Aconteceu. Apesar de todos os esforços do time de TI e de segurança cibernética para deter invasores internos e externos, um cibercriminoso conseguiu invadir as defesas da empresa e criptografar dados. O incidente está em andamento. Por onde começar?
No último artigo, falamos sobre os motivos pelos quais corporações têm sido alvos frequentes de ataques de ransomware. Também elencamos as principais medidas de prevenção para contornar esse tipo de fraude. Neste, explicaremos os procedimentos que devem ser realizados quando a segurança da empresa foi violada por um ransomware.
Por onde começar?
Antes de tomar qualquer providência, a empresa precisa ter certeza de que está com as pessoas certas cuidando do incidente. Uma violação de segurança não pode ser tratada apenas pelo departamento de TI. Precisa da atenção de todos os departamentos. Deve envolver especialistas jurídicos, altos executivos, pessoas de relações públicas e representantes de todas as linhas de negócios afetadas. Se a violação envolver insiders, é preciso um representante de recursos humanos. Se envolver dinheiro, de um diretor financeiro.
A empresa precisa de um time de resposta a incidentes?
Em crises cibernéticas, qualquer decisão precipitada pode potencializar o impacto do incidente. Por isso, empresas inteligentes hoje possuem uma Equipe de Resposta a Incidentes de Segurança, ou Computer Security Incident Response Team (CSIRT). Normalmente selecionada antes de um evento. É o grupo de especialistas que vai receber, analisar e responder às fraudes de segurança da informação, atuando desde a detecção de eventos até a coordenação das ações de defesa. É uma figura central no Plano de Resposta a Incidentes (PRI) e deve ser acionado imediatamente caso um sistema ou dispositivo tenha sido atacado.
No caso de um ransomware, em que o cibercriminoso sequestra dados e cobra resgate para restabelecer o acesso, o que irá influenciar na redução dos danos financeiros e de reputação de marca é o tempo de resposta. Por isso é que estruturar o PRI e atribuir responsabilidades às equipes de maneira prévia ao evento são pontos importantes. Porque são essas medidas que irão determinar a velocidade com que a normalidade operacional será retomada.
De acordo com o Instituto SANS, uma resposta efetiva a um ataque apresenta seis etapas. Confira quais são e como o CSIRT atua em cada uma delas:
1. Preparação
A primeira etapa prepara a equipe de segurança para lidar com potenciais vulnerabilidades do ambiente. Isso inclui a definição de políticas, ferramentas, procedimentos e plano de comunicação.
2. Identificação
Aqui entra a atuação reativa do CSIRT, que consolida informações vindas de diversas fontes, e identifica a extensão do comprometimento na rede e os sistemas, dados e usuários que foram afetados. Para isso, é importante rastrear o incidente até a origem. Essa etapa é de responsabilidade do Threat Hunter, que verifica os IOC’s e TTP’s para entender o motivo, os alvos e o comportamento do malware. Esse profissional utiliza ferramentas automatizadas de Threat Intelligence, como o CHRONOS, para fazer a coleta dessas informações. A compreensão do escopo completo do ataque ajudará a empresa a planejar uma resposta de forma mais eficaz.
3. Contenção
O próximo passo é impedir que os invasores tenham acesso às mais informações da rede. Todos os sistemas e dispositivos comprometidos devem ser isolados para mitigar o risco do malware se transportar e infectar outros ambientes. Caso seja necessário, o CSIRT também pode desconectar toda a rede ou alguns serviços específicos que foram infectados.
4. Erradicação
Feita a contenção do malware, a etapa seguinte é erradicar as ameaças do ambiente da organização. Algumas ações devem ser realizadas nesse momento: remover softwares maliciosos instalados durante o incidente; corrigir as vulnerabilidades exploradas pelo invasor com aplicações de patches ou atualizações; e redefinir senhas de credenciais comprometidas. A execução desses processos garante que o vetor de infecção seja eliminado de vez.
5. Recuperação
Depois de eliminar as vulnerabilidades, o passo seguinte é restaurar dados, sistemas e serviços que foram comprometidos durante o ataque. Essa etapa pode envolver soluções de backup para recuperar dados perdidos. Também são feitos o restabelecimento dos ambientes que foram desligados e a reconstrução de sistemas danificados. Nas ações de recuperação, é importante que os ambientes afetados passem por testes e validações antes de serem restaurados.
6. Lições aprendidas
O ciclo de Resposta a Incidentes termina com a documentação da invasão e de todas as ações que foram feitas para seu tratamento. As lições aprendidas contribuem para o aprendizado da equipe e para o refinamento dos esforços futuros de detecção, prevenção e resposta de ataques.
Temos profissionais altamente qualificados que podem criar o plano certo para o seu negócio. Converse com um de nossos consultores agora.
Permalink
Permalink