Estabelecer
planos de resposta e atuar para separar os ativos atingidos prevenindo danos
adicionais é essencial para a segurança das empresas
Ed McAndrew e
Anthony Di Bello 09 de julho de 2015 - 08h25
Cibercriminosos
constantemente procuram novos métodos para superarem as medidas de segurança
das organizações. Uma pesquisa encomendada pela Guidance Software e conduzida
pelo SANS Institute indicou que 56% dos entrevistados supõem terem sido
violados ou estarem prestes a serem em um futuro próximo. Ano passado, apenas
47% indicaram o mesmo.
O Procurador
Federal e Coordenador de Cibercrime do distrito de Delaware, Ed McAndrew, e o
diretor de Segurança de Software Anthony Di Bello separaram as melhores
práticas preparação e resposta a ciberataques:
1. Tenha um plano de
resposta
Criar planos
e procedimentos estabelecidos e acionáveis para o gerenciamento e resposta a
intrusões cibernéticas pode ajudar as empresas e limitarem os danos a suas
redes, minimizando a paralisação da operação. Também ajuda os policiais e
agentes federais a localizar e apreender os criminosos.
2. Identifique os ativos
principais
Limitações
de custo podem impedir a proteção de toda e empresa. Antes de criar um plano
para incidentes cibernéticos, uma organização deve determinar quais de seus
dados, ativos e serviços demandam a maior proteção. O Cybersecurity Framework
produzido pelo National Institute of Standards and Technology (NIST) fornece
bons guias para planos de gerenciamento de riscos e consideração de políticas e
méritos.
3. Faça uma avaliação
inicial da ameaça
Ao
identificar um ataque ou invasão, é essencial avaliar a natureza e vastidão do
incidente. Também é importante determinar se ele consiste em um ato malicioso
ou falha tecnológica. A natureza do incidente determinará a assistência que a
empresa irá necessitar e qual tipo de dano e esforços de remediação serão exigidos.
4. Procure os órgãos
legais antes de qualquer ataque
Ter uma
relação pré-existente com as agências responsáveis pode facilitar as interações
em caso de invasão. Também auxiliará ao estabelecer confiança entre as partes,
promovendo o compartilhamento de informações que beneficia a ambas.
5. Tenha um plano de
ação pós-ataque
Estabeleça
procedimentos que abordem as medidas a serem tomadas após uma invasão. Isso
inclui identificar os responsáveis por diferentes elementos da resposta de uma
empresa a ciberataques, a capacidade de entrar em contato com funcionários
essenciais a qualquer momento, saber como preservar dados relacionados ao
incidente de uma forma forense e o conhecimento de quais dados, redes e
serviços são críticos para a operação.
6. Conheça e isole a
extensão dos danos
Idealmente,
a organização vítima de um ciberataque fará a imagem forense dos computadores
afetados tão logo a invasão for detectada. Isso preserva o registro do sistema
para análises e potencialmente para ser usado como provas em um julgamento. As
empresas devem restringir o acesso a esses materiais, de modo a preservar a
integridade da autenticidade da cópia. Proteger esses materiais de intenções
maliciosas internas e estabelecer uma cadeia de custódia é recomendado.
7. Atue para minimizar
danos adicionais
Para impedir
que o ataque se espalhe, você deve agir para interromper o tráfego originado
pelo agressor. Medidas preventivas incluem reencaminhar o tráfego de rede,
filtrar ou bloquear ataques distribuídos de negação de serviço (DoS) e isolar
todas as partes da rede comprometida.
8. Mantenha relatórios
detalhados
Atue
imediatamente para preservar registros relevantes existentes. Todos os
funcionários envolvidos na resposta ao incidente devem manter registros
detalhados e constantes das medidas tomadas para mitigar a invasão e dos custos
resultantes. Todos os incidentes envolvendo comunicação, identidade dos
sistemas, contas, serviços, dados e redes afetadas devem ser documentados.
9. Notifique as agências
governamentais responsáveis
Muitas
empresas ficam relutantes em contatar os órgãos legais após ciberataques,
temendo que uma investigação criminal interrompa seus negócios. Normalmente, os
investigadores buscam causar a menor suspensão possível. Essas agências também
tentarão coordenar declarações à mídia sobre o incidente, garantindo que as
informações danosas aos interesses das companhias não sejam divulgadas.
10. Trabalhe com a
polícia para contatar outras vítimas potenciais
Comunicar
outras possíveis vítimas com a mediação dos agentes governamentais é preferível
a fazê-lo diretamente. Isso protege a vítima inicial de exposição desnecessária
e permite a continuação das investigações.
11. Informe-se a
respeito de ameaças
Estar ciente
de vulnerabilidades muito exploradas pode ajudar a empresa a priorizar medidas
de segurança. Algumas companhias compartilham informações de ameaças em tempo
real. Centros de Compartilhamento de Informações e Análises, que estudam
ameaças cibernéticas, foram criados em cada setor da infraestrutura crítica,
com alguns fornecendo serviços de segurança.