Get best of the week

Sistemas de classe da plataforma de resposta a incidentes: aplicativo e funções principais

Amigos, em uma publicação anterior , analisamos documentos internacionais sobre gerenciamento de riscos à segurança da informação e, em artigos anteriores, examinamos os conceitos básicos de segurança da informação, discutimos legislação no campo da proteção de dados pessoais e infraestrutura crítica de informações . Neste artigo, passamos ao plano prático e falamos sobre sistemas de IRP projetados para simplificar e automatizar os procedimentos para responder a incidentes de segurança da informação. Vamos começar!

imagem

Introdução


Como sabemos, no momento, o número de incidentes de SI, especialmente em grandes empresas, é bastante grande e, quando eles respondem, a pontuação é literalmente minutos. Além disso, nem todos podem contratar um grande número de especialistas altamente qualificados.

Surge a pergunta: como ajudar os analistas de SI (principalmente em L1 e L2) a responder a incidentes e remover a carga rotineira de realizar operações semelhantes?

Imagine uma situação em que o sistema SIEM mostre que existe um possível ataque ao sistema financeiro de serviços bancários remotos. Os invasores podem roubar dinheiro das contas da empresa a qualquer momento e, depois disso, será difícil devolvê-lo. Tendo visto esse incidente, o analista do SOC deve coletar uma grande quantidade de informações de suporte, como o nome do servidor atacado, o nome do sistema financeiro, esclarecer o nome e os detalhes de contato da pessoa responsável e obter informações adicionais dele. Se não houver dúvida de que esse incidente é de "combate" e não é falso positivo, o analista precisa isolar o servidor atacado da rede da empresa o mais rápido possível, bloquear a conta comprometida,relate o incidente ao líder e a outras pessoas de acordo com a matriz de comunicação.

Como você pode ver, existem muitas tarefas e todas devem ser concluídas dentro do tempo alocado pelos padrões e KPI, por exemplo, em 10 minutos. E então, a Plataforma de Resposta a Incidentes (IRP), um sistema para automatizar a resposta a incidentes de segurança da informação, pode ajudar o nosso analista. O sistema IRP ajuda a executar várias operações de rotina para coletar informações adicionais, tomar ações urgentes para conter (conter em inglês) e eliminar ameaças (erradicar em inglês), restaurar (recuperar em inglês) o sistema atacado, notificar as partes interessadas e também coletar e estruturar dados Incidentes de segurança da informação investigados. Além disso, o IRP permite automatizar e automatizar o mesmo tipo de ação do especialista em operador de SI, que ele executa em resposta a incidentes de segurança da informação,o que ajuda a reduzir a carga de trabalho do funcionário em termos de execução de operações de rotina. Vamos nos debruçar com mais detalhes sobre as tarefas de resposta a incidentes de segurança da informação executados pelos sistemas de IRP.

Processos de resposta a incidentes de SI


Para entender como e onde aplicar e implementar corretamente os sistemas de IRP, devemos ver o processo de resposta a incidentes de segurança da informação em geral e pensar em como automatizá-lo. Para fazer isso, passamos ao NIST SP 800-61 , Guia de tratamento de incidentes de segurança de computadores . De acordo com ele, a resposta a incidentes de SI consiste em vários processos inter-relacionados:

  1. Treinamento
  2. Detecção
  3. Análise
  4. Contenção / Localização
  5. Eliminação
  6. Recuperação
  7. Ações pós-incidente

Considere esses processos com mais detalhes no contexto do uso de sistemas IRP para sua automação.

1. Preparação


A fase de preparação é preliminar e uma das principais. Nesse estágio, todo o trabalho organizacional deve ser realizado para que as ações da equipe de resposta a incidentes de SI sejam documentadas e acordadas. As políticas, procedimentos e instruções de resposta devem ser o mais claras, detalhadas e convenientes possível, para que, no caso de um incidente de alta prioridade, os analistas da equipe de resposta tenham um entendimento preciso do que deve ser feito em uma determinada situação. Você deve realizar treinamentos regularmente para executar as etapas definidas nos documentos escritos, bem como treinar o pessoal da empresa e a equipe de resposta nas ações técnicas e organizacionais corretas durante o incidente.

No estágio de preparação, playbooks ou runbooks também são criados e configurados - scripts de resposta, segundo os quais a equipe de resposta e o sistema IRP executam ações predefinidas, dependendo dos detalhes do incidente. Por exemplo, no caso de um incidente de IS de alta prioridade em um sistema particularmente crítico, de acordo com o manual, um membro da equipe de resposta deve entrar em contato com o líder e a pessoa responsável pelo sistema, e a plataforma IRP deve comandar para isolar esse sistema da rede da empresa para outros procedimentos.

Além disso, na fase preparatória, você deve fornecer à equipe de resposta a incidentes todo o software e hardware necessários (por exemplo, fornecer laptops, smartphones, instalar os utilitários necessários neles) e tomar ações preventivas para evitar incidentes (proteger a rede e os dispositivos da empresa, estabelecer ferramentas de segurança da informação, treinar funcionários no básico da segurança da informação). No momento, a plataforma IRP está ajustada para uso efetivo: sistemas de TI e ferramentas de segurança estão conectados a ela, com os quais eles interagirão para responder a incidentes. Como regra, eles fornecem a conexão dos sistemas capazes de fornecer ao especialista informações adicionais no contexto do incidente, por exemplo, informações sobre os usuários afetados pelo incidente (detalhes de contato, posição, unidade estrutural,autoridade) e dispositivos (tipo de sistema operacional, software instalado, função executada). Além disso, estão conectadas ferramentas de segurança que, como parte da resposta a incidentes, realizarão tarefas para conter e eliminar ameaças, por exemplo, ferramentas de proteção de terminais, firewalls e sistemas de gerenciamento de rede.

Assim, quando ocorrer um incidente de segurança da informação, a empresa deverá estar totalmente armada: os especialistas em resposta e o sistema IRP deverão estar em plena prontidão de combate. Isso garante que, mesmo que ocorra um incidente, ele possa ser localizado rapidamente e suas consequências não serão excessivamente destrutivas.

2. Detecção


No estágio de detecção, deve-se determinar a lista de possíveis tipos de incidentes de SI e formular uma lista de sinais de possíveis incidentes. Os sinais podem ser divididos em precursores e indicadores de incidentes de segurança da informação:

  • um precursor é um sinal de que um incidente de segurança da informação pode ocorrer no futuro;
  • um indicador é um sinal de que um incidente já ocorreu ou está ocorrendo no momento.

Exemplos de precursores de incidentes de segurança da informação podem ser uma verificação fixa na Internet das portas abertas do servidor da empresa ou a detecção de vulnerabilidades em alguns sistemas de TI. Exemplos de indicadores de incidentes de segurança da informação podem incluir a aparência de mensagens de ferramentas de proteção (antivírus, firewall etc.) sobre um possível ataque, exclusão ou modificação não autorizada de dados, aparência de erros e mau funcionamento na operação de sistemas de TI. Deve-se prestar atenção às anomalias no tráfego de rede: explosões inesperadas de um determinado tipo de tráfego (por exemplo, DNS) podem indicar atividade maliciosa. O comportamento atípico do usuário também deve ser analisado: uma conexão remota após horas de um local incomum pode ser um sinal de comprometimento da conta. Para,Para maximizar o uso do sistema IRP no estágio de detecção, você deve integrar a plataforma IRP ao sistema SIEM: este pacote fornecerá uma transferência "perfeita" de precursores e indicadores de incidentes de sistemas de TI e equipamentos de segurança da empresa via SIEM diretamente para o sistema IRP, o que permitirá detectar rapidamente incidentes e tomar medidas adequadas para responder a eles no futuro.

3. Análise


Durante a fase de análise de incidentes, o principal ônus recai sobre a experiência e os conhecimentos do analista - ele terá que decidir se o incidente registrado foi "combate" ou se foi um falso positivo. A identificação e o processamento inicial devem ser realizados (triagem): para determinar o tipo de incidente e categorizá-lo. Em seguida, são determinados indicadores de comprometimento (IoCs), analisada a possível escala do incidente e os componentes da infraestrutura afetada, sendo realizada uma pesquisa forense limitada para esclarecer o tipo de incidente e possíveis etapas adicionais de resposta.

Nesta fase, a plataforma IRP fornecerá assistência inestimável, pois pode fornecer informações contextuais importantes relacionadas ao incidente. Aqui está um exemplo: o sistema SIEM relata que o servidor da empresa foi atacado e a vulnerabilidade usada se aplica apenas ao Windows. O analista, olhando para o console do IRP, verá imediatamente que o servidor da Web atacado está sendo executado no Linux; portanto, o ataque não teve êxito. Outro exemplo: um sistema antivírus em um dos laptops relatou uma infecção por vírus e o acesso subsequente a determinados endereços IP. O analista, usando os dados do sistema IRP, verá que uma atividade de rede semelhante também é observada em vários outros dispositivos na rede da empresa, o que não significa um único vírus, mas uma infecção maciça.O incidente receberá um status de prioridade mais alta, será escalado de acordo com a matriz de escalonamento e recursos adicionais serão direcionados para sua eliminação. A plataforma IRP ajudará a registrar todas as ações executadas como parte da resposta, além de automatizar a comunicação e a escalada do incidente.

4. Contenção / localização


No estágio de contenção (ou localização) de um incidente, a principal tarefa é minimizar rapidamente o dano potencial de um incidente de IS e fornecer uma janela de tempo para tomar uma decisão sobre a eliminação da ameaça. Isso pode ser alcançado, por exemplo, ativando rapidamente regras proibitivas mais rigorosas no firewall para um dispositivo infectado, isolando o host infectado da rede local da empresa, desconectando alguns dos serviços e funções ou, finalmente, desligando completamente o dispositivo infectado.

Nesse estágio, são usadas informações sobre o incidente obtido no estágio de análise, bem como informações sobre qual a função do ativo de TI afetado pelo incidente, porque, por exemplo, desligar um servidor crítico pode levar a consequências negativas mais significativas para a empresa do que simplesmente reiniciar um servidor não crítico. serviço nele. Nessa situação, a plataforma IRP informará novamente quais funções o servidor executa, como e quando pode ser desligado ou isolado (desde que essas informações tenham sido inseridas no IRP no estágio de preparação). Além disso, nos manuais do sistema IRP, os cenários de contenção aplicáveis ​​a cada tipo específico de incidente também devem ser incluídos na fase de preparação. Por exemplo, no caso de um ataque DDoS, pode não fazer sentido desativar os servidores atacados,e em caso de infecção por vírus em um segmento de rede, você não pode isolar dispositivos em outro segmento. No estágio de contenção, também é realizada uma análise dos detalhes do ataque: qual sistema foi atacado pela primeira vez, quais táticas, técnicas e procedimentos foram usados ​​pelos atacantes, quais servidores de equipe são usados ​​nesse ataque etc. As informações indicadas serão coletadas pelo sistema IRP: integração com fontes de inteligência cibernética (feeds Eng. Threat Intelligence) e mecanismos de pesquisa especializados (por exemplo,integração com fontes de inteligência cibernética (feeds da Eng. Threat Intelligence) e mecanismos de pesquisa especializados (por exemplo,integração com fontes de inteligência cibernética (feeds da Eng. Threat Intelligence) e mecanismos de pesquisa especializados (por exemplo,VirusTotal , Shodan , Censys etc.) fornecerão uma imagem mais clara e enriquecida do incidente, o que ajudará a lidar com ele de maneira mais eficaz. Em alguns casos, também pode ser necessário obter dados forenses para análises forenses subseqüentes, e a plataforma IRP ajudará a coletar essas informações dos dispositivos atacados.

5. Remédio


Na fase de eliminação do incidente, já são tomadas medidas ativas para remover a ameaça da rede e impedir um novo ataque: o malware é removido, as contas invadidas são alteradas (podem ser temporariamente bloqueadas, a senha pode ser alterada ou, por exemplo, renomeada), atualizações e patches para vulnerabilidades exploradas são instalados, alterados Configurações de segurança (por exemplo, para bloquear o endereço IP de crackers). As ações indicadas são executadas para todas as entidades afetadas pelo incidente - tanto para dispositivos quanto para contas e para programas.

É extremamente importante eliminar cuidadosamente as vulnerabilidades usadas pelos criminosos cibernéticos, pois na maioria das vezes, após invadir com êxito uma empresa, os hackers retornam na esperança de explorar as mesmas deficiências de sua proteção. Durante esse processo, a plataforma IRP fornecerá os comandos necessários aos meios de proteção e coletará os dados ausentes sobre todos os dispositivos afetados pelo incidente. Assim, a velocidade de resposta a um incidente de segurança da informação em termos de eliminação da ameaça em si aumenta significativamente ao usar um sistema IRP, que será uma excelente ferramenta para analistas de segurança da informação.

6. Recuperação


No estágio de recuperação, verifique a confiabilidade das medidas de proteção adotadas, retorne os sistemas à operação normal (negócios como de costume), possivelmente restaurando alguns sistemas a partir de backups ou instalando e configurando-os novamente. Nesse estágio, os sistemas de IRP ajudarão a lembrar todos os dispositivos envolvidos no incidente e a cronologia dos eventos, pois esses dados são armazenados e acumulados no IRP durante todo o ciclo de investigação de incidentes.

7. Atividades pós-incidentes


No estágio das atividades pós-incidente (análise pós-raiz), a análise da causa raiz deve ser analisada para minimizar a probabilidade de um incidente semelhante no futuro novamente, assim como para avaliar a correção e a pontualidade das ações de pessoal e equipamento de proteção e, possivelmente, otimizar alguns procedimentos de resposta e políticas de SI. No caso de um incidente sério, uma varredura extraordinária da infraestrutura deve ser realizada em busca de vulnerabilidades, um teste de caneta e / ou uma auditoria não programada da segurança da informação.

Será lógico usar a base de conhecimento agregada para manter a experiência de resposta acumulada, o que também pode ser feito na plataforma IRP, que já armazena informações detalhadas sobre os incidentes de segurança da informação e sobre as medidas de resposta adotadas. Em alguns casos, é necessário um relatório oficial de incidente, especialmente se houver dados importantes sérios ou afetados: por exemplo, informações sobre incidentes de computadores na infraestrutura de informações críticas devem ser enviadas ao sistema estadual da SSSOPKA. Para tais fins, alguns sistemas domésticos de IRP possuem uma API para trabalhar com o SOPKA do Estado e a capacidade de gerar automaticamente relatórios de incidentes com base em modelos pré-criados. Como você pode verO IRP também é um repositório universal de informações sobre incidentes de segurança da informação, com a capacidade de robotizar a rotina de um especialista em segurança da informação.


Resumir. Os sistemas IRP são ferramentas automatizadas de resposta a incidentes de segurança da informação que implementam contramedidas para combater ameaças à segurança da informação de acordo com cenários de resposta predefinidos. Os cenários de resposta são chamados de playbooks ou runbooks e representam um conjunto de tarefas automatizadas para detectar ameaças e anomalias na infraestrutura protegida, respondendo e contendo ameaças em tempo real. Os cenários de resposta agem com base em regras personalizáveis ​​e tipos de incidentes, executando determinadas ações, dependendo dos dados recebidos de equipamentos de segurança ou sistemas de informação. As plataformas de IRP ajudam a conduzir uma resposta estruturada e registrada em diário a incidentes de segurança da informação com base em regras e políticas.Após a conclusão da resposta ao incidente, a plataforma IRP ajudará a criar um relatório sobre o incidente e as ações tomadas para eliminá-lo.

Resumindo o exposto, podemos concluir que o sistema IRP é uma plataforma de resposta a incidentes de segurança cibernética projetada para proteger as informações sistematizando dados sobre incidentes de segurança da informação e robotizando as ações do analista de segurança da informação. Graças às plataformas IRP, as equipes de resposta a incidentes de segurança da informação podem economizar significativamente tempo e esforço na investigação de incidentes de segurança da informação, o que aumenta diretamente a eficiência operacional dos departamentos de segurança da informação e dos centros SOC.

More articles:


All Articles