Os incidentes de Segurança da Informação precisam ser tratados de forma séria, comprometida e organizada. Muitas vezes, quando assistimos séries de televisão que envolve investigação criminal, pensamos se na vida real é mesmo daquela forma que as coisas acontecem, onde um grupo de cientistas forenses investiga cada parte de uma cena de crime de maneira meticulosa, procurando uma verdadeira agulha em um palheiro. 

 

 

Podemos admitir que, realmente, nas séries de televisão, eles possuem recursos infinitos, mas os processos de análises, coleta de evidências e comprovações realmente existem e devem ser encarados com muita seriedade. A análise de um incidente de Segurança da Informação deve ocorrer de forma planejada, ou seja, antes de acontecer o incidente já é necessário existir um plano de trabalho definido, com etapas de atividades e responsabilidades organizadas e estruturadas. Mas como criamos este plano de análise investigativa?

 

O plano de análise de incidentes possui premissas que serão vitais em uma investigação detalhada, precisa e com resultados consistentes. A seguir são apresentadas as principais premissas para uma análise de incidente de segurança da informação.

  •  Registro de Atividades (logs): Na maior parte da vida de um equipamento ou de um sistema, os registros de atividades parecem mais como problemas do que como soluções, ocupam espaço, são de difícil leitura e consolidação e são gerados em quantidade humanamente impossíveis de serem acompanhados e analisados. Mas isso acontece por que faltou a definição de uma política de registro, de análise e armazenamento. Por outro lado, nos poucos momentos em que se necessita consultar os registros de atividades, é que se entende o tamanho de sua importância. A capacidade de simular passo a passo um incidente, ou mesmo de entender como foi que aconteceu, é vital para a coleta de evidências e melhoria dos sistemas de segurança.
  • Sincronização do Horário dos Equipamentos: Para facilitar a rastreabilidade de incidentes que envolvem vários equipamentos é de suma importância que os registros de atividades, discutidos anteriormente, tenham o mesmo horário, ou seja, que os equipamentos estejam com seus relógios sincronizados. Esta sincronização deve ser feita de forma automática e com uma única fonte de informação, um servidor NTP (Network Time Protocol). Desta forma, todos os equipamentos estarão no mesmo horário, garantindo a consistência das evidências coletadas.
  • Mapeamento do Ambiente de TI: Umas das atividades que mais ajudam na análise de um incidente e a detecção de mudanças do ambiente. Mas como detectar uma mudança se não existe uma “fotografia” do ambiente antes. O mapeamento do ambiente de TI tem justamente esta finalidade, oferecer todas as informações do ambiente “limpo”, como configuração, versão dos sistemas operacionais, aplicação de patchs, de service packs e por aí afora. Estas informações serão comparadas com as informações coletadas após o incidente e como resultado terá as mudanças ocorridas no ambiente devido ao Incidente.
  • Análise de Vulnerabilidades e Ameaças: A maior parte das pessoas acha que vulnerabilidade significa que existe algo errado. O termo vulnerabilidade tem muita conotação pejorativa, mas ele é intrínseco a qualquer objeto que compõe um ambiente de TI. Mais importante que as vulnerabilidades, são as ameaças que podem explorá-las e as probabilidade disso ocorrer. A melhor forma de tratar estes itens é através de uma matriz de risco. Nessa matriz são identificados: os ativos de segurança que estão sendo avaliados; suas vulnerabilidades; suas ameaças; as probabilidades de ocorrer; os impactos caso ocorram. Ao final teremos os riscos reais de cada ativo, ordenados pelo grau do risco. Assim a organização pode focar investimento, ações de mitigação e atenção.
  • Estratégias de Retorno da Operação: A definição de estratégias de retorno de operação é muito importante para uma investigação de incidente. A organização não pode ficar com a TI paralisada, aguardando o término de uma investigação, ao mesmo tempo, que não podemos deixar de investigar e perder provas e evidências para colocar a TI em operação novamente. Para isso é necessário que exista uma estrutura de contingência que suporte a operação de TI, enquanto os itens (ativos) atingidos pelo incidente possam ser adequadamente analisados, considerando uma perfeita coleta de evidências, provas e informações necessárias.

 Plano de Análise de Incidente: A partir do momento que foi identificado um incidente de segurança da informação e que todas premissas foram adequadamente tratadas, deve iniciar o plano de análise de incidentes. Este plano deve conter os seguintes escopos:

  • Definição do Grupo de Análise, com suas funções e responsabilidades:
  • Definição das Atividades de Contingência, a fim de manter a operação da TI:
  • Definição de um Plano de Ação, para que as ações possam ocorrer de forma organizada e controlada:
  • Definição do formato das Evidências, Provas e Relatórios, a fim de manter o padrão das informações e facilitar o entendimento do incidente como um todo.