retornar retornar
Descodificação de ameaças cibernéticas para 2023

POR:
Equipe CSIRT

COMPARTILHAR

Twitter Facebook Linkedin
Referências
EM GERAL 9 Abr 24  •  87' LEITURA

SP 800-61r3 - Amadurecimento da resposta a incidentes

A resposta a incidentes é uma parte essencial do gerenciamento de riscos de segurança cibernética e, em uma organização madura em termos de segurança cibernética, a resposta a incidentes deve ser integrada a todas as operações.

O NIST publicou um primeiro rascunho público de seu SP 800-61r3, esse modelo em amadurecimento fornece recomendações e considerações para o gerenciamento de incidentes e inclui um "Perfil da comunidade da Estrutura de Segurança Cibernética (CSF) 2.0 do NIST".

Esta publicação tem como objetivo ajudar as organizações a incorporar melhores processos de resposta em suas atividades de gerenciamento de riscos de segurança cibernética.

Prepare-se, reduza o número e o impacto dos incidentes que ocorrerem e melhore a eficiência e a eficácia das atividades de detecção e recuperação.

Essa publicação, uma vez finalizada, substituirá o SP 800-61r2 "Guia de Tratamento de Incidentes de Segurança em Computadores".

Ciclo de vida

A versão anterior (SP800-61r2) nos orienta há muito tempo, embora na época de seu desenvolvimento (2012) os incidentes fossem relativamente raros e o escopo fosse mais bem definido, a recuperação de incidentes geralmente era concluída em um ou dois dias.

De acordo com essas ideias, era realista tratar a resposta a incidentes como um conjunto separado de atividades realizadas por uma equipe separada de pessoas. Todas as atividades de resposta a incidentes poderiam ser colocadas em um ciclo de vida circular. As atividades pós-incidente identificariam todas as "melhorias" e alimentariam o estágio de preparação, iniciando assim o ciclo novamente.

As atividades de resposta a incidentes eram geralmente intermitentes e não continuas.

Ciclo de vida de un incidenteS (SP800-61r2)


Esse modelo não reflete mais o estado atual. Hoje em dia, os incidentes ocorrem com mais frequência, causam mais danos e a recuperação deles geralmente leva semanas ou meses devido ao seu escopo, complexidade e natureza dinâmica. A resposta a incidentes agora é considerada uma parte essencial do gerenciamento de riscos de segurança cibernética e não pode ser separada das operações comerciais.

Há casos em que a ordem precisa mudar, e as lições aprendidas geralmente devem ser compartilhadas assim que forem identificadas, sem atrasos ou espera pela conclusão da recuperação Não é preciso dizer que a melhoria contínua é necessária para todas as facetas do gerenciamento de riscos de segurança cibernética a fim de acompanhar as ameaças modernas.

Em um passo em direção a essa integração, esta minuta propõe etapas totalmente alinhadas às funções do FSC 2.0, que organizam as etapas no nível mais alto da seguinte forma:

 • Governança (GV): a estratégia, as expectativas e a política de gerenciamento de riscos de segurança cibernética da organização são estabelecidas, comunicadas e monitoradas.
 • Identificar (ID): os riscos atuais de segurança cibernética da organização são compreendidos.
 • Proteger (PR): as salvaguardas são usadas para gerenciar os riscos de segurança cibernética da organização.
 • Detectar (DE): possíveis ataques e comprometimentos de segurança cibernética são encontrados e analisados.
 • Responder (RS): as ações são tomadas em relação a um incidente de segurança cibernética detectado.
 • Recuperar (RC): os ativos e as operações afetados por um incidente de segurança cibernética são restaurados.

Dentro dessas seis funções, há papéis vitais na resposta a incidentes. Governar, Identificar e Proteger ajudam as organizações a prevenir incidentes, preparar-se para lidar com incidentes que ocorram, reduzir o impacto desses incidentes e melhorar a resposta a incidentes e as práticas de gerenciamento de riscos de segurança cibernética com base nas lições aprendidas. Detectar, Responder e Recuperar ajudam as organizações a descobrir, gerenciar, priorizar, conter, erradicar e se recuperar de incidentes de segurança cibernética, além de realizar relatórios de incidentes, notificações e outras comunicações relacionadas a incidentes.

Modelo proposto para o ciclo de vida do IR (Draft SP 800-61r3)


A metade superior reflete que as atividades de preparação, Governar, Identificar e Proteger não fazem parte do ciclo de vida de resposta a incidentesv. Em vez disso, são atividades muito mais amplas gerenciamento de riscos de segurança cibernética que também dão suporte à resposta a incidente.

O novo ciclo de vida da resposta, para cada incidente, está indicado na metade inferior do modelo: Detectar, Responder e Recuperar. Além disso, a melhoria contínua é indicada na função Identificar e nas linhas pontilhadas verdes.

As lições aprendidas emergem de todas as funções, são analisadas, priorizadas e usadas para informar todas as funções. Isso reflete que as organizações devem aprender novas lições o tempo todo (por exemplo, detectar a presença de uma nova ameaça e caracterizar seu comportamento) e comunicar essas lições ao pessoal apropriado para que as políticas, os processos e as práticas de resposta a incidentes da organização e outros aspectos do gerenciamento de riscos de segurança cibernética possam ser ajustados conforme necessário.

Se quisermos conectar o conhecido com o novo, podemos mapear as fases do SP 800-61 anterior com as do novo rascunho:

Mapeamento do SP 800-61r2 vs CSF 2.0


Perfis da comunidade

Os perfis de comunidade oferecem uma maneira para que grupos de organizações, que compartilham um contexto e uma postura de segurança cibernética comuns, descrevam uma visão conjunta sobre o gerenciamento de riscos de segurança cibernética.

O National Cybersecurity Centre of Excellence (NCCoE) fornece exemplos desses perfis e outros recursos para ajudar as comunidades a entender e desenvolver.O Perfil da Comunidade CSF serve como uma linha de base dos resultados.

Esses perfis são normalmente desenvolvidos para um setor, subsetor, tecnologia, tipo de ameaça ou outro caso de uso específico (CSF2.0). A Revisão 3 é então definida como um perfil de comunidade CSF 2.0 específico para resposta a incidentes. Ele usa o CSF Core como base para destacar e priorizar os resultados que são importantes para a resposta a incidentes, faz recomendações e fornece outras informações de apoio para determinados resultados do CSF no contexto da resposta a incidentes.

Pode-se observar que o Perfil da Comunidade no guia é dividido em duas tabelas: a primeira tabela abrange a Preparação (Governar, Identificar e Proteger), enquanto a segunda abrange o Ciclo de Vida da Resposta a Incidentes (Detectar, Responder e Recuperar).

A prioridade relativa de cada linha é indicada por as:

 • Alta: funciona como uma atividade central de resposta a incidentes para a maioria das organizações.

 • Medio: Apóia diretamente as atividades de resposta a incidentes para a maioria das organizações.

 • Baixo: apoia indiretamente as atividades de resposta a incidentes para a maioria das organizações.

A última coluna pode conter um ou mais itens que recomendam o que fazer ou descrevem considerações adicionais ou informações de apoio para algumas linhas. Cada item dessa coluna tem um ID que começa com uma das seguintes opções:

 • “R” (recomendação: algo que a organização deve fazer)

 • “C” (consideração: algo que a organização deve considerar fazer)

 • “N” (nota: informações adicionais, bem como recomendações e considerações)

Uma designação R, C ou N e seu número podem ser adicionados ao CSF ID da linha para criar um identificador exclusivo dentro do Perfil da Comunidade (por exemplo, "GV.OC-03.R1" é a recomendação 1 para a Subcategoria CSF GV.OC-03). As recomendações e notas não são exaustivas, e nem todas serão aplicáveis a todas as organizações.

O Perfil da Comunidade deve ser usado pela maioria das organizações, independentemente do setor, tamanho ou outros fatores.

Trecho do perfil da comunidade CSF 2.0 para resposta a incidentes


Conclusões

O escopo da Revisão 3 é significativamente diferente das revisões anteriores. Como os detalhes de como realizar as atividades de resposta a incidentes mudam com muita frequência e variam muito entre tecnologias, ambientes e organizações, não é mais viável capturar e manter essas informações em uma única publicação estática. Em vez disso, esta revisão se concentra na melhoria contínua do gerenciamento de riscos de segurança cibernética para todas as funções do NIST CSF 2.0. Isso oferece melhor suporte aos recursos de resposta a incidentes das organizações e aborda o volume crescente de incidentes prejudiciais com períodos de recuperação prolongados.

Embora seja verdade que cada organização deva usar a estrutura ou o modelo de ciclo de vida de resposta a incidentes que melhor lhe convier, o modelo proposto aproveita a riqueza de recursos disponíveis e permite sua fácil adoção por organizações que já utilizam o CSF. O modelo proposto aproveita a riqueza de recursos disponíveis e permite que ele seja facilmente adotado pelas organizações que já utilizam o CSF. Cada organização deve considerar a resposta a incidentes no contexto de seu gerenciamento de riscos e de seus próprios negócios.