A importância da forense digital em incidentes cibernéticos

Por Heimdall e ISH DFIR: À medida que os incidentes cibernéticos ocorrem nas organizações é fundamental que sejam adotadas boas práticas para atuação na resposta a incidente, visando coletar o máximo possível de evidências que possam auxiliar na investigação.

Para propagarmos a importância de garantir evidências para uma boa investigação, listamos algumas medidas de segurança que podem ser adotadas para que as evidências não sejam prejudicadas e para que uma investigação forense seja feita corretamente, apresentando bons resultados.

Boas práticas para Resposta a Incidentes

A principal boa prática é a criação de um Plano de Resposta a Incidentes. Se trata de um conjunto de procedimentos criados e organizados para gerenciar e responder de maneira eficaz a incidentes de segurança da informação ou qualquer outro evento que possa ocorrer em uma organização.

O foco principal é minimizar os dados causados por um incidente e garantir a continuidade dos negócios, fornecendo ainda os papéis e responsabilidades, linhas de comunicações, procedimentos, coleta de evidências, análise forense, mitigação de riscos e restauração de um sistema.

Além disso, o Plano de Resposta a Incidentes deve seguir algumas etapas, como:

  • Preparação: consiste em identificar ameaças potenciais, implementação de medidas de segurança, treinamento da equipe e procedimentos prévios;
  • Detecção: essa fase consiste em identificar e confirmar a ocorrência de um incidente de segurança, garantindo ainda o acionamento do plano de resposta a incidentes;
  • Avaliação: é necessário realizar a análise da gravidade e impacto que o incidente poderá ocasionar na organização, verificando-se as ações necessárias e priorização da resposta;
  • Resposta: após avaliada as ações, é realizado, por exemplo, o isolamento do sistema afetado visando mitigar o dano. Aqui, também é realizada a coleta de evidências e análise forense dos dados coletados do incidente;
  • Recuperação: essa fase foca na restauração dos sistemas afetados, bem como retornar a disponibilidade dos sistemas afetados;
  • Lições aprendidas: na fase final, pós-incidente, é necessário identificar as falhas e ocorrências que vieram a ser apresentada durante a fase da resposta ao incidente, verificando-se ainda a necessidade de atualização do plano de resposta a incidente para utilizá-lo de forma correta, caso um incidente de segurança torne a ocorrer.

Além dessas etapas, é importate que, durante a resposta, a pessoa ou equipe responsável documente todos os processos e ações que estão sendo tomadas durante um isolamento. Além disso, é essencial que no caso de um host/ativo ser alvo da investigação, ele não seja desligado ou reiniciado, porque durante seu funcionamento, existe a criação de dados voláteis que, ao serem submetidos a reinicialização do sistema, serão perdidos.

Deve-se ainda evitar interagir com o sistema afetado além do necessário, reduzindo o risco de modificar ou contaminar as evidências e preservando a sua integridade. Além disso, acione uma equipe ou pessoa responsável para atuar como foco em forense, visto que tais profissionais irão utilizar as ferramentas apropriadas para coleta de evidências e análise dos dados coletados.

A atuação do DFIR

DFIR é a sigla de Digital Forensics and Incident Response, que corresponde a uma área de práticas e técnicas que envolve as investigações de forense digital e resposta a incidentes. A atuação neste campo envolve o conhecimento multidisciplinar que combina o conhecimento de segurança da informação, ciência forense, tecnologia da informação e direito.

A área de Digital Forensics (Forense Digital) envolve realizar a coleta, preservação, análise e apresentação das evidências digitais em uma investigação. Poderá ser realizada a recuperação de dados de dispositivos e sistemas, análise de artefatos digitais, como arquivos de logs, registros e metadados, além da reconstrução de eventos ocorridos em um ambiente digital.

Incident Response (Resposta a Incidentes) corresponde a prática de identificar, investigar e responder a um incidente de segurança da informação. Envolve a atuação em tempo real do incidente, mitigação do risco, coleta de evidências para a análise forense e a recuperação dos sistemas afetados.

Juntos, a forense digital e resposta a incidentes formam o campo de DFIR, essencial para lidar com invasões de rede, malwares, roubo de dados, entre outras atividades maliciosas.

A ISH conta com uma equipe de DFIR preparada para atuar em incidentes de seguranças, atuando na Resposta e Investigação garantindo, assim, relatórios e ações concisas em prol da organização para mitigar a ameaça e danos. Fale conosco para saber mais.