Ocorreu um incidente de segurança. E agora?

Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento.

Para tanto, existem 3 passos básicos a serem considerados:

1- Contenção
Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

2- Investigação
Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

3- Erradicação
Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

· Desenvolvimento de inteligência de segurança para detecção dos incidentes
· Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)
· Tomada de medidas para minimizar o impacto de um ataque
· Atualização dos controles para evitar tipos semelhantes de ataques no futuro

O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:

1. Tecnologia: o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.

2. Inteligência de Segurança: sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.

3. Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.

4. Tempo de resposta: A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.

Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?

(*) Especialista em cibersegurança do Arcon Labs


Vazamento da Equifax compromete dados de 143 milhões de clientes

Em maio, a Equifax, uma das maiores agências de monitoramento de crédito dos Estados Unidos, teve os dados confidenciais de mais de 143 milhões de clientes no país comprometidos, em um dos maiores vazamentos já registrados. Números de seguros sociais, data de nascimento, endereços e licença de motorista caíram nas mãos de criminosos. 

Leia mais...

É hora de levar a sério a segurança de aplicativos da web

Historicamente, as equipes de TI tendem a instalar firewalls de aplicativos da web (WAFs) simplesmente para atender aos padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS). Se este for o caso da sua organização, seja você um fornecedor de serviços financeiros ou um varejista, talvez esta seja a hora certa de pensar novamente sobre estas valiosas ferramentas de segurança. Muitos dos profissionais de segurança de dados de hoje da atualidade estão começando a reconhecer que aplicativos da web desprotegidos se tornaram alvos atraentes para os cibercriminosos que procuram pontos de entrada fáceis nas redes desses aplicativos.

Leia mais...

Por que a visibilidade da rede além do firewall é essencial na era da IoT

Na era da TI híbrida, complexidade é a palavra de ordem. De fato, segundo o recente Relatório de tendências de TI da SolarWinds para 2017, os profissionais de TI brasileiros relatam que o maior desafio da TI híbrida é o aumento da complexidade da infraestrutura.

Leia mais...

A Gestão de Privilégio e a Norma de Segurança ISO 27002

Já se tornou lugar comum a defesa de uma política de segurança em bases chamadas "holísticas". Isto é, suportando uma visão sistemática, que abrange a infraestrutura física (fixa e móvel, local e em nuvem) e seu embaralhamento com questões de controle de processo, educação e disciplina do usuário, bem como de hierarquização do acesso, supervisão, contingência, garantia de continuidade e resposta a incidentes.

Leia mais...

Eu esperava pelo ciberataque

Conheço e trabalho com segurança em sistemas de computação há mais de 15 anos. Ao longo desse tempo, já estive dos dois lado do balcão: fui cliente de empresas que prestavam serviços de manutenção de redes e proteção de dados e ofereci meu conhecimento para tornar os ambientes virtuais mais seguros e eficientes — hoje trabalho em uma empresa que integra soluções baseadas em cloud. O que pude ver ao longo desse tempo me fez analisar com frieza o episódio do ciberataque dos últimos dias, apesar de não ter me deixado indiferente.

Leia mais...

O uso da tecnologia analítica no combate às fraudes financeiras

Atualmente, os serviços financeiros se movimentam no ritmo dos clientes, que estão em qualquer lugar, sempre conectados e encaram os desafios de um mundo sem fronteiras. Como também ocorre em outras indústrias, as empresas financeiras vêm se beneficiando desse novo cenário, mas sabem que com ele aumentam sua exposição aos riscos, fraudes e ataques cibernéticos. O uso das soluções analíticas e da inteligência artificial permite que isso seja mitigado de maneira significativa.

Leia mais...

Processos corporativos de prevenção à fraudes no Brasil são insuficientes

Em fevereiro deste ano, a Kroll publicou o seu Relatório Global de Fraude e Riscos 2016/17, resultado de uma pesquisa realizada com 545 executivos seniores em todo o mundo. Alguns pontos desta pesquisa me chamaram atenção. Um deles é a constatação do que já sabia sobre o crescimento da incidência de fraudes de forma acentuada, onde 82% dos entrevistados relataram caso de fraude nos últimos 12 meses, contra 70% em 2013.

Leia mais...

WannaCry: a ameaça não acabou

Lembram do ataque cibernético no último dia 12 de maio que atingiu mais de 345 mil dispositivos em 150 países em cinco dias após o incidente? Estima-se que 97% dos dados as máquinas infectadas foram criptografados, gerando pedidos de resgate. Até esta data, os prejuízos do ransomware somavam mais de US$ 112 mil, o equivalente a cerca de R$ 365 mil e já existem mais de 320 variantes do WannaCrypt original.

Leia mais...

Três obrigações para eliminar as ameaças internas

Entre as resoluções de começo de ano, todos sabemos que algumas dessas "promessas" são mais fáceis de cumprir do que outras. Uma coisa que aprendemos com a experiência é que somos mais bem-sucedidos quando nossas metas são realistas e produzem benefícios concretos, sabemos quais resultados positivos elas nos trarão e obter esses resultados não pode nos deixar tão sobrecarregados a ponto de desistir. 

Leia mais...