Você acabou de detectar um ataque e alertou a equipe de resposta a incidentes, esta é uma das 38 investigações que possivelmente deverão ser realizadas neste ano. Provavelmente, metade delas consistirá em ataques de malwares genéricos, mas o restante serão ataques dirigidos ou violações de dados de maior risco. Após a detecção, a equipe trabalhará contra o relógio e contra a taxa exponencial de novas violações, tentando devolver os sistemas a um estado conhecido.
O que acontecerá se não for possível interromper o ataque com rapidez suficiente? Todos nós já vimos os efeitos públicos e imediatos de uma violação de segurança, mas o que acontece depois? As máquinas possivelmente infectadas são isoladas e começa o trabalhoso processo de limpá-las. Você pode também comprar máquinas novas e utilizar redes completamente separadas, enquanto limpa e transfere os dados das máquinas antigas para as novas. Ou talvez se afunde tão rápido num buraco tão fundo que não consiga sair e simplesmente contorne as máquinas infectadas.
Essas e outras situações de segurança estão ocorrendo em empresas do mundo inteiro. Os cibercriminosos estão evoluindo para ataques concentrados e arquitetados, dirigidos a empresas e pessoas específicas. Eles têm testado os comportamentos das tecnologias preventivas e estão aprendendo a superar as defesas de segurança e diminuir a detecção. Um recurso de resposta rápida e ativa a incidentes passou a ser um componente importante em um plano geral de segurança.
Nossas pesquisas destacam a importância de reagir de forma eficaz ainda na primeira hora. As equipes de segurança provavelmente já enfrentam dificuldades com o volume dos dados. Há tantos dados que chegam das atuais ferramentas que leva muito tempo para analisá-los, o que atrasa a resposta. Ou então já fazem concessões a respeito dos dados coletados e estão deixando de perceber indicadores importantes de ataque.
Redução de riscos
Acelerar a detecção de incidentes e compreender o impacto e o alcance possíveis são as tarefas mais importantes da redução de riscos. A equipe precisa ser capaz de realizar investigações no ato. Utilizando dados históricos como base, os coletores automatizados de endpoints podem perceber o estado e o contexto do sistema, observando quaisquer alterações no fluxo da rede, nos registros ou nos processos que possam indicar um ataque. Isto também inclui arquivos apagados ou componentes latentes, truques normalmente utilizados para evitar a detecção.
Após um alerta rápido sobre um ataque e seu possível alcance, as tarefas mais importantes a seguir são tomar providências para diminuir o impacto, identificar quais recursos permanecem vulneráveis e atualizar os controles de segurança. Quando os coletores de endpoints detectam um possível evento de ataque, eles enviam alertas à central de segurança. Também é possível configurá-los para acionar outras medidas, dependendo da natureza do alerta.
Outra tarefa importante é iniciar uma investigação em todos os sistemas da empresa, ampliando a escala de resposta. Você não precisa mais fazer suposições sobre o andamento do ataque, o que pode gerar uma visão limitada dos sistemas afetados. Se não conseguir dimensionar a resposta com rapidez e alcance suficientes, poderá permitir que os criminosos trabalhem livremente numa área enquanto você tenta conter apenas uma parcela da infecção.
O tempo e a escala são os principais limitadores da resposta a incidentes. Maior automação dos coletores de dados, acionadores de segurança e reações predefinidas ajudam a detectar mais cedo, reagir mais rapidamente e caçar mais longe do que já foi possível.
Torry Campbell, diretor de Tecnologia para soluções de endpoint e gerenciamento de segurança da Intel Security.