A gestão de incidentes e analise forense é parte da Segurança de Informação (SI) (https://defenselifecycle.com/noticias/iso-27000-sistema-gestao-seguranca-informacao/) que trata as falhas ocorridas de modo a mitiga-los.
Tendo a SI uma postura pró-activa, é necessário que as equipas e utilizadores tenham consciência da sua importância, pois essas falhas irão sempre ocorrer, mas podemos aprender com elas de modo a impedir a repetição e evoluir.
Quantas vezes é que “caindo” um serviço, o mesmo é “levantado” como sendo algo normal e sem se tomarem as devidas análises e acções? Pior, quantas vezes nem sequer é analisado, documentado e reportado? Pior, quando nem sequer existe monitorização eficiente para detectar? (https://defenselifecycle.com/noticias/monitorizacao24-7-beneficios-para-negocio/).
É frequente em reuniões ouvir falar de equipas que resolvem 50 incidentes por dia como sendo uma mostra de capacidade e competência, é um absurdo, o objectivo de uma boa implementação de SI será ter 1 ou 2 incidentes por dia e sendo os mesmos novos e sem repetição.
Depois do incidente e em especial se for de segurança, começa a segunda confusão, a da análise forense. Nesta análise, existem restrições legais de até onde se pode ir, pois só as autoridades legais podem analisar até ao fim e sem restrições, a somar a isso, é frequente a destruição das “provas” devido a manuseamento indevido, principalmente devido a “urgência” de disponibilizar o equipamento. A mesma deverá estar integrada nos processos de gestão de incidentes (https://en.wikipedia.org/wiki/Incident_management_(ITSM))
Etapas da gestão de incidentes
Assim, um processo de gestão de incidentes deve incluir as etapas:
- Registro de incidentes.
- Categorização do incidente.
- Priorização do incidente.
- Atribuição do incidente.
- Criação e gestão de tarefas.
- Gestão e escalar por via de SLA.
- Resolução do incidente.
- Fecho do incidente.
A resposta a incidentes de segurança, deve ter ainda um conjunto adicional de actividades, tais como:
- Confirmar se o incidente realmente existiu
- Determinar e documentar o objectivo do incidente
- Garantir a rápida detecção e isolamento
- Prevenir uma resposta não coordenada
- Minimizar os danos
- Restabelecer a operação normal
- Informar e educar a gestão
- Garantir cadeia de custodia da prova, para possibilitar se for caso disso o escalar para as autoridades e a posterior análise
- Tendo especial cuidado com dados voláteis (exemplo: memória RAM), memórias de massa (exemplo: discos) e registos de operações e transito (exemplo, logs).
- Aprender as lições, mitigando a causa e solução de modo a não se repetir.
Benefício do processo
A integração de uma resposta reactiva numa postura pró-activa é sempre complexa, mas extremamente eficaz e resulta a médio prazo de uma enorme economia de recursos em termos de disponibilidade do negócio.
E o resultado?
Como foi observado anteriormente, existe muita confusão em termos do âmbito e objectivos, assim, são trocadas as prioridades e as finalidades dos “modelos”, onde se “esquecem” as boas práticas pelo falso motivo de “ser uma perda de tempo” e de um improviso que não devia ter existido.
A principal prioridade deve ser sempre: Não ter incidentes, pois significa que tudo está previamente definido.
Depois, como não se podem evitar todos, deve existir o registo e coordenação de acções e informação de diagnostico, de modo a garantir a total capacidade de resolução, e metodologias para “não estragar”.
Só por último, e tendo a certeza que se tomaram todas as precauções devidas (exemplo: a cadeia de custódia) para posterior analise, então agir ou escalar.
Como complementar no final, aprender com o incidente e pró-activamente erradica-lo de forma a não existir repetição.
Infelizmente são esquecidos estes pressupostos gerais originando o efeito contrário do objectivo: afunilar o número de incidentes (número a tender para zero).
Assim, no âmbito da SI, só com políticas e processos bem definidos, é possível optimizar as estruturas e as pessoas para uma eficiência de operação e utilização. Mas não é isso o que se pretende com a Segurança de Informação?