SEGURANÇA

  • Artigo

Caminho rápido para resposta e recuperação para incidentes de segurança

Toda rede ocasionalmente será vítima de um incidente de segurança no computador. Os administradores de sistema precisam estar preparados para incidentes de segurança e responder rapidamente para minimizar e reparar o dano.

Preparando-se para um incidente de segurança

Estar preparado para um incidente de segurança no computador é importante para resolver rapidamente o evento de invasão quando ele acontecer.

1. Obtenha treinamento para segurança

A segurança do computador leva a educação e as habilidades além da administração de rede normal. Certifique-se de que você e sua equipe estejam adequadamente treinados. A Microsoft possui vários sites dedicados à segurança do computador, incluindo o Centro de rede e produtos de segurança e o Segurança e privacidade(em inglês). Vários exames e cursos de segurança da Microsoft também estão disponíveis, incluindo o Curso 2810: Fundamentos da segurança de rede(site em inglês)

2. Faça o inventário dos sistemas a serem protegidos

Faça o inventário de sua rede para que você saiba o que está protegendo. Considere a possibilidade de usar o Microsoft’s System Management Server(site em inglês) para automatizar os inventários e a detecção de dispositivos de rede. Avalie o risco de incidentes de segurança(site em inglês) e comunique as descobertas para gerenciamento.

3. Proteja seus sistemas

Depois de identificar seus sistemas, é importante certificar-se de que eles estejam configurados de maneira segura. A Microsoft possui vários Recursos de segurança, Ferramentase Listas de verificaçãopara ajudar a reforçar a segurança dos sistemas do Windows. A ferramenta Microsoft Baseline Security Analyzeranalisa os sistemas mais comuns do Windows para vulnerabilidades de segurança e faz recomendações. Considere a possibilidade de usar um Sistema de gerenciamento de patches(sites em inglês) para manter os sistemas atualizados.

4. Configure a detecção de intrusão

Para poder responder a um incidente de segurança, é preciso em primeiro lugar detectá-lo. Considere um antivírus, um firewall e sistemas de detecção de intrusão como parte do plano de defesa para a segurança de seu computador. Além de várias ofertas de terceiros, a Microsoft oferece dois produtos de firewall, o ICF (Internet Connection Firewall - Firewall de conexão com a Internet) do Windows XPe o produto de nível corporativo, o Microsoft ISA (Internet Security and Acceleration) Server. Você também pode aprender como detectar e auditar (sites em inglês) incidentes de segurança.

5. Faça o backup de dados e arquivos de configurações importantes

Em qualquer evento de segurança, existe a possibilidade de ser necessário restaurar os dados e as configurações do sistema de backups anteriores ao incidente. Muitas vezes, os backups serão sua única maneira de recuperar sistemas danificados. O artigo 287061(site em inglês) do Microsoft Knowledge Base é um excelente artigo sobre problemas e estratégias de backup. Certifique-se de manter seus ERDs (emergency repair disks, discos de recuperação de emergência) atualizadose fazer restaurações do sistema periódicas para testar a validade do backup.

6. Crie uma equipe de resposta para incidentes de segurança no computador

Uma CSIRT (computer security incident response team, equipe de resposta para incidentes de segurança no computador) é um grupo pré-definido de profissionais da computação com experiência que abrangem a infra-estrutura dos computadores de sua empresa com treinamento para segurança dos computadores.

7. Crie um plano de resposta para incidentes

A CSIRT precisa desenvolver e praticar o Plano de resposta para incidentes. Consulte o Capítulo 10 do guia de Segurança do Windows 2000 Server(site em inglês) para saber o que um Plano de resposta para incidentes deve cobrir.

Respondendo a um incidente de segurança

As etapas básicas para responder a incidentes de segurança são:

  1. Reúna a CSIRT.
  2. Limite danos maiores.
  3. Reúna evidências forenses detalhadas.
  4. Corrija os danos e a prevenção.
  5. Faça a análise dos eventos.

Use o Cartão de referência rápida de Resposta para incidentes do Guia de operações de segurança de servidor para Windows 2000 Server(site em inglês) como uma lista de verificação rápida.

1. Reúna a equipe de resposta para incidentes de segurança no computador

Depois que um evento de invasão de segurança é observado, é importante montar a equipe de resposta para incidentes. A CSIRT deve se reunir em uma área de reunião predefinida e apresentar os fatos conhecidos sobre o incidente.

2. Limite danos maiores

Após a coleta dos fatos iniciais, imediatamente defina etapas para minimizar a propagação dos danos. Esta etapa pode envolver a desabilitação do acesso à Internet, servidores de arquivos, servidores de e-mail, dispositivos de gateway e estações de trabalho. Certifique-se de controlar os computadores e os serviços que estão sendo desabilitados, para que eles possam ser habilitados posteriormente. Se for adequado, certifique-se de que a informação sobre o evento de invasão de segurança chegue a departamentos de usuários finais afetados.

Para ataques de worm por e-mail em ambientes Exchange(site em inglês), você deve interromper o Internet Mail Service, o Agente de transferência de mensagens (MTA) e qualquer outro serviço conector de e-mails.

3. Reúna evidências forenses detalhadas

Agora é o momento de obter fatos detalhados. Determine a extensão do dano. Qual é a sua abrangência? Quantos PCs e servidores foram afetados? Quantos departamentos estão envolvidos? Especificamente, você está procurando padrões e tendências na invasão para descobrir a extensão do evento de segurança e determinar as etapas de recuperação.

Cópias forenses

Dependendo do estado crítico de seus sistemas, considere a possibilidade de fazer cópias forenses de sistemas potencialmente modificados. O ato de investigar um sistema procurando provas da invasão pode impedir ou complicar a análise do evento de segurança. Considere a possibilidade de fazer uma cópia setor por setor dos discos rígidos afetados do sistema para que a unidade original permaneça intocável para análises futuras. Como a violação de segurança pode levar à acusação penal, considere a possibilidade de fazer a cópia em uma fonte que pode ser gravada apenas uma vez (por exemplo, disco WORM). Clique aqui para ver um documento sobre o foro do Windows NT/2000.

Modificações não autorizadas em arquivos

Muitas vezes os eventos de invasão de segurança envolvem modificações em arquivos para serem bem-sucedidos ou para permitirem uma má intenção futura. Se você suspeitar de modificações em arquivos, considere as seguintes perguntas:

  • O evento envolveu alguma programação mal-intencionada que ignorou outros arquivos, renomeou e sobrescreveu arquivos, fez alterações no registro ou mexeu em áreas de inicialização?
  • Os arquivos ignorados possuem o mesmo nome todas as vezes?
  • Ao procurar modificações nos arquivos, procure arquivos recém-criados ou modificados e olhe em áreas que podem automaticamente iniciar programas, serviços e daemons.

Onde procurar modificações:

No mínimo, olhe nas seguintes áreas e arquivos:

  • AUTOEXEC.BAT, CONFIG.SYS (ou equivalentes)
  • WIN.INI (olhe em LOAD= instrução)
  • SYSTEM.INI (inspecione SHELL= e SCRNSAVE= instruções)
  • WINSTART.BAT, DOSSTART.BAT, WININIT.INI (se existirem)
  • Pasta Inicializar
  • Á reas de inicialização do registro
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
    HKLM\System\CurrentControlSet\Services (processos e serviços registrados)
    HKEY_CLASSES_ROOT\exefile\shell\open\command
    HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Observação As chaves do Registro diferem-se de acordo com a plataforma do sistema operacional do Windows.
Se você encontrar arquivos modificados ou mal-intencionados e se sua empresa possuir um indivíduo talentoso em programação, considere a possibilidade de tentar compreender a lógica do programa mal-intencionado.

Faça análise dos direitos de segurança

Muitas vezes, eventos de invasão resultam em direitos de segurança modificados para fornecer ao originador direitos de segurança elevados. Faça a auditoria de suas contas e grupos, prestando atenção especial nas contas de administrador e procure uma elevação de privilégios não autorizada. Faça a auditoria de permissões e compartilhamentos — procure direitos novos ou excessivos. Por exemplo, worms de Internet são conhecidos por modificar as permissões de compartilhamento para que ninguém, incluindo usuários anônimos, possa obter acesso. A ferramenta Microsoft Baseline Security Analyzer(site em inglês) pode encontrar vulnerabilidades de permissão.

Consulte sites de antivírus online para obter dicas sobre detecção e correção

Se o evento de invasão envolve códigos móveis mal-intencionados (por exemplo, vírus, worm ou cavalo de Tróia), pesquise em sites de antivírus(em inglês) e utilize os mecanismos de pesquisa para obter mais informações.

4. Corrija os danos e a prevenção

Normalmente corrigir o dano e impedir eventos de invasão futuros da mesma natureza são a parte mais trabalhosa do trabalho da CSIRT. Considere a possibilidade de envolver mais membros da equipe nos esforços da erradicação.

Faça e implemente um plano de erradicação inicial

Reúna o que você aprendeu e implemente um plano de erradicação. Arquivos mal-intencionados devem ser excluídos, removidos ou substituídos. As chaves do Registro que precisam ser limpas devem ser regravadas. Modifique ou recrie contas do usuário se alguma foi modificada. Exclua e recrie permissões de arquivo, diretório e compartilhamento, se necessário. Use uma ferramenta de limpeza automatizada, como o System Management Server(site em inglês) da Microsoft, sempre que possível.

Se um incidente de segurança envolve e-mails mal-intencionados em um ambiente do Microsoft Exchange, considere a possibilidade de usar a ferramenta EXMERGE(site em inglês) da Microsoft para encontrar e excluir mensagens prejudiciais.

Faça restaurações completas do sistema

A única maneira de estar 100% seguro de que os sistemas afetados não estão comprometidos é fazer uma restauração completa do sistema para um ponto no tempo anterior ao incidente de segurança. Se você precisar de uma segurança máxima, siga estas etapas:

  1. Verifique se você possui backups de dados confiáveis.
  2. Documente as configurações do sistema legítimas, se necessário.
  3. Formate os discos rígidos do sistema afetado, além de excluir e recriar as partições da unidade lógica.
  4. Reinstale os sistemas operacionais.
  5. Aplique patches de segurança necessários, Service Packs, hotfixes, além de qualquer outra etapa necessária para impedir ocorrências de invasões futuras.
  6. Instale os aplicativos da mídia de instalação original e aplique atualizações do fornecedor, conforme necessário.
  7. Restaure os dados de backups confiáveis.
  8. Teste o sistema.

Verificar se as etapas da erradicação estão funcionando

Envie membros da CSIRT para verificarem se os sistemas estão sendo limpos adequadamente e monitorarem os canais de comunicação.

Coloque os sistemas desabilitados online novamente

Quando os sistemas desabilitados estiverem limpos e protegidos, coloque-os online novamente.

Permita novamente que os usuários façam logon nos sistemas, se essa a respectiva opção estiver desabilitada.
Use sua lista de verificação de sistemas e serviços desabilitados para que você possa se lembrar de habilitar tudo.
Informe aos usuários finais que eles podem usar seus computadores regularmente. Informe-os se qualquer sistema permanecer offline.

Esteja preparado para uma nova ocorrência

Esteja preparado para o evento de invasão ocorrer novamente e diga a mesma coisa aos usuários finais.

5. Faça a análise dos eventos

Agora é hora de reunir a equipe para fazer uma análise após o evento. Discuta os pontos positivos do evento de invasão e como a equipe respondeu, bem como áreas de interesse que devem ser discutidas em reuniões futuras.

Faça uma análise mais completa

Agora que a crise passou, faça uma análise mais completa. Nesse ponto, você deve compreender totalmente o que o evento de invasão envolveu e como ele aconteceu. Use uma análise mais completa para corrigir o dano restante. Determine se seu plano de defesa ou suas ferramentas tiveram alguma falha que permitiu a invasão e, em caso positivo, corrija-a.

Determine as relações públicas e o impacto legal

Discuta o impacto do evento de invasão para os usuários finais, na empresa, nas operações, para os clientes externos e para os parceiros comerciais. Além disso, considere se houve a necessidade de comunicar o fato às autoridades. O documento da CERT sobre como o FBI Investiga crimes digitais(site em inglês) pode ser útil.