Five Eyes Cybersecurity publica diretrizes de reposta a incidentes

Os procedimentos de resposta a incidentes de prática recomendada, as notas do relatório, começam com a coleta de artefatos, logs e dados e sua remoção para análise posterior e continuam com a implementação de etapas de mitigação sem deixar o adversário saber que sua presença no ambiente comprometido foi detectada .

Além disso, a consultoria conjunta incentiva as organizações a colaborar com uma organização de segurança de TI terceirizada para receber suporte técnico, garantir que o adversário seja removido da rede e evitar problemas resultantes de comprometimentos de acompanhamento.

O comunicado conjunto “destaca abordagens técnicas para descobrir atividades maliciosas e inclui etapas de mitigação de acordo com as melhores práticas. O objetivo deste relatório é aprimorar a resposta a incidentes entre parceiros e administradores de rede, além de servir como um manual para investigação de incidentes. ”

Abordagens técnicas para descobrir atividades maliciosas incluem pesquisa de Indicadores de Compromisso (IOC), análise de padrões de tráfego em sistemas de rede e host, análise de dados para descobrir padrões repetidos e detecção de anomalias.

As organizações são aconselhadas a procurar uma ampla variedade de artefatos ao conduzir investigações de rede ou análise de host, incluindo tráfego DNS, RDP, VPN e sessões SSH, processos invasores, novos aplicativos, chaves de registro, portas abertas, conexões estabelecidas, dados de login do usuário, Comandos do PowerShell e muito mais.

Ao lidar com um incidente, as organizações também devem evitar erros comuns, como tomar medidas imediatas após identificar os sistemas comprometidos (o que pode alertar o adversário), mitigar os sistemas antes que os artefatos sejam protegidos e recuperados, acessar / bloquear a infraestrutura adversária, redefinir credenciais preventivamente , apagando dados de log ou deixando de abordar a causa raiz de um ataque.

As etapas de mitigação que as organizações devem realizar ao procurar evitar vetores de ataque comuns incluem restringir ou descontinuar FTP, Telnet e serviços VPN não aprovados; remoção de serviços e sistemas não utilizados; quarentena de hosts comprometidos; fechando portas e protocolos desnecessários; desativar ferramentas de administração de rede remota; redefinir senhas; e corrigir vulnerabilidades em tempo hábil, entre outros.

O comunicado também detalha recomendações e práticas recomendadas para as organizações aplicarem ao procurar melhorar sua postura de segurança e evitar a ocorrência de ataques cibernéticos, mas destaca o fato de que nenhuma técnica, programa ou conjunto de medidas defensivas pode impedir totalmente as intrusões.

“Técnicas e programas defensivos implementados de maneira adequada tornam mais difícil para um ator de ameaça obter acesso a uma rede e permanecer persistente, mas não detectado. Quando um programa defensivo eficaz está em vigor, os atacantes devem encontrar barreiras defensivas complexas. A atividade do invasor também deve acionar mecanismos de detecção e prevenção que permitam às organizações identificar, conter e responder à intrusão rapidamente ”, diz o comunicado.

A segmentação da rede, a segregação física de dados confidenciais, a adoção dos princípios do menor privilégio e a aplicação de recomendações e implementação de configurações seguras nos segmentos e camadas da rede devem ajudar a diminuir os danos no caso de um ataque.

Fonte: https://www.securityweek.com/five-eyes-cybersecurity-agencies-release-incident-response-guidance