Notícias

remote-incident-response-services.jpg

Responder e Prevenir – Ferramentas de Resposta a Incidentes de Segurança

Quando o tema é Resposta a Incidentes de Segurança, devemos manter um olhar atento sobre as ferramentas necessárias para deteção, triagem, contenção e respostas eficazes. Neste artigo, iremos falar sobre algumas ferramentas e boas práticas para auxiliar a sua organização a tomar a decisão mais adequada em cada fase de investigação. 
É importante começar pela tríade A: Ammunition, Attribution e Awareness. Em resumo para uma defesa eficiente da rede, é necessário que tenha as capacidades (ferramentas e recursos) certas, para identificar as atribuições necessárias, como também, aumentar a consciencialização como uma forma de redução do volume e impacto de incidentes cibernéticos. 
Ammunition: São as ferramentas de resposta a incidentes. Mais adiante iremos destacar algumas das principais ferramentas open source. 
Attribution: É importante entender de onde vem um ataque de forma a compreender a intenção e técnica do hacker. Sempre que possível utilizar técnicas de Cyber Threat Intelligence para fazê-lo em tempo real. 
Awareness: O controlo de segurança mais fundamental é o utilizador instruído e consciente. É importante pensar em ações e programas de consciencialização de segurança na sua organização. 


Ferramentas Open Source 


É importante destacar que iremos indicar algumas das ferramentas open source mais utilizadas no mercado, no entanto, em alguns casos pode ser necessário examinar opções comerciais para determinados recursos, consoantes as necessidades e especificidades da sua organização. 
Estas ferramentas serão destacadas com base no OODA, que foi desenvolvido pelo estratega militar da Força Aérea dos EUA, John Boyd, onde o ciclo OODA fornece uma estrutura eficaz para resposta a incidentes.


OBSERVAR: Utilizar a monitorização da segurança para identificar um comportamento anómalo que pode requerer investigação.

Ferramenta

Porque é necessária

Open Source

Intrusion Detection Systems (IDS) — Network & Host-based

DS'es (HIDS e NIDS) monitorizam a atividade do servidor e da rede em tempo real e normalmente usam assinaturas de ataque ou linhas de base para identificar e emitir um alerta quando ataques conhecidos ou atividades suspeitas ocorrem em um servidor (HIDS) ou em uma rede (NIDS )

Snort

Suricata

BroIDS

OSSEC

Netflow Analyzers

Examinam o tráfego real dentro de uma rede (e através dos gateways de perímetro). Se a sua organização está a rastrear um determinado segmento de atividade ou apenas tendo uma ideia adequada de quais protocolos estão em utilização na sua rede e quais ativos estão a comunicar entre si, o netflow é uma excelente abordagem.

Ntop

NfSen

Nfdump

Availability Monitoring

O objetivo principal da resposta a incidentes é evitar o tempo de inatividade tanto quanto possível.  Uma falha na aplicação ou serviço pode ser o primeiro sinal de um incidente em execução.

Nagios

 

ORIENTAR: Avaliar o que está a acontecer no cenário de ameaças cibernéticas e dentro da sua organização. Faça ligações lógicas e contexto em tempo real para focar em eventos de prioridade.

Ferramenta

Porque é necessária

Open Source

Asset Inventory

Para saber quais eventos priorizar, precisará compreender a lista de sistemas críticos na sua rede e qual software que está instalado. Essencialmente, é  preciso entender o seu ambiente para avaliar a criticidade do incidente como parte do processo de Orientação / Triagem. A melhor maneira de fazer isso é ter uma descoberta automática de ativos e inventário que pode atualizar.

OCS Inventory

Threat Intelligence Security Research

A inteligência de ameaças fornece informações globais sobre ameaças no mundo real, tais como: indicadores de comprometimento, endereços IP de má reputação, servidores de comando e controlo entre outros, podem ser aplicados nos seus próprios ativos de rede, para fornecer um contexto completo para a ameaça.

AlienVault OTX

AlienVault Labs

 

DECIDIR: Com base em observações e contexto, escolha a melhor tática para mínimos danos e recuperação mais rápida.

Ferramenta

Porque é necessária

Open Source

Política de segurança corporativa da sua organização

Não existem ferramentas de "Decisão" e até que a AI esteja num nível mais elevado de desenvolvimento, a decisão continua a ser através do recurso humano.  Decida com base nas informações de que dispõe, que incluem as ferramentas indicadas neste documento, bem como a política de segurança da sua organização.

N/A

 

AÇÃO: Remediar e recuperar. Melhorar os procedimentos de resposta a incidentes com base em lições aprendidas.

Ferramenta

Porque é necessária

Open Source

Data Capture & Incident Response Forensics Tools

As ferramentas de captura de dados e análise forense de resposta a incidentes são uma categoria ampla que cobre todos os tipos de meios. São ferramentas para meios digitais com o objetivo de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital, tudo com o objetivo de criar um track para auditoria jurídica.

SANS Investigative Forensics Toolkit (SIFT)

Sleuthkit

System Backup & Recovery Tools

Patch Mgmt. and Other Systems Mgm

Ferramentas de gestão de patch e backup do sistema não são novidade, mas é importante incluí-las aqui, uma vez que num incidente será necessário o seu recurso.

Opsi (Open PC Server Integration)

 

FIQUE ATENTO E SIGA-NOS NAS NOSSAS REDES SOCIAIS PARA SABER MAIS SOBRE ESTA E OUTRAS INICIATIVAS HARDSECURE. 

» LINKEDIN   | TWITTER | FACEBOOK

Partilhar: