O Apoio Tecnológico de Incidente de Segurança da Informação,tem como base a NIST SP 800-61, que é uma solução para previnir e eliminar incidentes de segurança de um sistema ou rede. Esse processo permite que as organizações consigam estar preparadas para estabelecer um plano de resposta a qualquer incidente que apareça.
Preparação: Preparar a equipe / estabelecer os procedimentos / guias / elementos necessários para que o tratamento de incidentes ocorra. Prepare a "War room".
Detecção & Análise: Determine se há um incidente. Examine os eventos e o contexto para confirmar.
Contenção, Erradicação & Recuperação: Impeça que o problema se agrave. Estabeleça "paradas" temporárias e de longo prazo. Livre-se dos artefatos do invasor no sistema. Precisa limpar a "bagunça". Restaure o sistema afetado de volta à normalidade de maneira segura e coloque em observação para que seu comportamento se estabilize.
Atividade pós-incidente: Documente toda a investigação (cadeia de eventos e custódia), pontos de aprendizado e melhorias na governança, política, SOP, medidas e controle existentes existentes.
A FreeBSD elabora o IRP completo; Determina roteiros, papeis e responsabilidades na organização; Simula, testa e valida o plano; Aponta GAPs preparatórios e recomenda melhorias.
Etapas:
Conjunto de ferramentas e procedimentos para identificar, eliminar e se recuperar de ameaças de segurança. Projetado para ajudar sua equipe a responder de forma rápida e uniforme contra qualquer tipo de ameaça externa.
Exemplos:
Security Appliance: Detecção e análise de ameaças em tempo real.
FreeBSD SOC (Security Office Center): Tratamento de indícios de incidentes detectados pelo Security Appliance e outros controles e ferramentais de segurança da organização (Firewall, IDS, WAF, Anti-Virus)
Sala de Guerra e Equipe de Resposta a Incidente: A FreeBSD pode compor uma equipe de IR oferecendo: Especialistas em Segurança da Informação Blue Team (defesa), perito forense, perito de causa raiz, especialista Unix/Linux especialistas em Redes e Telecom.
Equipe especialista apoiando: Análise de logs, busca por evidência do ataque em curso, indícios de persistência. Complementa gaps técnicos na equipe local para atividades de segurança da informação (Contra-escopo: exceto mão de obra operacional Windows / Virtualização)
Etapas:
A FreeBSD sobe um (ou diversos) Kali Linux no ambiente do cliente para:
Etapas:
A FreeBSD Reconstroi a história do ataque; Aponta falhas e abusos (técnico, humano, processos, governança, terceiros); Aponta que controles funcionaram; Aponta que controles falharam e precisam melhorias; Aponta que controles inexistiam e fizeram falta (recomendações); Varreduras Yara em Backups, hosts afetados, hosts suspeitos; Faz análise, auditoria e perícia forense; Dump de memória, dump de disco; Retenção e apresentação das evidências; Apoia contato com autoridades.
Etapas:
Incluso no Plano Anual de Apoio à Resposta a Incidente
2 appliances por location: 1 Security Appliance + 1 Kali Linux com Tenable,Kaspersky e outros produtos (custo único unitário por locations adicionais).
Incluso licenciamento Kaspersky, Yara Pro, Suricata Pro Rules, Carbon Black, etc.
Custo adicional se precisar que o appliance seja físico (1U Rackmount size).
Recursos Humanos: Até 2 analistas de Networking, ate 2 analistas de Telecom, ate 4 analistas Blue Team, ate 4 analistas Red Team, coordenação de 2 especialistas Sênior (certificações CISSP, CSX-P, CISM, 27001, etc).
Serviços: coordenação ou composição de time de resposta a incidente em sala de guerra; serviço de análise para diagnóstico e identificação de causa raiz do incidente; serviços de sanitização de dados, varredura e validação antes de restaurar backup; varredura de vulnerabilidades e apontamento de hardening antes de restaurar o ambiente à produção; serviço de identificação de novos controles mandatários e recomendados mediante confirmação da causa raiz ou com base nas hipóteses prováveis de abuso e causa raiz;
Tempo de mobilização incluso: até 3 semanas time total; até 8 semanas para causa raiz e análise / resolução de riscos residuais
Presença in-loco: prevista para a metade do time alocado; custos de transporte, estadia e alimentação não inclusos (ficam por conta do contratante).
*Transporte aéreo sempre que possível; estadia 3 estrelas ou superior; 3 refeições diárias padrão 3 estrelas ou superior.
Conversão de Sinistro em Exercícios: o (desejado por todos) não chamado para acompanhamento de sinistro (incidente de segurança da informação confirmado) no curso do ano será convertido em até 2 exercícios de incidente para o ano subsequente seguindo o padrão NIST 800-61 apropriados para o processo de sustentação e atualização dos IRP (Incident Response Planning) da organização.
*Caso a organização não tenha IRP elaborado é recomendado que o apoio FreeBSD comece por essa etapa (comece pelo começo portanto) e ao menos dois IRP sejam elaborados buscando planejamento antecipado de resposta aos escopos de incidentes mais críticos na organização, ou seja aqueles cuja organização tenha o menor apetite de risco
Preparação: A equipe busca determinar causa raiz do incidente e determina medidas de contentação e erradicação.
Detecção e Análise: A equipe analisa e detecta tráfego em trânsito, extrai dados, análisa movimentação lateral e comunicação leste-oeste, buscando ameaça em curso.
Contenção, erradicação e recuperação: A equipe atua na recuperação (recovery) e continuidade de negócio segura, analisando dados de backup e spare antes de serem recuperados.
Atividade pós incidente: A equipe atua na recuperação (recovery) e continuidade de negócio segura, analisando dados de backup e spare antes de serem recuperados.
Opção 1
Opção 2