Ao responder a um incidente, o tempo é crítico. Você precisa tomar as decisões certas, com base nos dados certos, com os tomadores de decisão certos, tudo na ordem certa. Ter um processo bem definido e eficiente é fundamental. Automatizar o máximo possível desse processo reduz o tempo e melhora a eficácia do analista.
É preciso planejamento, habilidades, coordenação e automação para garantir respostas a incidentes (IR) bem definidas. O NIST (link fora do ibm.com) e o SANS (link fora do ibm.com) têm diretrizes de IR que resistiram aos testes do tempo. O NIST descreve como bem definido um processo de IV com estas fases:
Os playbooks do IBM Security® QRadar® SOAR oferecem a capacidade de definir um processo de IR com base em uma hierarquia simples de fases, tarefas e ações. Quando um caso é criado no QRadar SOAR, um playbook define as fases, as tarefas e as ações necessárias para a resposta.
O QRadar SOAR Playbook Designer facilita a criação de processos padrão de resposta a incidentes ou de conjuntos de tarefas. As tarefas do Playbook fornecem aos analistas orientações para concluir cada tarefa e a ordem de execução de cada uma. Os pontos de decisão permitem que o processo seja dinâmico e ramificado para incluir tarefas adicionais ou ignorar tarefas desnecessárias. Durante um incidente, tarefas adicionais podem ser adicionadas manualmente por um analista.
O módulo Qradar SOAR Breach Response fornece aos analistas tarefas específicas para violações, abrangendo mais de 180 normas globais de privacidade, para ajudá-lo a atender aos requisitos de relatórios e evitar multas pesadas.
As tarefas definem ações, e as ações podem executar a automação — por meio de integrações — com outras ferramentas para acelerar o processo de resposta. O QRadar SOAR pode se integrar a mais de 300 soluções de segurança. Você pode começar definindo o conjunto de tarefas e a ordem de execução das tarefas e, em seguida, automatizar primeiro as ações executadas com mais frequência.
A detecção automática de ameaças e a caça a ameaças fornecem alertas que devem ser revisados por um analista. Enviar esses alertas para o QRadar SOAR cria um caso e inicia o processo de resposta a incidentes (IR).
As tarefas ajudam a equipe de segurança a analisar o sistema infectado e checar o tráfego de rede em busca de movimento lateral.
Playbooks ajudam a criar o conjunto certo de tarefas, que podem variar com base no tipo de incidente ou fonte. O QRadar SOAR permite criar playbooks para diferentes tipos de ataques; eles contêm lógica para acionar tarefas diferentes com base nos atributos do ataque.
Quanto mais cedo um caso SOAR for criado, mais a automação ajudar a economizar tempo. As tarefas podem orientar novos analistas e criar documentação de caso. A função de arquivo pode ajudar a limpar casos antigos ou falsos positivos; mantendo o sistema limpo, mas permitindo um registro permanente que você pode recuperar quando precisar.
Nesta fase, um analista precisa pesquisar e determinar se o alerta é real. A orientação de tarefas pode usar ações para coletar automaticamente os detalhes de várias ferramentas conectadas, reunindo todas as informações relevantes. As informações são adicionadas às tabelas de dados do caso, e isso inicia o processo de documentação do incidente.
O enriquecimento pode ser tão simples quanto acessar um diretório LDAP para adicionar o proprietário do notebook ao caso ou reunir todos os detalhes pertinentes da fonte de alerta (por exemplo, SIEM, EDR, nuvem e muito mais). Ao automatizar o enriquecimento com ações de playbook, os analistas podem se concentrar na revisão e confirmação do incidente ou marcá-lo como falso positivo.
Se algum dado foi perdido, o preenchimento do questionário de resposta a violações com o número de indivíduos afetados e suas regiões geográficas pode ajudar a determinar os regulamentos aplicáveis e os tempos de resposta e tarefas de relatório associados.
Durante um ataque, o tempo é essencial. E a automatização de ações economiza tempo e reduz a curva de aprendizagem para novos analistas. Com mais de 300 integrações e compatibilidade com padrões abertos, automatizar ações de contenção é a primeira prioridade. Após um analista confirmar o incidente, as ações podem ser executadas de forma automática ou manual por um analista. As ações nesta fase podem colocar um sistema offline ou interromper a execução de um processo. As integrações com ferramentas de EDR, como o QRadar EDR ou o Cybereason, também podem colocar o notebook de um funcionário off-line.
Para sistemas de TI, como folha de pagamento ou recursos humanos, as automações podem procurar a TI do sistema e os proprietários de negócios em uma ferramenta de gerenciamento de ativos, como ServiceNow ou SAP. As automações podem enviar um e-mail aos proprietários informando que o sistema está infectado e adicionar os proprietários à tabela de dados de casos com comentários de que os proprietários foram notificados por e-mail ou pelo Slack.
Os playbooks podem ser dinâmicos. Portanto, no caso de um alvo de alto valor, como um notebook executivo, o tempo pode ser crítico; e os playbooks podem executar ações de contenção enquanto o analista continua realizando tarefas durante a fase de Enriquecimento e Validação. Depois que os detalhes do ataque são confirmados, as ações podem automatizar as atualizações de uma lista de bloqueio de firewall usando uma integração EDR, que ajuda a evitar movimentos laterais ou reentrada e economiza tempo dos analistas.
Durante esta fase, as equipes de segurança podem facilitar as ações de recuperação restantes e comunicar a resolução de incidentes para toda a equipe. Analistas podem automatizar ações para criar e rastrear solicitações à TI para recriar imagens de máquinas ou restaurar a partir de backups.
Integrações bidirecionais com ferramentas como o ServiceNow permitem que analistas criem um ticket a partir do QRadar SOAR e monitorem o progresso. O ServiceNow pode atualizar o caso quando o ticket do ServiceNow estiver concluído. Você também pode automatizar ações que exigem soluções EDR, como QRadar EDR, Carbon Black ou SentinelOne, para colocar o sistema online novamente.
Lições aprendidas
Os relatórios resumem a documentação de cada resposta e ação tomada. Um relatório de incidente será resumido para a revisão para garantir que toda a documentação adequada faça parte do caso. No caso de violações de dados, a revisão das regulamentações aplicáveis ajuda a manter as organizações em conformidade com os cronogramas de relatórios associados.
Os analistas revisam as fases e documentam todos os problemas que precisam ser atualizados para melhorar a resposta a incidentes no futuro. É nesse momento que um analista documenta e recomenda melhorias, como alteração da frequência dos backups ou revisão das tarefas manuais adicionadas ao caso que devem ser incluídas no playbook para futuros incidentes.
Os relatórios ajudam a entender onde o processo de resposta a incidentes pode ser aprimorado. As equipes de segurança podem usar a plataforma QRadar SOAR para "Gerar Relatório de Incidentes". A partir daqui, os analistas podem gerar um relatório para um único incidente ou para múltiplos incidentes. Eles podem usar um modelo padrão para formatar o relatório ou personalizá-lo para atender a necessidades específicas.
"Com a IBM, agora temos uma visão precisa de 24 horas do mundo em tempo real. Podemos ver cada endpoint, cada sistemas. E isso tornou nossa colaboração entre equipes muito mais eficiente", diz Robert Oh, diretor de operações da DDI.
"Para que um SOC seja eficaz, priorizar nossa resposta aos riscos de segurança mais urgentes é quase tão importante quanto a detecção. A solução QRadar tornou nossa equipe muito mais eficiente para lidar com o cenário de ameaças", diz Umair Shakil, chefe da unidade central de operações de segurança do Askari Bank.
"Nossos serviços de segurança cibernética Netox Trust fornecem visibilidade sobre as incógnitas [dos clientes], e nossos manuais os ajudam a oferecer respostas quando um ataque acontece", diz Marita Harju, gerente sênior de cibersegurança da Netox Oy.