A perícia digital e resposta a incidentes, ou DFIR, combina duas áreas da cibersegurança para agilizar a resposta a ameaças e preservar as provas contra cibercriminosos.
A DFIR integra duas disciplinas discretas de cibersegurança: perícia digital, que se refere à investigação de ameaças cibernéticas, sobretudo para reunir provas digitais para processar cibercriminosos; e resposta a incidentes, que é a detecção e mitigação de ataques cibernéticos em andamento. A combinação dessas duas disciplinas ajuda as equipes de segurança a deter as ameaças com maior rapidez, preservando provas que, de outra forma, poderiam se perder em virtude da urgência de mitigação das ameaças.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
A perícia digital investiga e reconstitui incidentes de cibersegurança por meio da coleta, análise e preservação de provas digitais: vestígios deixados por agentes de ameaças, como arquivos de malware e scripts maliciosos. Essas reconstituições permitem que os investigadores identifiquem a causa raiz dos ataques e os culpados.
As investigações forenses digitais seguem uma cadeia de custódia rigorosa ou um processo formal para rastrear como as provas são coletadas e manipuladas. A cadeia de custódia permite que os investigadores demonstrem que as provas não foram adulteradas. Consequentemente, as provas das investigações forenses digitais podem ser usadas para fins oficiais, como processos judiciais, pedidos de seguros e auditorias regulatórias.
O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) (link externo ao site ibm.com) descreve quatro etapas para investigações forenses digitais:
Após uma violação, os peritos coletam dados de sistemas operacionais, contas de usuário, dispositivos móveis e quaisquer outros ativos de hardware e software que os agentes de ameaças possam ter acessado. Alguns das fontes comuns de dados de perícia são:
- Perícia de sistemas de arquivos: dados encontrados em arquivos e pastas armazenados em endpoints.
- Perícia de memórias: dados encontrados na memória de acesso aleatório (RAM) de um dispositivo.
- Perícia de redes: dados encontrados ao examinar a atividade na rede, como navegação na web e comunicações entre dispositivos.
- Perícia de aplicações: dados encontrados nos logs de aplicativos e outros softwares.
Para preservar a integridade das provas, os investigadores fazem cópias dos dados antes de processá-los. Eles protegem os originais para que não possam ser alterados e o restante da investigação é realizado nas cópias.
Os investigadores vasculham os dados em busca de sinais de atividade de cibercriminosos, como e-mails de phishing, arquivos alterados e conexões suspeitas.
Os investigadores usam técnicas forenses para processar, correlacionar e extrair insights de provas digitais. Eles também podem fazer referência a feeds de inteligência de ameaças próprios e de código aberto para vincular suas descobertas a agentes de ameaças específicos.
Os investigadores compilam um relatório que explica o que aconteceu durante o evento de segurança e, se possível, identifica suspeitos ou culpados. O relatório pode conter recomendações para impedir futuros ataques. Ele pode ser compartilhado com autoridades policiais, seguradoras, órgãos reguladores e outras autoridades.
A resposta a incidentes se concentra em detectar e responder a violações de segurança. O objetivo da resposta a incidentes é evitar ataques antes que eles aconteçam e minimizar o custo e a interrupção dos negócios resultantes dos ataques que ocorrem.
Os esforços de resposta a incidentes são guiados por planos de resposta a incidentes (IRP), que descrevem como a equipe de resposta a incidentes deve lidar com ameaças cibernéticas. O processo de resposta a incidentes tem seis etapas padrão:
- Preparação: a preparação é o processo contínuo de avaliação de riscos, identificação e correção de vulnerabilidades (gerenciamento de vulnerabilidades) e elaboração de IRPs para diferentes ameaças cibernéticas.
- Detecção e análise: os responsáveis pela resposta a incidentes monitoram a rede em busca de atividades suspeitas. Eles analisam dados, filtram falsos positivos e fazem a triagem de alertas.
- Contenção: quando uma violação é detectada, a equipe de resposta a incidentes age para impedir que a ameaça se espalhe pela rede.
- Erradicação: depois que a ameaça é contida, os responsáveis pela resposta a incidentes a removem da rede (por exemplo, destruindo arquivos de ransomware ou removendo um agente de ameaça de um dispositivo.
- Recuperação: depois que a equipe de resposta a incidentes remove todos os vestígios da ameaça, ela restaura os sistemas danificados para que voltem às operações normais.
- Análise pós-incidente: os responsáveis pela resposta a incidentes analisam a violação para entender como ela aconteceu e se preparar para ameaças futuras.
Quando a perícia digital e a resposta a incidentes são realizadas separadamente, elas podem interferir uma na outra. Os responsáveis pela resposta a incidentes podem alterar ou destruir provas enquanto removem uma ameaça da rede, e os peritos podem atrasar a resolução de ameaças enquanto procuram provas. As informações podem não fluir entre essas equipes, tornando todos menos eficientes do que poderiam.
A DFIR funde essas duas disciplinas em um único processo realizado por uma equipe. Isso gera duas vantagens importantes:
A coleta de dados forenses ocorre juntamente com a mitigação de ameaças. Durante o processo de DFIR, as equipes de resposta utilizam técnicas forenses para coletar e preservar provas digitais enquanto contêm e erradicam uma ameaça. Isso garante que a cadeia de custódia seja seguida e que provas valiosas não sejam alteradas ou destruídas pelos esforços de resposta a incidentes.
A análise pós-incidente inclui o exame de provas digitais.. A DFIR utiliza provas digitais para conhecer a fundo os incidentes de segurança. As equipes de DFIR examinam e analisam as provas que reuniram para reconstituir o incidente do início ao fim. O processo de DFIR termina com um relatório que detalha o que aconteceu, como aconteceu, a extensão total dos danos e como ataques semelhantes podem ser evitados no futuro.
Entre os benefícios resultantes estão:
- Prevenção de ameaças mais eficaz. As equipes de DFIR investigam os incidentes de forma mais minuciosa do que as equipes tradicionais de resposta a incidentes. As investigações de DFIR ajudam as equipes de segurança a entender melhor as ameaças cibernéticas, criar playbooks de resposta a incidentes mais eficazes e impedir mais ataques antes que ocorram. As investigações de DFIR também ajudam a otimizar a caça a ameaças, revelando provas de ameaças ativas desconhecidas.
- Pouca ou nenhuma prova é perdida durante a resolução da ameaça. Em um processo convencional de resposta a incidentes, as equipes podem errar na pressa de conter a ameaça. Por exemplo, se eles desligarem um dispositivo infectado para conter a propagação de uma ameaça, qualquer prova remanescente na RAM do dispositivo será perdida. Treinadas tanto em perícia digital quanto em resposta a incidentes, as equipes DFIR são hábeis na preservação de provas e resolução de incidentes.
- Suporte aprimorado a litígios. As equipes do DFIR seguem a cadeia de custódia, o que significa que os resultados das investigações de DFIR podem ser compartilhados com autoridades policiais e usados para processar cibercriminosos. As investigações de DFIR também podem auxiliar em pedidos de seguros e auditorias regulatórias pós-violação.
- Recuperação de ameaças mais rápida e robusta. Como as investigações forenses são mais robustas do que as investigações convencionais de resposta a incidentes, as equipes de DFIR podem descobrir malwares ocultos ou danos ao sistema que, de outra forma, passariam despercebidos. Isso ajuda as equipes de segurança a erradicar ameaças e se recuperar de ataques de forma mais completa.
Em algumas empresas, uma equipe interna de resposta a incidentes de segurança em computadores (CSIRT), às vezes chamada de equipe de resposta a emergências em computadores (CERT), lida com a DFIR. Entre os membros da CSIRT podem estar: diretor de segurança da informação (CISO), centro de operações de segurança (SOC) e equipe de TI, líderes executivos e outros stakeholders de toda a empresa.
Muitas empresas não têm os recursos para realizar a DFIR por conta própria. Nesse caso, elas podem contratar serviços de DFIR de terceiros que prestam serviços.
Especialistas em DFIR internos e terceirizados usam as mesmas ferramentas de DFIR para detectar, investigar e resolver ameaças. Isso inclui:
Gerenciamento de informações e eventos de segurança (SIEM): o SIEM coleta e correlaciona dados de eventos de segurança de ferramentas de segurança e outros dispositivos na rede.
Orquestração, automação e resposta de segurança (SOAR): o SOAR permite que as equipes de DFIR coletem e analisem dados de segurança, definam fluxos de trabalho de resposta a incidentes e automatizem tarefas de segurança repetitivas ou de nível inferior.
Detecção e resposta de endpoint (EDR): o EDR integra ferramentas de segurança de endpoint e usa funções de análise em tempo real e automação orientada por IA para proteger as organizações contra ameaças cibernéticas que conseguem passar pelo software antivírus e outras tecnologias tradicionais de segurança de endpoint.
Detecção e resposta estendida (XDR): XDR é uma arquitetura aberta de cibersegurança que integra ferramentas de segurança e unifica as operações em todas as camadas de segurança: usuários, endpoints, e-mail, aplicações, redes, cargas de trabalho na nuvem e dados. Ao eliminar as lacunas de visibilidade entre as ferramentas, o XDR ajuda as equipes de segurança a detectar e resolver ameaças com mais rapidez e eficiência, limitando os danos que elas causam.
A busca proativa de ameaças, o monitoramento contínuo e a investigação profunda das ameaças são apenas algumas das prioridades enfrentadas por um departamento de TI já muito ocupado. Contar com uma equipe de resposta a incidentes confiável à disposição pode reduzir o tempo de resposta, minimizar o impacto de um ciberataque e auxiliar na recuperação mais rápida.
O caminho para coordenar a resposta a incidentes começa com a capacitação das pessoas, o desenvolvimento de um processo coerente e repetível e, em seguida, a utilização da tecnologia para a execução. Este guia descreve as principais etapas para criar uma função robusta de resposta a incidentes.
Um plano formal de resposta a incidentes permite que as equipes de segurança cibernética limitem ou evitem danos de ataques cibernéticos ou violações de segurança.
As informações de segurança e o gerenciamento de eventos (SIEM) oferecem monitoramento e análise em tempo real de eventos, bem como acompanhamento e registro de dados de segurança para fins de conformidade ou auditoria.
A inteligência de ameaças é uma informação detalhada e praticável sobre ameaças para prevenir e combater ameaças cibernéticas direcionadas a uma organização.
O ransomware mantém os dispositivos e dados das vítimas como reféns até que o resgate seja pago. Saiba como o ransomware funciona, por que ele se proliferou nos últimos anos e como as organizações se defendem contra ele.