Por Rafael Sampaio
Quando o assunto é risco cibernético, muito se fala sobre como proteger uma organização diante de um ciberataque. Mas o que fazer quando ele já aconteceu ou está acontecendo? A relevância do tema se faz necessária por uma realidade: em geral, as organizações investem grande parte do budget de segurança da informação em prevenção, parte dele em detecção e apenas um pouco em respostas a incidentes.
Poucas contam com um processo de resposta a incidentes de ponta a ponta, de forma a terem informações suficientes para recuperar o ambiente com rapidez, corrigir gaps, priorizar os eventos entre os diversos alertas recebidos, evitar novos problemas e comunicar-se adequadamente com o mercado.
Para proteger a empresa o cenário ideal é contar com estratégias de:
Sensores de Segurança – a melhor forma de reagir a um ataque é detectá-lo o mais cedo possível. Para isso, a empresa deve contar com camadas de segurança que consigam identificar este evento o mais cedo o possível para haver tempo de reação, seja no endpoint, camada de rede, web ou cloud.
Estratégias de Disfarce – outra recomendação é o uso de honeypots (ferramenta que tem a função de propositalmente colher informações sobre o invasor). Com esta solução, você atrai a atenção do invasor e, com isso, detecta uma movimentação suspeita antes que ela avance por ativos reais.
Padrões de Ataque – Entenda como está o cenário de ameaças cibernéticas da empresa e como está sendo realizada a defesa. Se o foco é em prevenção, o atacante só precisa agir uma vez para ter sucesso. Ao entender os padrões de ataque é mais fácil tomar atitudes para que este ataque não avance para a fase seguinte, interrompendo a cadeia de ataque. Existem padrões de ataque bastante conhecidos como MITRE e CyberKill Chain organizado pela Lockheed Martin.
Resposta a incidentes – capacidade de monitorar é importante, mas a capacidade de reagir e efetivamente e tratar incidentes é fundamental. Como é virtualmente impossível para um time de SOC (Security Operations Center) atender a todos os incidentes de segurança, é importante usar automação para os casos de baixa criticidade, reservado o tempo e o expertise de profissionais caros para atender a incidentes mais complexo ou que apresente maior risco ao negócio
Forense – finalmente depois que aconteceu resta fazer uma boa análise forense para as devidas medidas cabíveis do ponto de vista jurídico ou de seguro. Uma boa análise forense acontece se a empresa investiu em tecnologia forense para permitir isso, sem este tipo de investimento o resultado de uma análise forense é menos provável de ser bem sucedido.
Como identificar um padrão de ataque
As empresas que têm mais chance de identificar padrões de ataques cibernéticos são aquelas que contam com serviços gerenciados que de fato executem os processos de identificação, proteção, detecção, resposta a incidentes e recuperação de forma integrada. Com esse arcabouço de tecnologias e processos é possível fazer uma investigação por meio de fatos reais, identificando o tráfego do ataque desde o login até a consolidação do comprometimento de usuários e de dados. Nesse processo, identifica-se o ciclo completo do ataque, qual dado ou arquivo foi acessado e o que realmente aconteceu nesse incidente. Em muitos casos, é possível identificar os endereços de origem envolvidos na ação.
Na prática, a ação consiste em detectar, classificar, diagnosticar e priorizar os ataques, enviando um alerta para a equipe de gestão de incidentes.
Como cortar a cadeia de ataque
O combate à cadeia de ataques cibernéticos deve, obrigatoriamente, considerar o fator humano. Afinal, a identidade de quem acessa redes, plataformas, sistemas e aplicativos ainda é um ponto sensível quando o assunto é risco cibernético.
Nesse cenário, é sempre prudente que a organização faça uso de soluções de machine learning e inteligência artificial que seja capaz de fazer uma análise comportamental de clientes, usuários e aplicações para a partir de qualquer anomalia tomar uma medida de bloqueio ao ataque.
Em tempos de pandemia, o fator humano fica ainda mais sensível. Enquanto o seu cliente está mais presente no ambiente digital, o seu colaborador levou um pedacinho da empresa para algum canto do planeta que você desconhece. Ambos estão suscetíveis à engenharia social, entre outros riscos. Por isso, é prudente se certificar a cada acesso que eles são quem dizem ser.
Ações de recuperação do ambiente
Toda organização precisa de um plano de continuidade de negócios para ser colocado em prática diante de um risco cibernético. A questão é que enquanto alguns já estão implementados, outros nem saíram da gaveta. Com a pandemia mundial, que trouxe a segurança da informação para o centro das discussões, as empresas começaram a se dar conta de que a segurança tem de fazer parte do negócio. Afinal, como costuma-se dizer na área de tecnologia: “Antes do incidente, tudo o que você fez é demais… Depois do incidente, nada do que você tinha feito parece ter sido suficiente”.
É importante salientar que para gerenciar os riscos de segurança, não basta focar-se apenas em identificação de incidentes, prevenção ou em detecção. Não existem dúvidas de que incidentes de segurança irão acontecer, por isso, tão importante quanto detectá-los é responder a eles de forma estruturada e planejada.
*Rafael Sampaio
