Como responder a incidentes de cibersegurança
Todos os dias uma empresa (ou mais) é pega de surpresa por uma violação de dados. Embora evitar um ataque seja o sonho dourado de toda corporação, nem sempre é possível. Na verdade, é utópico, pois não existe segurança perfeita. Mesmo que você tenha terceirizado sua TI ou seus dados residam na nuvem, em última análise, a responsabilidade de manter os dados de seus clientes seguros recai sobre seus ombros.
No caso infeliz da sua empresa sofrer uma violação, você deve estar preparado para resolvê-lo rapidamente. As organizações levam em média mais de 200 dias para detectar uma violação bem-sucedida. Infelizmente, quanto mais tempo uma violação não for detectada, mais oportunidades um invasor terá de causar danos ao seu alvo.
Mas como fazer isso de forma eficaz? Há maneiras de responder e recuperar proativamente de um incidente de segurança cibernética. Aqui estão algumas dicas.
Esteja preparado
Nesta etapa, é fundamental que você leve em consideração o desenvolvimento de planos e processos de segurança. Desenvolva planos de resposta a incidentes para cada tipo de incidente que possa atingir a empresa.
Tenha um plano de comunicação: pessoas para alcançar interna e externamente, como alcançá-las etc. Conte com ferramentas de resposta a incidentes prontas e atualizadas a qualquer momento. Isso também significa gastar tempo para testar novas soluções e manter o conhecimento sobre elas. Treinamentos regulares sobre incidentes simulados também são fundamentais na etapa de preparação.
Identifique e classifique o tipo de incidente
Esta fase é utilizada para classificar e definir um incidente quando é descoberto. Todo malware segue um padrão de infecção que pode ser analisado para auxiliar na detecção. Identificar o incidente com precisão e verificar cuidadosamente se é realmente um incidente real e não uma detecção falsa.
Aqui é definido o escopo do incidente e sua investigação, configurando o monitoramento, detectando incidentes correlacionando e analisando vários dados de endpoints (atividade de monitoramento, logs de eventos, etc.) e na rede (analisando arquivos de log, mensagens de erro etc.). Depois que essas ações forem realizadas, comece a documentar o caso.
Contenção de incidente
Uma vez no sistema alvo, o malware pode tentar buscar dados confidenciais, aumentar privilégios, adquirir ferramentas maliciosas adicionais ou tentar se espalhar para outras máquinas na rede. Agora é a hora de evitar mais danos. O primeiro passo, geralmente, é impedir que o invasor se comunique mais com a rede comprometida.
Isso pode envolver desabilitar o acesso à rede para computadores conhecidos por estarem infectados por vírus ou outro malware (para que possam ser colocados em quarentena) e instalar patches de segurança para resolver problemas de malware ou vulnerabilidades de rede. Você também pode precisar redefinir as senhas de usuários com contas que foram violadas ou bloquear contas de insiders que possam ter causado o incidente.
Assinaturas são uma defesa excelente e necessária contra ameaças conhecidas, mas as organizações também precisam de uma maneira de impedir as variantes de malware desconhecidas ou novas. O Threat Detection and Response da WatchGuard é uma coleção poderosa de ferramentas avançadas de defesa contra malwares. O TDR não apenas detecta malware que as tecnologias de segurança existentes não detectam, mas também responde rapidamente para conter a infecção e remediar as ameaças.
Avalie os danos e a gravidade
Em resumo, olhe para a causa do incidente. Nos casos em que houve um invasor externo bem-sucedido ou um insider malicioso, considere o evento como mais grave e responda de acordo. No momento certo, analise os prós e os contras de iniciar uma investigação completa de atribuição cibernética.
Recuperação
O objetivo desta última etapa é voltar a um estado operacional normal e permitir que a empresa continue suas atividades comerciais regulares. É hora de trazer todos os sistemas de volta à produção, depois de verificar se todos estão corrigidos e protegidos sempre que possível. O monitoramento cuidadoso precisa ser definido e iniciado aqui, por um período de tempo definido, para observar qualquer comportamento anormal.
Há sempre muitas lições e lições a serem aprendidas com um incidente de segurança cibernética. Enfrentar uma violação de segurança pode ser uma experiência muito estressante e intimidadora. Mas prepara você para o pior e fortalece você para estar melhor preparado para o futuro.