Resposta a incidentes cibernéticos: processo crítico para a economia digital brasileira em 2024

Resposta a incidentes cibernéticos: processo crítico para a economia digital brasileira em 2024.

A moderna segurança cibernética dá grande ênfase a elementos como firewalls, microssegmentação e acesso a redes de confiança zero. Embora a prevenção seja um objetivo legítimo e que vale a pena perseguir, não é possível evitar todos os potenciais incidentes. Portanto, a maneira como as organizações respondem aos incidentes cibernéticos é importante. É neste ponto que entra em cena a estratégia de resposta a incidentes cibernéticos (Cyber Incident Response, CIR).

Dentre as estratégias de segurança cibernética que colaboram com essa abordagem estão as tecnologias de detecção e resposta de rede (NDR) e a de detecção e resposta estendida (XDR). Observe que, nos dois casos, a resposta ao incidente ocorre após a detecção. Uma estratégia CIR sólida pode significar a diferença entre uma resposta inadequada e uma resposta que mitigue totalmente a ameaça em questão, priorizando a recuperação dos negócios.

Em suma, a estratégia CIR de uma organização serve de roteiro para enfrentar os ataques cibernéticos e mitigar os seus impactos. Trata-se de uma abordagem definida em cinco princípios:

1. Preparação

Uma estratégia CIR sadia começa com a preparação do time do CISO para incidentes antes que eles ocorram. Os especialistas em segurança identificam ativos que necessitam de proteção, depois priorizam esses ativos adequadamente. Um plano de resposta a incidentes é desenvolvido para criar uma lista de políticas e procedimentos para fazer frente a cada fase de um incidente à medida que ele ocorre.

A preparação inclui também treinamento, testes e refinamento de estratégias de resposta. Outra frente de batalha importante é manter os recursos necessários para responder a incidentes, e fazer parcerias com uma variedade de organizações dos setores público e privado capazes de aprimorar a segurança de uma organização.

2. Identificação

Identificação e detecção de incidentes são sinônimos e parte essencial da estratégia CIR. Trata-se de identificar o incidente corretamente e, a partir daí, responder adequadamente a isso. É recomendável utilizar uma variedade de mecanismos de deteção para identificar atividade suspeita em todos os níveis de uma rede ou de um ambiente de nuvem.

Relato e escalação andam de mãos dadas com a identificação. Toda atividade suspeita precisa ser relatada usando-se os canais adequados. Se alertas adicionais ou escalação forem necessários, critérios estabelecidos determinarão o rumo da ação.

3. Contenção

Dado ser impossível prevenir todo incidente antes de ele acontecer, a contenção das ameaças identificadas é crítica para a CIR. Qualquer ameaça, por menor que seja, deve ser imediatamente contida para evitar maior disseminação. Ela poderá ser analisada e resolvida após a contenção.

As políticas de contenção podem variar, dependendo dos ativos vulneráveis e da seriedade das ameaças detectadas. Portanto, uma estratégia abrangente de CIR inclui políticas para determinação da abrangência e do nível de ameaça. Juntamente com essas políticas estão procedimentos para garantir a segurança de dados para análilses forensics e outras informações que possam ser necessárias para futura investigação.

4. Eliminação

O quarto princípio do CIR é a eliminação. Uma vez identificadas, contidas e adequadamente analisadas as ameaças, é hora de eliminá-las por completo. A eliminação diz respeito a remover a causa raiz do ataque em questão. Pode ser malware, acesso não autorizado, credenciais inadequadas ou várias outras coisas.

Frequentemente, a fase de eliminação inclui aplicar patches em vulnerabilidades para evitar exploits de recursos. Uma estratégia CIR sólida inclui providências para patching imediato, sem demora.

5. Recuperação

A CIR tem de incluir os processos de recuperação. Alguns incidentes resultam em danos a redes, dados, processos de negócio, e até mesmo a continuidade. Espera-se que as estratégias de detecção e resposta de uma organização sejam suficientemente fortes para mitigar os danos da maior seriedade.

Não obstante, qualquer dano causado precisa ser resolvido por meio de planos de recuperação qualificados que façam a organização retornar à normalidade.

A recuperação deverá incluir um foco em minimizar o tempo de inoperância e os danos à marca de uma organização. Portanto, a recuperação não é exclusivamente técnica. A inteligência desse processo tem impacto direto sobre a resiliência dos negócios.

Por: Gabriel Lima é Sales Engineer da Hillstone Brasil.

Veja também:

Sobre mindsecblog 2427 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

6 Trackbacks / Pingbacks

  1. Escola da Nuvem e Instituto PROA formam gratuitamente 143 pessoas
  2. Ataques de Malware em saúde aumentaram 10% em 2023
  3. Boletos e QRCode PIX: golpe frauda pagamentos sem infectar PC
  4. Alerta para ataques envolvendo a declaração do Imposto de Renda
  5. Mulheres são principal alvo de golpes de relacionamento
  6. O que acontece com os dados na web depois que alguém morre?

Deixe sua opinião!