Um plano de resposta a incidentes pode ajudar as empresas a manter o controle da crise no caso de um ataque cibernético. O Sophos Labs e as equipes de resposta gerenciada e resposta rápida da Sophos desenvolveram um guia com dez etapas cruciais.
Um ataque cibernético é agora mais provável do que nunca. Estudos da Sophos, como "O Estado do Ransomware 2021" provam que internacionalmente 37% das empresas pesquisadas são afetadas apenas por ransomware. Embora o ransomware seja talvez a forma de dano mais devastadora dos últimos anos, está longe de ser o único tipo de malware que pode causar sérios problemas para as empresas.
Estratégia de Resposta a Incidentes
As organizações e as equipes de TI são, portanto, aconselhadas a se equipar com segurança eficaz e uma estratégia de resposta a incidentes bem pensada e testada. Esse plano pode não apenas minimizar os custos de acompanhamento de um ataque cibernético, mas também eliminar muitos outros problemas e até interrupções de negócios pela raiz. O Sophos Labs reuniu sua experiência junto com as equipes Sophos Managed Response e Sophos Rapid Response e está apresentando o resultado no Guia de Resposta a Incidentes disponível.:
1. Determine todos os envolvidos e afetados
Não só a equipe de segurança é responsável e afetada pelos ataques, mas muitas outras pessoas da empresa. Do nível C aos chefes de departamento, passando pelo departamento jurídico ou de RH, é importante identificar as pessoas-chave e envolvê-las ativamente no planejamento de incidentes. Neste ponto, opções alternativas de comunicação também devem ser consideradas, pois uma falha de TI também pode afetar os canais clássicos de comunicação.
2. Identificar recursos críticos
Para desenvolver uma estratégia de proteção e poder determinar a extensão e as consequências de um ataque em uma emergência, os recursos que têm maior prioridade para a empresa devem ser identificados. Essa é a única maneira de restaurar os sistemas mais críticos de maneira direcionada e com alta prioridade em caso de emergência.
3. Pratique e jogue em cenários de emergência
Os exercícios garantem que, no caso de um ataque cibernético, as ações possam ser tomadas de maneira coordenada, rápida e direcionada. Um plano é particularmente bom quando todos os envolvidos sabem exatamente o que devem fazer imediatamente em todos os momentos, em vez de primeiro procurar instruções ou mesmo tentar agir intuitivamente. Diferentes cenários de ataque também devem ser definidos nos exercícios.
4. Forneça ferramentas de segurança
Uma parte muito importante da proteção e, portanto, também do plano de resposta a incidentes são as medidas preventivas. Isso também inclui soluções de segurança adequadas para endpoints, rede, servidor e nuvem, bem como para dispositivos móveis e e-mails. Um alto grau de automação é importante para as ferramentas, por exemplo, por meio do uso de IA, bem como um gerenciamento transparente e integrado e um console de alarme para detectar possíveis ataques o mais cedo possível e, idealmente, eliminá-los automaticamente.
5. Garanta a máxima transparência
Sem a visibilidade de que precisam sobre o que está acontecendo durante um ataque, as organizações lutam para responder adequadamente. As equipes de TI e segurança devem ter as ferramentas para determinar o escopo e o impacto de um ataque – incluindo a identificação de pontos de entrada e pontos de persistência do invasor.
6. Implemente o controle de acesso
Os invasores exploram controles de acesso fracos para subverter as defesas e aumentar seus privilégios. Controles de acesso eficazes são, portanto, essenciais. Isso inclui, entre outras coisas, o fornecimento de autenticação em vários níveis, a restrição dos direitos de administrador ao menor número possível de contas. Para algumas empresas, pode fazer sentido criar um conceito Zero Trust adicional e implementá-lo com soluções e serviços adequados.
7. Use em ferramentas de análise
Além de garantir a transparência necessária, ferramentas que forneçam o contexto necessário durante uma investigação são extremamente importantes. Isso inclui ferramentas de resposta a incidentes, como EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response), com as quais todo o ambiente pode ser pesquisado por Indicadores de comprometimento (IOCs) e Indicadores de ataque (IOA).
8. Determine as medidas de resposta
Reconhecer um ataque a tempo é bom, mas apenas metade da batalha. Porque depois da descoberta, o objetivo é limitar ou eliminar o ataque. As equipes de TI e segurança devem ser capazes de iniciar uma variedade de ações de resposta para parar e eliminar invasores, dependendo do tipo de ataque e da gravidade do dano potencial.
9. Realize treinamentos de conscientização
Todos os funcionários de uma empresa devem estar cientes dos riscos que suas ações podem representar. Portanto, o treinamento é uma parte importante de um plano de resposta ou prevenção a incidentes. Com ferramentas de simulação de ataque, ataques de phishing reais a funcionários podem ser simulados sem nenhum risco de segurança. Dependendo do resultado, treinamentos especiais ajudam a conscientizar os funcionários.
10. Serviços Gerenciados de Segurança
Nem toda empresa tem recursos para implementar um plano interno de resposta a incidentes e, acima de tudo, uma equipe de resposta a incidentes com especialistas comprovados. Provedores de serviços, como provedores de MDR (Detecção e Resposta Gerenciadas), podem ajudar. Eles oferecem caça a ameaças, análise e resposta a incidentes 24 horas por dia, 7 dias por semana, como um serviço gerenciado. Os serviços MDR não apenas ajudam as organizações a responder a incidentes, mas também reduzem a probabilidade de um incidente
Em um incidente de cibersegurança, cada segundo conta
“Cada segundo conta em um incidente de segurança cibernética e para a maioria das empresas não é uma questão de saber se elas serão afetadas, mas quando o ataque ocorrerá”, explica Michael Veit, especialista em segurança da Sophos. “Esse conhecimento não é novo. As empresas diferem principalmente se implementam esse conhecimento com as devidas precauções ou se correm o risco de colocar em risco sua existência. É um pouco como colocar o cinto de segurança em um carro – é muito improvável que você saia ileso em um acidente sem o cinto de segurança. Um plano de resposta a incidentes bem preparado e bem pensado, que todas as partes afetadas da empresa possam implementar imediatamente, pode mitigar significativamente as consequências de um ataque cibernético.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.