Imagine por um segundo que vive num bairro onde cada vez mais casas são assaltadas por criminosos descarados que roubam e partem objetos valiosos, raptam pessoas para pedir um resgate e, em alguns casos, incendeiam casas! Se essas casas pertencessem aos seus vizinhos mais próximos, esperaria até que esses criminosos assaltassem a sua casa para fazer alguma coisa, ou faria proativamente tudo o que estivesse ao seu alcance para impedir atos semelhantes na sua casa, incluindo o reforço de todas as portas, a transferência de alguns objetos de valor para cofres de bancos, câmaras de vigilância, cooperação com as autoridades competentes, seguros, ou, no pior cenário, chegava a mudar de casa?
A situação acima pode parecer uma ameaça física exagerada. No entanto, esta é a dura realidade no domínio cibernético, com consequências tangíveis no mundo real, como resgates, destruição de dados – incluindo propriedade intelectual – e extorsão. As ações dos cibercriminosos têm um impacto financeiro significativo, custando muitas vezes milhões de dólares às organizações, com danos cada vez mais graves. Por exemplo, o custo médio global de uma violação de dados em 2024 foi de cerca de 4,88 milhões de dólares, um aumento de 10% em relação ao ano anterior {IBM Breach Report 2024}.
Embora alguns incidentes cibernéticos sejam inevitáveis (por exemplo, ataques de dia zero), outros são previsíveis e podem ser evitados ou significativamente reduzidos com medidas adequadas. Estas medidas podem ser designadas por Prontidão de Resposta a Incidentes (RI).
A preparação para IR é um conjunto de processos, procedimentos e tecnologias periódicos que ajudam as equipas das organizações a pensar de forma proativa e sistemática em prováveis incidentes de segurança, a preparar-se para os detetar e responder na sua fase inicial e a minimizar quaisquer danos e custos de incidentes confirmados. Uma boa prontidão de IR prepara a organização para responder a incidentes e, ao mesmo tempo, aumenta o seu perfil e maturidade de segurança.
Jornada de preparação para IR
As ciberameaças e os incidentes vieram para ficar e os criminosos estão sempre a evoluir com táticas e técnicas complexas, pelo que todas as organizações têm de se preparar para responder a essas ameaças. Esta preparação pode ser efetuada através de uma Jornada de preparação de IR. Embora os passos possam variar consoante o nível de maturidade de cada organização, a seção seguinte apresenta um plano para essa viagem.
A visão geral dessa Jornada de Preparação para a IR foi criada pela Equipa de Resposta a Incidentes da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder de plataformas de cibersegurança de soluções baseadas em IA e fornecidas na cloud, devido à sua vasta experiência não só na resposta a incidentes ativos, mas também no seu trabalho de assistência às organizações que se preparam para responder, bem como outras melhores práticas, tal como vistas pela indústria da cibersegurança e outras organizações lideradas por especialistas, tais como o National Institute of Standards and Technology (NIST) e o CISA.
Estes passos de Preparação para o IR devem ser completados sequencialmente e revistos periodicamente para ter em conta as alterações na organização, o cenário de ciberameaças e os novos conhecimentos e práticas de ciberdefesa.
1- Acompanhamento/Gestão de ativos:
Simplificando, não se pode proteger o que não se sabe que possui – uma verdade fundamental reconhecida pela maioria dos profissionais de segurança cibernética. No entanto, muitas organizações ainda desconhecem os seus ativos essenciais, mantêm ativos supostamente inativos que ainda têm acesso aos seus ambientes e expõem recursos internos ao acesso público. Esta situação é ainda mais complicada pelas políticas das empresas, como as políticas BYOD (Bring Your Own Device) mal executadas, que concedem acesso aos recursos das empresas a ativos externos sem os contabilizar.
O controlo de ativos pode ser implementado utilizando sistemas gratuitos e pagos, apoiados por políticas internas, formação adequada e compromisso de toda a empresa.
Para qualquer organização que pretenda identificar por onde começar ou avaliar as lacunas nas suas práticas atuais de gestão de ativos, recursos como a diretriz SP1800-5 do National Institute of Standard and Technology são um excelente ponto de partida.
2- Adoção da estrutura:
Assim que uma organização tiver uma melhor compreensão dos seus ativos, vale a pena discutir e adotar uma estrutura unificada de segurança cibernética.
A adoção de uma estrutura específica ajuda a simplificar o roteiro para um ambiente seguro através das melhores práticas da indústria. Serve de orientação para uma norma específica que foca as operações de segurança e também pode servir como uma referência interna precisa.
Para começar, a Estrutura de Segurança Cibernética do NIST, normalmente referida como CSF, pode ser um bom ponto de partida para qualquer empresa que pretenda normalizar as suas políticas, processos e procedimentos de segurança cibernética. Existem outras estruturas semelhantes regionais ou específicas do sector, mas a maioria baseia-se ou é fortemente influenciada pelo CSF.
3- Proteção dos ativos/Desenvolvimento-Deteção-Resposta
Depois de adotar um quadro cibernético unificado, o próximo passo crucial é adotar processos, procedimentos e tecnologias para ajudar a monitorizar e detetar qualquer ameaça conhecida. Por exemplo, em 2023, apenas 33% das violações foram detetadas como parte de um esforço concertado das equipas e ferramentas de segurança; as restantes detecções aconteceram simplesmente devido à sorte e à auto-divulgação dos atacantes por motivos financeiros e outros motivos maliciosos {IBM Breach Report 2023}.
No mínimo, as organizações devem implementar soluções de Deteção e Resposta de Endpoint (EDR) em todos os ativos críticos, com o objetivo de alargar a cobertura a todos os dispositivos e nós de saída da rede. Isto pode ser gerido por equipas internas ou através de serviços externos dedicados de Deteção e Resposta Gerida (MDR).
4 – Gestão de patches e vulnerabilidades
Se não forem regularmente atualizados e melhorados, qualquer sistema ou medida de proteção acabará por apresentar vulnerabilidades que os agentes de ameaças podem explorar e obter acesso aos bens da organização. Cada empresa deve adotar um sistema de correção que rastreie as vulnerabilidades recentemente descobertas e as corrija o mais rapidamente possível. O sistema de aplicação de correções deve ter em conta não só as atualizações e upgrades disponíveis, mas também a gravidade de quaisquer explorações conhecidas e o seu potencial impacto na organização e nos seus bens.
5 – Planeamento da resposta a incidentes
A resposta da organização a um incidente deve ser documentada e dinâmica num Plano de Resposta a Incidentes (IRP). O IRP não só deve ser documentado como também aprovado pelo mais alto nível da organização. Através da criação e documentação do IRP, a organização deve estabelecer equipas de resposta e identificar as principais partes interessadas; estabelecer e rever os contactos e acordos existentes com terceiros para as equipas de apoio externo ao IR; elaborar kits de ferramentas de resposta, modelos de resposta, seguros cibernéticos e outras medidas de mitigação.
Um IRP bem elaborado deve ser simples, eficiente e refletir não só o ambiente e as necessidades da organização, mas também ser o principal guia para responder a incidentes em tempo real.
6- Formação
O melhor ativo de uma organização são as pessoas. As pessoas que trabalham com tecnologias, processos e procedimentos sólidos são a chave para que um incidente seja um evento menor ou uma catástrofe total. Como tal, todas as pessoas que trabalham para uma organização devem ser formadas para se tornarem ativos e não passivos em matéria de segurança. Toda a formação deve ser adaptada às funções e responsabilidades das pessoas, periódica e realista. A formação pode incluir formação de ciberconsciencialização, sensibilização para phishing e outras ameaças comuns, e formação complexa, como exercícios de resposta a IR (Tabletop).
7- Auditoria e teste das medidas de segurança
Uma vez implementadas as medidas acima mencionadas, é importante que todos os ativos sejam revistos periodicamente, que as medidas de proteção sejam avaliadas por equipas internas e testadas por equipas externas e que o plano de resposta a incidentes e o manual sejam executados em incidentes simulados (exercícios Tabletop). Todas as ações realizadas e as lacunas detetadas devem ser revistas para melhorar as medidas de segurança.
A implementação proativa dos passos acima referidos pode ser difícil e dispendiosa, especialmente para uma força de trabalho de cibersegurança já sobrecarregada. No entanto, quando comparada com as potenciais perdas financeiras, danos à reputação e despesas de recuperação, a preparação para a resposta a incidentes oferece um forte retorno do investimento, tornando-a uma pechincha em comparação com os custos de resposta reativa a incidentes reais.
Para as organizações que pretendem adotar uma abordagem proativa à sua Prontidão de Resposta a Incidentes (IR), existem vários recursos disponíveis para ajudar, independentemente da dimensão. Estes incluem apoio local e federal, oferecendo ajuda técnica e financeira. Além disso, a Equipa de Resposta a Incidentes da Check Point está disponível para orientar e ajudar as suas equipas ao longo deste processo.