RESPONDER E PREVENIR – FERRAMENTAS DE RESPOSTA A INCIDENTES DE SEGURANÇA
29/12/2020

Quando o tema é Resposta a Incidentes de Segurança, devemos manter um olhar atento sobre as ferramentas necessárias para deteção, triagem, contenção e respostas eficazes.
Neste artigo, iremos falar sobre algumas ferramentas e boas práticas para auxiliar a sua organização a tomar a decisão mais adequada em cada fase de investigação.

É importante começar pela tríade A: Ammunition, Attribution e Awareness.

Em resumo para uma defesa eficiente da rede, é necessário que tenha as capacidades (ferramentas e recursos) certas, para identificar as atribuições necessárias, como também, aumentar a consciencialização como uma forma de redução do volume e impacto de incidentes cibernéticos.
Ammunition: São as ferramentas de resposta a incidentes. Mais adiante iremos destacar algumas das principais ferramentas open source.
Attribution: É importante entender de onde vem um ataque de forma a compreender a intenção e técnica do hacker. Sempre que possível utilizar técnicas de Cyber Threat Intelligence para fazê-lo em tempo real.
Awareness: O controlo de segurança mais fundamental é o utilizador instruído e consciente. É importante pensar em ações e programas de consciencialização de segurança na sua organização.

Ferramentas Open Source
É importante destacar que iremos indicar algumas das ferramentas open source mais utilizadas no mercado, no entanto, em alguns casos pode ser necessário examinar opções comerciais para determinados recursos, consoantes as necessidades e especificidades da sua organização.
Estas ferramentas serão destacadas com base no OODA, que foi desenvolvido pelo estratega militar da Força Aérea dos EUA, John Boyd, onde o ciclo OODA fornece uma estrutura eficaz para resposta a incidentes. incident response

OBSERVAR: Utilizar a monitorização da segurança para identificar um comportamento anómalo que pode requerer investigação.
Ferramenta Porque é necessária Open Source
Intrusion Detection Systems (IDS) — Network & Host-based




DS'es (HIDS e NIDS) monitorizam a atividade do servidor e da rede em tempo real e normalmente usam assinaturas de ataque ou linhas de base para identificar e emitir um alerta quando ataques conhecidos ou atividades suspeitas ocorrem em um servidor (HIDS) ou em uma rede (NIDS ).




Snort

Suricata

BroIDS

OSSEC
Netflow Analyzers




Examinam o tráfego real dentro de uma rede (e através dos gateways de perímetro). Se a sua organização está a rastrear um determinado segmento de atividade ou apenas tendo uma ideia adequada de quais protocolos estão em utilização na sua rede e quais ativos estão a comunicar entre si, o netflow é uma excelente abordagem.


Ntop

NfSen

Nfdump
Availability Monitoring O objetivo principal da resposta a incidentes é evitar o tempo de inatividade tanto quanto possível. Uma falha na aplicação ou serviço pode ser o primeiro sinal de um incidente em execução. Nagios


ORIENTAR: Avaliar o que está a acontecer no cenário de ameaças cibernéticas e dentro da sua organização.
Faça ligações lógicas e contexto em tempo real para focar em eventos de prioridade.
Ferramenta Porque é necessária Open Source
Asset Inventory



Para saber quais eventos priorizar, precisará compreender a lista de sistemas críticos na sua rede e qual software que está instalado. Essencialmente, é preciso entender o seu ambiente para avaliar a criticidade do incidente como parte do processo de Orientação / Triagem.
A melhor maneira de fazer isso é ter uma descoberta automática de ativos e inventário que pode atualizar.
OCS Inventory

Threat Intelligence Security Research



A inteligência de ameaças fornece informações globais sobre ameaças no mundo real, tais como: indicadores de comprometimento, endereços IP de má reputação, servidores de comando e controlo entre outros, podem ser aplicados nos seus próprios ativos de rede, para fornecer um contexto completo para a ameaça.


AlienVault OTX

AlienVault Labs


DECIDIR: Com base em observações e contexto, escolha a melhor tática para mínimos danos e recuperação mais rápida.
Ferramenta Porque é necessária Open Source
Política de segurança corporativa da sua organização


Não existem ferramentas de "Decisão" e até que a AI esteja num nível mais elevado de desenvolvimento, a decisão continua a ser através do recurso humano.
Decida com base nas informações de que dispõe, que incluem as ferramentas indicadas neste documento, bem como a política de segurança da sua organização.
N/A


AÇÃO: Remediar e recuperar. Melhorar os procedimentos de resposta a incidentes com base em lições aprendidas.
Ferramenta Porque é necessária Open Source
Data Capture & Incident Response Forensics Tools



As ferramentas de captura de dados e análise forense de resposta a incidentes são uma categoria ampla que cobre todos os tipos de meios.
São ferramentas para meios digitais com o objetivo de identificar, preservar, recuperar, analisar e apresentar fatos e opiniões sobre a informação digital, tudo com o objetivo de criar um track para auditoria jurídica.
SANS Investigative Forensics Toolkit (SIFT)

Sleuthkit
System Backup & Recovery Tools

Patch Mgmt. and Other Systems Mgm
Ferramentas de gestão de patch e backup do sistema não são novidade, mas é importante incluí-las aqui, uma vez que num incidente será necessário o seu recurso.



Opsi (Open PC Server Integration)



Default
Default
Como podemos ajudar?
Fale Connosco