Resposta a incidentes
Compreendemos que os incidentes de segurança são inevitáveis, portanto, preparar-se adequadamente para tais incidentes é uma grande parte do que engloba uma boa segurança. Respaldadas pelo SophosLabs, uma equipe global voltada à ciência de dados e inteligência de ameaças, as soluções da Sophos nativas na nuvem e alimentadas por IA protegem as empresas contra ataques cibernéticos.
A Sophos é uma das 600.000 organizações protegidas pelos produtos da Sophos. Nossos planos focam em como nos comunicamos com segurança e confiabilidade durante um incidente, quais funções devemos responder eficientemente, como responderemos aos diferentes tipos de incidentes de acordo com a análise dos níveis de severidade e como notificar os clientes e as entidades reguladoras, conforme apropriado.
Desenvolvemos nossos planos com base nas orientações dispostas no Guia para tratamento de incidentes de segurança computacional NIST 800-61 e revisamos esses planos periodicamente quanto à conformidade com os padrões da indústria.
Nossos profissionais de segurança cibernética altamente qualificados desenvolvem e operam funcionalidades para resposta a incidentes de nível superior, incluindo monitoramento abrangente, detecções avançadas, automação de resposta, gerenciamento de incidentes, análise forense e acesso a especialistas externos. Acreditamos que, no papel de primeiro e mais frequente usuário dos produtos da Sophos, e somado ao nosso acesso a equipes de produtos e ao SophosLabs, estamos em uma situação única para poder responder a incidentes de segurança cibernética.
Apresentação do nosso programa de resposta a incidentes
Na Sophos, nossa missão é proteger as pessoas contra os crimes cibernéticos desenvolvendo produtos e serviços poderosos e intuitivos que oferecem a segurança cibernética mais eficiente do mundo para organizações de qualquer tamanho. A resposta eficiente à grande amplitude de incidentes potenciais de segurança é crítica para o sucesso da missão da Sophos. Em outras palavras: para proteger nossos clientes, o nosso programa de resposta a incidentes precisa proteger nossos produtos e nossa empresa.
A Sophos segue a definição da NIST 800-61 para incidente de segurança: “uma violação ou ameaça iminente às políticas de segurança computacional, políticas de uso aceitáveis ou práticas de segurança padrão”. Essa é uma definição intencionalmente superficial, de modo que possamos otimizá-la com um tempo rápido de resposta, identificação de áreas para melhorar e transparência ao cliente. Essa definição também abrange a identificação de vazamentos de dados, que não se incluem na definição de ataques confirmados.
Como identificamos incidentes
Existem várias formas que a Sophos usa para identificar ou averiguar incidentes de segurança. Isso inclui:
- Recursos de monitoramento de segurança, regularmente encontrados em nossos produtos, ou métodos complementares que desenvolvemos.
- Relatos recompensados de bugs.
- Resultados de testes de penetração.
- Análise de vulnerabilidade.
- Análise de aplicativos e códigos.
- Pesquisa e análise de inteligência de ameaça.
- Notificações ao cliente.
Para relatar um possível incidente de segurança, consulte o nosso Programa de divulgação responsável.
Investigação e análise
Dando seguimento à detecção ou ao relatado verificado de um incidente, inicialmente utilizamos os canais de comunicação estabelecidos para facilitar o compartilhamento de informações entre os integrantes da equipe de resposta a incidentes.
A agenda padrão mínima de uma reunião de investigação e análise de resposta a um incidente segue esta sequência:
- Estabelecer os fatos correntes.
- Atualizar o status de ação.
- Acordar as próximas ações.
- Confirmar a avaliação do status da severidade do incidente: Sev 1/2/3.
- Acordar a data/hora da próxima reunião.
- Documentar em ata o cronograma do incidente, incluindo ações e decisões.
Avaliação de severidade
São quatro os níveis de severidade de um incidente.
Níveis de severidade de incidentes
| Severidade | Descrição |
|---|---|
| 0 | Incidente crítico com impacto máximo. |
| 1 | Incidente bastante sério com impacto muito alto. |
| 2 | Incidente de grandes proporções com impacto significativo. |
| 3 | Incidente pequeno com impacto baixo. |
Nossos gerentes de resposta a incidentes determinam a severidade do incidente com base no impacto potencial à empresa e aos clientes. Utilizamos diversos critérios na avaliação da ameaça para determinar a severidade de um incidente, incluindo: impacto no cliente, impacto funcional, impacto na informação, capacidade de recuperação, quantidade e classificação dos dados, agente da ameaça e impacto nos negócios. A severidade do incidente é reavaliada nos principais pontos do processo de resposta e ajustada conforme necessário.
Funções e responsabilidades
No princípio de um incidente, um único gerente de resposta a incidentes é apontado de acordo com o nível de severidade atribuído ao incidente. Essa função pode alternar quando há cobertura 24/7. Ter um único gerente de resposta a incidentes nos dá uma direção clara para que possamos adotar uma medida imediata e comunicar com eficiência.
Dependendo da natureza do incidente, são necessárias diferentes funções. Algumas das funções mais comuns incluem:
Funções e responsabilidades por incidente
| Função | Responsabilidade |
|---|---|
| Gerente de IR | Toma decisões sobre a classe de severidade, escalação, composição de toda a equipe de resposta a incidente, bem como inicia e executa a investigação. |
| Patrocinador executivo | Comunica-se com a equipe de gerenciamento sênior (SMT) conforme necessário e aprova as decisões de resposta a incidentes Sev 0/1. |
| Equipe de IR | Equipe interfuncional responsável por investigar, analisar e conter os incidentes de segurança cibernética. |
| Responsável pelo Programa IR | Responsável pelo plano de resposta a incidentes e pelo preparo da equipe interfuncional, por manter o plano de resposta a incidentes e sua documentação em dia e pelas revisões regulares. |
| Proteção de dados e comunicação com clientes | Tomar decisões sobre notificações aos clientes e outros comunicados externos. |
Contenção, erradicação e recuperação
O propósito da contenção é interromper os efeitos de um incidente antes que cause danos maiores. Uma vez que o incidente esteja contido, podemos direcionar nosso tempo para tratar do problema de forma mais ampla.
Após um incidente ser contido, será necessária a erradicação para eliminar componentes e efeitos colaterais do incidente. No caso de incidentes de segurança direcionados à Sophos, precisamos pensar em nossos ativos corporativos e também em nossos produtos, incluindo nossas ofertas de rede.
As tarefas comuns de erradicação incluem:
- Configuração ou alteração de códigos ou aplicação de hot fixes.
- Substituição ou desativação de sistemas.
- Remoção de funcionalidades.
- Limpeza de qualidade dos dados.
- Desativação das contas violadas dos usuários.
- Identificação e mitigação de todas as vulnerabilidades que foram exploradas.
Na recuperação, os engenheiros da Sophos restauram os sistemas para a sua operação normal, confirmam se os sistemas estão funcionando normalmente e, se aplicável, remediam vulnerabilidades para prevenir incidentes similares. Nossa cultura e abordagem à inovação como uma empresa de segurança e nuvem nos ajuda a acelerar o processo de recuperação. Contamos com recursos contínuos de integração e implantação que abrangem todas as nossas empresas. Nossos sistemas são reimplantados constantemente, com agilidade e rapidez.
Notificações ao cliente
A autenticidade é um dos valores da nossa empresa na Sophos. Esse lema, reforçado pela missão que a empresa tem de proteger, significa que notificaremos os clientes tão logo seja possível no caso de seus dados estarem envolvidos em um incidente e/ou violação confirmados.
Atividade pós-incidente
Assim que um incidente tiver sido tratado e resolvido, nos concentraremos em aprender com o incidente. Realizamos sessões post-mortem para debater sobre como lidamos com o incidente e qual a sua causa primária. Com base nessas conversas, ajustamos e aprimoramos os procedimentos de tratamento do incidente e aplicamos melhorias ao nosso perfil de segurança para prevenir e acelerar a detecção de incidentes similares no futuro.
Como usamos as nossas próprias ferramentas de resposta a incidentes
O Centro de operações de segurança global (GSOC) da Sophos monitora constantemente os alertas de nossa infraestrutura e busca por anomalias em todo o patrimônio digital. Fazemos isso através da implantação e monitoramento de várias ferramentas de detecção, incluindo uma suíte completa de produtos Sophos Next-Gen.
- O Sophos Intercept X Advanced with EDR combina os recursos do Intercept X with Endpoint Detection and Response (EDR) em uma solução composta por um único agente para ajudar a lidar com uma ampla gama de ameaças. Com o Live Discover e o Live Response, podemos identificar rapidamente as ameaças, responder em minutos, criar instantâneos forenses remotamente e conter os problemas isolando os endpoints afetados. Podemos usar o recurso de instantâneo forense para identificar outros IOCs e artefatos. Esses artefatos de rede são então bloqueados pelo Sophos Firewall. Para saber mais sobre como utilizamos os dados de ameaças proporcionados pelo Intercept X, veja https://news.sophos.com/pt-br/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/
- O Sophos Firewall examina o sistema de prevenção de invasão para ajudar a prevenir e detectar os recentes exploits de rede. Nossos firewalls permitem bloquear endereços IP, URLs e domínios maliciosos, bem como analisar arquivos suspeitos transferidos pela rede através do ambiente de nuvem seguro do SophosLabs. Em algumas áreas da rede, também implantamos o Modo de descoberta, no qual o firewall atua como um sensor de rede de eventos IDS e relata a atividade da rede.
- Com cada vez mais cargas de trabalho transferidas para a nuvem, precisamos de uma ferramenta que nos dê visibilidade. Para isso, usamos o Sophos Optix, que nos ajuda a identificar e avaliar os serviços de nuvem que representam um risco aos negócios e, proativamente, notificar-nos sobre o comportamento suspeito. Isso nos permite responder rapidamente a questões‑chave, como: Quem é a pessoa responsável? Com quem se estabelece a comunicação? Quais são as funções e permissões em uso? Quais são as regras e grupos de segurança em uso? A capacidade de visualizar rapidamente a rede e as funções utilizadas por seus recursos permite uma identificação eficiente dos possíveis problemas.
- A Sophos depende de uma amplitude de sistemas, e podemos coletar dados de vários produtos da Sophos e de outros provedores. Ainda que possa ser difícil obter informações contextuais sobre certos sistemas, durante a fase de detecção e análise de um incidente, torna-se imperativo que obtenhamos as informações certas o mais rápido e eficientemente possível para nos permitir tomar decisões bem fundamentadas. As APIs do Sophos Central nos dão o poder de fundir os benefícios do Sophos Central e de seus parceiros de integração: https://news.sophos.com/pt-br/2019/12/19/unlocking-the-power-of-sophos-central-api/.