Resposta a incidentes

backgroud-texture-bg-1

Compreendemos que os incidentes de segurança são inevitáveis, portanto, preparar-se adequadamente para tais incidentes é uma grande parte do que engloba uma boa segurança. Respaldadas pelo SophosLabs, uma equipe global voltada à ciência de dados e inteligência de ameaças, as soluções da Sophos nativas na nuvem e alimentadas por IA protegem as empresas contra ataques cibernéticos.

A Sophos é uma das 600.000 organizações protegidas pelos produtos da Sophos. Nossos planos focam em como nos comunicamos com segurança e confiabilidade durante um incidente, quais funções devemos responder eficientemente, como responderemos aos diferentes tipos de incidentes de acordo com a análise dos níveis de severidade e como notificar os clientes e as entidades reguladoras, conforme apropriado.

Desenvolvemos nossos planos com base nas orientações dispostas no Guia para tratamento de incidentes de segurança computacional NIST 800-61 e revisamos esses planos periodicamente quanto à conformidade com os padrões da indústria.

Nossos profissionais de segurança cibernética altamente qualificados desenvolvem e operam funcionalidades para resposta a incidentes de nível superior, incluindo monitoramento abrangente, detecções avançadas, automação de resposta, gerenciamento de incidentes, análise forense e acesso a especialistas externos. Acreditamos que, no papel de primeiro e mais frequente usuário dos produtos da Sophos, e somado ao nosso acesso a equipes de produtos e ao SophosLabs, estamos em uma situação única para poder responder a incidentes de segurança cibernética.

Apresentação do nosso programa de resposta a incidentes

Na Sophos, nossa missão é proteger as pessoas contra os crimes cibernéticos desenvolvendo produtos e serviços poderosos e intuitivos que oferecem a segurança cibernética mais eficiente do mundo para organizações de qualquer tamanho. A resposta eficiente à grande amplitude de incidentes potenciais de segurança é crítica para o sucesso da missão da Sophos. Em outras palavras: para proteger nossos clientes, o nosso programa de resposta a incidentes precisa proteger nossos produtos e nossa empresa.

A Sophos segue a definição da NIST 800-61 para incidente de segurança: “uma violação ou ameaça iminente às políticas de segurança computacional, políticas de uso aceitáveis ou práticas de segurança padrão”. Essa é uma definição intencionalmente superficial, de modo que possamos otimizá-la com um tempo rápido de resposta, identificação de áreas para melhorar e transparência ao cliente. Essa definição também abrange a identificação de vazamentos de dados, que não se incluem na definição de ataques confirmados.

Como identificamos incidentes

Existem várias formas que a Sophos usa para identificar ou averiguar incidentes de segurança. Isso inclui:

  • Recursos de monitoramento de segurança, regularmente encontrados em nossos produtos, ou métodos complementares que desenvolvemos.
  • Relatos recompensados de bugs.
  • Resultados de testes de penetração.
  • Análise de vulnerabilidade.
  • Análise de aplicativos e códigos.
  • Pesquisa e análise de inteligência de ameaça.
  • Notificações ao cliente.

Para relatar um possível incidente de segurança, consulte o nosso Programa de divulgação responsável.

Investigação e análise

Dando seguimento à detecção ou ao relatado verificado de um incidente, inicialmente utilizamos os canais de comunicação estabelecidos para facilitar o compartilhamento de informações entre os integrantes da equipe de resposta a incidentes.

A agenda padrão mínima de uma reunião de investigação e análise de resposta a um incidente segue esta sequência:

  • Estabelecer os fatos correntes.
  • Atualizar o status de ação.
  • Acordar as próximas ações.
  • Confirmar a avaliação do status da severidade do incidente: Sev 1/2/3.
  • Acordar a data/hora da próxima reunião.
  • Documentar em ata o cronograma do incidente, incluindo ações e decisões.

Avaliação de severidade

São quatro os níveis de severidade de um incidente.

Níveis de severidade de incidentes

SeveridadeDescrição
0Incidente crítico com impacto máximo.
1Incidente bastante sério com impacto muito alto.
2Incidente de grandes proporções com impacto significativo.
3Incidente pequeno com impacto baixo.


Nossos gerentes de resposta a incidentes determinam a severidade do incidente com base no impacto potencial à empresa e aos clientes. Utilizamos diversos critérios na avaliação da ameaça para determinar a severidade de um incidente, incluindo: impacto no cliente, impacto funcional, impacto na informação, capacidade de recuperação, quantidade e classificação dos dados, agente da ameaça e impacto nos negócios. A severidade do incidente é reavaliada nos principais pontos do processo de resposta e ajustada conforme necessário.

Funções e responsabilidades

No princípio de um incidente, um único gerente de resposta a incidentes é apontado de acordo com o nível de severidade atribuído ao incidente. Essa função pode alternar quando há cobertura 24/7. Ter um único gerente de resposta a incidentes nos dá uma direção clara para que possamos adotar uma medida imediata e comunicar com eficiência.

Dependendo da natureza do incidente, são necessárias diferentes funções. Algumas das funções mais comuns incluem:

Funções e responsabilidades por incidente

FunçãoResponsabilidade
Gerente de IRToma decisões sobre a classe de severidade, escalação, composição de toda a equipe de resposta a incidente, bem como inicia e executa a investigação.
Patrocinador executivoComunica-se com a equipe de gerenciamento sênior (SMT) conforme necessário e aprova as decisões de resposta a incidentes Sev 0/1.
Equipe de IREquipe interfuncional responsável por investigar, analisar e conter os incidentes de segurança cibernética.
Responsável pelo Programa IRResponsável pelo plano de resposta a incidentes e pelo preparo da equipe interfuncional, por manter o plano de resposta a incidentes e sua documentação em dia e pelas revisões regulares.
Proteção de dados e comunicação com clientesTomar decisões sobre notificações aos clientes e outros comunicados externos.


Contenção, erradicação e recuperação

O propósito da contenção é interromper os efeitos de um incidente antes que cause danos maiores. Uma vez que o incidente esteja contido, podemos direcionar nosso tempo para tratar do problema de forma mais ampla.

Após um incidente ser contido, será necessária a erradicação para eliminar componentes e efeitos colaterais do incidente. No caso de incidentes de segurança direcionados à Sophos, precisamos pensar em nossos ativos corporativos e também em nossos produtos, incluindo nossas ofertas de rede.

As tarefas comuns de erradicação incluem:

  • Configuração ou alteração de códigos ou aplicação de hot fixes.
  • Substituição ou desativação de sistemas.
  • Remoção de funcionalidades.
  • Limpeza de qualidade dos dados.
  • Desativação das contas violadas dos usuários.
  • Identificação e mitigação de todas as vulnerabilidades que foram exploradas.

Na recuperação, os engenheiros da Sophos restauram os sistemas para a sua operação normal, confirmam se os sistemas estão funcionando normalmente e, se aplicável, remediam vulnerabilidades para prevenir incidentes similares. Nossa cultura e abordagem à inovação como uma empresa de segurança e nuvem nos ajuda a acelerar o processo de recuperação. Contamos com recursos contínuos de integração e implantação que abrangem todas as nossas empresas. Nossos sistemas são reimplantados constantemente, com agilidade e rapidez.

Notificações ao cliente

A autenticidade é um dos valores da nossa empresa na Sophos. Esse lema, reforçado pela missão que a empresa tem de proteger, significa que notificaremos os clientes tão logo seja possível no caso de seus dados estarem envolvidos em um incidente e/ou violação confirmados.

Atividade pós-incidente

Assim que um incidente tiver sido tratado e resolvido, nos concentraremos em aprender com o incidente. Realizamos sessões post-mortem para debater sobre como lidamos com o incidente e qual a sua causa primária. Com base nessas conversas, ajustamos e aprimoramos os procedimentos de tratamento do incidente e aplicamos melhorias ao nosso perfil de segurança para prevenir e acelerar a detecção de incidentes similares no futuro.

Como usamos as nossas próprias ferramentas de resposta a incidentes

O Centro de operações de segurança global (GSOC) da Sophos monitora constantemente os alertas de nossa infraestrutura e busca por anomalias em todo o patrimônio digital. Fazemos isso através da implantação e monitoramento de várias ferramentas de detecção, incluindo uma suíte completa de produtos Sophos Next-Gen.

  • O Sophos Intercept X Advanced with EDR combina os recursos do Intercept X with Endpoint Detection and Response (EDR) em uma solução composta por um único agente para ajudar a lidar com uma ampla gama de ameaças. Com o Live Discover e o Live Response, podemos identificar rapidamente as ameaças, responder em minutos, criar instantâneos forenses remotamente e conter os problemas isolando os endpoints afetados. Podemos usar o recurso de instantâneo forense para identificar outros IOCs e artefatos. Esses artefatos de rede são então bloqueados pelo Sophos Firewall. Para saber mais sobre como utilizamos os dados de ameaças proporcionados pelo Intercept X, veja https://news.sophos.com/pt-br/2018/12/03/hunting-for-threats-with-intercept-x-and-the-windows-event-collector/
  • O Sophos Firewall examina o sistema de prevenção de invasão para ajudar a prevenir e detectar os recentes exploits de rede. Nossos firewalls permitem bloquear endereços IP, URLs e domínios maliciosos, bem como analisar arquivos suspeitos transferidos pela rede através do ambiente de nuvem seguro do SophosLabs. Em algumas áreas da rede, também implantamos o Modo de descoberta, no qual o firewall atua como um sensor de rede de eventos IDS e relata a atividade da rede.
  • Com cada vez mais cargas de trabalho transferidas para a nuvem, precisamos de uma ferramenta que nos dê visibilidade. Para isso, usamos o Sophos Optix, que nos ajuda a identificar e avaliar os serviços de nuvem que representam um risco aos negócios e, proativamente, notificar-nos sobre o comportamento suspeito. Isso nos permite responder rapidamente a questões‑chave, como: Quem é a pessoa responsável? Com quem se estabelece a comunicação? Quais são as funções e permissões em uso? Quais são as regras e grupos de segurança em uso? A capacidade de visualizar rapidamente a rede e as funções utilizadas por seus recursos permite uma identificação eficiente dos possíveis problemas.
  • A Sophos depende de uma amplitude de sistemas, e podemos coletar dados de vários produtos da Sophos e de outros provedores. Ainda que possa ser difícil obter informações contextuais sobre certos sistemas, durante a fase de detecção e análise de um incidente, torna-se imperativo que obtenhamos as informações certas o mais rápido e eficientemente possível para nos permitir tomar decisões bem fundamentadas. As APIs do Sophos Central nos dão o poder de fundir os benefícios do Sophos Central e de seus parceiros de integração: https://news.sophos.com/pt-br/2019/12/19/unlocking-the-power-of-sophos-central-api/.