Mercado de valores
Tempo - Tutiempo.net

Chegou a era dos ataques cibernéticos e AGORA???

12 Abr 2021 / 14:59 H.
José Mendes Varela da Silva

É necessário perceber como estamos em termos de infraestrutura e de maturidade da mesma, garantir que após um ataque cibernético o pessoal afecto a segurança de informação seja capaz de ter um plano fiável de Incident Response team, onde se possa:

1- Identificar o problema

2- Conter o problema

3- Investigar a origem

4- Aplicar mecanismos de prevenção

5- Monitorar constantemente

Trabalhar no intuito de poder fazer a analogia de um assalto através de mecanismos capazes de:

1- Identificar o que foi roubado

2- Procurar se o invasor permanece no lugar ou não, se tiver mecanismos e ele estiver identificado como presente em sua infraestrutura, tranca todo o fluxo de tráfego para investigar seus passos danos

3- Investigar como ele entrou em sua infraestrutura

4- Mudar as fechaduras e colocar gradeamento nas brechas que antes eram consideradas como janelas normais de fluxo

5- Controlar as câmeras de vigilância ou olhar todos os dias para elas a fim de garantir que nada estranho está acontecendo.

Certifique-se de que seus funcionários sejam devidamente treinados em relação às funções e responsabilidades de resposta a incidentes em caso de violação de dados.

Desenvolva cenários de simulação de resposta a incidentes e conduza regularmente violações de dados simulados para avaliar seu plano de resposta a incidentes.

Certifique-se de que todos os aspectos do seu plano de resposta a incidentes (treinamento, execução, recursos de hardware e software, etc.) sejam aprovados e financiados.

Seu plano de resposta deve ser bem documentado, explicando minuciosamente as funções e responsabilidades de todos. Em seguida, o plano deve ser testado para garantir que seus funcionários terão o desempenho conforme foram treinados. Quanto mais preparados seus funcionários estiverem, menor será a probabilidade de cometerem erros críticos.

Quando uma violação (exploração de uma brecha) é descoberta pela primeira vez, seu instinto inicial pode ser excluir tudo com segurança para que você possa simplesmente se livrar disso. No entanto, isso provavelmente irá prejudicá-lo a longo prazo, já que você estará destruindo evidências valiosas de que precisa para determinar onde a violação começou e elaborar um plano para evitar que aconteça novamente.

Em vez disso, contenha a violação (exploração de uma brecha) para que ela não se espalhe e cause mais danos ao seu negócio. Se você puder, desconecte os dispositivos ligados a Internet.

Tenha estratégias de contenção de curto e longo prazo prontas. Também é bom ter um backup de sistema redundante para ajudar a restaurar as operações de negócios. Dessa forma, todos os dados comprometidos não são perdidos para sempre.

Este também é um bom momento para actualizar e corrigir seus sistemas, revisar seus protocolos de acesso remoto (exigindo autenticação MFA - Multi-Factor Authentication), altere todas as credenciais de acesso administrativo e de usuário e proteja todas as senhas.

É muito mais fácil ir ambientando a equipe se todos ou para todos for de fácil diálogo responder as seguintes questões em casos de incidentes o seguinte:

Para resolver

• O que foi feito para conter a violação de curto prazo?

• O que foi feito para conter a violação a longo prazo?

• Algum malware descoberto foi colocado em quarentena do resto do ambiente?

• Que tipo de backups existem?

• Seu acesso remoto requer autenticação multifator?

• Todas as credenciais de acesso foram revisadas quanto à legitimidade, reforçadas e alteradas?

• Você aplicou todos os patches e atualizações de segurança recentes?

Pergunte a si mesmo,sendo gestor de uma equipe de Segurança de Informação ou não, o seguinte: na sua equipe e comum debater ou mesmo interagir sobre as CVEs que saem publicamente para actualização de patches (correções a nível de sistema operativo ou de segurança)? Se não convem ambientalizar sua equipe nesse tema.

Depois de conter o problema, você precisa encontrar e eliminar a causa raiz da violação. Isso significa que todos os malwares devem ser removidos com segurança, os sistemas devem ser novamente protegidos e corrigidos e as actualizações devem ser aplicadas.

Durante o processo de restauração e devolução de sistemas e dispositivos afetados ao ambiente de negócios durante esse tempo, é importante colocar seus sistemas e operações de negócios em funcionamento novamente, sem medo de outra violação.

Questões a serem abordadas

• Quando os sistemas podem retornar à produção?

• Os sistemas foram corrigidos, reforçados e testados?

• O sistema pode ser restaurado a partir de um backup confiável?

• Por quanto tempo os sistemas afetados serão monitorados e o que você procurará durante o monitoramento?

• Quais ferramentas garantirão que ataques semelhantes não voltem a ocorrer? (Monitoramento de integridade de arquivo, detecção / proteção de intrusão, etc).

Lições aprendidas

Assim que a investigação for concluída, faça uma reunião após a acção com todos os membros da Equipe de Resposta a Incidentes e discuta o que você aprendeu com a violação de dados. É aqui que você analisará e documentará tudo sobre a violação. As lições aprendidas com eventos simulados e reais ajudarão a fortalecer seus sistemas contra ataques futuros.

Questões a serem abordadas

• Que mudanças precisam ser feitas na segurança?

• Como o funcionário deve ser treinado de forma diferente?

• Que fraqueza a violação explorou?

• Como você garantirá que uma violação semelhante não aconteça novamente?

Ninguém quer passar por uma violação de dados, mas é essencial planejar uma. Prepare-se para isso, saiba o que fazer quando acontecer e aprenda tudo o que puder depois. M