Crie e mantenha um plano de comunicação para os responsáveis por lidar com incidentes, com informações de contato, mecanismos de relatório de incidentes, um sistema de rastreamento de problemas, uma sala de guerra e software de criptografia para comunicações.

Entender vetores de ataque como malware em e-mails, sites maliciosos, falsificação de identidade, mídias removíveis, força bruta e atividades incomuns e usar ferramentas de alerta, incluindo IDPSs, SIEMs, antivírus e antispam e registros. Para análise, isso deve incluir a criação de perfis do sistema de rede, a compreensão de comportamentos normais, a criação de políticas de retenção de registros e a realização da correlação de eventos.

Identificar invasores validando endereços IP de host, usando bancos de dados de incidentes, monitorando os canais de comunicação dos invasores e pesquisando em mecanismos de pesquisa. A equipe de resposta deve realizar a erradicação e a recuperação em uma abordagem por fases com base na priorização.

Determinar como a organização poderia ter evitado um ataque fazendo perguntas como: o que aconteceu? Quando? e Quais etapas a equipe de resposta seguiu que podem ter impedido a recuperação?

Os ambientes de nuvem apresentam desafios exclusivos para a resposta a incidentes devido à natureza distribuída e ao modelo de responsabilidade compartilhada. Um modelo específico da nuvem aborda problemas como segurança multilocatário, ameaças baseadas em API e as complexidades de investigar incidentes em infraestruturas temporárias. Esses modelos incorporam ferramentas nativas da nuvem para monitoramento e análise forense, definem procedimentos para coordenação com provedores de serviços de nuvem e estabelecem protocolos para preservação de evidências em ambientes dinâmicos em que os recursos podem ser escalonados ou encerrados automaticamente.

Os modelos tradicionais de resposta a incidentes de segurança de computadores se concentram na proteção de endpoints e na segurança de rede em infraestruturas no local. Esses modelos fornecem procedimentos abrangentes para lidar com infecções de malware, tentativas de acesso não autorizado e violações de dados que afetam estações de trabalho e servidores. Eles incluem etapas detalhadas para isolar os sistemas afetados, coletar evidências forenses de discos rígidos e memória e restaurar as operações, mantendo a cadeia de custódia para possíveis processos judiciais.

Os modelos criados para gerentes de segurança cibernética enfatizam a coordenação estratégica e a comunicação entre várias equipes e partes interessadas. Esses frameworks incluem matrizes de escalonamento para envolver a liderança executiva, modelos para notificações regulatórias e procedimentos para gerenciar relações públicas durante incidentes de alto perfil. Eles oferecem orientação sobre alocação de recursos, gerenciamento de fornecedores e relatórios pós-incidente para conselhos e órgãos regulatórios, garantindo que os gerentes possam orquestrar com eficácia esforços complexos de resposta.

Os modelos de resposta a incidentes de saúde abordam os desafios exclusivos de proteger os dados dos pacientes e manter os sistemas de cuidados críticos. Esses modelos incorporam os requisitos de notificação de violação da HIPAA, procedimentos para lidar com ataques de ransomware em dispositivos médicos e protocolos para manter o atendimento ao paciente durante interrupções do sistema. Eles incluem orientações específicas para trabalhar com fornecedores de registros eletrônicos de saúde, coordenar com trocas regionais de informações de saúde e gerenciar incidentes que possam afetar a segurança do paciente.

O modelo do Departamento de Tecnologia da Califórnia oferece uma estrutura abrangente projetada para agências estaduais que gerenciam serviços públicos essenciais. Esse modelo enfatiza a coordenação entre agências, os requisitos de transparência pública e os procedimentos para proteger os dados dos cidadãos. Ele inclui protocolos específicos para coordenação com escritórios estaduais de gerenciamento de emergências, tratamento de incidentes que afetam vários departamentos e manutenção da continuidade dos serviços governamentais durante ataques cibernéticos.

O modelo do NIH atende aos requisitos exclusivos de proteção de dados de pesquisa sensíveis e manutenção da integridade dos recursos de computação científica. O framework inclui procedimentos para lidar com incidentes que afetam ensaios clínicos, proteger a propriedade intelectual e coordenar respostas em vários institutos de pesquisa. Ele fornece orientações específicas para incidentes que envolvem informações não classificadas controladas, dados de sujeitos humanos e clusters de computação de alto desempenho usados para pesquisa genômica.

As instituições acadêmicas enfrentam desafios distintos ao equilibrar ambientes de pesquisa abertos com requisitos de segurança. O modelo da UConn aborda incidentes que afetam diversas populações de usuários, incluindo estudantes, professores e pesquisadores. Ele inclui procedimentos para lidar com incidentes durante períodos acadêmicos críticos, proteger registros de estudantes de acordo com a FERPA e coordenar respostas em departamentos de TI descentralizados, mantendo a liberdade acadêmica e a colaboração em pesquisas.