Tempest - Security Intelligence

Processos Básicos de Segurança da Informação - Parte 2

O texto a seguir faz parte de uma série de cinco artigos sobre os processos básicos de segurança da informação. O primeiro texto fala sobre a Gestão de Vulnerabilidades. Neste, tratamos da Resposta a Incidentes. Nas próximas semanas falaremos também sobre Controle de Acesso, Monitoração e Treinamento & Conscientização.

Segurança realmente é um assunto ingrato para se trabalhar. Muitas vezes fazemos um esforço enorme na implantação de medidas preventivas e de detecção, mas ainda assim acontecem os incidentes. Como consolo devemos nos lembrar que não existe 100% de segurança (pelo menos não de um jeito em que ainda seja possível fazer outras coisas além de Segurança!), nós apenas reduzimos a probabilidade de um incidente acontecer. Ainda assim, eles acontecem. E se acontecem, devemos estar preparados para eles, pois esta pode ser a diferença entre conseguir ou não absorver o impacto.

Resposta a incidentes

A Resposta a incidentes também é um dos principais processos básicos de segurança da informação. Na revisão de 2005 da norma ISO/IEC 27001 foi criada uma seção inteira sobre o assunto, "Gestão de incidentes de segurança da informação". O assunto não é simples, mas pode ser resumido em uma única orientação: Esteja preparado.

É extremamente comum encontrar situações de caos em uma organização após a constatação de que houve um incidente de segurança. O que fazer? Quem chamar? Como proceder para não destruir evidências a serem usadas em um processo legal, como garantir que tudo que foi "contaminado" foi removido do ambiente, são algumas das preocupações que normalmente surgem nessa hora e que poderiam ser muito menores se um trabalho prévio de planejamento tivesse sido executado anteriormente. Um planejamento para ações em caso de incidentes pode reduzir consideravelmente o tempo de reação, o que normalmente significa redução do tempo no qual processos críticos estão parados ou ainda tempo para identificação dos responsáveis.

A resposta a incidentes de segurança pode ser vista como seis passos distintos:

Montagem da equipe de resposta, ou o CSIRT (Computer Security Incident Response Team): A resposta a um incidente envolve diversas disciplinas, dos aspectos técnicos de recuperação de sistemas a necessidade de comunicação com clientes e decisões legais. Por conta disso, é necessário que durante a resposta a um incidente seja criado um time composto por pessoas de diversas áreas da organização, do Suporte a TI ao departamento Jurídico. Esse combinado de pessoas deve ser reunido previamente, antes da ocorrência de incidentes, para definir quais serão os passos do processo de resposta, quem serão as pessoas envolvidas e como elas serão contatadas. Lembre-se, não podemos saber de antemão quando um incidente vai acontecer; como achar o assessor de imprensa em um domingo às duas horas da madrugada?

Verificar o impacto inicial e o risco de mais problemas: O planejamento de como um incidente será tratado depende totalmente de qual o seu impacto. O entendimento de quais efeitos o incidente trará para a organização deverá nortear ações como a comunicação com clientes e parceiros de negócios, estratégia de recuperação e até mesmo as ações legais cabíveis. Sendo assim, é necessário que um método para definir o tamanho e o tipo de impacto seja estabelecido previamente, facilitando o processo de verificação durante o processo de resposta.

Comunicação e notificação: Na maior parte das vezes a resposta a um incidente de segurança requer que a organização se comunique com outras partes sobre o ocorrido. Realizar esta comunicação sem planejamento prévio pode levar àquela velha situação do "não deveríamos ter dito isso", ou ainda o "deveríamos ter avisado antes". Para isso não acontecer é necessário o envolvimento prévio, no estabelecimento dos processos de resposta, de todos aqueles autorizados a falar em nome da organização. Deve-se definir como será a comunicação com clientes, parceiros de negócio, autoridades e outras partes interessadas. O estabelecimento prévio da forma e teor dos comunicados, inclusive com envolvimento do departamento jurídico, assegura que a comunicação realizada durante a resposta ao incidente vai seguir um padrão definido e poderá ser feita de forma mais ágil, pois decisões complexas sobre o assunto já foram tomadas anteriormente, no momento em que o tempo de resposta não era crítico.

Contenção imediata: Um dos maiores erros em situações de resposta a incidentes é deixar que os efeitos e impactos negativos continuem a aumentar. Assim, um dos pontos mais importantes é a contenção imediata dos danos. Situações de contaminação por código malicioso ou invasão de máquinas requerem a desconexão imediata dos pontos comprometidos da rede, evitando-se assim que o problema atinja um número maior de máquinas. Um ponto importante, porém, deve ser lembrado: Os processos críticos da organização não podem parar. Se os ativos envolvidos envolvem tais processos é necessário que haja uma estratégia pronta para uma substituição imediata ou outro plano alternativo que impeça que o negócio deixe de funcionar enquanto se atua no incidente.

Documentação total: A resposta a incidentes normalmente começa com a imediata contenção dos danos, para então identificação do ocorrido e de seus responsáveis. Por conta da necessidade de velocidade no processo é comum que informações preciosas sejam perdidas durante a ocorrência. Essas informações podem fazer falta em fases mais avançadas do processo, em uma ação judicial, por exemplo. Para evitar que isso aconteça, os processos de resposta devem ser criados com uma grande preocupação acerca da documentação. Deve haver uma grande preocupação em preservar evidências e documentar os passos e ações tomadas. Essas informações serão de grande valor não apenas na identificação de responsáveis, mas também na hora de avaliar se o processo ocorreu da forma desejada e está sendo executado conforme o planejado.

Lições aprendidas: Uma das características mais importantes e talvez a mais negligenciada em um processo de resposta a incidentes é sua capacidade de ajudar na melhoria da segurança da organização através da identificação de falhas, seja nas defesas existentes (e que podem ter falhado na ocasião do incidente) ou no próprio processo de resposta. Todo processo de resposta a incidentes, para ser completo, precisa contar com uma fase e um procedimento de avaliação do ocorrido com o objetivo de melhorar aquilo que existe ou é feito dentro da organização. É muito importante que isso seja feito de forma a não priorizar um caráter punitivo (exceto, é claro, em casos de evidente violação de políticas, códigos de ética, etc), ou existe o risco que detalhes do incidente sejam omitidos da documentação para encobrir falhas.

Uma das dificuldades em montar um processo robusto de resposta a incidentes é que seus resultados podem não aparecer imediatamente, uma vez que ele depende da ocorrência de um incidente para mostrar seu valor. Não permita que isso leve a redução da prioridade do assunto deixando a organização do processo para depois. A resposta a incidentes estruturada é como manter os extintores de incêndio em ordem; o valor é pouco percebido até o momento em que eles se fazem necessários.

Assim como outros processos de segurança, a estruturação e até mesmo a resposta aos incidentes pode ser amplamente terceirizada (lembrando que sempre haverá a necessidade do envolvimento de outras partes da organização!). Dependendo da estrutura e recursos de segurança existentes na organização, esta ação pode ser a melhor opção na hora de definir como abordar essa necessidade. A organização pode decidir terceirizar apenas a montagem e definição dos processos e ferramentas que serão usados durante a resposta aos incidentes, ou ainda contratar serviços para as situações de resposta, uma espécie de "telefone vermelho" que será acionado no momento em que um incidente acontecer.

Independente da forma como ela será estruturada, a Resposta a Incidentes deve ser encarada como prioridade por todo Security Officer. A resposta adequada a incidentes pode ser vital não apenas para sua sobrevivência dentro da organização, mas da própria organização em seu mercado.

Augusto Paes de Barros
Consultor Sr. de Segurança da Informação Tempest