Empresas e organizações estão sob enorme pressão no caso de um ataque cibernético, porque a reação correta a um incidente é demorada, mas ao mesmo tempo requer uma ação rápida.
Os especialistas em resposta a incidentes da Sophos desenvolveram um guia para ajudar as empresas a lidar com essa difícil tarefa. Essas quatro dicas são baseadas na experiência do mundo real de resposta gerenciada a ameaças e equipes de resposta rápida que trabalharam juntas para responder a milhares de incidentes de segurança cibernética.
1. Responda o mais rápido possível
Quando as empresas estão sob ataque, cada segundo conta. No entanto, as equipes de segurança internas da empresa geralmente precisam de muito tempo para reagir com rapidez suficiente. A razão mais comum para isso é que eles não reconhecem a gravidade da situação e a urgência no tempo. Além disso, muitos ataques ocorrem em feriados, fins de semana e à noite. Como a maioria das equipes de TI e segurança está com falta de pessoal, a resposta a um ataque nesses momentos geralmente é tarde demais para conter o impacto do ataque a tempo.
Fadiga de alarme de atenção
Além disso, uma certa fadiga de alarme reduz a ação rápida. E mesmo com a reação certa e oportuna, muitas vezes as equipes de segurança não possuem a experiência necessária para tomar as medidas corretas. Portanto, possíveis incidentes e a reação a eles devem ser planejados detalhadamente com antecedência. A Sophos listou as dez etapas mais importantes desse plano de crise cibernética no Guia de Resposta a Incidentes.
2. Não se apresse em declarar as ações como "missão cumprida".
No caso de um incidente cibernético, simplesmente tratar os sintomas não é suficiente. As causas também devem ser investigadas. Por exemplo, a remoção bem-sucedida de malware e a limpeza de um alerta não significa que o invasor foi expulso do ambiente. Porque pode ser apenas um teste executado pelo invasor para determinar quais defesas ele está enfrentando. Se o invasor ainda tiver acesso à infraestrutura, é provável que ele ataque novamente, mas com maior poder destrutivo. O atacante ainda tem um pé na área? Ele planeja lançar uma segunda onda? Profissionais experientes em resposta a incidentes sabem quando e onde investigar mais a fundo. Eles procuram tudo o que os invasores estão fazendo, fizeram ou planejam fazer na rede e também neutralizam essas atividades.
3. A visibilidade total é fundamental
Em um ataque, é importante ter acesso a dados precisos e de alta qualidade. Somente essas informações permitem identificar com precisão os possíveis indicadores de um ataque e determinar a causa. Equipes especializadas coletam dados relevantes para detectar os sinais e sabem como priorizá-los. Ao fazer isso, observe os seguintes pontos:
coletar sinais
A visibilidade limitada de um ambiente é uma maneira infalível de perder ataques. As ferramentas de big data podem ajudar aqui. Eles coletam dados suficientes para fornecer insights significativos para investigar e responder a ataques. Reunir os dados corretos e de alta qualidade de várias fontes garante uma visão completa das ferramentas, táticas e procedimentos de um invasor.
reduzir ruído de fundo
Com medo de não ter os dados que poderiam fornecer uma imagem completa de um ataque, algumas empresas e ferramentas de segurança geralmente coletam todas as informações disponíveis. No entanto, essa abordagem dificulta a busca pelos ataques e gera mais dados do que o necessário. Isso não apenas aumenta o custo de coleta e armazenamento de dados, mas também cria um alto nível de ruído de possíveis incidentes, levando à fadiga do alarme e à perda de tempo na busca por alarmes falsos verdadeiros.
aplicar contexto
Para poder realizar um programa eficaz de resposta a incidentes, além do conteúdo (dados), é necessário o contexto. Ao aplicar metadados significativos associados aos sinais, os analistas de segurança podem determinar se esses sinais são maliciosos ou benignos. Um dos componentes mais importantes da detecção e resposta eficazes a ameaças é a priorização de sinal. A melhor maneira de identificar os alertas mais importantes é uma combinação de contexto fornecido por ferramentas de segurança (ou seja, detecção de endpoint e soluções de resposta), inteligência artificial, inteligência de ameaças e base de conhecimento do operador humano. O contexto ajuda a determinar a origem de um sinal, o estágio atual do ataque, os eventos relacionados e o possível impacto nos negócios.
4. Não há problema em pedir ajuda
A falta de recursos qualificados para investigar e responder a incidentes é um dos maiores problemas enfrentados pela indústria de cibersegurança atualmente. Muitas equipes de TI e segurança, sob alta pressão durante ataques cibernéticos, encontram-se em situações com as quais não têm experiência e habilidades para lidar. Esse dilema deu lugar a uma alternativa: serviços gerenciados de segurança. Mais especificamente, Serviços Gerenciados de Detecção e Resposta (MDR). Os serviços de MDR são operações de segurança terceirizadas entregues por uma equipe de especialistas e são uma extensão da equipe de segurança interna da empresa.Esses serviços combinam investigações lideradas por humanos, monitoramento em tempo real e resposta a incidentes com coleta de inteligência e tecnologias de análise.
Serviços Especializados de Resposta a Incidentes
Para organizações que ainda não contrataram um serviço MDR e precisam responder a um ataque ativo, os serviços especializados de resposta a incidentes são uma boa opção. Os respondentes de incidentes são chamados quando a equipe de segurança está sobrecarregada e especialistas externos são necessários para avaliar o ataque e garantir que o invasor seja neutralizado. Mesmo as empresas que possuem uma equipe de analistas de segurança qualificados podem se beneficiar trabalhando com um serviço de resposta a incidentes. Por exemplo, lacunas na cobertura (por exemplo, noites, fins de semana e feriados) podem ser preenchidas ou tarefas especializadas necessárias na resposta a incidentes podem ser alocadas.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.