Caso a sua empresa não esteja preparada para responder a incidentes de segurança, confira agora algumas dicas sobre como criar o seu plano de resposta. Vamos iniciar a elaboração do nosso plano de resposta a incidente criando quatro etapas:
1- Resposta
A primeira etapa deve tratar sobre como você irá responder a um incidente de segurança. Por exemplo, você pode desconectar o computador do ambiente de rede para coletar algumas informações importantes: nome do computador, endereço IP, sistema operacional, nível do service pack ou das correções aplicadas ao computador, serviços e processos que estão sendo executados, logs do firewall, DNS, aplicações, sistema operacional, etc.
É necessário conter o ataque para evitar que outros computadores ou sistemas sejam comprometidos. Sendo assim, é necessário aplicar novas configurações aos sistemas de firewall, roteadores, proxy, etc. Em alguns casos é necessário alterar a topologia da rede.
Observação: Antes de desconectar o computador da rede, verifique as conexões de rede que estão abertas, os arquivos utilizados e os processos em execução.
2- Investigação
A segunda etapa da resposta a incidente consiste na investigação das evidências e coleta de provas jurídicas. A equipe de resposta a incidente coloca em prática técnicas de perícia forense. Com o computador desconectado do ambiente computacional, é realizada uma imagem do hard disk (HD). Este procedimento é necessário para preservar as evidências e liberar o computador para a terceira etapa. Será identificado o tipo de ataque realizado, os arquivos alterados ou removidos, etc.
Durante a investigação é possível determinar a origem do ataque. É realizada uma correlação dos logs do ambiente computacional para determinar a origem do ataque.
3- Restauração
Nesta etapa, é necessário decidir como será realizada a restauração do computador. A “cena do crime” foi preservada na etapa de investigação e o computador precisa voltar a funcionar no ambiente computacional. Infelizmente, não podemos confiar em um computador que sofreu um incidente de segurança porque não sabemos quais foram as alterações realizadas pelo hacker. Na maioria dos casos, o melhor é instalar novamente o sistema operacional a partir de um CD-Rom. Dessa forma, vamos ter certeza que o computador está livre de vírus e trojans que poderiam ter sido instalados pelo hacker.
É importante lembrar que nesta etapa vamos precisar do backup do computador comprometido. Após a instalação do sistema operacional, é necessário restaurar o backup. Antes de finalizar a etapa de restauração do computador, a equipe de resposta a incidente deve corrigir a vulnerabilidade que causou o incidente.
4- Reportando o incidente
A última etapa do plano de resposta a incidente é a elaboração do relatório. Este documento deve conter informações relacionadas ao computador/sistema envolvido no incidente, tais como: quais senhas foram comprometidas, qual vulnerabilidade foi explorada, qual o número de usuários afetados pelo incidente, qual é a origem do ataque, quais arquivos foram comprometidos, qual foi a ferramenta utilizada pelo hacker, quais foram as alterações necessárias para conter o ataque, quais são as evidências encontradas no computador/sistema afetado, quais foram as pessoas que participaram da resposta ao incidente, etc.
Conclusão
Devido à inexistência de planos de resposta a incidente, muitas empresas destróem a “cena do crime” e perdem dinheiro devido aos incidentes de segurança que continuarem ocorrendo. As empresas devem realizar auditorias constantes nos principais ativos de TI com o objetivo de detectar a invasão ao ambiente computacional. Esta estratégia permitirá a resposta adequada em caso de um ataque bem sucedido e permitirá também melhorias nos processos de segurança da organização.
Denny Roger é especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de análise de riscos. Atualmente é consultor e palestrante internacional, além de atuar como professor convidado em cursos de segurança da informação.
Fonte: http://wnews.uol.com.br/site/colunas/materia.php?id_secao=9&id_conteudo=424
