuvem.
Revise suas linhas de base de segurança existentes e considere a possibilidade de adicionar ou alterar os controles de segurança. Por exemplo, confira o guia de operações de segurança do Microsoft Entra para obter informações sobre como habilitar o nível apropriado de auditoria no diretório antes que o próximo incidente ocorra.
Revise seus processos de resposta para identificar e resolver eventuais lacunas encontradas durante o incidente.
Recursos de resposta a incidentes
- Planejamento para o seu SOC
- Guias estratégicos para obter diretrizes detalhadas sobre como responder a métodos de ataque comuns
- Resposta a incidentes do Microsoft Defender XDR
- Microsoft Defender para Nuvem (Azure)
- Resposta a incidentes do Microsoft Sentinel
- O guia da equipe de Resposta a Incidentes da Microsoft compartilha as melhores práticas para equipes de segurança e líderes
- Os guias de Resposta a Incidentes da Microsoft ajudam as equipes de segurança a analisar atividades suspeitas
Principais recursos de segurança da Microsoft
| Recurso | Descrição |
|---|---|
| Relatório de Defesa Digital da Microsoft de 2023 | Um relatório que abrange aprendizados de especialistas em segurança, profissionais e consultores da Microsoft para capacitar pessoas de todos os lugares a se defenderem contra ameaças cibernéticas. |
| Arquiteturas de referência de segurança cibernética da Microsoft | Um conjunto de diagramas de arquitetura visual que mostram os recursos de segurança cibernética da Microsoft e a integração deles com as plataformas de nuvem da Microsoft, como Microsoft 365 e Microsoft Azure, bem como aplicativos e plataformas de nuvem de terceiros. |
| Download do infográfico Cada minuto importa | Uma visão geral de como a equipe de SecOps da Microsoft responde a incidentes para atenuar ataques contínuos. |
| Operações de segurança da Cloud Adoption Framework do Azure | Diretrizes estratégicas para líderes que estão estabelecendo ou modernizando uma função de operação de segurança. |
| Melhores práticas de segurança da Microsoft para operações de segurança | Como fazer o melhor uso do centro do SecOps para agir mais rapidamente que os invasores que visam sua organização. |
| Modelo de arquitetura de segurança de nuvem da Microsoft para arquitetos de IT | Segurança em serviços em nuvem da Microsoft e plataformas para acesso de identidade e dispositivo, proteção contra ameaças e proteção de informações. |
| Documentação de segurança da Microsoft | Diretrizes de segurança adicionais da Microsoft. |