CIS Control 17. Gestão de Resposta a Incidentes

O Centro para Segurança da Internet (CIS) oferece Critical Security Controls (CSCs) que ajudam organizações a melhorar a cibersegurança. O CIS CSC 17 abrange resposta a incidentes e gestão. (Em versões anteriores dos CIS controls, o tratamento de incidentes de segurança estava coberto no Controle 19.)

O CIS CSC 17 concentra-se em como desenvolver um plano para responder a ataques e outros incidentes de segurança, incluindo a importância de definir papéis claros para os responsáveis pelas diversas tarefas envolvidas.

As recomendações ajudam a melhorar a capacidade de resposta. No entanto, as empresas também podem usar o Guia de Resposta a Incidentes de Cibersegurança do Council of Registered Security Testers (CREST) para um plano de segurança e resposta a incidentes mais eficaz.

Antes de aprofundar nas salvaguardas de resposta a incidentes e controle de gestão, é essencial entender o que pode ser qualificado como um incidente.

Eventos de segurança e incidentes de segurança: Qual é a diferença?

Um evento de segurança e um incidente de segurança são duas coisas diferentes na linguagem da segurança da informação. Incidentes de segurança geralmente resultam de eventos de segurança que não foram tratados a tempo. Por exemplo, uma alteração inadequada na configuração de um controle de acesso, como um GPO ou um grupo de segurança, é um evento de segurança. Quando um hacker explora essa mudança de configuração para roubar dados dos sistemas de informação, isso é um incidente de segurança. Incidentes ocorrem muito menos frequentemente do que eventos e podem ser muito mais prejudiciais. Simplificando, um incidente é um evento com consequências danosas.

Para uma gestão eficaz de resposta a incidentes, uma equipe designada deve criar um plano de resposta detalhado para todos os incidentes de segurança conhecidos, incluindo pessoal designado e capacidades de recuperação. Ter um plano sólido ajuda a abordar questões de segurança como a integridade dos dados, bem como a conformidade com mandatos de proteção de dados e outras regulamentações.

Aqui estão as nove salvaguardas do controle de resposta a incidentes da CIS:

17.1. Designar Pessoal para Gerenciar o Tratamento de Incidentes

Esta salvaguarda sugere designar um contato principal e um substituto para gerenciar o processo de tratamento de incidentes, incluindo coordenar e documentar os esforços de resposta e recuperação de incidentes. Esta designação deve ser revisada anualmente e sempre que mudanças significativas impactarem a segurança.

O contato principal pode ser um funcionário dentro da empresa ou um fornecedor terceirizado. Ambas as abordagens têm seus prós e contras. Ter um funcionário como o gerente principal garante que o gerenciamento de resposta permaneça dentro da organização, mas, dependendo do tamanho da organização, a tarefa pode ser demais para um único funcionário. Um terceiro especializado em gerenciamento de segurança pode lidar melhor com um incidente de segurança. Se um terceiro é designado para avaliação de risco e resposta a incidentes, a salvaguarda recomenda ter pelo menos uma pessoa dentro da organização para fornecer supervisão.

17.2. Estabelecer e Manter Informações de Contato para Relatar Incidentes de Segurança

É importante manter informações de contato precisas para todas as partes que devem receber informações sobre incidentes de segurança. Os detalhes de contato dessas partes devem ser facilmente e rapidamente acessíveis. A lista pode ser organizada com base na prioridade.

A lista geralmente inclui aqueles responsáveis pela gestão de resposta e aqueles com o poder de tomar decisões significativas. Uma equipe de resposta a incidentes também pode precisar informar às autoridades policiais, fornecedores parceiros, provedores de seguro cibernético ou ao público.

Deve haver mecanismos estabelecidos para contatar e informar as partes relevantes sobre um incidente prontamente. Automatizar o processo de notificação de incidentes pode ajudar.

As informações de contato devem ser atualizadas uma vez por ano ou com mais frequência para garantir que as notificações alcancem todas as partes relevantes.

17.3. Estabelecer e Manter um Processo Empresarial para Relatar Incidentes

A salvaguarda anterior diz respeito a quem deve ser informado sobre incidentes. Esta salvaguarda aborda como os incidentes devem ser relatados, incluindo o prazo para relatar, mecanismos de relatório e as informações a serem relatadas (como o tipo de incidente, hora, nível de ameaça, sistema ou software impactado, registros de auditoria, etc.)

Ter um fluxo de trabalho de relatórios documentado facilita para qualquer pessoa que esteja aprendendo sobre um incidente informar o pessoal adequado de maneira oportuna e eficaz. Este processo deve estar disponível para toda a força de trabalho e ser revisado anualmente e sempre que ocorrerem mudanças significativas que possam impactar a segurança.

17.4. Estabeleça e Mantenha um Processo de Resposta a Incidentes

Esta salvaguarda exige a criação de um roteiro para resposta a incidentes, definindo papéis e responsabilidades, planos de comunicação e segurança, e requisitos de conformidade. Sem tarefas atribuídas e instruções claras, as partes podem pensar que alguém está lidando com uma tarefa específica quando, na verdade, ninguém está.

O processo de resposta deve esboçar amplamente os passos, incluindo monitoramento e identificação da ameaça cibernética associada ao incidente, definindo os objetivos para o manejo do incidente e agindo para prevenir danos ou recuperar ativos. Muitas equipes de resposta a incidentes usam jump kits que contêm recursos necessários para investigar e responder a incidentes, como computadores, dispositivos de backup, câmeras, impressoras portáteis e software de perícia digital como analisadores de protocolo.

Geralmente, o primeiro passo é determinar a natureza do incidente para que os procedimentos de resposta adequados possam ser implementados. Com objetivos claros em mente, as equipes podem fazer esforços para desacelerar a ameaça. Em seguida, podem tomar as medidas apropriadas com base em seu plano de ação documentado para lidar com o incidente e reverter quaisquer danos.

Este processo deve ser revisado uma vez por ano e sempre que mudanças significativas possam impactar a segurança.

17.5. Atribuir Papéis e Responsabilidades Principais

Conforme delineado na salvaguarda anterior, os responsáveis pela resposta a incidentes devem conhecer seu papel nos procedimentos de resposta. Atribua papéis e responsabilidades chave a diferentes indivíduos ou equipes conforme aplicável. Isso pode incluir a equipe de segurança (respondedores a incidentes), administradores de sistema, equipe jurídica, relações públicas (RP) e membros da equipe de recursos humanos (RH), e analistas. Claro, as equipes de segurança e TI terão a maior parte das responsabilidades em caso de um incidente de cibersegurança. No entanto, outro pessoal essencial, como aqueles nos departamentos jurídico ou de RH, também devem conhecer suas funções.

A lista de funções e responsabilidades correspondentes deve ser revisada e atualizada anualmente e sempre que ocorrer uma mudança significativa.

17.6. Defina Mecanismos para Comunicação Durante a Resposta a Incidentes

A comunicação é vital quando se trata de relatar e avaliar incidentes. Enquanto as outras salvaguardas definem o que comunicar e quem comunicar, esta salvaguarda define como comunicar. Deve haver canais de comunicação pré-definidos como e-mail ou telefone.

Devem ser definidos também planos de contingência. Por exemplo, um incidente grave pode tornar a comunicação por e-mail impossível. Portanto, deve haver outro mecanismo de comunicação para informar as partes necessárias e dar atualizações sobre a resposta ao incidente.

17.7. Realize Exercícios Rotineiros de Resposta a Incidentes

Também é importante preparar-se para incidentes reais realizando exercícios e cenários de resposta a incidentes de rotina para o pessoal chave. Esses exercícios testarão e auditarão os diferentes aspectos do plano e procedimentos de resposta a incidentes, como canais de comunicação, fluxos de trabalho e investigações. Por exemplo, pratique a resposta a incidentes de rede que interrompem o fluxo crítico de informações na organização. Realize esses exercícios pelo menos uma vez por ano.

As equipes podem usar o NIST Technical Guide to Security Testing and Assessment para formular exercícios práticos.

17.8. Realizar Revisões Pós-Incidente

Após cada incidente, as organizações precisam investigar tanto o incidente quanto a resposta a ele. Devem designar o pessoal responsável por realizar esta análise e criar um relatório pós-incidente para identificar ações de seguimento e erros.

O relatório pós-incidente deve responder a perguntas como:

• O que aconteceu exatamente?
• O que causou isso?
• Como o pessoal responsável respondeu?
• Quanto tempo levou a resposta?
• O procedimento de resposta foi adequado?
• O que poderia ter sido feito melhor?
• As informações no relatório de incidente foram suficientes?
• O que poderia ter sido feito de maneira diferente?
• Quais medidas podem prevenir tais incidentes no futuro?

17.9. Estabeleça e Mantenha Limiares de Incidentes de Segurança

Esta salvaguarda ajuda as organizações a distinguir incidentes de segurança de eventos de segurança. Ao definir diferentes incidentes e seus impactos, as organizações podem garantir que seus recursos sejam direcionados para incidentes críticos e não apenas para eventos anômalos menores. Além disso, ajuda a criar um sistema de prioridades para os incidentes, de modo que os respondentes saibam quando reagir e como responder.

Identificar e classificar incidentes pode padronizar os procedimentos de resposta daqui para frente. A organização deve atualizar seus limiares para incluir novas ameaças internas e externas que se qualificam como incidentes.

Resumo

As nove salvaguardas do CIS CSC 17 ajudam as organizações a implementar uma gestão de resposta a incidentes eficaz, incluindo a atribuição de funções, gestão de contatos, prática de cenários e análise e documentação de incidentes.