Por Tonimar Dal Aba
Os dados são claros: a pandemia e aumento do trabalho remoto trouxeram uma nova percepção de empresas e líderes com relação aos ataques cibernéticos que só têm crescido no Brasil. Uma pesquisa feita recentemente pela PwC aponta que 40% dos diretores de empresas afirmam que suas organizações aceleraram a digitalização de processos para fomentar o crescimento; 39% implantaram o home office em tempo integral para colaboradores e 37% apontaram uma maior busca na qualidade da infraestrutura de Tecnologia da Informação (TI) e telecomunicações nas decisões.
A partir desse cenário, especialistas do instituto IDC já apontam que a cibersegurança está em primeiro lugar na lista de prioridades entre os investimentos em tecnologia para 61% das 75 empresas brasileiras pesquisadas este ano — 11 pontos acima comparando com o ano de 2019.
Como não se pode implementar cada nova tecnologia de segurança imediatamente após o seu lançamento, é vital aplicar algumas práticas de segurança cibernética para fortalecer a rede da sua organização. Por isso, aqui estão sete práticas recomendadas para um plano de segurança. É recomendável começar com uma avaliação de risco de sua organização, que o ajudará a determinar a quais riscos ela está exposta, quais deles precisam de atenção imediata e como ajustar o orçamento para atender aos requisitos de segurança.
Configure sistemas de detecção antecipada de ameaças
Prevenir uma ameaça é melhor do que encontrar uma solução, e é muito importante que você detecte e interrompa as ameaças de entrada antes que elas infectem sua rede. Recomendamos que implemente uma análise de comportamento de usuário e entidade (UEBA) como um sistema de detecção e prevenção antecipada de ameaças. Com a UEBA, você pode construir uma linha de base que define os padrões normais de comportamento do usuário. Em caso de comportamento anômalo em sua rede, será informado instantaneamente. Isso é particularmente útil para impedir ataques internos. Sistemas de detecção de intrusão que sinalizam tráfego de rede malicioso são outra ótima estratégia. Um software antivírus também pode servir como uma defesa da linha de frente contra ameaças potenciais.
Monitore os acessos privilegiados a recursos críticos
Cada organização terá usuários em funções altamente críticas; esses usuários podem ter privilégios de segurança mais altos para acesso a recursos confidenciais na rede. Embora privilégios de acesso maiores devam ser concedidos apenas com a verificação adequada, às vezes esse processo pode ser explorado e o resultado é uma ameaça interna. É importante monitorar para determinar se os recursos foram configurados incorretamente ou se informações não relacionadas à função de um usuário foram acessadas.
Configure a resposta automatizada a incidentes
Criar um plano de resposta a incidentes que é executado quando uma ameaça é descoberta pode ajudar a contê-la e impedir que infecte toda a rede. Você pode criar um plano de resposta a incidentes que seja exclusivo para cada incidente de segurança específico. Esse plano resultará em uma série de medidas de contenção e eliminação que evitam que uma ameaça potencial se espalhe e infecte a rede, e pode ser automatizado para que você se beneficie de uma reação imediata à ameaça.
Implemente detecção de ameaças de endpoints
A segurança de endpoint é um elemento crucial de qualquer plano de segurança cibernética. A proteção efetiva de seus dispositivos como servidores, laptops e desktops, inclui a configuração de firewalls, soluções antivírus e filtros de e-mail. Sua solução de endpoint deve ter detecção de ameaças e recursos de resposta automática, e você também deve expandir a proteção para seus recursos em nuvem.
Tenha regras de correlação eficazes em vigor
Quando você tem o monitoramento de rede 24 horas por dia, 7 dias por semana, vários registros gerados podem não parecer relevantes. As regras de correlação ajudam a identificar incidentes de segurança em sua rede e a estabelecer um padrão entre eles. Isso ajuda você a ter uma visão geral e identificar uma ameaça potencial. Muitas soluções SIEM fornecem a opção de criar regras de correlação personalizadas que podem ser adaptadas para atender às necessidades de sua empresa e sua estratégia de risco de segurança. Uma estrutura de regras integradas pode ajudá-lo a começar.
Aplique princípios de privilégio mínimo
Uma prática recomendada é conceder o mínimo de privilégios a cada usuário necessário para seu trabalho diário. Essa é uma forma de limitar as possibilidades de ameaças internas e os efeitos adversos do comprometimento de uma conta. Crie categorias de contas nas quais os usuários serão classificados com base nos privilégios que recebem. Uma política de privilégios mínimos diminui a superfície de ataque e evita a propagação de malware para aspectos mais críticos da rede.
Use a autenticação multifator para usuários em seu domínio
Com um software de quebra de senhas disponível, não é difícil para os hackers obterem uma senha. Você precisa de mais de uma maneira de autenticar usuários em seu domínio. Outras autenticações podem ser feitas por meio de respostas rápidas (QRs), notificações push e autenticações de linguagem de marcação para autorização de segurança (SAML). As autenticações por meio de modos alternativos tornam difícil para os atores de ameaças personificarem sua identidade, mas as multifatoriais fazem parte de muitas leis de conformidade, então esse é outro item retirado de sua lista de verificação de conformidade.
Resumidamente, essas sete práticas não são uma lista completa, mas definitivamente devem fazer parte do seu plano de segurança cibernética. Assim como as ameaças evoluem, as suas medidas de proteção devem estar sempre acompanhando esse movimento, de acordo com as necessidades dos negócios.
*Tonimar Dal Aba, consultor técnico na ManageEngine.
