Skip to main content

Responda a invasões de rede

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Descrever os principais elementos de um plano de resposta a incidentes.
  • Explicar como as organizações devem testar o plano.
  • Identificar estratégias de comunicação de resposta a incidentes.

Criar um plano de resposta a incidentes

Imagine uma equipe de futebol que participa da Copa do Mundo. A equipe é muito treinada e espera ganhar de lavada. Mas no final do primeiro tempo, eles estão perdendo por dois gols e sentindo a pressão. No vestiário, o treinador resolve fazer um ajuste nos planos. Eles vão implementar uma estratégia diferente da que vêm usando, que explora um ponto fraco do lateral direito da outra equipe. Cada jogador conhece sua função e sabe executar suas jogadas. Com a ajuda do treinador, a liderança do capitão e o vigor de algumas substituições cruciais, eles conseguem voltar, ganhar o jogo por um gol de diferença nos últimos segundos e levar a taça para casa. 

Um treinador está revendo a estratégia em um quadro-negro com os jogadores no vestiário.

Assim como o treinador cria um plano para vencer o jogo, os engenheiros de segurança de rede criam um plano de resposta a incidentes quando algo deixa de funcionar na rede. O plano ajuda a interromper, conter e controlar os danos que um adversário pode infligir na tentativa de tirar os serviços do ar, roubar dados ou acessar informações ilicitamente. Ter um plano facilita e barateia as respostas a incidentes. Normalmente, a equipe de resposta a incidentes (ERI) dedicada, composta de profissionais de segurança, lidera a resposta a incidentes. E assim como o treinador, o capitão e os substitutos tiveram seu papel na vitória, outros membros da organização, como advogados, especialistas em comunicação, a cúpula executiva e até as autoridades, têm seus papéis a cumprir. O plano lista essas funções e responsabilidades e garante uma cobertura 24 horas por dia, 7 dias por semana durante a resposta.

Na elaboração de um plano de resposta a incidentes, o engenheiro de segurança de rede:

  • Identifica e prioriza os componentes mais críticos da rede.
  • Replica e armazena dados confidenciais em locais remotos que podem ser usados como backup em caso de destruição ou alteração de dados por hackers.
  • Identifica pontos únicos de falha na rede e os fortalece com redundâncias.
  • Pensa sobre a continuidade das operações: se hackers comprometerem o sistema de e-mails, como a empresa envia mensagens aos funcionários sobre a próxima ação a se realizar?

A próxima fase da resposta a incidentes envolve a detecção de invasão. Os engenheiros de segurança de rede têm um papel crucial nesta fase, conforme descrito no módulo anterior. Quando um engenheiro de segurança de rede detecta um incidente, ele segue procedimentos documentados sobre quais informações devem ser coletadas, como elas devem ser comunicadas e a quem. Primeiro, e o principal, o engenheiro de segurança de rede precisa coletar informações adicionais para serem analisadas pela ERI.

Durante a fase de análise, a ERI busca entender quando o evento ocorreu, qual foi o ponto de entrada e como ele foi descoberto. Ela tenta estabelecer rapidamente o escopo e o impacto do comprometimento. Durante essa fase, o engenheiro de segurança de rede pode precisar fornecer mais logs e outras informações para ajudar a ERI a montar o quebra-cabeças. 

Essa análise permite que a ERI administre a resposta, começando com a contenção do vazamento. Isso pode ser feito com a desconexão de dispositivos da Internet, com o isolamento de segmentos de rede, com a quarentena de malware ou com a atualização e a proteção de sistemas. O engenheiro de segurança de rede provavelmente precisa tomar medidas para auxiliar nessas tarefas. Depois que a ameaça é neutralizada, é importante erradicá-la totalmente da rede localizando e eliminando a causa raiz. Todos os malwares precisam ser removidos; os mecanismos de autenticação precisam ser mudados e os sistemas, reimaginados, se necessário. Também poderão ser exigidos mais proteção e patching de sistemas. Conforme a equipe passa para a fase de recuperação, o engenheiro de segurança de rede também pode precisar coordenar backups do sistema para restaurar as operações comerciais. 

Os profissionais de segurança fazem esse tipo de planejamento não só para ajudar a organização, mas muitas vezes para cumprir requisitos regulatórios. O plano precisa ser aprovado, ter adesão dos executivos e ter financiamento. Ele deve ser acionável e flexível para permitir que funções, responsabilidades e procedimentos estejam claros, mas também possam ser ajustados em caso de imprevistos. Por fim, todos os membros da organização precisam estar cientes e receber treinamento do plano, e o plano precisa ser testado pela equipe de segurança, um assunto que você verá com mais detalhes na próxima seção.

Testar o plano de resposta a incidentes

Os profissionais de segurança também garantem a conscientização e a compreensão do plano, e testam e atualizam o plano periodicamente. Tanto a equipe comercial quanto a equipe técnica devem entender o plano e sua importância, além dos conceitos básicos de segurança. O treinamento pode ajudar nisso. 

Os profissionais de segurança também testam o plano pelo menos uma vez por ano. As simulações de segurança podem ajudar a ERI a preparar a implementação do plano, assim como os treinos ajudam a equipe de futebol a se preparar para vencer a final. Ela pode usar uma ferramenta, por exemplo, exercícios de encenação com a cúpula executiva para simular um vazamento de dados. 

A demonstração aos executivos de um cenário de resposta que poderia ocorrer na vida real ajuda a preparar toda a organização para responder, comunicar e tomar decisões durante um incidente. Isso não só ajuda a equipe a se sentir preparada quando um incidente efetivamente ocorre, mas demonstra que a equipe de segurança pensa nas ameaças proativamente. Isso também pode indicar situações que exigem políticas ou procedimentos mais claros para ajudar a orientar a resposta, ou a necessidade de mais pessoal ou recursos financeiros. Além disso, isso ajuda a enfatizar para a cúpula executiva a importância da organização de segurança, o que ajuda muito na hora de fomentar a adesão ao plano. 

Por fim, o plano deve ser revisto e atualizado regularmente. Além das atualizações agendadas, as equipes de segurança analisam o plano após um vazamento, em resposta à evolução das ameaças ou quando ocorrem mudanças suficientes na tecnologia que a organização usa ou na estrutura ou liderança da organização.

Comunicação durante um incidente

Como parte do plano de resposta a incidentes, os profissionais de segurança documentam a estratégia de comunicações internas e externas que deve ser seguida durante um incidente. Quem deve comunicar, o que a pessoa deve comunicar e por quais canais? Uma pessoa deve ser designada como ponto de contato para comunicações externas. O plano também deve incluir critérios para envolver autoridades e usar diretrizes regulatórias para criar os critérios de escalação. Ele também deve oferecer uma estratégia de comunicação substituta caso as vias normais de comunicação (por exemplo, email) sejam comprometidas pelo vazamento.

Como parte da estratégia de comunicação, os profissionais de segurança documentam como uma organização se comunica com seus clientes; mais especificamente, o quê, quando e como comunicar informações sobre vazamentos. As organizações precisam tratar esse assunto com cuidado, não só porque os clientes podem ficar irritados e perder a confiança na marca após o incidente, mas também porque a legislação sobre privacidade e segurança tem diretrizes específicas sobre como esses assuntos devem ser tratados. 

Se a empresa encobrir o incidente, deixar de informá-lo no prazo exigido ou não comunicar corretamente, a reputação da empresa poderá ser muito afetada e ela poderá ser multada ou processada. O conhecimento das leis e melhores práticas que se aplicam à organização e o detalhamento de como segui-las na resposta a um incidente são partes essenciais de um plano de comunicação. 

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, organize a lista de itens na sequência correta para refletir a ordem em que devem ocorrer. Quando terminar de reordenar todos os itens, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Redefinir.

Ótimo trabalho! Você analisou a importância de ter um plano em vigor na hora de responder a um incidente e esboçou a função do engenheiro de segurança de rede na identificação de pontos únicos de falha na rede. Você também explorou a detecção do incidente, com a prestação de informações para análise pela ERI e a conscientização da necessidade de treinamento sobre o plano de resposta a incidentes, o plano de comunicação e os cenários de teste associados. A próxima (e última) unidade discute as responsabilidades do engenheiro de segurança de rede na hora de se recuperar do incidente e restaurar a normalidade das operações.

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback