Melhores maneiras de responder a ataques cibernéticos em sua empresa
Se você dirige uma pequena empresa (ou mesmo uma grande), provavelmente gasta uma quantidade significativa de tempo pensando em como se proteger de ataques cibernéticos.
É claro que este é um tempo bem gasto. Definitivamente, você precisa entender os cenários de ataque de ransomware, como funcionam os ataques de phishing e como evitar ataques de engenharia social.
Mas deixe-me compartilhar um segredo com você: em muitos casos, como você responde a um ataque depois que ele aconteceu é tão importante quanto – e talvez mais importante do que – as cyber defesas que você implementou. Mesmo os sistemas de segurança cibernética mais avançados não oferecem proteção 100%, e o fato é que em algum momento você será hackeado.
Neste artigo, veremos as principais etapas que você precisa realizar após um ataque cibernético.
Desenvolvendo um Plano de RI
O primeiro ponto a ressaltar é o seguinte: que todas as etapas abaixo já devem aparecer em seu Plano de Resposta a Incidentes (RI). Eu entendo, é claro, que se você está lendo isso porque acabou de ser hackeado e não sabe o que fazer, não será muito útil ressaltar que você já deve ter um plano.
No entanto, é crucial que todas as empresas desenvolvam um plano de RI detalhado para responder a ataques cibernéticos, e há muitos recursos disponíveis que podem ajudá-lo a fazer isso. O NIST Computer Security Incident Handling Guide (SP 800-61), o padrão ouro para orientação a esse respeito, especifica quatro áreas que devem ser abordadas neste plano:
- Preparação – Planejar com antecedência como lidar e prevenir incidentes de segurança
- Detecção e análise – abrange tudo, desde o monitoramento de vetores de ataque em potencial até a procura de sinais de um incidente e a priorização
- Contenção, erradicação e recuperação – desenvolver uma estratégia de contenção, identificando os hosts e sistemas sob ataque, mitigando os efeitos e tendo um plano de recuperação
- Atividade pós-incidente – Revendo as lições aprendidas e tendo um plano para retenção de evidências
Esses princípios também podem ser aplicados à maneira como você responde a um ataque cibernético.
Como responder a um ataque cibernético
Cada ataque cibernético e cada organização são diferentes. No entanto, é possível delinear um conjunto bastante padronizado de respostas a incidentes cibernéticos. Aqui estão eles:
1. Prevenção
A primeira etapa para responder a um ataque cibernético bem-sucedido é repetir as lições que você aprendeu com o ataque recente em seu planejamento de IR. Depois de identificar como foi hackeado, você deve tomar medidas imediatas para disseminar essas lições a todos os grupos relevantes da equipe. Em particular, você deve garantir que todos os funcionários saibam como proteger sua empresa e estejam cientes da importância de definir uma senha forte.
2. Comunicação e Delegação
Em seguida, você deve informar imediatamente a todos os membros relevantes da equipe que ocorreu um ataque. Isso certamente incluirá equipes técnicas, mas também deve se estender às equipes de atendimento ao cliente, que podem ter de atender a algumas solicitações e reclamações complicadas nas próximas semanas.
Em segundo lugar, monte uma equipe que seja capaz de realizar as etapas abaixo. Nomeie um líder de equipe que terá responsabilidade geral por responder ao incidente e certifique-se de que essa equipe esteja protegida usando uma VPN para criptografar suas comunicações internas o tempo todo.
3. Forense
Essa equipe de RI deve trabalhar para descobrir a origem do ataque ou vazamento. Este processo é tecnicamente conhecido como “ataque forense”, mas na realidade pode ser muito menos complexo do que o nome sugere.
Para a maioria das organizações, na maioria das vezes, esta etapa envolverá a verificação de malware nos sistemas de arquivos e identificação do tipo de infecção da qual você foi vítima. Você deve então atualizar imediatamente como seus filtros de phishing funcionam para evitar a reinfecção imediata de seus sistemas.
4. Conter e recuperar
O próximo estágio da resposta a incidentes é conter qualquer dano adicional que possa ter sido causado por um ataque bem-sucedido. Um incidente de segurança – especialmente causado por malware – é como um incêndio florestal e, a menos que você tome medidas para contê-lo, ele pode se espalhar facilmente e causar mais danos.
Você precisará realizar a validação e teste do sistema / rede para certificar todos os sistemas como operacionais. Verifique novamente qualquer componente que foi comprometido como operacional e seguro, e não coloque componentes cruciais de volta on-line até que você tenha certeza de que eles não representam mais nenhuma ameaça.
5. Mantenha-se atualizado com todos os seus sistemas de segurança
É inútil ter um sistema de segurança que você não manterá atualizado. No entanto, isso é algo que vemos com bastante frequência. A capacidade dos invasores está aumentando regularmente e os golpes continuam a evoluir, o que significa que você sempre precisa ter a versão mais recente de definições ou software para permanecer protegido.
Isso se aplica não apenas aos dispositivos móveis da empresa, mas a toda a tecnologia disponível no escritório. Numerosos estudos de caso em design de aplicativo da web revelaram as melhores práticas de como os aplicativos da web podem ser mantidos mais protegidos contra hackers. Isso inclui fazer com que seus aplicativos da web sejam executados com o mínimo de privilégios possíveis para reduzir vulnerabilidades e evitar temas e plug-ins de terceiros.
6. Avalie o dano
Assim que a fumaça começar a se dissipar, é hora de avaliar os danos. Você deve ter uma abordagem holística para isso, a fim de capturar toda a gama de consequências de um ataque bem-sucedido. Além disso, você também deve revisar os prós e contras de lançar uma investigação completa de atribuição cibernética, que ajudará a protegê-lo contra vetores de ameaças semelhantes no futuro.
Não olhe apenas para o custo de uma violação de dados para o seu negócio, mas considere as consequências monetárias de quaisquer sistemas extras que você implantar como resultado do hack; em um momento em que o endividamento das empresas está aumentando, gastos adicionais com sistemas de segurança cibernética costumam ser o resultado mais prejudicial de um ataque.
Conclusão
Como apontamos em outro lugar, ficar protegido contra ataques cibernéticos e, principalmente, contra phishing, requer vigilância constante. No entanto, você também deve reconhecer que ser hackeado não é – necessariamente – um sinal de fracasso. Em vez disso, lembre-se de que todas as organizações são hackeadas e que a marca do sucesso é o que você faz depois. Responda bem – como mostramos acima – e ninguém irá culpá-lo por ser vítima de uma violação. Só não deixe isso acontecer de novo.