Gestão de Investigações de Incidentes e Forenses

Incidentes de segurança e investigações forenses digitais são eventos complexos com muitas facetas, todos os quais devem ser gerenciados em paralelo para garantir eficiência e eficácia. Quando as investigações não são gerenciadas e documentadas adequadamente, os processos falham, os itens críticos são negligenciados, as ineficiências se desenvolvem e os principais indicadores são perdidos, todos levando ao aumento do risco e das perdas potenciais.

A gestão da investigação pode ser dividida em vários componentes-chave e é importante que uma organização seja capaz de realizar todos esses elementos coletivamente e sem interrupções, a fim de lidar e gerenciar adequadamente qualquer incidente que possam potencialmente enfrentar.

 

EVENTO FRAUDES CORPORATIVAS

DIA 16 DE OUTUBRO NO RIO DE JANEIRO

INSCREVA-SE – CLIQUE NA IMAGEM

Este blog irá cobrir brevemente 9 áreas-chave que acredito serem as mais importantes quando se trata de gerenciamento de incidentes e forenses. Garantir que estas estejam firmemente estabelecidas nas operações de segurança ou na equipe de CSIRT garantirão um gerenciamento de incidentes mais eficiente e eficaz quando ocorrer um incidente.

 
Gestão de caso

Toda investigação deve ser organizada em um contêiner lógico, comumente chamado de caso ou incidente . Isso é necessário por vários motivos. Obviamente, esse contêiner é usado para identificar a investigação e conter informações como observáveis, tarefas, evidências, notas e outras informações associadas à investigação, discutidas em maiores detalhes nas seções subsequentes. Muitas investigações contêm informações confidenciais que devem ser acessadas apenas por pessoas com uma necessidade legítima de saber. Esses contêineres também servem para impor um nível de controle de acesso.

Observáveis ​​e descobertas

As investigações geram um grande volume de dados, desde observáveis ​​simples, como endereços IP, nomes de domínio e valores de hash, até observáveis ​​mais complexos, como malware e TTPs de invasores, além de descobertas como aquelas feitas de análise de log, exame forense e análise de malware. . Todas essas informações devem ser registradas e compartilhadas com todas as partes interessadas adequadas para garantir a resposta mais eficaz a um incidente de segurança .

Os dados coletados de incidentes anteriores podem ser uma ferramenta inestimável para responder de maneira mais eficaz a futuros incidentes de segurança . À medida que os pontos de dados individuais são associados uns aos outros, essas informações são transformadas de dados simples em informações de ameaças acionáveis que podem informar decisões e respostas futuras.

Fase, Expectativa e Gerenciamento de Tarefas

As investigações geralmente progridem através de uma série de fases, cada uma contendo uma série de expectativas de gestão e um conjunto de tarefas necessárias para atender a essas expectativas. À medida que a complexidade de uma investigação aumenta o rastreamento dessas fases, as expectativas e as tarefas tornam-se mais críticas e mais difíceis de gerenciar. A falha em rastrear e gerenciar adequadamente as fases de investigação, expectativas e tarefas pode levar a esforços duplicados, itens negligenciados e outras ineficiências que levam a um aumento no custo e no tempo para concluir com êxito uma investigação.

Evidência e Cadeia de Custódia

Documentar evidências e acompanhar a cadeia de custódia pode ser um processo complexo durante uma investigação de qualquer tamanho. A documentação usando sistemas de planilhas ou baseados em papel mais antigos não é dimensionável para investigações maiores, é propensa a erros e consome tempo. Deixar de manter uma lista completa de evidências ou manter a cadeia de custódia pode resultar em evidências perdidas, duplicação de esforços e incapacidade de usar evidências críticas durante os processos legais.

Integração de ferramentas forenses

As operações de segurança usam uma infinidade de ferramentas e tecnologias diariamente, com as diferentes sendo utilizadas para diferentes tipos de investigações. Fazer login em várias plataformas individualmente para coletar dados geralmente é um processo manual e pode ser cansativo e doloroso, além de consumir muito tempo, e o tempo é sempre essencial. É essencial que as ferramentas de segurança estejam conectadas e integradas para melhorar a eficiência e fundir as informações de forma transparente, de modo que todos os dados possam ser analisados ​​e documentados em um único local e imediatamente compartilhados com os interessados ​​relevantes.

Relatórios e Gerenciamento

A denúncia e o gerenciamento de relatórios é uma função vital durante qualquer investigação. Uma vez documentada a informação, ela deve poder ser acessada facilmente e em vários formatos apropriados para uma ampla variedade de públicos. À medida que a escala de uma investigação cresce, o mesmo acontece com o número de relatórios individuais que serão gerados. Isso pode resultar em muitas complexidades, incluindo compartilhamento de logística, controles de acesso adequados e gerenciamento de diferentes versões de relatórios. Para reduzir o impacto dessas complexidades, uma única plataforma de gerenciamento de relatórios deve ser usada para atuar como a fonte oficial de todos os relatórios.

Acompanhamento e Auditoria de Atividades

As ações de rastreamento realizadas durante uma investigação são importantes para garantir uma resposta consistente, identificar áreas onde melhorias de processo são necessárias e provar que as ações tomadas são apropriadas. Não apenas as ações devem ser documentadas, mas também é crucial assegurar que a integridade desta documentação não possa ser questionada posteriormente. No entanto, documentar a atividade durante uma investigação pode consumir muito tempo, afastando a atenção dos analistas das tarefas em questão e, muitas vezes, é uma reflexão tardia.

Segurança da Informação

Dados de investigação podem ser extremamente sensíveis, e é crucial que a confidencialidade de tais dados seja mantida em todos os momentos. A confidencialidade deve ser mantida não apenas para aqueles fora da organização, mas também para aqueles usuários internos que podem não estar autorizados a acessar algumas ou todas as informações do incidente.

Gestão de ativos

Não importa os papéis específicos que uma equipe tem a tarefa, a equipe exigirá muitos recursos internos físicos e lógicos diferentes para realizar suas tarefas. Isso pode incluir estações de trabalho, mídia de armazenamento, dongles de licença, software e outros hardwares. Independentemente do ativo, uma organização deve ser capaz de rastrear esse ativo por toda a sua vida, garantindo que eles (e o dinheiro gasto com eles) não sejam desperdiçados. À medida que a equipe cresce, gerenciar o rastreamento desses ativos, quem são emitidos, suas datas de vencimento e muito mais pode se tornar uma tarefa em tempo integral.

Pensamentos finais

Esses componentes principais combinados permitem que as equipes de segurança trabalhem com mais eficiência ao longo de todo o ciclo de vida investigativo, reduzindo o custo e o risco representado pela grande variedade de eventos enfrentados atualmente pelas organizações. Oferecer uma visão holística do cenário de segurança e da ampla infraestrutura da organização permite um melhor uso das ferramentas e tecnologias existentes para minimizar o tempo que os membros da equipe devem gastar nas partes administrativas das investigações, permitindo que se concentrem nas tarefas mais importantes o resultado da resposta.

9 Key Components of Incident and Forensics Management