Melhores práticas de resposta a incidente na visão do Ministério da Saúde

Jackeline Almeida, Coordenadora-geral de infraestrutura de TI e SI do órgão, destacou durante o Security Leaders Centro-Oeste e Brasília o processo utilizado nos protocolos de segurança para responder o incidente sofrido em dezembro passado, retomando o controle de máquinas que foram criptografadas devido ao uso indevido de credencial

Compartilhar:

Cultura de Segurança Cibernética. Da teoria à prática. Com esse tema central, o Congresso Security Leaders 2022 começou sua caravana hoje (24) reunindo líderes e especialistas da região do Centro-Oeste e Brasília para debater os pontos mais críticos da Segurança. No keynote de abertura, Jackeline Almeida, Coordenadora-geral de infraestrutura de TI e SI do Ministério da Saúde, trouxe informações importantes sobre o processo de resposta a incidente do órgão, além disso, destacou a importância de uma reflexão profunda sobre a cultura de Segurança no setor de Saúde.

 

De acordo com a executiva, no incidente sofrido pelo Ministério no final de 2021, o cenário era de estações de trabalho e servidores criptografados. “Descobrimos uma penetração no ambiente, mas não conseguimos identificar a origem desse acesso, pois nossa máquina de gerenciamento do antivírus também foi criptografada. Mas fizemos todo um trabalho de rastreabilidade em outras ferramentas e percebemos que, na ocasião, foi utilizada uma credencial de administrador em uma máquina”, descreve Jackeline.

 

A executiva explica que esse acesso privilegiado ativou funções de criptografia, fazendo movimentos laterais e criptografando em cadeia o ambiente. “Nesse cenário, nosso procedimento de tratamento e resposta foi desligar as interfaces de redes do servidor, interrompendo a comunicação das estações de trabalho para impedir o alastramento da movimentação”, acrescenta.

 

A partir daí, o time da Jackeline entrou com os protocolos de segurança analisando logs e registros de memória, mapeando e fazendo varredura total de todo ambiente do Ministério. Como procedimento de resposta devido ao uso indevido de credencial para penetração no ambiente, o time de Segurança do Ministério da Saúde também implementou firewall no antivírus, bloqueou a ativação de funcionalidade de criptografia do SO por GPO, reviu todo o funcionamento do parque computacional e fez um restore de máquinas criptografadas no servidor.

 

Jackeline chama atenção para a importância de ter uma inteligência em cima da resolução de um cenário de crise cibernética, principalmente quando há exposição de informação sigilosa na internet. “No tratamento desse cenário crítico, revogamos a credencial envolvida, fizemos a exclusão da exposição de informação na web, além disso, seguimos na avaliação nos logs de volume de acesso à informação”, completa.

 

Ela reflete que todos os setores hoje estão sujeitos a sofrer um ataque cibernético, que não é uma questão de “se”, mas de “quando” for atacado. “É preciso ter atenção aos programas de aculturamento em Segurança e compartilhamento de experiências para que possamos juntos responder com inteligência esses ataques, principalmente para um dos pontos mais críticos de vulnerabilidade, que é o roubo de credenciais, especialmente as mais privilegiadas”, finaliza Jackeline.

 

Conteúdos Relacionados

Security Report | Destaques

PM de São Paulo investiga invasão ao Centro de Operações Online

Um grupo de cibercriminosos teria acessado o sistema de inteligência da corporação, possibilitando a interação com dados dos agentes e...
Security Report | Destaques

“Pessoas são o cerne da Segurança, mas conscientização ainda não é prioridade”, diz Glauco Sampaio

O CISO advisor assumiu a posição de CEO e Co-fundador da BeePhish este ano, com o objetivo de liderar uma...
Security Report | Destaques

Ransomware paralisa Lojas Marisa

Incidente iniciou-se no começo dessa semana, quando o site oficial da rede varejista foi substituído por um alerta de manutenção...
Security Report | Destaques

Sabesp alerta autoridades sobre vazamento de dados pessoais

A provedora paulista de água e saneamento básico vem enfrentando um incidente cibernético desde o fim de outubro. Em nota...