O conceito de forensics foca principalmente na habilidade de coletar evidências digitais e minimizar o custo das investigações. Basicamente, trata-se de um processo pós-ataque. No entanto, uma unidade de resposta forense pode ser útil para outras etapas da segurança.

Um programa efetivo de forensics é capaz de maximizar o valor das evidências digitais por meio de uma abordagem proativa de resposta aos incidentes. A ideia é partir do princípio de que os incidentes vão acontecer e oferecer recursos para fazer um uso mais eficiente dos dados gerados durante os ataques com o objetivo de reduzir perdas e riscos posteriores.

Benefícios do forensics

Quando as empresas operam com a ideia de que um ataque está prestes a acontecer, pode reduzir custos operacionais, pois podem simplificar o foco de seu fluxo de trabalho por meio de análises e atividades específicas já identificadas em outras situações.

Com isso, podem sair do tradicional “modo reativo” presente na maioria das empresas, que fica limitado a configurações pobres de segurança. Ao adotar uma abordagem proativa, as empresas podem coletar e armazenar dados de investigações digitais forenses para implementar um monitoramento que identifique e mitigue uma quantidade muito maior de ameaças antes que elas se tornem incidentes sérios.

Com isso, a empresa ganha também a habilidade de reduzir potenciais incidentes em andamento. Aos poucos, com uma abordagem cada vez mais proativa, a tendência é que as ações maliciosas contra a rede diminuam devido à maior probabilidade de serem identificadas.

Um programa de forensics pode, inclusive, reduzir os custos operacionais das investigações, pois simplificam o foco do fluxo de trabalho por meio de análises e atividades específicas identificadas em outras situações.

Um fato interessante é que algumas empresas já tiram proveito de um processo semelhante, mas não sabem. Preservar as informações digitais que ficam nas soluções de gerenciamento e correlação de eventos de segurança (Security Information and Event Management – SIEM), por exemplo, já é um começo. Isso ajuda no processo de investigação de futuras ameaças e na implementação de uma abordagem cada vez mais proativa de resposta a incidentes.

Construa sua estratégia de Forensics

Quando são capazes de entender o que aconteceu, quando, como e por quê, os times de segurança podem prevenir que violações similares ocorram no futuro e otimizar o monitoramento e a resposta a incidentes.

Construir um laboratório de forensics costuma exigir um alto investimento, o qual muitas empresas não têm capacidade de criar. Por isso, algumas preferem contratar empresas especializadas em segurança da informação.

Primeiro, é preciso analisar se a organização têm os recursos necessários para estabelecer uma unidade de resposta forense internamente, se o outsourcing é a melhor opção ou ainda se é preferível uma combinação dos dois.

Em seguida, é necessário implementar um risk assessment para catalogar todos os dados sensíveis e seus locais para que os profissionais de segurança da informação possam agir mais rapidamente para prevenir a perda desses dados e analisar rapidamente quais já foram comprometidos caso haja uma violação.

Também é importante criar uma equipe interna de resposta a incidentes, contendo analistas de segurança da informação, engenheiros de TI, rede e desenvolvedores de aplicações, que devem ser coordenados para coletar de maneira efetiva todos os dados no tráfego da rede que possam conter informações do incidente.

O objetivo é promover uma investigação estruturada, mantendo documentados todos os dados de evidências para descobrir exatamente o que aconteceu.

As empresas só têm a ganhar com a implementação de um programa de forensics. A estratégia permite que as empresas complementem e otimizem seu programa e suas estratégias de segurança da informação.