O conceito de forensics foca principalmente na habilidade de coletar evidências digitais e minimizar o custo das investigações. Basicamente, trata-se de um processo pós-ataque. No entanto, uma unidade de resposta forense pode ser útil para outras etapas da segurança.
As melhores notícias de tecnologia B2B
Acompanhe todas as novidades diretamente na sua caixa de entrada
Um programa efetivo de forensics é capaz de maximizar o valor das evidências digitais por meio de uma abordagem proativa de resposta aos incidentes. A ideia é partir do princípio de que os incidentes vão acontecer e oferecer recursos para fazer uso mais eficiente dos dados gerados durante ataques com objetivo de reduzir perdas e riscos posteriores.
Benefícios do forensics
Quando empresas operam com a ideia de que um ataque está prestes a acontecer, podem reduzir custos operacionais, pois simplificam o foco do fluxo de trabalho por meio de análises e atividades específicas já identificadas em outras situações.
Com isso, podem sair do tradicional “modo reativo” presente na maioria das empresas, que fica limitado a configurações pobres de segurança. Ao adotar uma abordagem proativa, companhias coletam e armazenam dados de investigações digitais forenses para implementar um monitoramento que identifique e mitigue uma quantidade muito maior de ameaças antes que elas se tornem incidentes sérios.
A organização ganha também a habilidade de reduzir potenciais incidentes em andamento. Aos poucos, com uma abordagem cada vez mais proativa, a tendência é de que ações maliciosas contra a rede diminuam devido à maior probabilidade de serem identificadas.
Um fato interessante é que algumas empresas já tiram proveito de um processo semelhante, mas não sabem. Preservar informações digitais que ficam nas soluções de Gerenciamento e Correlação de Eventos de Segurança (Security Information and Event Management – SIEM), por exemplo, já é um começo. Isso ajuda no processo de investigação de futuras ameaças e na implementação de uma abordagem cada vez mais proativa de resposta a incidentes.
Construa sua estratégia de forensics
Quando são capazes de entender o que aconteceu, como e por que, times de segurança podem prevenir a ocorrência de violações similares no futuro e otimizar monitoramento e resposta a incidentes.
Construir um laboratório de forensics costuma exigir alto investimento, o qual muitas empresas não têm capacidade de criar. Por isso, algumas preferem contratar companhias especializadas em segurança da informação.
Primeiro, portanto, é preciso analisar se a organização têm os recursos necessários para estabelecer uma unidade de resposta forense internamente, se o outsourcing é a melhor opção ou ainda se é preferível uma combinação dos dois.
Em seguida, é necessário implementar um risk assessment para catalogar dados sensíveis e seus locais para que profissionais de segurança da informação possam agir mais rapidamente para prevenir perda de dados e analisar rapidamente quais já foram comprometidos caso haja uma violação.
Também é importante criar uma equipe interna de resposta a incidentes, contendo analistas de segurança da informação, engenheiros de TI, de rede e desenvolvedores de aplicações, que devem ser coordenados para coletar de maneira efetiva todos os dados no tráfego da rede que possam conter informações do incidente.
O objetivo é promover uma investigação estruturada, mantendo documentados todos os dados de evidências para descobrir exatamente o que aconteceu.
Empresas só têm a ganhar com a implementação de um programa de forensics. A estratégia permite que as organizações complementem e otimizem seu programa e estratégias de segurança da informação.
*Cleber Marques é diretor da KSecurity