COMUNIDADE
Como um programa de forensics melhora resposta a incidentes

Como um programa de forensics melhora resposta a incidentes

Conceito de forensics foca principalmente na habilidade de coletar evidências digitais e minimizar custo das investigações

O conceito de forensics foca principalmente na habilidade de coletar evidências digitais e minimizar o custo das investigações. Basicamente, trata-se de um processo pós-ataque. No entanto, uma unidade de resposta forense pode ser útil para outras etapas da segurança.
Um programa efetivo de forensics é capaz de maximizar o valor das evidências digitais por meio de uma abordagem proativa de resposta aos incidentes. A ideia é partir do princípio de que os incidentes vão acontecer e oferecer recursos para fazer uso mais eficiente dos dados gerados durante ataques com objetivo de reduzir perdas e riscos posteriores.
 
Benefícios do forensics
Quando empresas operam com a ideia de que um ataque está prestes a acontecer, podem reduzir custos operacionais, pois simplificam o foco do fluxo de trabalho por meio de análises e atividades específicas já identificadas em outras situações.
Com isso, podem sair do tradicional “modo reativo” presente na maioria das empresas, que fica limitado a configurações pobres de segurança. Ao adotar uma abordagem proativa, companhias coletam e armazenam dados de investigações digitais forenses para implementar um monitoramento que identifique e mitigue uma quantidade muito maior de ameaças antes que elas se tornem incidentes sérios.
A organização ganha também a habilidade de reduzir potenciais incidentes em andamento. Aos poucos, com uma abordagem cada vez mais proativa, a tendência é de que ações maliciosas contra a rede diminuam devido à maior probabilidade de serem identificadas.
Um fato interessante é que algumas empresas já tiram proveito de um processo semelhante, mas não sabem. Preservar informações digitais que ficam nas soluções de Gerenciamento e Correlação de Eventos de Segurança (Security Information and Event Management – SIEM), por exemplo, já é um começo. Isso ajuda no processo de investigação de futuras ameaças e na implementação de uma abordagem cada vez mais proativa de resposta a incidentes.
 
Construa sua estratégia de forensics
Quando são capazes de entender o que aconteceu, como e por que, times de segurança podem prevenir a ocorrência de violações similares no futuro e otimizar monitoramento e resposta a incidentes.
Construir um laboratório de forensics costuma exigir alto investimento, o qual muitas empresas não têm capacidade de criar. Por isso, algumas preferem contratar companhias especializadas em segurança da informação.
Primeiro, portanto, é preciso analisar se a organização têm os recursos necessários para estabelecer uma unidade de resposta forense internamente, se o outsourcing é a melhor opção ou ainda se é preferível uma combinação dos dois.
Em seguida, é necessário implementar um risk assessment para catalogar dados sensíveis e seus locais para que profissionais de segurança da informação possam agir mais rapidamente para prevenir perda de dados e analisar rapidamente quais já foram comprometidos caso haja uma violação.
Também é importante criar uma equipe interna de resposta a incidentes, contendo analistas de segurança da informação, engenheiros de TI, de rede e desenvolvedores de aplicações, que devem ser coordenados para coletar de maneira efetiva todos os dados no tráfego da rede que possam conter informações do incidente.
O objetivo é promover uma investigação estruturada, mantendo documentados todos os dados de evidências para descobrir exatamente o que aconteceu.
Empresas só têm a ganhar com a implementação de um programa de forensics. A estratégia permite que as organizações complementem e otimizem seu programa e estratégias de segurança da informação.
*Cleber Marques é diretor da KSecurity
Comentários

Notícias Relacionadas

Copyright 2017 IT Mídia. Todos os direitos reservados.
É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da IT Mídia.