By Zerum Team
Criado:
13 abr, 2020
5 anos atrás
Data da última atualização: 15/09/2022
TAGS:
Enfrentar um evento crítico de segurança cibernética não é uma questão de “se”, é uma questão de “quando”. Veja neste guia rápido como se preparar e agir para fornecer respostas a incidentes da maneira mais eficiente possível.
O responsável pelo setor financeiro da sua empresa acessa sites maliciosos;
Seu portal de atendimento cai devido a um ataque DDoS;
Dados pessoais de milhões dos seus clientes são expostos na internet.
O que os eventos acima têm em comum? Todos eles são incidentes de segurança cibernética. E todos, do mais corriqueiro ao mais grave, podem e vão causar prejuízos à sua organização se a equipe de segurança não responder rápida e adequadamente a eles.
É preciso entender que não existe empresa imune a ataques cibernéticos, e que nem todas as defesas de perímetro do mundo vão mudar esse fato. Cedo ou tarde, violações acontecem. O importante, então, é como você reage a elas.
É aqui que entra o que chamamos de resposta a incidentes, um processo que, quando bem executado, faz toda a diferença entre um mero contratempo e uma crise de grandes proporções para seu negócio.
Neste guia rápido, você verá a definição, a importância e as principais etapas da resposta a incidentes, bem como tecnologias e serviços que podem ajudá-lo a superar eventos críticos.
Resposta a incidentes é o processo que visa solucionar situações críticas de segurança cibernética. De acordo com a definição do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT), essas situações compreendem “[…] qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores”.
Vazamentos de dados, túneis não-autorizados e infecções por ransomware são alguns exemplos de incidentes de segurança.
Uma resposta a incidentes rápida e eficiente é fundamental para minimizar indisponibilidades, danos à reputação, multas potencialmente milionárias e diversos outros prejuízos. Além disso, agir de forma precisa e bem documentada durante crises resguarda sua organização em ações legais e auditorias. Isso faz toda a diferença para atender a nova Lei Geral de Proteção de Dados Pessoais (LGPD), por exemplo.
Ter um processo estruturado de resposta a incidentes, com fases e ações bem definidas, é a melhor forma de garantir a agilidade e eficiência durante crises. O modelo proposto pelo SANS Institute, uma das entidades mais respeitadas na comunidade mundial, divide a resposta a incidentes em 6 etapas principais:
Vamos entender cada uma delas.
“A arte da guerra nos ensina a não confiar na probabilidade do inimigo não estar vindo, mas sim em nossa prontidão para recebê-lo”
– Sun Tzu, A Arte da Guerra
O primeiro passo de todo o processo de resposta é estar bem preparado. Isso envolve uma série de elementos, sendo que alguns variam de empresa para empresa. Mas existem alguns passos universais para garantir que você e sua equipe estejam prontos para agir sem perda de tempo:
“Aquele que conhece o inimigo e a si mesmo lutará cem batalhas sem perder;”
– Sun Tzu, A Arte da Guerra
Quando um incidente é reportado, a primeira coisa a ser feita é a identificação da ameaça. É preciso entender a natureza e o escopo do caso, bem como definir seu nível de criticidade/prioridade. Para isso, você precisará recolher e analisar informações dos sistemas afetados, como logs e, principalmente, dados do tráfego da rede (ferramentas de Network Detection and Response (NDR) são as melhores para essa tarefa), iniciando o processo de investigação.
Aqui começam também a documentação e a comunicação. Todos os responsáveis e envolvidos devem ser notificados e corretamente informados para iniciar os procedimentos seguintes, e todos os passos devem ser registrados.
A contenção é a etapa “emergencial” da resposta a incidentes, focada em evitar que a ameaça se espalhe e cause maiores danos à organização. A fase se subdivide da seguinte forma:
Na etapa de erradicação, deve-se eliminar qualquer vestígio de comprometimento. Voltando para o exemplo que usamos na etapa de contenção, agora a equipe de segurança vai limpar o download automático do malware do registro de inicialização, eliminar o trojan utilizado pelo hacker para instalar o código malicioso e tomar todas as demais medidas cabíveis para retornar os sistemas a um estado seguro. A ideia é dar o sinal verde para que a operação volte à normalidade.
Com a ameaça devidamente erradicada, a restauração definitiva dos sistemas é posta em prática. Na etapa de recuperação, é importante que a equipe de segurança acompanhe o andamento dos trabalhos, monitorando de perto os sistemas restaurados e realizando testes para certificar-se de que os sistemas realmente estão seguros.
“Concentre-se nos pontos fortes, reconheça as fraquezas, agarre as oportunidades e proteja-se contra as ameaças.”
– Sun Tzu, A Arte da Guerra
Na etapa de lições aprendidas (“aprendizado”), gestores e analistas de segurança se debruçam sobre os procedimentos realizados durante a resposta ao incidente para identificar pontos fracos nas defesas e propor melhorias em sistemas e processos.
A documentação do incidente vai ajudar nessa etapa, respondendo questões básicas sobre a violação (“quem?”, “o quê?”, “quando?”, “como?”, etc) e auxiliando no cumprimento de auditorias e processos de conformidade, mas o essencial é como sua equipe vai usar a informação para aprender com os erros e evitá-los no futuro.
Quando um incidente é reportado, uma coisa é certa: a ameaça já driblou Firewalls, Antivírus e defesas semelhantes – ou ainda, no caso de usuários maliciosos internos (Insider Threats), já começou o ataque de dentro da sua rede. Por isso, você precisa de tecnologias capazes de fornecer inteligência, detecção e resposta que vão além de apenas tentar “barrar” invasões.
O Zerum Lynx atende essa demanda. Nossa solução integra tecnologias de análise forense e Network Detection and Response (NDR) anteriormente conhecidas como NTAs, além de recursos avançados de Inteligência Artificial e Threat Intelligence em uma solução Plug & Play.
No que se aplica à resposta a incidentes, ela auxilia especialmente em três frentes:
Serviços gerenciados de Detecção e Resposta a incidentes (conhecidos pela sigla em inglês MDR), são uma opção sólida para empresas que ainda não têm os recursos humanos e/ou tecnológicos para garantir uma reação adequada a ataques cibernéticos. Neste guia rápido, você pode entender melhor como esse tipo de serviço funciona e que vantagens traz para sua empresa.
O Zerum Threat Hunting On-Demand, por exemplo, utiliza uma abordagem proativa na busca por ameaças ocultas na sua operação, com resposta imediata a elas, e pode ser contratado como medida permanente ou apoio pontual.
A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.
Para saber mais, entre em contato!