As empresas que se preparam intensivamente para um ataque cibernético têm muito menos para lidar com as consequências do ataque. Ter um plano de resposta a incidentes (IR) é um longo caminho.
A segurança cibernética se concentra principalmente na prevenção. E a melhor maneira de fazer isso é aprender com os incidentes. No entanto, acontece repetidamente com as empresas que são atacadas. Nesse caso, trata-se de minimizar os danos e aprender o máximo possível com as experiências conhecidas. Então, qual é a "melhor prática"?
Muito se ganha com um plano
A equipe de segurança de TI define um plano de reação a um ataque cibernético (Resposta a Incidentes, IR) que deve entrar em vigor em caso de violação de segurança ou ataque. As seguintes perguntas formam a base para um plano de RI:
- Qual a gravidade do incidente?
- Onde estão localizados os sistemas críticos e como isolá-los?
- Como e com quem você deve se comunicar?
- Quem contatar e que ação tomar?
- E as cópias de segurança?
Um plano de IR deve ser simples e direto para que seja fácil de seguir em uma situação de alta pressão. O Manual de Incidentes SANS eo Guia de Resposta a Incidentes da Sophos pode ser muito útil ao criar um plano.
Solicitar ajuda após um ataque cibernético
Antes de tentar restaurar computadores e sistemas após um ataque, ou mesmo negociar um resgate, as empresas devem pedir ajuda. Responder a ataques requer habilidades especializadas e a maioria das organizações não emprega especialistas em resposta a incidentes.
Um plano inclui os detalhes de contato dos provedores de serviços de RI. Se o ataque for direcionado contra servidores e endpoints, por exemplo, em um incidente de ransomware, o provedor de segurança de endpoint deve ser contatado primeiro, especialmente se eles oferecerem um serviço de IR. Ele provavelmente tem telemetria do ambiente afetado e tem acesso a ferramentas pré-carregadas como EDR/XDR para ajudar rapidamente.
Expandir a ajuda e trabalhar com as autoridades
É aconselhável entrar em contato com as agências policiais locais. Há uma grande probabilidade de que um crime tenha sido cometido com o incidente e as autoridades apropriadas podem ter recursos úteis. Obviamente, o ataque cibernético também deve ser relatado à seguradora para segurança cibernética, se houver seguro. Se você trabalha com um provedor de tecnologia ou integrador de sistemas, eles podem ajudar na recuperação, por exemplo, backups.
Isole sistemas rapidamente e contenha incidentes
O incidente deve ser isolado e contido da melhor forma possível. Isso inclui desligar a energia, desconectar a Internet e as redes, isolamento baseado em software, aplicar regras de bloqueio de todos os firewalls e desligar sistemas críticos. Se um controlador de domínio funcional estiver disponível, é importante mantê-lo, se possível, desligando o servidor e/ou desconectando-o da rede. Os backups também devem ser isolados e desconectados da rede. Além disso, todas as senhas suspeitas de estarem comprometidas devem ser alteradas e as contas redefinidas.
Importante ao usar serviços de resposta a incidentes é o conselho sobre como os sistemas e conexões afetados podem ser colocados de volta em operação.
Importante: não pague nenhum resgate
Embora pagar o resgate pareça uma saída “fácil”, isso incentiva os criminosos a cometerem outros crimes. Além disso, os dias de exigências moderadas de resgate já se foram: o relatório Sophos State of Ransomware 2021 mostra que empresas de médio porte pagaram um resgate médio de 147.000 euros no ano passado. O estudo da Sophos também descobriu que apenas 65% dos dados criptografados podem ser recuperados após o pagamento do resgate, e mais de um terço dos dados foi perdido de qualquer maneira.
Além disso, a situação legal em relação aos pagamentos de resgate difere em todo o mundo. Portanto, é aconselhável informar-se sobre as leis do país (ou países) em que a organização opera.
Manter as evidências existentes
Com muita frequência, as vítimas de um ataque cibernético estão preocupadas principalmente em restaurar seus sistemas e serviços o mais rápido possível. No processo, muitas informações são perdidas, o que ajudaria a determinar a causa e entender a extensão da violação de segurança. No entanto, eles podem dizer a uma equipe de resposta a incidentes com quem eles estão lidando e quais táticas esse grupo normalmente usa. Pode até revelar toda uma nova variedade de ransomware e as táticas, técnicas e procedimentos (TTPs) usados.
Armazenar imagens de sistemas e máquinas virtuais é tão importante quanto armazenar o malware isoladamente. No caso de uma revisão judicial de reivindicações de seguro, as empresas também podem apresentar evidências ou provar a uma agência governamental que não violaram os regulamentos de divulgação.
Retaliação traz ainda mais danos
Em muitos casos, vários grupos estão por trás de um ataque de ransomware. Por exemplo, com as informações da nota de resgate e as semelhanças nas táticas, técnicas e procedimentos (TTPs), uma equipe de resposta a incidentes experiente geralmente pode identificar rapidamente com quem está lidando. A tentativa de retaliação, o chamado “hack back”, é fortemente desencorajada. Provavelmente é ilegal em primeiro lugar e só pode piorar a situação.
O papel do seguro cibernético
No caso de um ataque cibernético coberto pelo seguro cibernético, um perito de sinistros da companhia de seguros contratará primeiro um advogado externo. Este organiza os recursos internos e externos e coordena as atividades até que o incidente seja resolvido.
Na hora de contratar um seguro, vale esclarecer com antecedência quais atividades e quais prestadores especializados estão cobertos em caso de ataque cibernético. A maioria das seguradoras cibernéticas aceita o uso de provedores de serviços existentes.
Sempre mantenha contato
A comunicação costuma ser severamente afetada por ataques cibernéticos. Os sistemas de e-mail podem estar offline, cópias eletrônicas de apólices de seguro ou planos de IR são criptografadas e o invasor pode estar monitorando as comunicações. Portanto, é aconselhável ter um meio de comunicação alternativo disponível, como um aplicativo de mensagens instantâneas. Com um canal separado, toda a equipe e todos os demais envolvidos podem se comunicar. Dados de seguros, planos de RI e contatos com especialistas em RI devem ser mantidos separados e em formato físico.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.