As empresas estão levando muito a sério o crescimento das ciberameaças e existe uma demanda bem grande por guia e informações acerca de respostas e relatórios de incidentes de cibersegurança.
Uma empresa Eslováquia reportou que há um crescimento expressivo pela procura de frases como “template de relatório de incidentes de cibersegurança” e “respostas a incidentes de cibersegurança” com o passar dos anos.
Isso significa ótimas notícias para o mercado geral. E, melhor ainda, muitas empresas não estão só aprendendo, como também tomando ações.
Mas, para aquelas que ainda não estão muito cientes do tema, é bom começar pelo básico.
O que significa “resposta a incidentes”?
“Resposta à incidentes”, ou “incident response”, é a reação da empresa à interrupção de um incidente de segurança cibernética. Esse plano de resposta precisa estar em vigor antes mesmo de que os incidentes ocorram.
- Incidentes de segurança também podem ser conhecidos de forma mais simples como:
- Incidente de segurança de informação;
- Incidente de segurança de TI;
- Incidente de segurança de rede;
- Vulnerabilidade de segurança;
- Vulnerabilidade de dados;
- Ciberataque;
- Ataque ransomware;
- E até mesmo “nós fomos hackeados”.
Todos esses termos são recortes de um mesmo tecido e a única resposta eficiente é seguir meticulosamente um “plano de resposta a incidentes cibernéticos personalizado” (CIRP), que esteja pronto para ser posto em prática a qualquer momento.
O objetivo de se possuir um plano de resposta é garantir que a organização esteja totalmente preparada para lidar com qualquer nível de incidente de forma rápida e efetiva. Hoje, os incidentes são inevitáveis e as únicas variáveis são amplitude e a profundidade.
Existe diferença entre resposta a incidentes e tratamento de incidentes?
Embora esses dois termos caminhem juntos e, sem ambos, não exista um processo de resposta sólido, a “incident response” refere-se aos aspectos técnicos da análise e contenção, enquanto o “incident handling” se ocupa principalmente das responsabilidades humanas, como a comunicação, coordenação e cooperação necessárias para levar o processo adiante.
Qual é o ciclo de vida da resposta a incidentes?
O ciclo de vida de um incidente cibernético é definido pelos estágios pelos quais ele passa, incluindo tudo, desde a preparação para esse incidente, até a análise das lições que foram aprendidas depois da experiência. Uma das versões do ciclo de vida pode ser, por exemplo:
Preparação > descoberta do incidente e confirmação > contenção e continuidade > erradicação > recuperação > lições aprendidas
Quais são os diferentes tipos de incidentes de segurança da informação?
Existem inúmeros tipos de incidentes de segurança, que podem resultar em invasões à rede ou violações completas de dados, mas existem seis que, de acordo com a Delinea, as organizações ficam mais vulneráveis:
Ataques phishing – acontece quando se clica em algum link em um e-mail que parece autêntico e que acaba entregando informações sensíveis (como senhas), ou ativando algum ransomware ou outro malware. As companhias são super vulneráveis ao phishing pois os cibercriminosos têm como alvo o elo mais fraco das empresas — os colaboradores — e os índices de sucesso são altos. O tipo mais comum de phishing direcionado é conhecido como spear phishing, e ocorre quando o atacante investe tempo pesquisando a vítima com o objetivo de tornar o ataque ainda mais bem sucedido.
Ataques do tipo Denial-of-Service (DoS) – o ponto desse ataque é desligar uma máquina individual ou a rede inteira, para que ela não possa responder aos seus chamados de serviço. Ataques DoS consegue realizar isso inundando o alvo com tráfego ou enviando até ele alguma informação que ativa um crash.
Ataques do tipo Man-in-the-middle (MitM) – uma entidade externa intercepta e altera a comunicação entre duas partes, que acreditam estar se comunicando uma com a outra. Ao atuar ambos os lados, o ataque manipula as vítimas em um esforço para conseguir acesso aos dados. Os usuários permanecem alegremente inconscientes de que estão conversando com um invasor. Alguns exemplos desse tipo de ataque são sequestro de e-mail, sequestro de sessão, e espionagem de Wi-Fi.
Ataques do tipo Drive-by – é um método comum de espalhar malwares, no qual os hackers criminosos procuram por sites inseguros e colocam um script malicioso no código de alguma das páginas. O script pode instalar o malware no computador de alguém que visita o site ou redirecionar a vítima para um site diferente controlado pelos hackers.
Ataques às senhas – esse tipo de ataque é direcionado especificamente para obter a senha da conta de algum usuário. Hackers criminosos usam uma variedade de técnicas para conseguir por suas mãos nas senhas, como programas de quebra de senha, ataques de dicionário, “sniffers” de senha ou adivinhação por força bruta, geralmente com base em algum conhecimento pessoal da vítima, como aniversário, nome do pet etc. É por esse tipo de ataque que as senhas fortes são essenciais.
Ataques de malware e ransomware – qualquer software malicioso instalado sem a permissão do usuário pode ser considerado um malware. Muitos já estão habituados a vários tipos de malwares — file infectors, Worms, Trojans, ransomware, adware, spyware, logic bombs, e vários outros tipos de vírus. Alguns são inadvertidamente instalados quando um colaborador instala um freeware ou outro software, clica em um anúncio, ou visita um website infectado. As possibilidades são infinitas, assim como as chances de um trabalhador ser vítima de um desses tipos de ataque.
Relatório de incidentes de cibersegurança específicos da indústria
O processo de resposta a incidentes descrito no ciclo de vida acima é amplamente o mesmo para todas as organizações, mas os procedimentos de relato de incidente variam para certas indústrias. Por exemplo, se for o setor de saúde, é preciso observar os requerimentos de relatório de incidentes HIPAA.
Segue abaixo algumas das regulamentações das indústrias que possuem leis bem específicas acerca dos reports de incidentes, e quem precisa aplicá-las:
- HIPPA – se a empresa cria, recebe, mantém ou transmite informação de saúde eletronicamente protegida;
- FISMA/NIST – se a entidade é uma organização federal ou um contratado do governo;
- PCI DSS – se a empresa aceita, guarda ou transmite informações de cartão de crédito;
- NERC/CIP – se for uma empresa de energia ou de utilidades;
- SOX – se a organização for uma companhia pública (embora em alguns casos companhias privadas também precisam estar de acordo com as regulamentações SOX).
Se a organização precisar aderir a qualquer uma das regulamentações acima, é preciso se familiarizar com os requerimentos dos relatórios de incidentes que podem ser unicamente aplicados à indústria específica a qual faz parte. Outras informações úteis sobre setores específicos podem ser encontradas aqui no template de resposta a incidentes da Delinea.
Esse template também conta com:
- Instruções de customização;
- Como montar uma equipe de resposta a incidentes, incluindo TI, compliance, e representantes de comunicação;
- Classificação de ameaça;
- Uma amostra de um incidente cibernético;
- As fases dos incidentes e as ações apropriadas a tomar em cada passo (o template garante que todas as informações corretas possam ser capturadas).
Como recurso adicional, também é possível ver o whitepaper da Delinea sobre estratégias de resposta a incidentes aqui.
Um plano de resposta a incidentes é uma algo que se espera nunca precisar
Embora falar sobre um plano de resposta a incidentes seja algo crucial e frequente, todos esperam que ele nunca seja realmente necessário. Quanto mais as empresas tomarem medidas para se protegerem, mais elas se tornam resilientes, com a capacidade de se recuperarem rapidamente.
Nos últimos anos, o projeto de segurança número 1 da Gartner é o privileged account management (PAM), mas, assim como a resposta a incidentes, a segurança cibernética tem um aspecto técnico e humano — o treinamento de conscientização dos colaboradores é essencial para a segurança da organização. Os cibercriminosos veem os trabalhadores como o caminho mais fácil até as redes corporativas, então o treinamento de segurança deve ser introduzido no primeiro dia dos novos contratados.
Nenhuma solução é a prova de balas
Nenhuma solução escolhida para proteção de acessos privilegiados, nem a quantidade de treinamento dos colaboradores, vai garantir uma cibersegurança à prova de balas. Afinal, o desafio dos cibercriminosos é estar sempre um passo à frente. Porém, ter um procedimento de resposta a incidente sólido estabelecido pode minimizar os danos — e até mesmo pará-lo antes que ele consiga um ponto de apoio — salvando dinheiro, tempo e reputação.
Para estruturar o processo de resposta a incidentes de seus clientes e blindá-los contra os danos causados por ciberataques, fale com a M3Corp e conheça mais sobre as soluções da Delinea. Com um especialista ao lado deles, ficará muito mais fácil lidar com qualquer ciberameaça. Clique aqui para falar com um gerente de canais.
Posts recentes