Elaboração de um plano de resposta a incidentes de TI

A fechadura vai ser arrombada. Talvez não hoje, mas vai acontecer em breve. Aliás, pode estar acontecendo agora mesmo… e você ainda não viu as provas. Esse cenário está se desenrolando contra algumas das melhores equipes de cibersegurança do mundo. Isso não é uma crítica a você ou à sua equipe de segurança, mas pesquisas mostram que incidentes de segurança estão se tornando cada vez mais comuns. O que você fará quando chegar a hora?

Este foi o tema de discussão em um painel recente de autoridades de segurança governamentais, que incluiu representantes do Gabinete do Diretor de Inteligência Nacional, da Administração de Segurança de Transportes (TSA) e outras entidades. Eles compartilharam suas perspectivas e lições aprendidas no enfrentamento do crescente cenário de ameaças globais.

Como as equipes de segurança cibernética do governo federal se preparam para incidentes

O painel discutiu a importância de ter um plano claro de resposta a incidentes de TI em vigor antes que o problema comece. É claro que alguns planos são melhores que outros. Quase todas as organizações de TI têm um. alguns um tipo de plano de resposta a incidentes. No entanto, para aqueles que defendem os Estados Unidos contra a guerra cibernética patrocinada por estados, os planos precisam ser muito mais robustos.

Elaborar um plano eficaz de resposta a incidentes de TI

O que é necessário para criar um plano eficaz de resposta a incidentes de TI? Vai muito além de um exercício acadêmico. Requer prática constante. O Centro de Coordenação da Comunidade de Inteligência, que faz parte do Gabinete do Diretor de Inteligência Nacional, realiza "jogos de guerra" cibernéticos com sua equipe. Eles simulam ataques cibernéticos reais e ensaiam respostas previamente elaboradas para testar tempos de reação e habilidades.

É claro que nem todos têm o tempo e os recursos necessários para esse nível de planejamento de resposta a incidentes, mas os princípios envolvidos são universais. De acordo com os participantes do painel, dois elementos essenciais para uma resposta eficaz a incidentes são a velocidade e a orquestração. Para se antecipar a um incidente de segurança, a equipe de resposta precisa ser capaz de agir com rapidez e eficiência para coordenar as ações — algo que só é possível com a automação e a orquestração dos fluxos de trabalho e sistemas de resposta.

Velocidade e orquestração são os dois elementos essenciais de um plano de resposta eficaz.

A percepção é um componente essencial da rapidez na resposta a incidentes. O tempo que decorre entre a percepção (e a correta interpretação) de um alerta e a tomada de ação pode fazer uma diferença crucial nos resultados.

Na TSA, por exemplo, o centro de operações de segurança (SOC) está em contato constante com equipes semelhantes em todo o Departamento de Segurança Interna. Como observou Paul Morris, CISO da TSA: "Se algo acontecer, ficamos sabendo rapidamente". Seu SOC afirma que pode escanear seus sistemas e Descubra qualquer nova ameaça identificada nos sistemas da TSA em até cinco minutos..

A principal tarefa de qualquer plano de resposta de TI é orquestrar pessoas, processos e sistemas de segurança. Essa tarefa é melhor executada com o auxílio de um especialista. automação de segurança e orquestração Ferramenta SAO. Uma solução SAO como o Swimlane automatiza tarefas de resposta a incidentes de TI.

Como as soluções de automação e orquestração de segurança permitem uma resposta eficaz a incidentes de TI

A automação e orquestração de segurança A solução pode ser configurada para executar rapidamente etapas de um plano de resposta que exigem orquestração entre sistemas. Por exemplo, uma equipe de segurança pode "ensinar" a solução SAO a responder a tipos específicos de alertas. Velocidade e orquestração unem forças com o SAO.

Imagine que uma ferramenta de gerenciamento de eventos e incidentes de segurança (SIEM) correlacione atividades suspeitas em registros de firewalls e dispositivos de rede e envie um alerta. A solução SAO pode ser configurada para receber e reagir ao alerta do SIEM de forma automatizada. Ela pode enviar as informações do alerta para uma plataforma de inteligência de ameaças para avaliação, enquanto abre um chamado no JIRA. Em seguida, pode notificar automaticamente as pessoas certas em tempo real.

A automação e orquestração de segurança não substituem os membros da equipe no plano de resposta a incidentes de TI, mas sim liberam o tempo deles para outras tarefas de alto nível.

Como os participantes do painel destacaram, a orquestração não retira as pessoas do fluxo de trabalho de resposta a incidentes. Pelo contrário, a automação e orquestração de segurança liberam os membros da equipe para tarefas de nível superior que exigem mais conhecimento especializado e foco analítico. A solução SAO mantém a equipe informada sobre as etapas de execução do plano de resposta. Com o Swimlane, o analista de segurança tem uma interface única que apresenta múltiplos fluxos de informações de gerenciamento de casos de incidentes para máximo contexto e eficiência na tomada de decisões.

A solução SAO da Swimlane pode ser adaptada aos requisitos até mesmo dos planos de resposta a incidentes de TI mais exigentes. Fácil de implementar, usar, gerenciar e escalar, ela permite que uma equipe de operações de segurança aproveite facilmente os recursos de suas soluções de segurança existentes. Além das integrações pré-construídas com as ferramentas de segurança e rastreamento de projetos mais comuns, as equipes de SecOps também podem desenvolver rapidamente suas próprias integrações usando linguagens de script comuns e uma API RESTful.

Casos de uso reais do SOAR (e-book)

Quer saber mais sobre como você pode usar a solução Swimlane SOAR em suas operações de segurança? Baixe nosso e-book "8 Casos de Uso Reais para Orquestração, Automação e Resposta de Segurança" para descobrir como.

Baixe agora