Neste artigo iremos abordar Triagem de Incidentes de Segurança, como combinar inteligência de ameaças local e global para uma triagem eficaz.
Ao analisar e categorizar incidentes de segurança da informação é importante pensar como o hacker. No que diz respeito à prevenção, não podemos supor exatamente qual o caminho que um hacker seguirá para acesso à rede de dados, no entanto cada ataque funciona por meio de um determinado padrão, que segundo Lockheed Martim é denominado de “cyber kill chain.”
The “cyber kill chain” é uma sequência de estágios necessários para que um hacker entre e obtenha dados de uma rede, sendo que cada estágio revela um objetivo específico ao longo do percurso. Projetar o plano de monitorização e resposta em torno do modelo de cadeia de destruição cibernética é um método eficaz, pois foca-se nos atuais cenários e vetores de ataque.
Esta abordagem para pensar como o potencial Hacker, pode ser resumida em 4 etapas:
1 - Attacker’s Goal - Reconhecimento e Scan: Encontrar o alvo e desenvolver plano de ataque com base nas oportunidades para exploração.
2 - Delivery & Attack - Colocar o mecanismo de entrega online e utilizar a engenharia social para induzir o alvo a aceder malware ou outro exploit.
3 - Exploitation & Installation - Explorar vulnerabilidades em sistemas alvo para adquirir acesso, escalar os privilégios do utilizador e instalar payload.
4 - System Compromise - Filtrar dados de elevado valor sem ruido e o mais rápido possível. Utilizar o sistema comprometido para obter acesso adicional, “roubar” recursos de computação e / ou utilizar como ataque contra outro ativo.
Quais os eventos de segurança que a sua organização se deve preocupar?
Para ajudar a categorizar cada tipo de incidente, poderá alinhar os tipos de eventos à “Cyber Kill Chain” para determinar a prioridade apropriada e a estratégia de resposta a incidentes.
A tabela abaixo exemplifica como poderá ser feito:
Tipo de Incidente | Etapas Cyber Kill Chain | Nível de Prioridade | Recomendações |
---|---|---|---|
Port Scanning Activity (pre‑incident) | Reconnaissance & Probing | Baixa | Ignore a maioria destes eventos, exceto quando o IP de origem tenha uma reputação maliciosa e que haja vários eventos desse mesmo IP num pequeno intervalo de tempo. |
Malware Infection | Delivery & Attack | Média-Baixa | Corrija qualquer infeção por malware o mais rápido possível antes que estas progridam. Faça um scan na rede de forma a procurar indicadores de comprometimento associados a este evento (ex. MD5 hashes). |
Distributed Denial of Service | Exploitation & Installation | Alta | Configurar servidores expostos na web para proteger contra solicitações de pedidos extremos por HTTP e SYN. Coordene com o seu ISP durante um ataque para bloquear os IPs de origem. |
Unauthorized Access | Exploitation & Installation | Média | Detete, monitorize e investigue as tentativas de acesso não autorizado - com prioridade para aquelas que são essenciais e / ou contêm dados confidenciais. |
Insider Breach | System Compromise | Alta | Identifique os utilizadores com privilégios para todos os domínios, servidores, aplicações e dispositivos críticos. Certifique-se de que a monitorização está ativada para todos os sistemas e para todos os eventos do sistema e também certifique-se de que está a alimentar a sua infraestrutura de monitorização (SIEM). |