[hubhackersdobemParticipante]

Como sua equipe lida com a detecção e resposta a incidentes de segurança? Quais técnicas e ferramentas são indispensáveis no seu dia a dia para proteger a rede?

[Marcelo Matos MachadoParticipante]

A detecção e resposta a incidentes de segurança são cruciais para proteger a rede de uma organização.

As técnicas e ferramentas que posso mencionar são:

1. Monitoramento Contínuo: Utilizar sistemas de detecção de intrusões (IDS) e firewalls para monitorar atividades suspeitas em tempo real.
2. SIEM (Security Information and Event Management): Ferramentas como o Splunk ou o Microsoft Sentinel ajudam a coletar e analisar dados de segurança, identificando possíveis incidentes.
3. Resposta Automatizada: Implementar soluções de resposta automatizada, como o Cortex XSOAR, que é capaz de isolar automaticamente dispositivos comprometidos ao detectar uma ameaça.
4. Análise de Tráfego: Utilizar ferramentas como Wireshark para analisar o tráfego de rede e identificar comportamentos anômalos.
5. Treinamento Contínuo: Manter a equipe atualizada com as últimas ameaças e técnicas de resposta através de treinamentos regulares, dando atenção especial para novos colaboradores.
Creio que essas práticas e ferramentas são essenciais para garantir uma resposta eficaz e rápida a incidentes de segurança, minimizando danos e protegendo a integridade da rede.

[CristianParticipante]

Boa tarde pessoal

Sobre a melhor ferramenta e tals e muito subjetivo ao seu orçamento, mas o principal e o processo baseado em padrões internacionais.

Todos os documento seguem a linha da ISO , ela já foi traduzida pela ABNT e a NBRISO/IEC27035-3 DE 07/2021, o NIST possui seu documento  que e o 800-61 Revision 3 e a ENISA também possui o seu, fica a teu critério qual usar.

o CERT BR também possui vasta documentação sobre o assunto – https://www.cert.br/

https://esr.rnp.br/seguranca/metodologias-de-resposta-a-incidentes

https://csrc.nist.gov/Projects/incident-response

https://www.enisa.europa.eu/topics/incident-response

Bem espero ter ajudado !

Cristian Gonzalez

• Esta resposta foi modificada 7 meses, 1 semana atrás por Cristian.

[Márcio CavalcanteParticipante]

Boa tarde, como o colega falou depende muito do orçamento e também do tipo de ativos que você deseja proteger, acredito que se há um time de segurança necessariamente deve ter um SIEM e a depender do tamanho da instituição é possível adicionar NGFW(que inclua IPS/IDS), um SOAR (Shuffle gratuito é uma opção muito boa) e um EDR, não necessáriamente nessa ordem.

[jefesonbezerraParticipante]

Bom dia!

 

As ferramentas a serem utilizadas dependerão do Plano de Continuidade do Negócio e do Plano de Resposta a Incidentes. Esses planos permitem que a organização defina objetivos de acordo com o teto orçamentário.

Considerando um cenário ideal em que o orçamento não seja um limitador, além dos processos, podem ser adotadas soluções como SIEM, monitoramento de ativos de rede, políticas de GPO, políticas de firewall, IDS, IPS, políticas de endpoint centralizado, segmentação de rede, redundância de serviços, entre outras. Vale ressaltar que, à medida que mais soluções são implementadas, torna-se imprescindível ampliar tanto a equipe quanto o orçamento.

[Autor]

Posts