A importância de formar times de resposta a incidentes para prevenir rapidamente aos ciberataques

Um incidente de segurança é uma violação ou uma ameaça iminente de violação das políticas de segurança, que visa danificar, roubar dados ou interromper o funcionamento de redes e sistemas corporativos. Há inúmeros tipos de incidente como, ataques de phishing, malware, comprometimento de e-mail e de propriedade intelectual, ransomware, violação de dados e mineração de criptomoedas. Já a Lei Geral de Proteção de Dados (LGPD), classifica um incidente como qualquer evento que envolva a violação dos dados pessoais dos indivíduos.

Temos acompanhado nos últimos anos um crescimento exponencial desses incidentes. Seja pelos prejuízos econômicos gerados por sites que ficam indisponíveis, ou pela credibilidade da marca que sempre sofre um grande impacto perante os consumidores, os crimes cibernéticos passaram a ser um dos maiores riscos para o mundo hoje, de acordo com o The Global Risk Report 2021 World Economic Forum, sem falar nas multas a serem aplicadas, conforme as leis vigentes em cada país.

De acordo com exemplos do portal CSO online, os principais eventos de segurança noticiados já somam mais de 1,3 bilhões de dólares em multas, mostrando o quanto a legislação americana é bem rígida quando envolve vazamento de dados pessoais. E o Brasil não tem ficado para trás nesse quesito, a LGPD, mesmo em vigor há pouco tempo, já registra vários casos que estão sendo identificados e punidos de acordo com suas regras.

Todo esse cenário nos mostra que, com o aumento dos ataques cibernéticos e de suas complexidades, as empresas devem estar preparadas para agir e responder rapidamente aos incidentes. Essa capacidade é crucial para limitar o impacto do ataque, minimizando danos à reputação da marca e às consequências legais. Mas, para que isso aconteça é preciso levar em consideração um ponto chave: o tratamento do incidente sempre antes, durante e depois que ele ocorre.

Saber como agir antes, durante e após um incidente tem se tornado cada vez mais crucial para o negócio. A capacidade de uma organização de responder de forma ágil e precisa é essencial para limitar os estragos do ataque, recuperar seus dados e reestabelecer ambientes no menor tempo possível, antes de abalar a operação.

É importante não esperar um incidente ocorrer para só depois pensar no que fazer, por isso, antecipe-se. Crie um plano de respostas a incidentes que inclua políticas, procedimentos e testes. Isso envolve, entre outras iniciativas, a formação de um time multidisciplinar de resposta a incidentes, o chamado, CSIRT (Computer Security Incident Response Team), para fazer a preparação, identificação, contenção, erradicação, recuperação e ações pós incidentes como registro de lições aprendidas até análise forense disponível 24/7.

Mas sabemos que formar essas equipes não é uma tarefa simples hoje em dia. Devido à falta de mão de obra especializada, muitas organizações não conseguem formar suas próprias equipes internas. Além disso, isso requer um investimento alto e sabemos que a pandemia da Covid-19 enxugou ainda mais os orçamentos e potencializou a dificuldade em evoluir os investimentos destinados à proteção de dados.

Neste sentido, terceirizar o CSIRT com parceiros especializados tem se tornado uma tendência que vem ganhando força no mercado. Ao delegar essa tarefa a especialistas, você poderá contar com profissionais dedicados, 24/7, no tratamento de incidentes, antes, durante e depois que eles acontecem, que vão atuar de forma rápida e eficiente, realizando toda a gestão do incidente em conjunto com sua equipe de SI.

O parceiro irá entender a arquitetura e os processos, para alinhar as expectativas e identificar quais são os ativos críticos, que tipos de sistemas operacionais estão sendo usados nesses sistemas, e se há um SIEM (Gerenciamento e Correlação de Eventos de Segurança). Há também a definição de quais os casos de uso que são implementados hoje para identificar um incidente, quais são as restrições legais, e se já existe um plano de resposta elaborado. Dessa forma será possível saber a melhor maneira de atuar e preparar o ambiente para se prevenir.

Depois dessa fase, é definido o escopo a ser adotado e inicia-se o desenvolvimento do plano de resposta, que deve ser customizado de acordo com as possibilidades já existentes, e o cenário e a maturidade de segurança encontrada no seu ambiente naquele momento. O plano seguirá várias etapas que incluem desde a preparação até a gestão da crise, a análise dos logs, desenvolvimento de run books preparados para lidar com diferentes tipos de ataques, a identificação do tipo de incidente (se ele tem vazamento de dados atrelado, se tem dados pessoais envolvidos), e da causa raiz do problema.

Se mesmo depois de todo esse planejamento você sofrer um ataque, é preciso avaliar o SLA oferecido pelo parceiro. Um fornecedor realmente preparado para proteger o seu ambiente terá a experiência necessária para agir rapidamente e te ajudar a conter o ataque e o outbreak, se for o caso. War rooms serão criadas para gerir o incidente e relatórios indicarão onde o ataque teve início. Também será feita a engenharia reversa do malware, o mapeamento dos pontos cegos, e a definição das melhores práticas a serem aplicadas para cada caso, a partir das lições aprendidas.

Somente por meio de um CSIRT você conseguirá garantir a aplicação das melhores práticas e frameworks do mercado, trabalhando para identificar, mitigar, conter, erradicar e remediar um incidente, para recuperar sua operação e restabelecer os sistemas críticos num curto espaço de tempo, sem que seu negócio sofra prejuízos maiores. A partir das lições aprendidas, esses times especializados te ajudarão a criar novas regras para que quando determinado tipo de ameaça ocorrer novamente, seja muito mais fácil lidar com ela.

Por Thales Cyrino, gerente de vendas de cibersegurança da NTT Ltd.