Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Contenção de ransomware

O que fazer em um incidente cibernético, parte 2: resposta não técnica

Michael Adjei
,
Diretor de Engenharia de Sistemas, EMEA
January 21, 2021
23 leitura mínima

Conforme discutido na primeira parte desta série, a resposta técnica inicial após um incidente cibernético é fundamental para conter o incidente e mitigar futuros roubos de dados. À medida que a extensão do incidente cibernético surge, é importante observar até mesmo pequenos detalhes que podem ser úteis na formação de uma resposta não técnica. Um plano de resposta a incidentes cibernéticos deve estar firmemente implementado. O Gartner define isso como:

Também conhecido como “plano de resposta a incidentes de computador”, ele é formulado por uma empresa para responder a incidentes potencialmente catastróficos relacionados a computadores, como vírus ou ataques de hackers. O CIRP deve incluir etapas para determinar se o incidente se originou de uma fonte maliciosa e, em caso afirmativo, conter a ameaça e isolar a empresa do atacante.

O plano informa a constituição das equipes relevantes que lidarão com quaisquer incidentes que possam surgir. Um exemplo pode ser:

  • Primeiros respondentes
  • Tático (Segurança)
  • Coordenador de equipe (nível C)
  • Legal
  • Relações públicas

Os socorristas geralmente são o suporte técnico de TI, que tende a se envolver com problemas relacionados à TI e de quebra/conserto na organização. Se um problema relatado for de natureza de segurança, ele é rapidamente encaminhado para a equipe tática (segurança), que pode envolver uma equipe externa de resposta a incidentes mais especializada, dependendo da gravidade do incidente. Essa equipe será então responsável pela investigação forense mais detalhada e pela análise da causa raiz. Normalmente, um executivo de nível C, como um CIO ou CISO, recebe atualizações regulares que podem ser fornecidas à gerência de alto nível, especialmente no caso grave de um violação de dados. Caso surja alguma necessidade de comunicação jurídica ou de relações públicas, as respectivas equipes devem ser engajadas. Todas essas etapas devem fazer parte do Procedimento Operacional Padrão (SOP) como parte do plano geral.

2.1

Todos os funcionários da organização também devem ter clareza sobre as linhas de denúncia caso ocorra um incidente. Se os funcionários não estiverem cientes da importância dessa política, será extremamente difícil ter um plano de resposta cibernética eficaz.

Por exemplo, um funcionário que recebe um e-mail suspeito deve relatar imediatamente esse incidente para que a equipe técnica correta possa verificar se ele é malicioso. Também pode ser que um alerta em um dos sistemas de monitoramento cibernético da organização seja acionado. Na maioria dos casos, os agentes de ameaças têm como alvo o elo mais fraco, o usuário final, e a falha em relatar incidentes aparentemente triviais pode ser a diferença entre detectar ou não o início de uma campanha maliciosa maior.

Assim, a parte de resposta não técnica trata de políticas, procedimentos e processos envolvendo:

  • Avaliação de incidentes
  • Relatórios de incidentes
  • Relatórios regulatórios
  • Divulgação pública

Avaliação de incidentes

É importante fazer uma classificação inicial de um incidente cibernético com base nas informações atualmente conhecidas. O nível de impacto possível deve ser o pior cenário possível, mesmo na ausência de todos os detalhes. Como no exemplo de referência discutido na resposta técnica inicial, se o incidente cibernético envolver o comprometimento de uma conta de usuário interno, cada recurso ao qual a conta comprometida tiver acesso também poderá ser afetado.

Podem ser recursos como VPN ou acesso remoto, acesso a e-mail e acesso a recursos da intranet, especialmente nos casos em que a autenticação multifator ou os controles de autenticação de máquina não estavam sendo usados no momento do incidente.

2.2

O nível de impacto potencial deve ser a luz orientadora para a fase de resposta técnica. Uma vez que a escala completa do incidente tenha sido investigada e determinada com alguma certeza, a avaliação do nível de impacto conhecido pode ser confirmada. Nesse caso, pode ser perfeitamente possível que o impacto e as implicações do incidente não sejam tão graves quanto se pensava originalmente.

Avaliar o impacto inicial de um incidente é uma etapa crucial. Ele fornece uma maneira de tomar decisões informadas sobre outras etapas, como a natureza de um relatório formal aos reguladores, se uma divulgação de comunicações públicas pode ser necessária ou se protocolos em segundo plano devem ser ativados. De qualquer forma, é melhor seguir em frente assumindo o pior cenário até que se prove o contrário.

Relatório de incidente

Embora um incidente de segurança cibernética não seja automaticamente equivalente a uma violação grave, ainda é essencial fazer um relatório de incidente. No caso inicial, esse será um relatório interno formal que detalhará alguns aspectos importantes do incidente. O relatório deve identificar claramente o ID do incidente e o proprietário do incidente.

2.3

O relatório formal também deve capturar algumas informações úteis, como o tipo de incidente, um resumo do incidente, cronograma, impacto e análise da causa raiz, quaisquer ações de remediação ou recuperação e, finalmente, todas as lições aprendidas com o incidente específico. Um exemplo é o seguinte:

  • Data do incidente
  • ID do incidente
  • Proprietário do incidente
  • Resumo do incidente
  • Cronograma do incidente
  • Detalhe do incidente
  • Análise de impacto
  • Causa raiz
  • Remediação e recuperação
  • Lições aprendidas
  • Apêndice

O relatório deve conter detalhes sobre os usuários afetados e suas contas e um cronograma das ocorrências que antecederam, durante e após o incidente. Os ativos afetados da organização, como sistemas de computador, dados ou sites, também devem ser detalhados. Isso ajudará a informar a análise final do impacto e a análise da causa raiz. Todos os relatórios devem ser devidamente arquivados e catalogados após o encerramento de cada incidente relatado.

Divulgação regulatória e pública

Ao lidar com reguladores, dependendo da vertical de uma organização (saúde, finanças, transporte ou varejo), estruturas e regulamentações específicas precisarão ser seguidas. Também haverá regulamentações gerais de conformidade que abrangem diferentes setores, como o GDPR, especialmente em incidentes envolvendo dados pessoais de clientes ou funcionários. Aqui, também pode ser necessário informar as autoridades policiais. Essa pode ser a agência policial dedicada responsável por receber esses relatórios. No caso de organizações que também fornecem defesa ou fazem parte do que é considerado uma infraestrutura nacional crítica, já pode haver uma linha clara de reportagem a essa agência devido aos requisitos regulatórios.

2.4

Uma consideração significativa também deve ser dada ao lado legal do incidente. Novamente, se o incidente envolver uma violação de dados de informações pessoais, também deve haver uma preparação adequada para uma possível contestação legal. As organizações devem buscar aconselhamento jurídico competente. O advogado também deve informar o conteúdo de quaisquer divulgações e quem dentro da organização faz formalmente tal divulgação. Essa subequipe pode incluir:

  • Nível C (CIO/CISO ou equivalente)
  • Líder da equipe de resposta a incidentes (técnico)
  • Legal
  • Relações públicas

Se uma violação significativa de dados for confirmada, o que significa que dados pessoais ou de clientes foram acessados de forma inadequada, pode ser necessário fazer um anúncio público. Essa é uma das partes mais delicadas da resposta não técnica, pois pode ter consequências negativas diretas ou indiretas para a organização, legal e financeiramente. Portanto, é de extrema importância que uma equipe competente de relações públicas seja consultada sobre a melhor maneira de abordar qualquer divulgação desse tipo. Na maioria dos casos, a estrutura regulatória determinará quando e como fazer uma divulgação pública. Também determinará quando e como envolver os reguladores.

Agora deve ficar claro que o documento de política de segurança cibernética de cada organização deve incluir um plano de resposta a incidentes cibernéticos. Você precisa de uma equipe de resposta permanente e de um procedimento operacional padrão (SOP) claro e acionável. Todos os funcionários, contratados e funcionários afiliados devem estar totalmente cientes da política cibernética e das linhas de relatórios. Organizações locais e internacionais, como o NIST, fornecem estruturas públicas para orientar o planejamento de resposta a incidentes. Quando se trata de resposta a incidentes cibernéticos, o planejamento e a preparação são a chave definitiva para o sucesso, independentemente do tamanho ou estatura de qualquer organização, especialmente nesta era de 'presumir violação. '

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Como interromper os ataques do Clop Ransomware com o Illumio
Contenção de ransomware

Como interromper os ataques do Clop Ransomware com o Illumio

Descubra como a variante de ransomware Clop opera e como a Illumio pode ajudar sua organização a conter o ataque com microssegmentação.

Leia mais
Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação
Contenção de ransomware

Ransomware: como organizações de pequeno e médio porte podem impedir sua propagação

Leia mais
O ransomware prejudica: veja como o Zero Trust pode ajudar a mitigar o risco
Contenção de ransomware

O ransomware prejudica: veja como o Zero Trust pode ajudar a mitigar o risco

Como a segmentação Zero Trust da Illumio, baseada em visibilidade abrangente, pode ajudar quando se trata de mitigar os riscos de ransomware.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais