Guia para um manual de RI eficaz

Vamos imaginar que você está em um dia normal de trabalho, o telefone toca e você recebe a notícia: um incidente de segurança cibernética acaba de explodir, o relógio está correndo, o tempo é crítico.
O que fazemos agora? Essa é a pergunta que os outros nos fazem sem saber que também não temos certeza de como agir. Somos tomados pela urgência, todas as lembranças de nossos anos de experiência ficam embaçadas, todas as anotações que fizemos durante anos de aulas e treinamentos ficam fora de alcance, tomamos a decisão: CUT OFF TURN OFF

Acordamos! Era tudo um sonho

Na resposta a incidentes de segurança cibernética, encontramos uma série de diretrizes e procedimentos para o desenvolvimento das diferentes tarefas, também chamadas de playbook. Podemos entendê-lo como um guia de emergência no mundo da segurança cibernética. Um plano meticulosamente preparado que nos orienta em diferentes estágios e nos diz, de certa forma, "o que fazer", passo a passo, em etapas para, por exemplo, conter a situação.

O objetivo desses documentos não é apenas reduzir os riscos de improvisação sob pressão, mas também permitir uma resposta mais eficiente às situações contidas no Playbook. Cada segundo conta!

Elementos de um manual

Um manual de resposta a incidentes eficaz geralmente contém detalhes suficientes para permitir uma compreensão geral do que fazer, sem ser um procedimento completo, o "O QUE" e não o "COMO". Por exemplo, um manual desenvolvido para malware não informará qual comando executar em um terminal infectado, mas poderá dizer para você verificar se há alterações nos serviços do sistema operacional.

Neles, também podemos encontrar vários aspectos relevantes para o gerenciamento de incidentes que não estão diretamente relacionados ao incidente em andamento, mas que são valiosos para outras etapas, como a notificação de terceiros ou a coleta de indicadores para inteligência.

Aqui preparamos uma lista dos principais recursos que um playbook pode conter:

Procedimentos de detecção e alerta: instruções claras sobre como identificar e alertar sobre o incidente. O que é um incidente e o que não é?

Funções e responsabilidades: Alguma definição detalhada das funções e responsabilidades da equipe de resposta, incluindo contatos de emergência e tomadores de decisão em grande escala, importantes para casos críticos.

Categorização de incidentes: Alguma forma de sistema para categorizar incidentes, de acordo com a gravidade, o tipo e a urgência, o que nos ajuda a priorizar a resposta.

Etapas iniciais de resposta: um guia passo a passo para as ações iniciais após a identificação de um incidente, incluindo normalmente a contenção e a preservação de evidências.

Procedimentos de comunicação: : algumas definições para a comunicação sobre o incidente interna ou externamente (clientes, autoridades, órgãos reguladores, outras partes interessadas).

Estratégias de contenção: aqui podemos encontrar métodos e procedimentos definidos (quando aplicável) para limitar o escopo e o impacto do incidente.

Estratégias de erradicação e recuperação: instruções para remover a ameaça e restaurar os sistemas afetados ao seu estado operacional normal.

Análise pós-incidente: procedimentos para revisar e analisar o incidente após sua resolução, identificando as lições aprendidas e as melhorias para o futuro.

Documentação e registro: instruções sobre como documentar todas as fases do gerenciamento de incidentes, o que é crucial para análises posteriores e possíveis investigações legais.

Testes e atualizações: Uma definição do processo para testar e atualizar periodicamente o manual para garantir que ele permaneça relevante diante de novas ameaças e mudanças no ambiente de TI. Isso também pode ser definido em outros documentos.

Listas de verificação e recursos: inclusão de listas de verificação práticas e links para recursos úteis, como ferramentas de análise forense, contatos de assistência externa e modelos de comunicação. Funciona como um kit de ferramentas básico.

Integração com planos de continuidade de negócios: podemos dizer que um playbook nunca será um documento isolado, é importante que ele esteja alinhado e integrado a outros planos, como BCP ou DRP (Business Continuity ou Disaster Recovery).

Principais recursos de um Playbook

Um manual bem elaborado é uma ferramenta vital que guiará a equipe de resposta durante a complexidade (e o estresse) da resposta a um incidente, garantindo que cada ação tomada seja bem pensada e planejada. Portanto, é aqui que compartilhamos com você algumas das principais características do que podemos chamar de "um bom manual".

Padronizado: as etapas e os procedimentos devem ser definidos, pelo menos em grande escala, usando algum padrão, alinhando-se às práticas recomendadas, como as estabelecidas pelo NIST (Instituto Nacional de Padrões e Tecnologia dos EUA) em seu Guia de Resposta a Incidentes (NIST SP 800-61).

Feito sob medida: ao contrário da ideia anterior, um manual eficiente será aquele que melhor se adequar à organização. Como no gerenciamento de riscos, as decisões não estão diretamente relacionadas à tecnologia ou à ameaça, o outro lado da moeda é o ambiente em que você está trabalhando, incluindo, entre outros, tecnologia, pessoas, processos, experiências, maturidade e conformidade.

O download de um modelo de manual para uma ameaça específica em um repositório público deve ser usado apenas como um possível ponto de partida; guias genéricos não têm valor real.

Análise pós-incidente e aprimoramento contínuo: o processo de analisar e aprender com cada incidente, esse "aprimoramento contínuo" das práticas de segurança. Podemos alinhar esse ponto aos olhos de uma norma, por exemplo, com a abordagem de melhoria contínua da ISO/IEC 27001 e o ciclo PDCA (Plan-Do-Check-Act) tão típico quando falamos de melhoria.

Talvez seja uma visão excessivamente otimista, mas considere que cada incidente é uma oportunidade única de melhoria, um cenário em que a única maneira de obter valor é gerar alguma mudança, registro ou conhecimento, por mínimo que seja, que nos permita estar mais bem preparados para a próxima "Iteração".

Avaliações e simulações periódicas Testes regulares e simulação de incidentes nos permitem testar a eficácia do manual. Recomendações sobre como abordar esses testes podem ser encontradas, por exemplo, na ISO/IEC 27035

Esses testes são uma forma de "trazer o incidente para nossas organizações" e, de forma controlada, testar o que foi planejado.

Algumas conclusões

A incorporação desses recursos essenciais pode garantir que os planos de resposta não sejam apenas eficazes, mas também que atendam aos padrões, pois estamos aproveitando a experiência e não reinventando a roda.

O desenvolvimento de um playbook em si é um processo que agrega valor especial à resposta a incidentes desde o início, e uma abordagem progressiva costuma ser a melhor maneira de obter ótimos resultados ao longo do tempo. Considere esse tipo de documentação como um elemento vivo que evolui com a organização.

Do ponto de vista dos manuais personalizados, também podemos mencionar que lidar com um incidente de ransomware não é o mesmo que lidar com uma exfiltração de dados na dark web. Cada tipo de ameaça terá tarefas diferentes, prioridades diferentes, pessoas diferentes no comando, e cada manual abrirá a porta para um conjunto diferente de ameaças. Sempre podemos gerar um novo manual mais específico, mas precisamos encontrar o ponto de equilíbrio para o nosso ambiente.

Apesar de todo o planejamento que fazemos, devemos estar cientes de que encontraremos situações que não estão definidas em nossos procedimentos e, nesse momento, a experiência e a tenacidade dos profissionais envolvidos no incidente serão cruciais para navegar pelo incidente, usando apenas os manuais como bússola.