A moderna segurança cibernética dá grande ênfase a elementos como firewalls, microssegmentação e acesso a redes de confiança zero. Embora a prevenção seja um objetivo legítimo e que vale a pena perseguir, não é possível evitar todos os potenciais incidentes. Portanto, a maneira como as organizações respondem aos incidentes cibernéticos é importante. É neste ponto que entra em cena a estratégia de resposta a incidentes cibernéticos (Cyber Incident Response, CIR).
Dentre as estratégias de segurança cibernética que colaboram com essa abordagem estão as tecnologias de detecção e resposta de rede (NDR) e a de detecção e resposta estendida (XDR). Observe que, nos dois casos, a resposta ao incidente ocorre após a detecção. Uma estratégia CIR sólida pode significar a diferença entre uma resposta inadequada e uma resposta que mitigue totalmente a ameaça em questão, priorizando a recuperação dos negócios.
Em suma, a estratégia CIR de uma organização serve de roteiro para enfrentar os ataques cibernéticos e mitigar os seus impactos. Trata-se de uma abordagem definida em cinco princípios:
Preparação
Uma estratégia CIR sadia começa com a preparação do time do CISO para incidentes antes que eles ocorram. Os especialistas em segurança identificam ativos que necessitam de proteção, depois priorizam esses ativos adequadamente. Um plano de resposta a incidentes é desenvolvido para criar uma lista de políticas e procedimentos para fazer frente a cada fase de um incidente à medida que ele ocorre.
A preparação inclui também treinamento, testes e refinamento de estratégias de resposta. Outra frente de batalha importante é manter os recursos necessários para responder a incidentes, e fazer parcerias com uma variedade de organizações dos setores público e privado capazes de aprimorar a segurança de uma organização.
Identificação
Identificação e detecção de incidentes são sinônimos e parte essencial da estratégia CIR. Trata-se de identificar o incidente corretamente e, a partir daí, responder adequadamente a isso. É recomendável utilizar uma variedade de mecanismos de detecção para identificar atividade suspeita em todos os níveis de uma rede ou de um ambiente de nuvem.
Relato e escalação andam de mãos dadas com a identificação. Toda atividade suspeita precisa ser relatada usando-se os Canais adequados. Se alertas adicionais ou escalação forem necessários, critérios estabelecidos determinarão o rumo da ação.
Contenção
Dado ser impossível prevenir todo incidente antes de ele acontecer, a contenção das ameaças identificadas é crítica para a CIR. Qualquer ameaça, por menor que seja, deve ser imediatamente contida para evitar maior disseminação. Ela poderá ser analisada e resolvida após a contenção.
As políticas de contenção podem variar, dependendo dos ativos vulneráveis e da seriedade das ameaças detectadas. Portanto, uma estratégia abrangente de CIR inclui políticas para determinação da abrangência e do nível de ameaça. Juntamente com essas políticas estão procedimentos para garantir a segurança de Dados para análises forenses e outras informações que possam ser necessárias para futura investigação.
Eliminação
O quarto princípio do CIR é a eliminação. Uma vez identificadas, contidas e adequadamente analisadas as ameaças, é hora de eliminá-las por completo. A eliminação diz respeito a remover a causa raiz do ataque em questão. Pode ser malware, acesso não autorizado, credenciais inadequadas ou várias outras coisas.
Frequentemente, a fase de eliminação inclui aplicar patches em vulnerabilidades para evitar exploits de recursos. Uma estratégia CIR sólida inclui providências para patching imediato, sem demora.
Recuperação
A CIR tem de incluir os processos de recuperação. Alguns incidentes resultam em danos a redes, Dados, processos de negócio, e até mesmo a continuidade. Espera-se que as estratégias de detecção e resposta de uma organização sejam suficientemente fortes para mitigar os danos da maior seriedade.
Não obstante, qualquer dano causado precisa ser resolvido por meio de planos de recuperação qualificados que façam a organização retornar à normalidade.
A recuperação deverá incluir um foco em minimizar o tempo de inoperância e os danos à marca de uma organização. Portanto, a recuperação não é exclusivamente técnica. A inteligência desse processo tem impacto direto sobre a resiliência dos negócios.
Por Gabriel Lima, engenheiro de vendas da Hillstone Brasil.
Leia nesta edição:
PRÊMIO IC - DESTAQUES DE TIC 2024
Usuários e profissionais do setor de TIC escolhem os produtos e as marcas que melhor os atenderam
TELECOMUNICAÇÕES
5G: a real revolução ainda está para acontecer
ESCPECIAL - ANUÁRIO DE TIC 2024/25
Contatos estratégicos
Esta você só vai ler na versão digital
TENDÊNCIAS
As tecnologias que estão moldando o futuro do e-commerce
Baixe o nosso aplicativo