Ocorreu um incidente de segurança. E agora?

1

Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento.

Para tanto, existem 3 passos básicos a serem considerados:

1-    Contenção
Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

2-   Investigação
Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

3-   Erradicação
Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

  • Desenvolvimento de inteligência de segurança para detecção dos incidentes
  • Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)
  • Tomada de medidas para minimizar o impacto de um ataque
  • Atualização dos controles para evitar tipos semelhantes de ataques no futuro

O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:

  1. Tecnologia:o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.
  2. Inteligência de Segurança:sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.
  3. Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.
  4. Tempo de resposta:A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.

Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?

Carlos Borges, especialista em cibersegurança do Arcon Labs.

1 COMENTÁRIO

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.