A maioria dos ataques cibernéticos envolvem tentativas de movimento lateral, com os criminosos aproveitando novas vulnerabilidades e falhas em recursos nativos do sistema operacional para se moverem por uma rede. E esses ataques estão se tornando ainda mais destrutivos.
À medida que mais empresas embarcam na transformação digital e investem em tecnologias disruptivas, os planos de resposta a incidentes precisam se modernizar para lidar com ameaças que também evoluíram. Apesar disso, há uma linha básica que ajuda na construção e gerenciamento de uma estratégia que reduza ao mínimo os dados e o tempo de recuperação:
Entretanto, muitas empresas erram em alguns desses pontos – e outros, como confiar cegamente nas plataformas na nuvem para manter suas informações em segurança – e, com isso, não contar com uma estratégia de resposta a incidentes que se adapte a esse novo mundo. Ou, muito pior, mantêm uma visão estática do ambiente e por isso, acreditar que o plano de resposta funciona bem.
O primeiro erro é não entender que a resposta a incidentes é um processo que envolve muito mais que apenas conter e erradicar um incidente. Ir diretamente para a erradicação do problema pode não solucioná-lo, afinal, a empresa talvez não saiba o que o causou e, com isso, não sabe como evitar que ele ocorra novamente no futuro.
A contenção é um fator essencial para que as equipes de resposta a incidentes possam entender corretamente o incidente – e isso também está conectado à fase de Identificação, que não é sobre a detecção da invasão, mas sobre identificar falhas na segurança cibernética da empresa e descobrir o que facilitou a invasão.
O estágio da Contenção é o momento em que as equipes de segurança ainda estão aprendendo sobre a invasão e sobre como a empresa será realmente impactada, pular essa fase leva a erros mais pra frente, nas fases de Recuperação e Aprendizado.
Assim, entender o que causou a invasão contribui para que a empresa saiba exatamente qual a probabilidade do problema ocorrer novamente. No momento que a empresa se torna conhecida por suas vulnerabilidades, cada vez mais ataques contra ela ocorrerão e, muitas vezes, pelos mesmos invasores.
Na maioria das vezes, as empresas se preocupam, após um incidente, apenas em implementar patchs ou adicionar novas camadas de detecção de intrusão, mas não vão atrás das causas que levaram à invasão – que deveria ter sido identificada lá atrás, na fase da Identificação e Contenção. Assim, é necessário dar alguns passos para trás e avaliar diversas métricas que possam auxiliar na identificação do problema, por exemplo, quanto tempo foi necessário para detectar a violação?
Na verdade, uma estratégia de resposta a incidentes é um ciclo contínuo em que as empresas passam mais tempo na fase de Aprendizado para conseguirem aprimorar suas defesas e também suas respostas no caso de sofrerem um ataque. Atualizar constantemente a estratégia de resposta a incidentes é essencial para saber o que fazer quando algo acontece.
O Varonis DatAdvantage permite que sua empresa monitore e analise todos os acessos a todos os arquivos armazenados. A solução rastreia e monitora as atividades, analisa o comportamento dos usuários e reporta o que está acontecendo nos servidores. Solicite um teste grátis e saiba o que a Varonis pode fazer por sua empresa.