Visão geral da resposta a incidentes

A resposta a incidentes é a prática de investigar e remediar campanhas de ataque ativas à sua organização. A resposta a incidentes faz parte da disciplina de operações de segurança (SecOps) e é principalmente de natureza reativa.

A resposta a incidentes tem a maior influência direta no tempo médio geral para reconhecer (MTTA) e no tempo médio para remediar (MTTR), que medem o quão bem as operações de segurança são capazes de reduzir o risco organizacional. As equipes de resposta a incidentes dependem fortemente de boas relações de trabalho entre as equipes de caça a ameaças, inteligência e gerenciamento de incidentes (se houver) para realmente reduzir o risco. Para obter mais informações, consulte Métricas SecOps.

Para obter mais informações sobre funções e responsabilidades de operações de segurança, consulte Funções de SOC na nuvem.

Processo de resposta a incidentes

O primeiro passo é ter um plano de resposta a incidentes que englobe processos internos e externos para responder a incidentes de cibersegurança. O plano deve detalhar como sua organização deve:

• Solucione ataques que variam de acordo com o risco comercial e o impacto do incidente, que podem variar de um site isolado que não está mais disponível até o comprometimento de credenciais de nível de administrador.
• Defina o objetivo da resposta, como um retorno ao serviço ou para lidar com aspetos legais ou de relações públicas do ataque.
• Priorize o trabalho que precisa ser feito em termos de quantas pessoas devem trabalhar no incidente e em suas tarefas.

Consulte o artigo de planejamento de resposta a incidentes para obter uma lista de verificação de atividades que você deve considerar incluir em seu plano de resposta a incidentes. Uma vez que seu plano de resposta a incidentes esteja em vigor, teste-o regularmente para os tipos mais graves de ataques cibernéticos para garantir que sua organização possa responder de forma rápida e eficiente.

Embora o processo de resposta a incidentes de cada organização possa ser diferente com base na estrutura organizacional e nas capacidades e na experiência histórica, considere o conjunto de recomendações e práticas recomendadas neste artigo para responder a incidentes de segurança.

Durante um incidente, é fundamental:

• Mantenha a calma

  Os incidentes são extremamente perturbadores e podem tornar-se emocionalmente carregados. Mantenha a calma e concentre-se em priorizar seus esforços nas ações mais impactantes primeiro.

• Não faça mal

  Confirme se sua resposta foi projetada e executada de forma a evitar a perda de dados, a perda de funcionalidades críticas para os negócios e a perda de evidências. Evite decisões que possam prejudicar sua capacidade de criar cronogramas forenses, identificar a causa raiz e aprender lições críticas.

• Envolva o seu departamento jurídico

  Determine se eles planejam envolver as autoridades policiais para que você possa planejar seus procedimentos de investigação e recuperação adequadamente.

• Tenha cuidado ao compartilhar informações sobre o incidente publicamente

  Confirme que tudo o que partilha com os seus clientes e com o público se baseia no aconselhamento do seu departamento jurídico.

• Obtenha ajuda quando necessário

  Aproveite o profundo conhecimento e experiência ao investigar e responder a ataques de atacantes sofisticados.

Tal como diagnosticar e tratar uma doença médica, a investigação e resposta de cibersegurança a um incidente grave requer a defesa de um sistema que seja:

• Criticamente importante (não pode ser desligado para trabalhar nele).
• Complexo (normalmente além da compreensão de qualquer pessoa).

Durante um incidente, você deve atingir estes equilíbrios críticos:

• Velocidade

  Equilibre a necessidade de agir rapidamente para satisfazer as partes interessadas com o risco de decisões precipitadas.

• Partilha de informações

  Informe investigadores, partes interessadas e clientes com base no conselho do seu departamento jurídico para limitar a responsabilidade e evitar definir expectativas irrealistas.

Este artigo foi projetado para reduzir o risco para sua organização de um incidente de segurança cibernética, identificando erros comuns a serem evitados e fornecendo orientação sobre quais ações você pode tomar rapidamente para reduzir o risco e atender às necessidades das partes interessadas.

Nota

Para obter mais orientações sobre como preparar sua organização para ransomware e outros tipos de ataques em vários estágios, consulte Preparar seu plano de recuperação.

Melhores práticas de resposta

A resposta a incidentes pode ser feita de forma eficaz, tanto do ponto de vista técnico como operacional, com estas recomendações.

Nota

Para obter orientações mais detalhadas sobre o setor, consulte o Guia de Tratamento de Incidentes de Segurança Informática do NIST.

Melhores práticas de resposta técnica

Para os aspetos técnicos da resposta a incidentes, aqui estão alguns objetivos a considerar:

• Tente identificar o escopo da operação de ataque.

  A maioria dos adversários usa múltiplos mecanismos de persistência.

• Identifique o objetivo do ataque, se possível.

  Os atacantes persistentes retornarão frequentemente para seu objetivo (dados/sistemas) em um ataque futuro.

Aqui estão algumas dicas úteis:

• Não carregue ficheiros para scanners online

  Muitos adversários monitoram instâncias e contam com serviços como o VirusTotal para a descoberta de malware direcionado.

• Considere cuidadosamente as modificações

  A menos que você enfrente uma ameaça iminente de perda de dados críticos para os negócios — como exclusão, criptografia e exfiltração — equilibre o risco de não fazer a modificação com o impacto projetado nos negócios. Por exemplo, desligar temporariamente o acesso à Internet da sua organização pode ser necessário para proteger ativos críticos para os negócios durante um ataque ativo.

  Se forem necessárias alterações em que o risco de não realizar uma ação é maior do que o risco de fazê-la, documente a ação em um log de alterações. As alterações feitas durante a resposta a incidentes são focadas em interromper o invasor e podem afetar negativamente os negócios. Você precisará reverter essas alterações após o processo de recuperação.

• Não investigue para sempre

  Você deve priorizar impiedosamente seus esforços de investigação. Por exemplo, execute apenas análises forenses em pontos de extremidade que os invasores usaram ou modificaram. Por exemplo, em um incidente grave em que um invasor tem privilégios administrativos, é praticamente impossível investigar todos os recursos potencialmente comprometidos (que podem incluir todos os recursos da organização).

• Partilhar informações

  Confirme se todas as equipas de investigação, incluindo todas as equipas internas e investigadores externos ou fornecedores de seguros, estão a partilhar os seus dados entre si, com base no aconselhamento do seu departamento jurídico.

• Aceda aos conhecimentos especializados certos

  Confirme que você integra pessoas com profundo conhecimento dos sistemas na investigação, como funcionários internos ou entidades externas, como fornecedores, e não apenas generalistas de segurança.

• Antecipe a capacidade de resposta reduzida

  Planeje que 50% de sua equipe opere com 50% da capacidade normal devido ao estresse situacional.

Uma das principais expectativas a serem gerenciadas com as partes interessadas é que você talvez nunca consiga identificar o ataque inicial porque os dados necessários para a identificação foram excluídos antes do início da investigação, como um invasor cobrindo seus rastros por rolagem de logs.

Práticas recomendadas de resposta a operações

Para os aspetos de operações de segurança (SecOps) da resposta a incidentes, aqui estão algumas metas a serem consideradas:

• Manter o foco

  Confirme que mantém o foco em dados críticos para os negócios, no impacto no cliente e na preparação para a remediação.

• Assegurar a coordenação e a clareza das funções

  Estabeleça funções distintas para as operações de apoio à equipe de crise e confirme se as equipes técnicas, jurídicas e de comunicação estão se mantendo informadas.

• Manter a perspetiva do seu negócio

  Você deve sempre considerar o impacto nas operações de negócios tanto pelas ações adversárias quanto pelas suas próprias ações de resposta.

Aqui estão algumas dicas úteis:

• Considerar o Sistema de Comando de Incidentes (ICS) para a gestão de crises

  Se você não tem uma organização permanente que gerencia incidentes de segurança, recomendamos usar o ICS como uma estrutura organizacional temporária para gerenciar a crise.

• Mantenha intactas as operações diárias em curso

  Certifique-se de que os SecOps normais não sejam completamente deixados de lado para apoiar investigações de incidentes. Este trabalho ainda tem de ser feito.

• Evite gastos supérfluos

  Muitos incidentes graves resultam na compra de ferramentas de segurança dispendiosas sob pressão que nunca são implantadas ou usadas. Se você não puder implantar e usar uma ferramenta durante a investigação, o que pode incluir a contratação e o treinamento de mais funcionários com os conjuntos de habilidades necessários para operar a ferramenta, adie a aquisição para depois de concluir a investigação.

• Aceda a conhecimentos aprofundados

  Confirme que você tem a capacidade de encaminhar perguntas e problemas para especialistas profundos em plataformas críticas. Essa capacidade pode exigir acesso ao sistema operacional e ao fornecedor de aplicativos para sistemas críticos para os negócios e componentes de toda a empresa, como desktops e servidores.

• Estabelecer fluxos de informação

  Defina orientações e expectativas claras para o fluxo de informações entre os líderes seniores de resposta a incidentes e as partes interessadas da organização. Para obter mais informações, consulte Planejamento de resposta a incidentes.

Práticas recomendadas de recuperação

A recuperação de incidentes pode ser feita de forma eficaz do ponto de vista técnico e operacional com essas recomendações.

Práticas recomendadas de recuperação técnica

Para os aspetos técnicos da recuperação de um incidente, aqui estão alguns objetivos a considerar:

• Não ferva o oceano

  Limite o escopo da resposta para que a operação de recuperação possa ser executada dentro de 24 horas ou menos. Planeje um fim de semana para levar em conta contingências e ações corretivas.

• Evite distrações

  Adie os investimentos em segurança a longo prazo, como a implementação de novos sistemas de segurança grandes e complexos ou a substituição de soluções antimalware, até depois da operação de recuperação. Qualquer coisa que não tenha impacto direto e imediato na operação de recuperação atual é uma distração.

Aqui estão algumas dicas úteis:

• Nunca reponha todas as palavras-passe de uma só vez

  As redefinições de senha devem se concentrar primeiro em contas comprometidas conhecidas com base em sua investigação e são potencialmente contas de administrador ou de serviço. Se necessário, as senhas de usuário devem ser redefinidas apenas de forma faseada e controlada.

• Consolidar a execução de tarefas de recuperação

  A menos que você enfrente uma ameaça iminente de perda de dados críticos para os negócios, você deve planejar uma operação consolidada para remediar rapidamente todos os recursos comprometidos (como hosts e contas) em vez de remediar recursos comprometidos à medida que os encontrar. A compressão desta janela de tempo dificulta a adaptação e a manutenção da persistência por parte dos operadores de ataque.

• Usar ferramentas existentes

  Pesquise e use os recursos das ferramentas implantadas antes de tentar implantar e aprender uma nova ferramenta durante uma recuperação.

• Evite denunciar o adversário

  Na medida prática, você deve tomar medidas para limitar as informações disponíveis para os adversários sobre a operação de recuperação. Os adversários normalmente têm acesso a todos os dados de produção e e-mail em um grande incidente de segurança cibernética. Mas, na realidade, a maioria dos atacantes não tem tempo para monitorar todas as suas comunicações.

  O Security Operations Center (SOC) da Microsoft usa um locatário do Microsoft 365 que não é de produção para comunicação e colaboração seguras para membros da equipe de resposta a incidentes.

Práticas recomendadas de recuperação de operações

Para os aspetos operacionais da recuperação de um incidente, aqui estão alguns objetivos a considerar:

• Tenha um plano claro e escopo limitado

  Trabalhe em estreita colaboração com suas equipes técnicas para construir um plano claro com escopo limitado. Embora os planos possam mudar com base na atividade adversária ou em novas informações, você deve trabalhar diligentemente para limitar a expansão do escopo e assumir mais tarefas.

• Tenha uma propriedade clara do plano

  As operações de recuperação envolvem muitas pessoas fazendo muitas tarefas diferentes ao mesmo tempo, portanto, designe um líder de projeto para a operação para uma tomada de decisão clara e informações definitivas fluam entre a equipe de crise.

• Manter a comunicação com as partes interessadas

  Trabalhar com equipes de comunicação para fornecer atualizações oportunas e gerenciamento ativo de expectativas para as partes interessadas organizacionais.

Aqui estão algumas dicas úteis:

• Conheça as suas capacidades e limites

  Gerenciar grandes incidentes de segurança é muito desafiador, muito complexo e novo para muitos profissionais do setor. Você deve considerar trazer experiência de organizações externas ou serviços profissionais se suas equipes estiverem sobrecarregadas ou não estiverem confiantes sobre o que fazer a seguir.

• Capture as lições aprendidas

  Crie e melhore continuamente manuais específicos para SecOps, mesmo que seja o seu primeiro incidente sem quaisquer procedimentos escritos.

As comunicações a nível executivo e do conselho de administração para resposta a incidentes podem ser desafiantes se não forem praticadas ou antecipadas. Certifique-se de ter um plano de comunicação para gerenciar relatórios de progresso e expectativas de recuperação.

Processo de resposta a incidentes para SecOps

Considere esta orientação geral sobre o processo de resposta a incidentes para seu SecOps e sua equipe.

1. Decidir e agir

Depois que uma ferramenta de deteção de ameaças, como o Microsoft Sentinel ou o Microsoft Defender XDR, deteta um ataque provável, ela cria um incidente. A medição do Tempo Médio de Reconhecimento (MTTA) da capacidade de resposta do SOC começa com o momento em que sua equipe de segurança percebe o ataque.

Um analista de plantão é delegado ou assume a responsabilidade do incidente e realiza uma análise inicial. O carimbo de data/hora para isso é o fim da medição de capacidade de resposta MTTA e inicia a medição do Tempo Médio para Remediar (MTTR).

À medida que o analista proprietário do incidente desenvolve um nível de confiança alto o suficiente para entender a história e o escopo do ataque, ele pode mudar rapidamente para o planejamento e a execução de ações de limpeza.

Dependendo da natureza e do escopo do ataque, seus analistas podem limpar artefatos de ataque à medida que avançam (como e-mails, endpoints e identidades) ou podem criar uma lista de recursos comprometidos para limpar tudo de uma vez (conhecido como Big Bang)

• Limpe à medida que avança

  Para a maioria dos incidentes típicos que são detetados no início da operação de ataque, os analistas podem limpar rapidamente os artefatos à medida que os encontram. Esta prática coloca o adversário em desvantagem e impede-o de avançar com a próxima fase do seu ataque.

• Prepare-se para um Big Bang

  Essa abordagem é apropriada para um cenário em que um adversário já se estabeleceu e estabeleceu mecanismos de acesso redundantes ao seu ambiente. Essa prática é frequentemente observada em incidentes de clientes investigados pela Equipe de Resposta a Incidentes da Microsoft. Nesta abordagem, os analistas devem evitar denunciar o adversário até a descoberta completa da presença do atacante, porque a surpresa pode ajudar a interromper totalmente sua operação.

  A Microsoft aprendeu que a remediação parcial muitas vezes afasta um adversário, o que lhe dá a chance de reagir e piorar rapidamente o incidente. Por exemplo, o invasor pode espalhar o ataque ainda mais, alterar seus métodos de acesso para escapar da deteção, cobrir seus rastros e infligir danos e destruição de dados e do sistema por vingança.

  A limpeza de phishing e e-mails maliciosos muitas vezes pode ser feita sem denunciar o invasor, mas limpar malware de host e recuperar o controle de contas tem uma grande chance de descoberta.

Essas não são decisões fáceis de tomar e não há substituto para a experiência em fazer esses julgamentos. Um ambiente de trabalho colaborativo e uma cultura em seu SOC ajudam a garantir que os analistas possam aproveitar a experiência uns dos outros.

As etapas de resposta específicas dependem da natureza do ataque, mas os procedimentos mais comuns usados pelos analistas podem incluir:

• Pontos de extremidade do cliente (dispositivos)

  Isole o ponto de extremidade e entre em contato com o usuário ou com as operações/helpdesk de TI para iniciar um procedimento de reinstalação.

• Servidor ou aplicações

  Trabalhe com operações de TI e proprietários de aplicativos para providenciar a rápida correção desses recursos.

• Contas de utilizador

  Recupere o controle desativando a conta e redefinindo a senha para contas comprometidas. Esses procedimentos podem evoluir à medida que os usuários fazem a transição para a autenticação sem senha usando o Windows Hello ou outra forma de autenticação multifator (MFA). Uma etapa separada é expirar todos os tokens de autenticação para a conta com o Microsoft Defender for Cloud Apps.

  Seus analistas também podem revisar o número de telefone do método MFA e o registro do dispositivo para garantir que ele não seja sequestrado, entrando em contato com o usuário e redefinindo essas informações conforme necessário.

• Contas de Serviço

  Devido ao alto risco de impacto no serviço ou nos negócios, seus analistas devem trabalhar com o proprietário do registro da conta de serviço, recorrendo às operações de TI conforme necessário, para providenciar a rápida correção desses recursos.

• E-mails

  Exclua o e-mail de ataque ou phishing e, às vezes, limpe-os para impedir que os usuários recuperem e-mails excluídos. Guarde sempre uma cópia do e-mail original para posterior pesquisa de análise pós-ataque, como cabeçalhos, conteúdo e scripts ou anexos.

• Outro

  Você pode executar ações personalizadas com base na natureza do ataque, como revogar tokens de aplicativos e reconfigurar servidores e serviços.

2. Limpeza pós-incidente

Como você não se beneficia das lições aprendidas até alterar ações futuras, sempre integre todas as informações úteis aprendidas com a investigação de volta ao seu SecOps.

Determine as conexões entre incidentes passados e futuros pelos mesmos agentes ou métodos de ameaças e capture esses aprendizados para evitar a repetição de atrasos de análise e trabalho manual no futuro.

Estas aprendizagens podem assumir muitas formas, mas as práticas comuns incluem a análise de:

• Indicadores de Compromisso (IoCs).

  Registre quaisquer IoCs aplicáveis, como hashes de arquivos, endereços IP mal-intencionados e atributos de e-mail em seus sistemas de inteligência de ameaças SOC.

• Vulnerabilidades desconhecidas ou não corrigidas.

  Seus analistas podem iniciar processos para garantir que os patches de segurança ausentes sejam aplicados, que as configurações incorretas sejam corrigidas e que os fornecedores (incluindo a Microsoft) sejam informados sobre vulnerabilidades de "dia zero" para que possam criar e distribuir patches de segurança.

• Ações internas, como habilitar o registro em ativos que abrangem seus recursos locais e baseados em nuvem.

  Reveja as suas linhas de base de segurança existentes e considere adicionar ou alterar controlos de segurança. Por exemplo, consulte o guia de operações de segurança do Microsoft Entra para obter informações sobre como habilitar o nível apropriado de auditoria no diretório antes que o próximo incidente aconteça.

Reveja os seus processos de resposta para identificar e resolver quaisquer lacunas encontradas durante o incidente.

Recursos de resposta a incidentes

• Planejando seu SOC
• Playbooks para orientação detalhada sobre como responder a métodos de ataque comuns
• Resposta a incidentes do Microsoft Defender XDR
• Microsoft Defender para Cloud (Azure)
• Resposta a incidentes do Microsoft Sentinel
• O guia da equipe de Resposta a Incidentes da Microsoft compartilha práticas recomendadas para equipes e líderes de segurança
• Os guias de Resposta a Incidentes da Microsoft ajudam as equipas de segurança a analisar atividades suspeitas

Principais recursos de segurança da Microsoft

Recurso	Description
Relatório de Defesa Digital da Microsoft 2023	Um relatório que engloba aprendizados de especialistas em segurança, profissionais e defensores da Microsoft para capacitar pessoas em todos os lugares a se defenderem contra ameaças cibernéticas.
Arquiteturas de referência de segurança cibernética da Microsoft	Um conjunto de diagramas de arquitetura visual que mostram os recursos de segurança cibernética da Microsoft e sua integração com plataformas de nuvem da Microsoft, como Microsoft 365 e Microsoft Azure, e plataformas e aplicativos de nuvem de terceiros.
Download do infográfico Minutes matter	Uma visão geral de como a equipe SecOps da Microsoft faz a resposta a incidentes para mitigar ataques contínuos.
Operações de segurança do Azure Cloud Adoption Framework	Orientação estratégica para líderes que estabelecem ou modernizam uma função de operação de segurança.
Práticas recomendadas de segurança da Microsoft para operações de segurança	Como usar melhor seu centro SecOps para se mover mais rápido do que os invasores que atacam sua organização.
Modelo de segurança na nuvem da Microsoft para arquitetos de TI	Segurança nos serviços e plataformas de nuvem da Microsoft para acesso a identidades e dispositivos, proteção contra ameaças e proteção de informações.
Documentação de segurança da Microsoft	Orientações de segurança adicionais da Microsoft.