Reunir Equipes e Atribuir Funções
Uma vez que o pânico inicial tenha diminuído, é necessário reunir as equipes de respostas a incidentes. Cada estrutura da empresa é única, mas certifique-se de que seus técnicos, jurídicos, relações públicas, e as equipes de vendas estejam presentes. As equipes técnicas, obviamente, serão responsáveis pelos aspectos técnicos do tratamento de incidentes, e a equipe jurídica vai assegurar o cumprimento de sua investigação com a lei, precisando de uma posição corporativa clara para os meios de comunicação, enquanto a equipe de vendas tem que ser ainda mais clara sobre o que dizer a seus clientes. Isso é muito importante para sincronizar todas as equipes, portanto, certifique-se de que nenhuma equipe toma uma iniciativa sem a sua aprovação e sem notificar os outros.
Compreensão dos Fatos, Como e Quando Ocorreram
Um dos passos mais importantes neste cenário, é entender o que realmente aconteceu. Às vezes, o pânico é gerado nas empresas por clientes insatisfeitos ou concorrência desleal devido à audiência de anúncios falsos de cybercriminosos organizados. Outros negam violações de dados, até que todos os dados comprometidos aparecem online e fazem manchetes. Sua equipe técnica deve ser capaz de dizer-lhe que os sistemas e os dados foram comprometidos, que vulnerabilidades foram usadas por crackers para que estes tivessem acesso aos sistemas, além de assegurar que os sistemas comprometidos são devidamente isolado, e garantir que crackers não deixaram nenhum backdoor.
Recolher Cuidadosamente os Logs e Outras Evidências
A partir daí, é necessário certificar-se de que seus "homens de segurança" não apagaram ou alteraram quaisquer registros durante o processo de investigação; caso contrário, um tribunal poderá rejeitá-los como meio de prova em uma ocasião posterior. Se você não tem a perícia o suficiente (in-house) para lidar de forma apropriada com incidentes forense - é preciso chamar uma empresa externa para realizar os aspectos técnicos do trabalho. Se você sabe que sistemas estão sendo violados - desligue-os da rede (incluindo o local) porque os crackers podem ainda estar mineração seus dados, instalando backdoors e apagando registros.
Analisar e Avaliar as Origens da Violação
Nesse contexto, é muito importante entender como os crackers entraram em sua rede. Dependendo do caminho de entrada, você precisa tomar medidas urgentes para evitar que eles estejam re-utilizando o mesmo método de hacking ou tirando proveito de vulnerabilidade similar. Por exemplo, se uma das contas do seu fornecedor confiável foi alvo de crackers e usada para fazer login em sua rede - certifique-se de que todas as contas deste fornecedor estejam bloqueadas até que eles executem seus próprios incidentes forenses, devido a toda a sua rede poder ser comprometida e ser infiltrada por backdoor. Além disso, certifique-se de que outros sistemas e redes que estejam sob seu controle, não poderão ser comprometidos da mesma forma. Por exemplo, se os crackers exploraram uma falha zero-day em um de seus aplicativos hospedados em dezenas de servidores diferentes - se certifique de que uma solução temporária que impede a exploração da vulnerabilidade é implementada o mais rápido possível, caso contrário, você vai verá um comprometimento em "efeito-dominó".
Saiba Mais:
[1] Net Security http://www.net-security.org/article.php?id=2319