Segurança > Segurança de Dados

Ocorreu um incidente de segurança? Saiba o que fazer

Saída é buscar reduzir o impacto que um incidente pode causar, sendo ágil e assertivo no seu tratamento

16 de Agosto de 2017 - 23h18

Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar reduzir o impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento.

Para tanto, existem três passos básicos que devem ser considerados:

1 - Contenção — Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

2 - Investigação — Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

3 - Erradicação — Se a contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a erradicação é a medida para sanar o problema de forma definitiva.

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

. Desenvolvimento de inteligência de segurança para detecção dos incidentes

  • . Determinação do impacto ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)
  •  
  • . Tomada de medidas para minimizar o impacto de um ataque
  • . Atualização dos controles para evitar tipos semelhantes de ataques no futuro
  • O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:
  • Tecnologia: o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.
  • Inteligência de segurança: sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.
  • Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.
  • Tempo de resposta: A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.
  • Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?
  • *Carlos Borges é especialista em cibersegurança do Arcon Labs.