Como responder a um incidente de segurança?

Sua empresa poderia ser vítima de ataques cibernéticos? Sim. Essa é uma realidade cada vez mais próxima de organizações em todo o mundo. Não importa qual o mercado dos seus negócios, o fantasma da violação de dados vem atacando de forma frequente e elevando o nível das técnicas de engenharia social para abrir caminhos para extrair informações que podem levar a transtornos altos.

A perda de produtividade pode parecer um grande problema à primeira vista. Mas não se engane. Algumas empresas podem até não conseguir se recuperar desse tipo e episódio, seja por perder dados cruciais para manutenção da operação, seja por estragos na sua reputação, para dizer o mínimo. Um bom exemplo recente é o caso da Equifax, que acabou levando à aposentadoria precoce do presidente da empresa.

Existem dois caminhos para lidar com a ameaça constante do vazamento de dados: você pode ter esperança de que a sua empresa nunca será um alvo. É um caminho simples, mas perigoso. Vamos falar do segundo caminho. Considerando que atualmente todas as empresas estão sujeitas a uma falha de segurança, como você pode se preparar para responder a um incidente?

Identifique

Como identificar que a sua empresa está sendo alvo de vazamentos? Em muitos casos as empresas não conseguem identificar a atividade suspeita imediatamente. Acontece que quanto maior tempo para descobrir o incidente, maior o estrago.

A regra básica da segurança digital se aplica aqui: seja criterioso na gestão de sua infraestrutura. Conheça seus ativos, suas segmentações, seus usuários, classifique as informações, priorize a oferta de serviços para usuários, reúna logs de todas as atividades e erros. Com uma visão holística de tudo o que acontece no seu ambiente, será mais fácil identificar um incidente de perda de dados. É claro que, nesse ponto, os produtos de segurança ativa estão do lado do gestor de TI, ajudando-o a encontrar ameaças conhecidas ou desconhecidas e até eventos de intrusão.

Uma vez atacado, é crucial entender como o evento aconteceu, qual foi a brecha explorada, que tipo de técnica foi usada, quais segmentos e informações foram alvos. Mapear todo o estado do incidente é fundamental para colocar o seu plano de resposta em ação. Em outras palavras, como resolver um problema se você não sabe o que está acontecendo?

Contenha  

Sabendo o que aconteceu, você precisa tomar decisões rápidas. O custo cresce exponencialmente quanto mais tempo você leva para resolver o vazamento de dados. Ou seja, limitar o alcance dos danos é crucial:  ative todas as ferramentas de segurança de seu perímetro, priorizando as áreas que foram alvos principais do ataque.

No curto prazo, para contenção imediata, isole os segmentos de rede cujos dispositivos foram contaminados, evitando maiores danos a outros servidores e serviços. Para correção mais profunda, será necessário mapear as vulnerabilidades que colocaram o sistema em risco e resolver as falhas de configuração: elimine backdoors e possíveis rastros que os atacantes tenham deixado como forma de retorno ao seu sistema, instale todos os pacotes de atualização e correção necessários, não apenas do sistema contaminado, mas de todos os serviços.

Para evitar a exploração de possíveis falhas de configuração nos seus sistemas, uma solução de gestão de vulnerabilidades e compliance como o BLOCKBIT VCM ajuda gestores de TI a estarem um passo à frente, identificando brechas que podem representar riscos de segurança.  

Avalie

Os sistemas afetados deverão ser removidos do ecossistema para limpeza geral e posteriormente restaurados. Isso significa que é fundamental garantir que não há nenhuma vulnerabilidade ignorada que possa promover uma reinfecção do sistema.

Nesse momento, é importante também avaliar quais ferramentas o gestor de TI tem em seu alcance para evitar novos incidentes, avaliando também quais novos recursos podem ser adicionados ao seu pool de segurança, para melhorar o nível de defesas. Aprender o que causou o incidente será fundamental para eleger quais são as tecnologias que podem evitar que seu sistema seja comprometido novamente.

Recupere

Quanto mais agilidade em responder ao incidente, mais rápido você poderá colocar seus sistemas em pleno funcionamento. Nessa fase, é crucial testar, monitorar e validar os sistemas, evitando correr novos riscos. Este processo deve ser avaliado com cuidado: Qual a metodologia de teste e monitoramento, quanto tempo o dedicar nesse trabalho, quais ferramentas serão utilizadas são algumas das decisões que o administrador do ecossistema deverá responder.

 

Fontes consultadas: Blockbit

Imagens: Blockbit / Pixabay

Texto: Blockbit