Escolar Documentos
Profissional Documentos
Cultura Documentos
com
TLP: BRANCO
Incidente de cibersegurança
Manuais de Resposta à Vulnerabilidade
ISENÇÃO DE RESPONSABILIDADE: Este documento está marcado como TLP:WHITE. A divulgação não é limitada. As fontes podem usar TLP:WHITE quando as informações apresentarem risco
mínimo ou nenhum risco previsível de uso indevido, de acordo com as regras e procedimentos aplicáveis para divulgação pública. Sujeito às regras de direitos autorais padrão, as informações
TLP:WHITE podem ser distribuídas sem restrições. Para mais informações sobre o Protocolo Semáforo, consultehttps://www.cisa.gov/tlp/ .
TLP: BRANCO
TLP: BRANCO
CONTEÚDO
Introdução................................................. ................................................ ......................................... 3
Visão geral ................................................. ................................................ ......................................... 3
Escopo................................................. ................................................ ......................................... 3
Público ................................................. ................................................ ......................................... 4
Manual de Resposta a Incidentes........................................... ................................................ ................ 5
Processo de Resposta a Incidentes ....................................... ................................................ .............. 5
Fase de preparação.................................................. ................................................ ......................... 6
Detecção e Análise .............................................. ................................................ ...................... 10
Contenção................................................. ................................................ ................................ 14
Erradicação e Recuperação ....................................... ................................................ ................... 15
Atividades pós-incidente ............................... ................................................ ...................... 16
Coordenação................................................. ................................................ ................................ 17
Manual de Resposta a Vulnerabilidades............................................ ................................................ ........ 21
TLP: BRANCO
INTRODUÇÃO
A Agência de Segurança Cibernética e Infraestrutura (CISA) está empenhada em liderar a resposta a incidentes e
vulnerabilidades de segurança cibernética para proteger os ativos críticos do país. A Seção 6 da Ordem Executiva 14028
instruiu o DHS, por meio da CISA, a “desenvolver um conjunto padrão de procedimentos operacionais (manual) a ser usado
no planejamento e condução de vulnerabilidades de segurança cibernética e atividades de resposta a incidentes
respeitando os Sistemas de Informação do Poder Executivo Federal Civil (FCEB).1
Visão geral
Este documento apresenta dois manuais: um para resposta a incidentes e outro para resposta a
vulnerabilidades. Esses manuais fornecem às agências do FCEB um conjunto padrão de
procedimentos para identificar, coordenar, remediar, recuperar e rastrear mitigações bem-sucedidas
de incidentes e vulnerabilidades que afetam os sistemas, dados e redes do FCEB. Além disso, futuras
iterações desses manuais podem ser úteis para organizações fora do FCEB para padronizar as
práticas de resposta a incidentes. Trabalhar em conjunto com todas as organizações do governo
federal provou ser um modelo eficaz para lidar com vulnerabilidades e incidentes. Com base nas
lições aprendidas com incidentes anteriores e incorporando as melhores práticas do setor,
Escopo
Esses manuais são para as entidades do FCEB se concentrarem nos critérios de resposta e nos limites para
coordenação e relatórios. Incluem comunicações entre as entidades da FCEB e a CISA; a coordenação conectiva entre
as atividades de resposta a incidentes e vulnerabilidades; e definições comuns para os principais termos de segurança
cibernética e aspectos do processo de resposta. As atividades de resposta no escopo deste manual incluem:
• Iniciado por uma agência FCEB (por exemplo, uma detecção local de atividade maliciosa ou
descoberta de uma vulnerabilidade)
• Iniciado pela CISA (por exemplo, um alerta ou diretriz da CISA) ou outros terceiros,
incluindo aplicação da lei, agências de inteligência ou organizações comerciais,
contratados e prestadores de serviços
O manual de resposta a incidentes se aplica a incidentes que envolvem atividades cibernéticas maliciosas confirmadas e
para os quais um incidente grave (conforme definido pelo Office of Management and Budget [OMB] em
TLP: BRANCO
Memorando M-20-042ou memorando sucessor) foi declarado ou ainda não foi razoavelmente descartado. O Manual
de Resposta a Vulnerabilidades se aplica a vulnerabilidades que estão sendo exploradas ativamente na natureza.
Conforme exigido pela EO 14028, o Diretor do OMB emitirá orientações sobre o uso desses manuais pela agência
FCEB.
Observação:esses manuais não cobrem atividades de resposta que envolvam ameaças a informações classificadas ou
Sistemas de Segurança Nacional (NSS), conforme definido por 44 USC3552(b)(6). Consulte CNSSI10103para orientação de
coordenação/relatório de incidentes específicos para NSS ou sistemas que processam informações classificadas.
Público
Esses manuais se aplicam a todas as agências FCEB, sistemas de informação usados ou operados por uma agência,
um contratado de uma agência ou outra organização em nome de uma agência. É política do governo federal que
os provedores de serviços de tecnologia da informação e comunicação (TIC) que tenham contrato com as agências
da FCEB devem relatar incidentes imediatamente a essas agências e à CISA.4
2Memorando do Escritório de Administração e Orçamento (OMB) M-20-04: Orientação para o Ano Fiscal 2019-2020 sobre Segurança da Informação
Federal e Requisitos de Gerenciamento de Privacidade
TLP: BRANCO
incidentes, conforme definido na Publicação Especial (SP) maliciosas confirmadas para as quais um incidente grave foi declarado ou
800-61 Rev. 2 do Instituto Nacional de Padrões e Tecnologia ainda não foi razoavelmente descartado.
• Sistemas de detecção automatizados ou alertas de que se acredita serem resultado apenas de comportamento não
sensores intencional
O processo de resposta a incidentes começa com a declaração do incidente, conforme mostrado na Figura 1. Nesse
contexto, “declaração” refere-se à identificação de um incidente e comunicação à CISA e aos defensores da rede de agências,
em vez da declaração formal de um incidente grave, conforme definido na lei e na política aplicáveis. As seções seguintes,
organizadas por fases do ciclo de vida do IR, descrevem cada etapa com mais detalhes. Muitas atividades são iterativas e
podem ocorrer e evoluir continuamente até que o incidente seja encerrado. A Figura 1 ilustra as atividades de resposta a
incidentes em termos dessas fases, e o Apêndice B fornece uma lista de verificação complementar para acompanhar as
atividades até a conclusão.
5Publicação especial do NIST (SP) 800-61 Rev. 2: Guia de tratamento de incidentes de segurança de computadores
TLP: BRANCO
Fase de preparação
Prepare-se para grandes incidentesantes que ocorrampara mitigar qualquer impacto na
organização. As atividades de preparação incluem:
Defina sistemas e redes de linha de base antes que ocorra um incidente para entender os fundamentos da atividade
“normal”. Estabelecer linhas de base permite que os defensores identifiquem desvios. A preparação também inclui
6Por exemplo, “Enganação: enganar, confundir, ocultar ativos críticos ou expor ativos secretamente corrompidos ao adversário”, conforme definido em
NIST SP 800-160 vol. 2: Desenvolvendo Sistemas Ciberresilientes: Uma Abordagem de Engenharia de Segurança de Sistemas .
TLP: BRANCO
Atividades de preparação
Políticas e procedimentos todos os recursos de pessoal que podem ser obtidos de recursos
internos, recursos disponíveis em uma agência/departamento
Documente os planos de resposta a incidentes, incluindo
principal, organização terceirizada ou uma combinação dos
processos e procedimentos para designar um líder de
mesmos. Realize exercícios regulares de recuperação para testar
coordenação (gerente de incidentes). Implemente políticas e
a continuidade organizacional total do plano de operações
procedimentos para escalar e relatar incidentes graves e
(COOP) e os sistemas de failover/backup/recuperação para
aqueles com impacto na missão da agência. Documente
garantir que funcionem conforme planejado.
planos de contingência para recursos adicionais e “suporte
de pico” com funções e responsabilidades atribuídas. As
políticas e planos devem abordar notificação, interação e Inteligência de Ameaças Cibernéticas
compartilhamento de evidências com as autoridades
Monitore ativamente feeds de inteligência para alertas de
policiais.
ameaças ou vulnerabilidades do governo, parceiros confiáveis,
Instrumentação fontes abertas e entidades comerciais. A inteligência de
ameaças cibernéticas pode incluir relatórios de cenário de
Desenvolva e mantenha uma imagem precisa da
ameaças, perfis e intenções de agentes de ameaças, metas e
infraestrutura (sistemas, redes, plataformas de nuvem e
campanhas organizacionais, bem como indicadores de ameaças
redes hospedadas pelo contratado) implementando
e cursos de ação mais específicos. Ingerir indicadores de
amplamente a telemetria para oferecer suporte a recursos de
ameaças cibernéticas e feeds de ameaças integradas em um
detecção e monitoramento baseados em sensores e
SIEM e usar outros recursos defensivos para identificar e
sistemas, como software antivírus (AV); soluções de detecção
bloquear comportamentos maliciosos conhecidos. Os
e resposta de endpoint (EDR);7capacidades de prevenção de
indicadores de ameaça podem incluir:
perda de dados (DLP); sistemas de detecção e prevenção de
intrusão (IDPS); logs de autorização, host, aplicativo e nuvem;
8fluxos de rede, captura de pacotes (PCAP); e sistemas de • Indicadores atômicos, como domínios e
gerenciamento de eventos e informações de segurança endereços IP, que podem detectar infraestrutura
(SIEM). Monitore os alertas gerados pelo sistema de detecção e ferramentas adversárias
• Indicadores computados, como regras Yara e
de intrusão EINSTEIN da CISA e pelo programa Continuous
expressões regulares, que detectam artefatos
Diagnostics and Mitigation (CDM) para detectar mudanças na
maliciosos conhecidos ou sinais de atividade
postura cibernética. Implemente requisitos adicionais para
criação de log, retenção de log e gerenciamento de log com • Padrões e comportamentos, como análises
base na Ordem Executiva 14028, Sec. 8.Melhorando as que detectam táticas, técnicas e
capacidades de investigação e remediação do governo procedimentos (TTPs) do adversário
federal,9e garantir que esses logs sejam coletados Os indicadores atômicos podem inicialmente ser valiosos para
centralmente. detectar sinais de uma campanha conhecida. No entanto, como os
adversários frequentemente mudam sua infraestrutura (por
exemplo, watering holes, botnets, servidores C2) entre as
campanhas, o “prazo de validade” dos indicadores atômicos para
Pessoal de Resposta Treinado
detectar novas atividades do adversário é limitado. Além disso,
Certifique-se de que o pessoal seja treinado, treinado e esteja pronto agentes avançados de ameaças
para responder a incidentes de segurança cibernética. Trem
7EO 14028, Sec. 7.Melhorando a detecção de vulnerabilidades e incidentes de segurança cibernética em redes do governo federal
TLP: BRANCO
10VerMelhores práticas para a estrutura de mapeamento MITRE ATT&CK® 13DHS CISA Indicador de Ameaças Cibernéticas e Sistema de Envio de
para obter orientação sobre como usar o ATT&CK para analisar e relatar Medidas Defensivas
ameaças de segurança cibernética.
14NIST SP 800-47 Rev. 1: Gerenciando a segurança das
11Compartilhamento automatizado de indicadores CISA trocas de informações
TLP: BRANCO
• Gerir sensores e dispositivos de segurança através ferramentas de análise e software sandbox para análise de
de meios fora de banda, malware. Implementar um chamado ou caso
• Notificar os usuários de sistemas comprometidos sistema de gestão que captura detalhes
por telefone em vez de e-mail,
pertinentes de:
• Usando estações de trabalho protegidas para
conduzir atividades de monitoramento e resposta, e • Atividade anômala ou suspeita, como
• Garantir que os sistemas defensivos tenham
sistemas, aplicativos e usuários afetados;
processos robustos de backup e recuperação.
• Tipo de atividade;
Evite “informar” um invasor tendo processos e sistemas para
• Grupo(s) de ameaça específico(s);
reduzir a probabilidade de detecção de atividades de IR (por
• Táticas, técnicas e procedimentos
exemplo, não envie amostras de malware a um serviço
adversários (TTPs) empregados; e
público de análise ou notifique os usuários de máquinas
• Impacto.
potencialmente invadidas por e-mail).
Detectar Atividade
Implementar recursos para conter, replicar, analisar, assinaturas para identificar a atividade associada ao incidente e
reconstituir e documentar hosts comprometidos; definir seu alcance. Configure ferramentas e analise logs e
implementar a capacidade de coletar dados forenses alertas. Procure sinais de atividade de incidente e informações
digitais e outros. Estabeleça armazenamento seguro (ou potencialmente relacionadas para determinar o tipo de
seja, acessível apenas por respondentes de incidentes) incidente, por exemplo, ataque de malware, comprometimento
para dados e relatórios de incidentes. Forneça meios para do sistema, sequestro de sessão, corrupção de dados,
TLP: BRANCO
Detecção e Análise
O aspecto mais desafiador do processo de resposta a incidentes geralmente é detectar e
avaliar com precisão os incidentes de segurança cibernética: determinar se um incidente
ocorreu e, em caso afirmativo, o tipo, extensão e magnitude do comprometimento na
nuvem, tecnologia operacional (OT), híbrida, host e sistemas de rede. Para detectar e
analisar eventos, implementar processos definidos, tecnologia apropriada e
informações de linha de base suficientes para monitorar, detectar e alertar sobre atividades anômalas e suspeitas. Assegure-se de
que haja procedimentos para resolver possíveis incidentes com atividades autorizadas (por exemplo, confirme que um incidente
suspeito não é simplesmente um administrador de rede usando ferramentas de administração remota para executar atualizações
de software). Como líder do governo dos EUA em resposta a ativos, a CISA fará parceria com as agências afetadas em todos os
aspectos do processo de detecção e análise.
TLP: BRANCO
atividades de resposta. O objetivo desta análise é dentro do ambiente. Essas condições informarão a
examinar a amplitude das fontes de dados em todo o triagem e a atividade pós-incidente. Avalie redes e
ambiente para descobrir pelo menos parte de uma sistemas quanto a alterações que possam ter sido
cadeia de ataque, se não toda. À medida que as feitas para evitar defesas ou facilitar o acesso
informações evoluem e a investigação avança, atualize o persistente.
escopo para incorporar novas informações.
Reunir Indicadores de Incidentes
Correlacione eventos e documente a linha do tempo
Identificar e documentar indicadores que podem ser usados
Adquira, armazene e analise logs para correlacionar a para análise correlativa na rede. Os indicadores podem fornecer
atividade adversária. A Tabela 1 apresenta um exemplo de informações sobre a posição do adversário
logs e dados de eventos que são comumente empregados capacidades e infraestrutura. Os indicadores como
para detectar e analisar as atividades do invasor.16,17Uma artefatos independentes são valiosos nos estágios
base de conhecimento simples deve ser estabelecida para iniciais da resposta a incidentes.
referência durante a resposta ao incidente. Documente
Analisar TTPs de adversários comuns
minuciosamente cada passo dado durante esta e as fases
subsequentes. Crie uma linha do tempo de todas as Compare os TTPs com os TTPs adversários documentados no
descobertas relevantes. A linha do tempo permitirá que a ATT&CK e analise como os TTPs se encaixam no ciclo de vida
equipe preste contas de todas as atividades do adversário na do ataque. Os TTPs descrevem “por que”, “o quê” e “como”.
rede e ajudará na criação do relatório de descobertas na As táticas descrevem o objetivo técnico que um adversário
conclusão da resposta. está tentando alcançar (“por que”), as técnicas são diferentes
mecanismos que eles usam para alcançá-lo (“o que”) e os
Identificar atividade anômala
procedimentos são exatamente como o adversário atinge
Avalie e crie o perfil dos sistemas e redes afetados quanto a um resultado específico (“como”). Responder aos TTPs
atividades sutis que possam ser um comportamento do permite que os defensores criem hipóteses sobre o curso de
adversário. Frequentemente, os adversários usam utilitários ação mais provável do adversário. A Tabela 1 fornece
de sistema operacional nativos e legítimos e linguagens de algumas técnicas adversárias comuns que devem ser
script assim que conseguem se firmar em um ambiente para investigadas.18
evitar a detecção. Este processo permitirá que a equipe
Validar e refinar o escopo da investigação
identifique desvios da atividade de linha de base estabelecida
e pode ser Usando os dados disponíveis e os resultados das atividades de
atividades como tentativas de alavancar credenciais e contas associados potencialmente afetados. A partir dessas
legítimas e recursos nativos no ambiente. informações, novos indicadores de comprometimento (IOCs) e TTPs
podem ser identificados para fornecer feedback adicional às
Identificar a causa raiz e as condições facilitadoras
ferramentas de detecção. Dessa forma, o escopo de um incidente é
Tente identificar a causa raiz do incidente e colete definido ao longo do tempo. À medida que as informações evoluem,
informações sobre ameaças que possam ser usadas em atualize e comunique o escopo a todas as partes interessadas para
pesquisas adicionais e para informar os esforços de garantir um quadro operacional comum.Observação:ver Perguntas-
resposta subsequentes. Identificar as condições que chave a serem respondidaspara orientação.
permitiram ao adversário acessar e operar
16Derivado doEstrutura MITRE ATT&CK® .Observação:esta 17EO 14028, Sec. 8.Melhorando as capacidades de
tabela é uma amostra representativa de táticas comuns, técnicas investigação e remediação do governo federal
e registros relacionados e não pretende ser completa.
18VerMelhores práticas para mapeamento MITRE ATT&CK® Estrutura para
obter orientação sobre o mapeamento de TTPs para ATT&CK para analisar
e relatar ameaças de segurança cibernética.
TLP: BRANCO
• Qual foi o vetor de ataque inicial? (ou seja, como o adversário obteve acesso inicial à rede?)
• Qual é o método de persistência (por exemplo, backdoor de malware, webshell, credenciais legítimas, ferramentas remotas, etc.)?
• Quais contas foram comprometidas e qual nível de privilégio (por exemplo, administrador de domínio, administrador local, conta de usuário, etc.)?
• Que método está sendo usado para reconhecimento? (Descobrir o método de reconhecimento pode fornecer uma oportunidade de
detecção e determinar a possível intenção.)
• O movimento lateral é suspeito ou conhecido? Como o movimento lateral é conduzido (por exemplo, RDP, compartilhamentos de rede, malware, etc.)?
• Os dados foram exfiltrados e, em caso afirmativo, de que tipo e por meio de qual mecanismo?
TLP: BRANCO
Suporte de análise de terceiros (se necessário): a assistência de terceiros é responsável por coordenar
com a CISA e facilitar o acesso durante a resposta ao
Para incidentes potencialmente graves, as agências que
incidente, incluindo o acesso a sistemas hospedados
precisam de assistência podem entrar em contato com a
externamente.
CISA. Cada agência FCEB tem uma Autorização de Rede
Federal (FNA) arquivada na CISA para permitir a resposta a Ferramentas de ajuste:
19O nível de suporte da análise CISA será determinado pelos 20Agência de Segurança Nacional (NSA) Programa de Assistência Cibernética
recursos disponíveis e pela prioridade do incidente. de Segurança Nacional
TLP: BRANCO
Contenção
A contenção é uma alta prioridade para a resposta a incidentes, especialmente para
incidentes graves. O objetivo é evitar maiores danos e reduzir o impacto imediato do
incidente, removendo o acesso do adversário. O cenário específico determinará o tipo de
estratégia de contenção usada. Por exemplo, a abordagem de contenção para um
adversário sofisticado ativo usando malware sem arquivo será diferente da
abordagem de contenção para ransomware.
desenvolver uma imagem tão completa quanto possível das segredos de conta de serviço/aplicativo onde há
capacidades do atacante e possíveis reações para evitar “dar
suspeita de comprometimento e revogação de
acesso privilegiado.
uma dica” ao adversário. A contenção é desafiadora porque
• Direcionar o adversário para uma caixa de areia
os defensores devem ser o mais completos possível na
(uma forma de contenção) para monitorar a
identificação da atividade adversária, considerando o risco de atividade do ator, reunir evidências adicionais e
permitir que o adversário persista até que o escopo total do identificar vetores de ataque. Nota: este
comprometimento possa ser determinado. As atividades de a atividade de contenção é limitada a SOCs
contenção para incidentes graves devem ser coordenadas de avançados com recursos maduros.
perto com a CISA. Certifique-se de que o escopo de contenção englobe todos os
incidentes e atividades relacionados, especialmente todas as
atividades adversárias. Se novos sinais de comprometimento
Atividades de Contenção
forem encontrados, retorne à etapa de análise técnica para
Implemente mitigações de curto prazo para isolar a redefinir o escopo do incidente. Após a contenção bem-sucedida
atividade do agente da ameaça e evitar danos adicionais da (ou seja, sem novos sinais de comprometimento), preserve as
atividade ou a migração para outros sistemas. evidências para referência ou investigação policial, ajuste as
ferramentas de detecção e passe para a erradicação e
recuperação.
TLP: BRANCO
Erradicação e Recuperação
O objetivo desta fase é permitir o retorno das operações normais, eliminando os artefatos do
incidente (por exemplo, remover código malicioso, recriar a imagem dos sistemas infectados) e
atenuar as vulnerabilidades ou outras condições que foram exploradas. Antes de passar para a
erradicação, certifique-se de que todos os meios de acesso persistente à rede foram
contabilizados, que a atividade adversária está suficientemente contida e
que todas as evidências foram coletadas. Isso geralmente é um processo iterativo. Também pode envolver fortalecer
ou modificar o ambiente para proteger os sistemas de destino se a causa raiz da intrusão e/ou vetor de acesso inicial
for conhecida. É possível que ações de erradicação e recuperação possam ser executadas simultaneamente.
Observação:coordenar com provedores de serviços de TIC, fornecedores comerciais e aplicação da lei antes do início
dos esforços de erradicação.
Tome medidas para eliminar todas as evidências de • Permitir tempo adequado para garantir que todos os
comprometimento e impedir que o agente da ameaça sistemas estejam livres de todos os possíveis
mecanismos de persistência de agentes de ameaças
mantenha uma presença no ambiente. Certifique-se de que
(backdoors, etc.), pois os adversários costumam
as evidências foram preservadas conforme necessário. Os
usar mais de um mecanismo.
agentes de ameaças geralmente têm vários acessos
Depois de executar o plano de erradicação, continue com as
persistentes de backdoor em sistemas e redes e podem
atividades de detecção e análise para monitorar quaisquer sinais
voltar para áreas 'limpas' se a erradicação não for bem
de reentrada do adversário ou uso de novos métodos de acesso.
orquestrada e/ou não for rigorosa o suficiente. Portanto, os
Se a atividade adversária for descoberta após a conclusão dos
planos de erradicação devem ser bem formulados e
esforços de erradicação, contenha a atividade e retorne à análise
coordenados antes da execução. Se o adversário explorou
técnica até que o verdadeiro escopo do comprometimento e os
uma vulnerabilidade específica, inicie o manual de resposta à
vetores iniciais de infecção sejam identificados. Se nenhuma
vulnerabilidade abaixo para abordar a vulnerabilidade
nova atividade adversária for detectada, entre na fase de
durante as atividades de erradicação.
recuperação.
Atividades de Erradicação
Recuperar sistema(s) e serviços
Restaure os sistemas para operações normais e
• Remediar todos os ambientes de TI infectados (por
exemplo, nuvem, OT, híbrido, host e sistemas de confirme se eles estão funcionando normalmente.
rede). Os principais desafios desta fase são confirmar que
• Reimaginar os sistemas afetados (geralmente de a correção foi bem-sucedida, reconstruir sistemas,
fontes 'ouro'), reconstruir os sistemas a partir do reconectar redes e recriar ou corrigir informações.
zero.
• Reconstruir hardware (necessário quando o
incidente envolve rootkits). Ações de Recuperação21
• Substituir arquivos comprometidos por versões
limpas. • Reconectar sistemas reconstruídos/novos
• Instalando correções. às redes.
• Redefinição de senhas em contas • Reforçar a segurança do perímetro (por exemplo, conjuntos de
TLP: BRANCO
• Sistemas de teste minuciosos, incluindo ambiente. Para validar que as operações normais foram
controles de segurança. retomadas, considere a realização de um teste
• Operações de monitoramento para
independente ou revisão de
comportamentos anormais.
atividade relacionada a compromisso/resposta. Para ajudar a
Um aspecto fundamental para a recuperação é ter detectar ataques relacionados, revise a inteligência de ameaças
vigilância e controles aprimorados para validar que o cibernéticas (incluindo a consciência situacional da rede) e monitore
plano de recuperação foi executado com sucesso e de perto o ambiente em busca de evidências da atividade do agente
que não existem sinais de atividade adversária no da ameaça.
Atividades Pós-Incidente
O objetivo desta fase é documentar o incidente, informar a liderança da agência, fortalecer o
ambiente para evitar incidentes semelhantes e aplicar as lições aprendidas para melhorar o
tratamento de incidentes futuros.
TLP: BRANCO
Coordenação
A coordenação é fundamental para uma resposta eficaz a incidentes. É fundamental que a agência
FCEB que está enfrentando o incidente e a CISA se coordenem com antecedência e frequentemente
durante todo o processo de resposta. Também é importante entender que algumas agências têm
autoridades especiais, conhecimento e informações que são extremamente úteis durante um
incidente. Esta seção destaca esses aspectos da coordenação.
TLP: BRANCO
É essencial que o departamento ou agência afetada número para o incidente e (2) uma classificação de risco com
colabore e coordene estreitamente com a CISA em base na pontuação do CISA National Cyber Incident Scoring
cada etapa do fluxograma de RI. Algumas das System (NCISS).26, 27
atividades essenciais de coordenação e comunicação
3) Compartilhar IOCs, TTPs, dados
são definidas pelos círculos numerados. Cada número
corresponde a uma descrição abaixo: A agência FCEB afetada compartilha dados de log relevantes,
indicadores de ameaças cibernéticas com contexto associado
1) Informar e Atualizar CISA
(incluindo TTPs associados, se disponível) e medidas defensivas
A agência FCEB fornece relatórios de conscientização recomendadas com a CISA e parceiros de compartilhamento. O
situacional para a CISA, incluindo: compartilhamento de informações adicionais sobre ameaças é
um processo simultâneo durante toda a fase de contenção. As
• Notificar a CISA dentro de 1 hora após a
atualizações de incidentes incluem o seguinte:
determinação do incidente, conforme orientado pelo
OMB M-20-04.Observação:Os provedores de
serviços de TIC da FCEB devem fornecer notificação • Escopo atualizado
de incidentes cibernéticos de acordo com os • Cronograma atualizado (descobertas, esforços de
requisitos do FCEB Agency Contracting Officer (CO), resposta, etc.)
que incluem os requisitos de relatórios do Sistema • Novos indicadores de atividade adversária
de Segurança Nacional (NSS).24 • Compreensão atualizada do impacto
• Status atualizado dos esforços pendentes
• Quando aplicável, notificando seus Comitês do • Estimativa do tempo até à contenção,
Congresso apropriados, seu Gabinete do erradicação, etc.
Inspetor Geral (OIG) e o Escritório OMB do
Diretor Federal de Informações (OFCIO), 4) A CISA compartilha inteligência cibernética coordenada
conforme orientado pelo OMB M-20-04. A CISA – em coordenação com a comunidade de inteligência
e aplicação da lei – compartilha inteligência cibernética
• Fornecer atualizações de incidentes à CISA, conforme relacionada com as organizações envolvidas.
apropriado, até que todas as atividades de erradicação
sejam concluídas ou até que a CISA concorde com a 5) Reporte à Polícia Federal
agência FCEB de que o incidente está encerrado. A agência FCEB relata os incidentes às autoridades
• Cumprir os requisitos adicionais de federais, conforme apropriado.
relatórios para incidentes graves,
conforme exigido pelo OMB e outras 6) CISA determina escalonamento
políticas federais.25 A CISA ou o Federal Bureau of Investigation (FBI)
determina se o incidente justifica o escalonamento do
2) CISA fornece rastreamento de incidentes e classificação
Grupo de Coordenação Unificada Cibernética (C-UCG) e,
NCISS
em caso afirmativo, recomenda o estabelecimento de
Dentro de uma hora após o recebimento do relatório um C-UCG de acordo com as disposições do PPD-41 §
inicial, a CISA fornece à agência (1) um rastreamento VBb C -UCG é o principal mecanismo de
25PorOMB M-20-04 , a análise apropriada para saber se o incidente é um 26Diretrizes de Notificação de Incidentes Federais da CISA
incidente grave incluirá o CIO da agência, o CISO, os proprietários da
missão ou do sistema e, se for uma violação, o Oficial Sênior de 27OMB M-20-04
Privacidade da Agência (SAOP). Independentemente do
TLP: BRANCO
coordenação entre agências federais em resposta a um A agência consultará a CISA para garantir que
incidente cibernético significativo, bem como para todas as ações apropriadas foram tomadas. O CISA
integração de parceiros do setor privado nos esforços de avaliará esses materiais e:
resposta a incidentes.
• Determine se o incidente foi tratado
7) Forneça o Relatório Final do Incidente adequadamente e feche o ticket CISA.
• Determine se ações de resposta adicionais
A agência FCEB fornece atualizações pós-incidente CISA
devem ser concluídas e solicite que a
conforme necessário.
agência as conclua antes de fechar o ticket.
8) CISA Conduz Verificação e Validação
• Solicite mais informações, incluindo dados
Para garantir a conclusão da recuperação, a CISA validará os
de log e artefatos técnicos.
resultados e processos de resposta a incidentes e
vulnerabilidades da agência. A validação garante às
• Recomende o uso do CISA ou de outros
serviços de resposta a incidentes de terceiros.
agências que estão atendendo aos padrões básicos,
implementando todas as etapas importantes e erradicando As entidades FCEB afetadas devem tomar as ações exigidas
totalmente um incidente ou vulnerabilidade. Para todos os pela CISA antes de encerrar o incidente. Trabalhando com
incidentes que exigem o uso do playbook, as agências as entidades afetadas do FCEB, a CISA determina as ações,
devem fornecer proativamente listas de verificação de que variam dependendo da natureza do incidente e da
resposta a incidentes e um relatório de incidente erradicação.
preenchido para fechar o ticket. Se uma agência não
conseguir completar a lista de verificação, o
Coordenação Intergovernamental
Em um contexto mais amplo, as operações de defesa cibernética do FCEB não estão sozinhas no combate a grandes
incidentes. Vários departamentos e agências governamentais definiram papéis e responsabilidades e estão
coordenando todo o governo antes mesmo que os incidentes ocorram. Essas funções e responsabilidades podem ser
descritas em termos de linhas de esforço (LOEs) simultâneas: resposta de ativos, resposta a ameaças, suporte de
inteligência e resposta da agência afetada; juntos, esses LOEs garantem uma resposta abrangente. A Tabela 2 resume
os LOEs para agências em resposta a incidentes de segurança cibernética.
Tabela 2: Orientações do Governo Federal para Linhas de Esforço de acordo com o NCIRP28
Ameaça Conduzir atividade investigativa e executar cursos de ação destinados Departamento de Justiça por meio do FBI e da
Resposta a mitigar a ameaça imediata; facilitar o compartilhamento de Força-Tarefa Conjunta de Investigação
informações e a coordenação operacional com a resposta de ativos. Cibernética Nacional (NCIJTF)
Ativo Conduzir atividades de resposta com agências FCEB para proteger Departamento de Segurança
Resposta ativos, mitigar vulnerabilidades e reduzir impactos de incidentes Interna (DHS) através da CISA
cibernéticos. Coordene com a resposta a ameaças e forneça orientação
sobre como utilizar melhor os recursos federais.
Inteligência Facilitar a construção de consciência de ameaça situacional e compartilhamento Escritório do Diretor de Inteligência Nacional
Apoiar de inteligência relacionada; a análise integrada de tendências e eventos de (ODNI) através do Centro de Integração de
ameaças; a identificação de lacunas de conhecimento; e a capacidade de Inteligência de Ameaças Cibernéticas (CTIIC)
degradar ou mitigar as capacidades do adversário.
TLP: BRANCO
Para incidentes graves ou incidentes que podem se tornar graves, a CISA é a “porta de entrada” para as agências de
resposta de ativos. A CISA trabalhará com as agências FCEB afetadas para determinar suas necessidades, fornecer
recomendações para serviços e coordenar com outras agências (por exemplo, NSA) para fornecer uma resposta de
todo o governo. Ao servir como um único ponto de coordenação, a CISA pode aliviar a carga sobre as agências do
FCEB, facilitando a assistência disponível em todo o governo.
Dependendo da natureza dos eventos e das organizações envolvidas, as agências FCEB também podem trabalhar
diretamente com outras agências líderes de LOE em apoio a essas LOEs. A Figura 3 identifica as organizações que fornecem
os tipos de dados e informações que informam a detecção, análise e resposta a incidentes.
TLP: BRANCO
As vulnerabilidades abordadas neste manual podem ser observadas pela agência afetada, CISA, parceiros do setor ou outros
no espaço de missão relacionado. A maioria das vulnerabilidades terá descritores de vulnerabilidades e exposições comuns
(CVE). Em outros casos, as agências podem encontrar novas vulnerabilidades que ainda não possuem um CVE (por exemplo,
dia zero) ou vulnerabilidades resultantes de configurações incorretas. O Apêndice D fornece uma lista de verificação
complementar para acompanhar as atividades de resposta até a conclusão.
Preparação
A resposta eficaz à vulnerabilidade se baseia em um forte gerenciamento de vulnerabilidade. Certifique-se de que
práticas eficazes de gerenciamento de vulnerabilidades estão sendo seguidas.29Tais práticas incluem construir e
manter um gerenciamento robusto de ativos que inclui inventário:
Implemente um processo para entender a relevância das vulnerabilidades para o ambiente, rastreando sistemas
operacionais e outros aplicativos para todos os sistemas. Entenda que todos os sistemas podem ter
vulnerabilidades e a implicação de possíveis vulnerabilidades nas operações.
TLP: BRANCO
Os programas padrão de gerenciamento de vulnerabilidades incluem fases para identificar, analisar, corrigir e relatar
vulnerabilidades. A Figura 4 descreve o processo de resposta à vulnerabilidade em termos das fases padrão do programa de
gerenciamento de vulnerabilidade.
Identificação
Identifique proativamente relatórios de vulnerabilidades que são exploradas ativamente na natureza,
monitorando feeds de ameaças e fontes de informações, incluindo, entre outros:
TLP: BRANCO
• Monitoramento SOC interno e resposta a incidentes, que podem detectar vulnerabilidades sendo
exploradas em uma agência.
Avaliação
Primeiro, determine se a vulnerabilidade existe no ambiente e quão crítico é o software ou
hardware subjacente, usando metodologias como Stakeholder-Specific Vulnerability
Categorization (SSVC).32As ferramentas existentes de gerenciamento de patches e ativos são
críticas e podem ser usadas para automatizar o processo de detecção da maioria das
vulnerabilidades. Para vulnerabilidades exploradas ativamente, use o “rapid
resposta” nessas ferramentas (por exemplo, CDM). Em casos raros, como configurações incorretas pontuais e dias zero,
verificações manuais adicionais podem precisar ser executadas. Diretivas Operacionais Vinculantes (BODs) ou Diretivas de
Emergência (EDs) emitidas pela CISA também podem listar etapas técnicas específicas para avaliar se existe uma
vulnerabilidade.
TLP: BRANCO
Remediação
Corrija todas as vulnerabilidades exploradas ativamente que existem no ambiente ou dentro dele em
tempo hábil. Na maioria dos casos, a correção deve consistir em aplicação de patches. Em outros casos,
as seguintes mitigações podem ser apropriadas:
• Limitação de acesso;
• Isolar sistemas, aplicativos, serviços, perfis ou outros ativos
vulneráveis; ou
• Fazer alterações de configuração permanentes.
As ferramentas e os processos de gerenciamento de patches existentes podem ser usados para corrigir regularmente todas as
vulnerabilidades. Use processos de “resposta rápida” — conforme descrito na seção Avaliação acima — nas ferramentas para
vulnerabilidades que estão sendo exploradas ativamente na natureza.
Nos casos em que os patches não existem, não foram testados ou não podem ser aplicados
imediatamente, tome outras medidas para evitar a exploração, como:
• Desativando serviços,
• Reconfigurar firewalls para bloquear o acesso ou
• Aumentar o monitoramento para detectar a exploração.
Uma vez que os patches estejam disponíveis e possam ser aplicados com segurança, as atenuações podem ser removidas e os patches
aplicados.
À medida que os sistemas são corrigidos, acompanhe seu status para fins de relatório. Cada sistema deve
poder ser descrito como uma destas categorias:
Relatórios e Notificações
Compartilhar informações sobre como as vulnerabilidades estão sendo exploradas pelos
adversários pode ajudar os defensores em todo o governo federal a entender quais
vulnerabilidades são mais críticas para corrigir. A CISA, em parceria com outros órgãos federais,
é responsável pela postura geral de segurança da FCEB. Como tal, a CISA precisa manter a
consciência do status da resposta de vulnerabilidade para ativamente explorados
vulnerabilidades. Essa conscientização permite que a CISA ajude outras agências a entender o impacto das vulnerabilidades
e reduzir o tempo entre a divulgação e a exploração da vulnerabilidade. As agências devem se reportar à CISA de acordo
com as Diretrizes Federais de Notificação de Incidentes, Diretivas Operacionais Vinculantes ou conforme indicado pela CISA
em uma Diretriz de Emergência.
TLP: BRANCO
FCEB As Agências Federais do Poder Executivo Civil (FCEB) incluem todas as agências, EO 14028, Sec.10
agências exceto o Departamento de Defesa e as agências da Comunidade de Inteligência.
FCEB
Esses sistemas de informação operados por Agências do Poder Executivo Civil Federal, mas
Informação EO 14028, Sec.10
exclui os Sistemas de Segurança Nacional (NSS).
Sistemas
Uma ocorrência que— (A) coloque em risco real ou iminente, sem autoridade legal, a integridade, EO 14028, Sec. 10
confidencialidade ou disponibilidade de informações ou um sistema de informações; ou (B) constitua
Incidente 44 USC
uma violação ou ameaça iminente de violação da lei, políticas de segurança, procedimentos de
3552(b)(2)
segurança ou políticas de uso aceitável.
Serviço TIC Provedores de serviços de tecnologia da informação e comunicação (TIC) - inclui provedores de
EO 14028, Sec.2
Provedores serviços de TI, TO e nuvem (CSPs).
Qualquer incidente que possa resultar em dano demonstrável aos interesses da segurança OMB
nacional, às relações exteriores ou à economia dos Estados Unidos ou ao público Memorando
confiança, liberdades civis ou saúde pública e segurança do povo americano.33 M-20-04: Fiscal
As agências devem determinar o nível de impacto do incidente usando o processo de Ano 2019-2020
gerenciamento de incidentes existente estabelecido na Publicação Especial (SP) 800-61 do Orientação sobre
Principal
Instituto Nacional de Padrões e Tecnologia (NIST), Computer Security Incident Handling Guide,ou Federal
Incidente
Uma violação que envolva informações de identificação pessoal (PII) que, se exfiltradas, Informação
modificadas, excluídas ou comprometidas de outra forma, provavelmente resultará em danos Segurança e
demonstráveis aos interesses de segurança nacional, relações exteriores ou economia dos Privacidade
33Usando oSistema de Pontuação de Incidentes Cibernéticos CISA , isso inclui eventos de Nível 3 (laranja), definidos como aqueles que
"provavelmente resultarão em um impacto demonstrável na saúde ou segurança pública, segurança nacional, segurança econômica, relações
exteriores, liberdades civis ou confiança pública"; Eventos de Nível 4 (vermelho), definidos como aqueles que “provavelmente resultarão em um
impacto significativo na saúde ou segurança pública, segurança nacional, segurança econômica, relações exteriores ou liberdades civis”; e eventos de
Nível 5 (preto), definidos como aqueles que "representam uma ameaça iminente ao fornecimento de serviços de infra-estrutura crítica em larga
escala, à estabilidade do governo nacional ou à vida dos norte-americanos".
34A análise para relatar uma violação grave ao Congresso é distinta e separada da avaliação do risco potencial de danos a
indivíduos resultantes de uma violação suspeita ou confirmada. Ao avaliar o risco potencial de danos aos indivíduos, as
agências devem consultar 0MB M-17-12.
TLP: BRANCO
Cíber segurança
Informação
O termo "vulnerabilidade de segurança" significa qualquer atributo de hardware, software, processo ou
Vulnerabilidade Ato de Compartilhamento de
procedimento que possa habilitar ou facilitar a anulação de um controle de segurança.
2015, Pub. L. No.
114-113, § 102
TLP: BRANCO
26
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Observação:o manual de resposta a incidentes para incidentes que envolvem atividades cibernéticas maliciosas confirmadas
para as quais um incidente grave foi declarado ou ainda não foi razoavelmente descartado.
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Detecção e Análise
1. Declarar Incidente
1a.Execute a categorização inicial do incidente.35
Registre todas as evidências e anote como a evidência foi adquirida, quando foi
3b.
adquirida e quem adquiriu a evidência.
Com base na análise até agora e no CTI disponível, forme uma hipótese do que
4b.
o adversário estava tentando acessar/realizar.
35OMB M-20-04
TLP: BRANCO
27
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Correlacione eventos e documente a linha do tempo
Estabeleça um cronograma de incidente que registre eventos, descrição de eventos, grupo de data e
4f. hora (UTC) de ocorrências, impactos e fontes de dados. Mantenha-se atualizado com todas as
descobertas relevantes.
Tentar identificar a causa raiz do incidente e coletar informações sobre ameaças que possam
4i.
ser usadas em pesquisas adicionais e informar os esforços de resposta subsequentes.
Avalie redes e sistemas quanto a alterações que possam ter sido feitas para evitar
4k.
defesas ou facilitar o acesso persistente.
Analise as ferramentas do adversário. Avalie as ferramentas para extrair IOCs para contenção
4o.
de curto prazo.
Identificar e documentar indicadores que podem ser usados para análise correlativa
4p.
na rede.
TLP: BRANCO
28
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Se o acesso for facilitado por malware, identifique o comando e controle associado [TA0011
4s.
] (por exemplo, identificar porta, protocolo, perfil, domínio, endereço IP).
6. Ajuste as ferramentas
TLP: BRANCO
29
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Introduza modificações de alta fidelidade nas ferramentas. Ajustar ferramentas para focar nas
6b. táticas que devem ser usadas pelo adversário para obter objetivos operacionais (por exemplo,
execução, acesso a credenciais e movimento lateral).
Contenção
Os SOCs avançados podem direcionar o adversário para o sandbox para monitorar atividades,
7j.
reunir evidências adicionais e identificar TTPs.
Se novos sinais de comprometimento forem encontrados, retorne à análise técnica (Etapa 4) para redefinir o
7m.
escopo do incidente.
TLP: BRANCO
30
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Condição de término:Após a contenção bem-sucedida (ou seja, sem novos sinais de
7n. comprometimento), preserve as evidências para referência e investigação policial (se
aplicável), ajuste as ferramentas de detecção e prossiga para a erradicação.
Erradicação e Recuperação
Desenvolva um plano de erradicação bem coordenado que considere cenários para o uso de
8a. vetores de ataque alternativos e vários mecanismos de persistência por agentes de ameaça.
8b.Forneça o status do incidente à CISA até que todas as atividades de erradicação sejam concluídas.
8d.Refazer a imagem dos sistemas afetados a partir de backups limpos (ou seja, fontes 'gold').
Reserve um tempo adequado para garantir que todos os sistemas estejam livres de mecanismos de
8h. persistência de agentes de ameaças (como backdoors), pois os adversários costumam usar mais de um
mecanismo.
8i.Atualize a linha do tempo para incorporar todos os eventos pertinentes desta etapa.
Continue com as atividades de detecção e análise após a execução do plano de erradicação para
8k. monitorar quaisquer sinais de reentrada do adversário ou uso de novos métodos de acesso.
TLP: BRANCO
31
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
9c.Redefinir senhas em contas comprometidas.
Aperte a segurança do perímetro (por exemplo, conjuntos de regras de firewall, listas de controle de acesso do
9f.
roteador de limite) e regras de acesso de confiança zero.
Teste os sistemas minuciosamente (incluindo a avaliação dos controles de segurança) para validar se os
9g. sistemas estão operando normalmente antes de colocá-los online novamente nas redes de produção.
Revise todos os CTI relevantes para garantir a consciência situacional da atividade do agente da
9i.
ameaça.
Atualize a linha do tempo do incidente para incorporar todos os eventos pertinentes da etapa de recuperação.
9j.
Atividades Pós-Incidente
Adicione detecções em toda a empresa para mitigar contra TTPs adversários que foram
10b.
executados com sucesso.
TLP: BRANCO
32
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
Finalizar relatórios
Fornecer à CISA uma atualização pós-incidente com sete (7) dias de resolução ou conforme
10g.
indicado pela CISA noDiretrizes Federais de Notificação de Incidentes.
Trabalhe com a CISA para fornecer os artefatos necessários, fechar o ticket e/ou executar uma
10h.
ação de resposta adicional.
Executar Hotwash
Realizar análises de lições aprendidas com todas as partes envolvidas para avaliar as medidas de
10i.
segurança existentes e o processo de tratamento de incidentes experimentado recentemente.
Identifique quaisquer políticas e procedimentos que precisem ser modificados para evitar a
10k.
ocorrência de incidentes semelhantes.
Identifique como o compartilhamento de informações com a CISA e outras partes interessadas pode ser
10l.
aprimorado durante o RI.
Identificar precursores ou indicadores que devem ser monitorados para detectar incidentes
10o.
semelhantes.
Identificar se a infraestrutura da agência para defesa foi suficiente. Se não, identifique as lacunas.
22h
TLP: BRANCO
33
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Ação Data
Etapa Procedimento de Resposta a Incidentes
Levado Concluído
11d.Forneça atualizações de incidentes até que todas as atividades de erradicação sejam concluídas.
38PorOMB M-20-04 , a análise apropriada para saber se o incidente é um incidente grave incluirá o CIO da agência, o CISO, os proprietários
da missão ou do sistema e, se for uma violação, o Oficial Sênior de Privacidade da Agência (SAOP). Independentemente da cadeia de
comunicação interna da organização, a CISA deve receber o relatório de incidente grave em até 1 hora após a declaração do incidente grave.
39OMB M-20-04
TLP: BRANCO
34
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
2. Instrumentação
Implemente recursos de detecção e monitoramento para incluir AV, EDR, DLP,
IDPS, logs, fluxos líquidos, PCAP e SIEM para fornecer uma imagem precisa da
2a.
infraestrutura da agência (sistemas, redes, plataformas de nuvem e redes
hospedadas pelo contratante).
Estabeleça uma linha de base para sistemas e redes para entender o que é atividade
2b.
“normal” para permitir que os defensores identifiquem quaisquer desvios.
Certifique-se de que o log, a retenção de log e o gerenciamento de log estejam em conformidade com
2e.
EO 14028, Sec 8.
TLP: BRANCO
35
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
5. Defesa Ativa
Para aqueles com recursos avançados e equipe, estabeleça
mecanismos de defesa ativos (ou seja, honeypots, honeynets,
5a. honeytokens, contas falsas etc.)
6. Comunicações e Logística
Estabeleça uma estratégia de comunicação. Isso inclui:
Designar o POC de relatórios CISA. Forneça o nome do POC, número de telefone e endereço de
6c. e-mail. Implementar formato e plataforma de compartilhamento de informações para CISA.
7. OPSEC
Segmente/gerencie sistemas SOC separadamente de sistemas de TI corporativos
7a. mais amplos. Gerenciar sensores e dispositivos de segurança por meios fora de
banda (rede, etc.).
Desenvolva um método para notificar os usuários sobre sistemas comprometidos por telefone,
7b.
em vez de e-mail.
TLP: BRANCO
36
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Implemente processos para evitar “dar dicas” a um invasor para reduzir a probabilidade de
detecção de informações confidenciais de infravermelho (por exemplo, não envie amostras de
7e.
malware a um serviço público de análise ou notifique os usuários sobre sistemas
comprometidos por e-mail).
8. Infraestrutura técnica
Estabeleça armazenamento seguro (ou seja, acessível apenas por respondentes
8a.
de incidentes) para dados e relatórios de incidentes.
9. Detectar Atividade
TLP: BRANCO
37
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
Incidente–De acordo com a Lei Federal de Modernização da Segurança da Informação de 2014 (FISMA), conforme
codificado em 44 USC § 3552(b)(2): Uma ocorrência que (A) ponha em risco real ou iminente, sem autoridade legal, a
integridade, confidencialidade ou disponibilidade de informação ou um sistema de informação; ou (B) constitua uma
violação ou ameaça iminente de violação da lei, políticas de segurança, procedimentos de segurança ou políticas de uso
aceitável.
Incidente Grave–De acordo com o memorando M-20-04 do Office of Management and Budget (OMB) ou
memorando subsequente, um incidente grave é:
1.Qualquer incidente que possa resultar em dano demonstrável aos interesses de segurança nacional,
relações exteriores ou economia dos Estados Unidos ou à confiança pública, liberdades civis ou
saúde e segurança do povo americano.41As agências devem determinar o nível de impacto do incidente usando o
processo de gerenciamento de incidente existente estabelecido na Publicação Especial (SP) 900-61 Revisão 2 do
Instituto Nacional de Padrões e Tecnologia (NIST), Guia de Manipulação de Incidentes de Segurança de
Computadores.
ou,
2.Uma violação que envolva informações de identificação pessoal (PII) que, se exfiltradas, modificadas, excluídas ou
comprometidas de outra forma, provavelmente resultará em danos demonstráveis aos interesses de segurança
nacional, relações exteriores ou economia dos Estados Unidos ou ao confiança pública, liberdades civis ou saúde
pública e segurança do povo americano. A determinação de incidente grave é
exigido para violações envolvendo PII de 100.000 ou mais pessoas.42
Violação–De acordo com o Memorando M-17-12 da OMB ou memorando subsequente: A perda de controle,
comprometimento, divulgação não autorizada, aquisição não autorizada ou qualquer ocorrência semelhante em que
(1) uma pessoa que não seja um usuário autorizado acessa ou potencialmente acessa informações de identificação
pessoal ou (2 ) um usuário autorizado acessa ou potencialmente acessa informações de identificação pessoal para fins
não autorizados.
Evento–De acordo com NIST SP 900-61 Revisão 2: Um evento é qualquer ocorrência observável em um sistema ou rede.
Vulnerabilidades:
• Exploração conhecida de vulnerabilidade (entradas marcadas com NVD; relatórios públicos generalizados;
exploração de prova de conceito viável lançada, etc.)
TLP: BRANCO
38
CISA | Agência de Segurança Cibernética e Infraestrutura
TLP: BRANCO
poder executivo PPD-41: Coordenação de Incidentes Cibernéticos nos Estados Unidos autoridades
TLP: BRANCO
PL 113-292 Lei/Estatuto
poder executivo [codificado em 6 USC]: A Lei Nacional de Proteção à
Segurança Cibernética de 2014
PL 107-296 Lei/Estatuto
poder executivo
[codificado em 6 USC]: Lei de Segurança Interna de 2002
poder executivo Estratégia Nacional para Identidades Confiáveis no Ciberespaço Autoridades e Normas
TLP: BRANCO
Resposta cibernética
resolver ou responder a esses incidentes. • PPD-41
Grupo (CRG) • Colabora com o Grupo de Segurança de Contraterrorismo e o Grupo de Resiliência • NCIRP
Doméstica quando é necessária uma resposta interdisciplinar a um incidente cibernético
significativo.
• Identifica e considera opções para responder a incidentes cibernéticos
significativos e faz recomendações ao Comitê de Substitutos, onde é
necessária orientação de nível superior.
• Coordena uma estratégia de comunicação.
TLP: BRANCO
• Coordena com a CISA para resposta cibernética, conforme orientado pelas Diretrizes de
Notificação de Incidentes Federais da CISA e pelo manual de RI.
• Fornece notificação adicional ao OMB, OFCIO, Congresso, OIG, se • PPD-41
aplicável.
• Lei CISA de
• Relata o incidente à aplicação da lei, conforme apropriado.
• Notifica as partes interessadas sobre as ações que precisam tomar.
2018
• Fornece indicadores de ameaças cibernéticas com contexto associado disponível, • Federal
para incluir TTPs associados, se disponíveis, e medidas defensivas recomendadas Incidente
para CISA e parceiros de compartilhamento. Notificação
Agência FCEB • Permite o acesso e auxilia respondentes de incidentes de terceiros quando solicitado pela Diretrizes
CISA. (FING)
• Fornece informações de rede e log do sistema (incluindo logs do provedor de TIC) para a CISA
• FISMA (44
mediante solicitação de acordo com EO 14028, Seção 8.
USC 3553(b))
• Manter a continuidade dos negócios e das operações.
• Cumprir os requisitos legais e regulamentares. • EO 14028
• Envolva-se em comunicações com funcionários ou outros indivíduos afetados. (Seg. 2,6)
• Conduza a resposta a incidentes dentro do FCEB e seus subcomponentes, garantindo que o SOC
em nível de agência tenha controle operacional das atividades de resposta a incidentes.
Serviço TIC
resposta e investigação de eventos de segurança cibernética em todos os sistemas de • EO 14028
informação sobre os quais eles têm controle, incluindo sistemas operados em nome de
Provedores (Seção 2)
agências da FCEB.
• Compartilhe dados, informações e relatórios conforme estabelecido na EO 14028,
seção 2.
• Colaborar com segurança cibernética federal ou agências de investigação em
suas investigações e respostas a incidentes ou possíveis incidentes em
TLP: BRANCO
Segurança nacional
• Coordena o Grupo de Coordenação Unificada Cibernética (UCG): o mecanismo de
coordenação de parceiros interagências e do setor privado para tomar ações de resposta
• PPD-41
Conselho (NSC)
imediata a um incidente cibernético de gravidade e escala específicas.
• Pátria
• O suporte de resposta a incidentes pode vir da CISA, de outras entidades Lei de Segurança (6
governamentais (como FBI, NSA) ou fornecedores comerciais mediante solicitação USC 659)
Terceiro • Federal
da agência ou da CISA
Suporte de análise Rede
• Os serviços de segurança cibernética CISA disponíveis podem ser encontrados na página 18 no
Autorização
Catálogo de serviços CISA.44
(FNA)
TLP: BRANCO