Quando o tema é Resposta a Incidentes de Segurança, devemos manter um olhar atento sobre as ferramentas necessárias para deteção, triagem, contenção e respostas eficazes.
Neste artigo, iremos falar sobre algumas ferramentas e boas práticas para auxiliar a sua organização a tomar a decisão mais adequada em cada fase de investigação.
É importante começar pela tríade A: Ammunition, Attribution e Awareness.
Em resumo para uma defesa eficiente da rede, é necessário que tenha as capacidades (ferramentas e recursos) certas, para identificar as atribuições necessárias, como também, aumentar a consciencialização como uma forma de redução do volume e impacto de incidentes cibernéticos.
Ammunition: São as ferramentas de resposta a incidentes. Mais adiante iremos destacar algumas das principais ferramentas open source.
Attribution: É importante entender de onde vem um ataque de forma a compreender a intenção e técnica do hacker. Sempre que possível utilizar técnicas de Cyber Threat Intelligence para fazê-lo em tempo real.
Awareness: O controlo de segurança mais fundamental é o utilizador instruído e consciente. É importante pensar em ações e programas de consciencialização de segurança na sua organização.
Ferramentas Open Source
É importante destacar que iremos indicar algumas das ferramentas open source mais utilizadas no mercado, no entanto, em alguns casos pode ser necessário examinar opções comerciais para determinados recursos, consoantes as necessidades e especificidades da sua organização.
Estas ferramentas serão destacadas com base no OODA, que foi desenvolvido pelo estratega militar da Força Aérea dos EUA, John Boyd, onde o ciclo OODA fornece uma estrutura eficaz para resposta a incidentes.
OBSERVAR: Utilizar a monitorização da segurança para identificar um comportamento anómalo que pode requerer investigação. | ||
---|---|---|
Ferramenta | Porque é necessária | Open Source |
Intrusion Detection Systems (IDS) — Network & Host-based |
DS'es (HIDS e NIDS) monitorizam a atividade do servidor e da rede em tempo real e normalmente usam assinaturas de ataque ou linhas de base para identificar e emitir um alerta quando ataques conhecidos ou atividades suspeitas ocorrem em um servidor (HIDS) ou em uma rede (NIDS ). |
Snort Suricata BroIDS OSSEC |
Netflow Analyzers |
Examinam o tráfego real dentro de uma rede (e através dos gateways de perímetro). Se a sua organização está a rastrear um determinado segmento de atividade ou apenas tendo uma ideia adequada de quais protocolos estão em utilização na sua rede e quais ativos estão a comunicar entre si, o netflow é uma excelente abordagem. |
Ntop NfSen Nfdump |
Availability Monitoring | O objetivo principal da resposta a incidentes é evitar o tempo de inatividade tanto quanto possível. Uma falha na aplicação ou serviço pode ser o primeiro sinal de um incidente em execução. | Nagios |
ORIENTAR: Avaliar o que está a acontecer no cenário de ameaças cibernéticas e dentro da sua organização. Faça ligações lógicas e contexto em tempo real para focar em eventos de prioridade. |
||
---|---|---|
Ferramenta | Porque é necessária | Open Source |
Asset Inventory |
Para saber quais eventos priorizar, precisará compreender a lista de sistemas críticos na sua rede e qual software que está instalado. Essencialmente, é preciso entender o seu ambiente para avaliar a criticidade do incidente como parte do processo de Orientação / Triagem. A melhor maneira de fazer isso é ter uma descoberta automática de ativos e inventário que pode atualizar. |
OCS Inventory |
Threat Intelligence Security Research |
A inteligência de ameaças fornece informações globais sobre ameaças no mundo real, tais como: indicadores de comprometimento, endereços IP de má reputação, servidores de comando e controlo entre outros, podem ser aplicados nos seus próprios ativos de rede, para fornecer um contexto completo para a ameaça. |
AlienVault OTX AlienVault Labs |
DECIDIR: Com base em observações e contexto, escolha a melhor tática para mínimos danos e recuperação mais rápida. | ||
---|---|---|
Ferramenta | Porque é necessária | Open Source |
Política de segurança corporativa da sua organização |
Não existem ferramentas de "Decisão" e até que a AI esteja num nível mais elevado de desenvolvimento, a decisão continua a ser através do recurso humano. Decida com base nas informações de que dispõe, que incluem as ferramentas indicadas neste documento, bem como a política de segurança da sua organização. |
N/A |
AÇÃO: Remediar e recuperar. Melhorar os procedimentos de resposta a incidentes com base em lições aprendidas. | ||
---|---|---|
Ferramenta | Porque é necessária | Open Source |
Data Capture & Incident Response Forensics Tools |
As ferramentas de captura de dados e análise forense de resposta a incidentes são uma categoria ampla que cobre todos os tipos de meios. São ferramentas para meios digitais com o objetivo de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital, tudo com o objetivo de criar um track para auditoria jurídica. |
SANS Investigative Forensics Toolkit (SIFT) Sleuthkit |
System Backup & Recovery Tools Patch Mgmt. and Other Systems Mgm |
Ferramentas de gestão de patch e backup do sistema não são novidade, mas é importante incluí-las aqui, uma vez que num incidente será necessário o seu recurso. |
Opsi (Open PC Server Integration) |