Incidentes de segurança e violações de dados podem ter efeitos muito destrutivos e devastadores em uma organização. Na verdade, de acordo com o Relatório anual de custo de uma violação de dados do Ponemon Institute, o custo total médio de uma violação de dados é de cerca de $ 3,92 milhões de doláres, com uma média de 25.575 registros sendo roubados ou comprometidos.
Recuperar dados perdidos é apenas parte da equação. O tempo de inatividade prolongado pode aumentar rapidamente os custos de hora em hora. E mais difícil de quantificar é recuperar a confiança perdida do consumidor e causar danos à marca de uma organização, que podem levar meses ou anos para serem reparados.
Parte do desafio é que as estratégias de ataque cibernético mais modernas envolvem novas técnicas e tecnologias projetadas para evitar a detecção. Como resultado, não apenas as violações de dados iniciais às vezes passam despercebidas, mas o tempo médio de permanência de uma violação, o tempo que um comprometimento não é detectado enquanto os invasores examinam sua rede e rouba dados às vezes é de 209 dias. E mesmo assim, pode levar mais de um mês para conduzir uma investigação completa e recuperar completamente os sistemas afetados.
Preparação para violações de dados e incidentes de segurança
A preparação para um incidente eliminará confusão e erros se, no momento da resposta, as coisas forem esquecidas e erros forem cometidos. Isso começa identificando sua equipe de resposta a incidentes, que deve incluir não apenas membros da equipe técnica e consultores, mas também executivos, a equipe de service desk, e caso necessário membros da equipe jurídica, aplicação da lei, etc. Cada um desses indivíduos terá percepções críticas que precisam ser incorporado em quaisquer preparações.
Uma cadeia de comando entre todos os membros da equipe também precisará ser estabelecida para que as respostas a incidentes possam ser cuidadosamente coordenadas. Cada membro da equipe deve conhecer não apenas suas funções e responsabilidades, mas também a autoridade que possuem para tomar decisões.
Além de ter a tecnologia certa para detectar uma violação, é necessário outro equipamento para responder a um incidente, e isso precisa ser identificado com antecedência. Muitos desses equipamentos precisarão residir fora da rede para que não sejam comprometidos no caso de um ransomware ou ataque semelhante. Da mesma forma, backups regulares de dados e sistemas precisam estar disponíveis e armazenados fora da rede, e exercícios de rotina de recuperação de dados e sistemas precisam ser realizados para quando colocar os sistemas on-line novamente seja um processo tranquilo e contínuo.
Para determinar qual tecnologia será necessária, você também precisa entender os tipos de dados que possui em seu ambiente e como eles fluem. Além disso, você precisará identificar quaisquer processos de negócios críticos e os ativos sobre os quais esses processos passam. Claro, você não pode proteger e monitorar tudo, então concentre-se no que é importante. Mais importante ainda, determine se algum de seus dados se enquadra em algum tipo de regulamentação. As organizações sujeitas a requisitos e processos normativos precisam garantir que os processos oficiais para documentar e relatar uma violação sejam incluídos em seus preparativos e estratégias.
Detecção e análise de violações
Um dos maiores desafios que as organizações enfrentam é a visibilidade limitada em toda a rede distribuída. Não apenas as ferramentas de segurança e os sistemas de detecção de anomalias precisam estar no local, mas também precisam ser capazes de compartilhar informações para detectar eventos que, de outra forma, permaneceriam sob o radar.
Isso requer ferramentas de segurança integradas e um sistema centralizado para analisar e correlacionar dados. Sempre que possível, as operações NOC e SOC devem ser totalmente integradas para que os sistemas de segurança tenham uma oportunidade melhor de avaliar os dados da rede em tempo real para detectar comportamentos suspeitos.
Sua equipe de resposta a incidentes precisa fazer o seguinte para se preparar para violações de dados e incidentes de segurança:
- Dados: determine rapidamente quais dados e recursos foram comprometidos ou roubados e quais processos de negócios críticos foram afetados. Você também precisará analisar todos os sistemas comprometidos com software malicioso para determinar sua intenção e coletar IOCs, logs e transações.
- Conformidade: analise quais requisitos regulamentares precisam ser atendidos. Por causa do tempo de permanência para a maioria das violações, todos os dados e registros críticos precisarão ser salvos off-line por no mínimo um ano.
- Autoridades: determine se você precisa entrar em contato com as autoridades, incluindo órgãos reguladores e de aplicação da lei. Isso é especialmente crítico para organizações sujeitas a requisitos regulamentares. O LGPD/GDPR, por exemplo, pode exigir multas por não relatar um incidente em tempo hábil.
- Quarentena e redundância: como os sistemas afetados provavelmente precisarão ser colocados em quarentena, os sistemas redundantes precisam estar disponíveis para que a análise forense possa ocorrer. Os recursos de quarentena são importantes para evitar a propagação.
- Rastrear Cadeia de Ataque: As ferramentas precisam estar no local para permitir que você rastreie o caminho de um ataque até seu ponto de entrada. Isso exigirá a determinação do malware usado e o tempo de permanência do ataque. Depois que a cadeia de ataque e o malware forem identificados, todos os dispositivos ao longo do caminho de ataque precisarão ser analisados. Incidentes de comprometimento (IOCs) precisarão ser usados para identificar outros dispositivos que podem ter sido comprometidos.
- Treinamento: os funcionários, mesmo aqueles fora das funções de TI ou segurança, precisam estar cientes e ser treinados. Raramente os incidentes de segurança não afetam a base de funcionários mais ampla. Além disso, o treinamento ajudará a facilitar uma resposta adequada e ajudar na prevenção de incidentes.
Conter, erradicar e recuperar – Incidentes
Para evitar a propagação de um incidente pela rede, as organizações já devem ter a segmentação baseada em intenção e protocolos de zero-trust em vigor. A segmentação baseada em intenção separa logicamente sistemas, dispositivos e dados com base nos requisitos de negócios e são essenciais na prevenção de um incidente em todo o sistema.
Finalmente, depois que um incidente foi contido e erradicado, a recuperação precisa ocorrer usando bons backups. As equipes de recuperação devem ser capazes de colocar os sistemas essenciais novamente online o mais rápido possível. As equipes de TI também devem estar cientes de que pode ser difícil eliminar totalmente as ameaças incorporadas, especialmente aquelas projetadas para evitar a detecção, por isso é sempre uma boa ideia aumentar o monitoramento de segurança por várias semanas após uma recuperação de violação para garantir que a ameaça seja completamente removida.
Tratamento pós-incidente para violações de dados e incidentes de segurança
Este é um processo de mitigação muito mais longo que reduzirá a probabilidade de recorrência de um incidente. As lições aprendidas precisam ser incorporadas às políticas de segurança, os pontos de comprometimento precisam ser reparados, o malware oculto precisa ser encontrado e removido e as instâncias do mesmo ponto fraco em outras partes da rede precisam ser reforçadas.
Isso também ocorre quando você pode precisar não apenas examinar atentamente as ferramentas e sistemas de segurança existentes, mas também as pessoas e os processos. Quais elementos de segurança estão faltando e que poderiam ter detectado a violação, mas não foram? Quais processos falharam? Quais conjuntos de habilidades estavam faltando que poderiam ter acelerado a descoberta de uma violação ou o processo de recuperação de incidentes? Isso pode significar adicionar ferramentas à sua arquitetura de segurança, atualizar ou substituir sistemas que falharam em seu trabalho e fornecer treinamento adicional para o pessoal de segurança crítico.
A visibilidade é um elemento crítico desse processo. Frequentemente, existem lacunas críticas entre os dispositivos de segurança e você precisará avaliar onde as comunicações entre os diferentes sistemas foram interrompidas. Um evento detectado por um dispositivo que não está correlacionado a um evento relacionado detectado por outro, ou que não consegue acionar uma resposta, pode resultar em um incidente sério que pode passar meses despercebido.
Enfrentar esse desafio não requer apenas segurança consistente em toda a rede distribuída, mas ferramentas projetadas para compartilhar e correlacionar inteligência contra ameaças em tempo real. Você precisará avaliar o que pode ou não ver e fazer alterações para expandir a visibilidade e melhorar a capacidade de sua rede de responder a eventos automaticamente.
Finalmente, as lições aprendidas precisam ser transformadas em educação para diferentes grupos dentro da organização. Se a violação começou com um ataque de phishing, por exemplo, todos os funcionários devem receber educação intensificada sobre a prevenção de futuros incidentes. Da mesma forma, uma violação devido a uma falha em um aplicativo desenvolvido internamente deve acionar o treinamento de melhores práticas de segurança para suas equipes de DevOps.
REFERÊNCIAS:
https://www.fortinet.com/blog/industry-trends/recommendations-preparing-for-security-incidents