Ocorreu um incidente de segurança. E agora?

Segundo Carlos Borges, especialista em cibersegurança do Arcon Labs, empresas devem buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento, através de contenção, investigação e erradicação do problema

Compartilhar:

Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento. Para tanto, existem 3 passos básicos a serem considerados:

 

Contenção

 

Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

 

Investigação

 

Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

 

Erradicação

 

Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.

 

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

 

  • Desenvolvimento de inteligência de segurança para detecção dos incidentes

 

  • Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)

 

  • Tomada de medidas para minimizar o impacto de um ataque

 

  • Atualização dos controles para evitar tipos semelhantes de ataques no futuro

 

O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:

 

Tecnologia

 

O SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.

 

Inteligência de Segurança

 

Sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.

 

Triagem dos alertas

 

Ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.

 

Tempo de resposta

 

A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.

 

Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?

 

* Carlos Borges é especialista em cibersegurança do Arcon Labs

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...