Como você pode conhecer a maneira mais eficaz de responder a um ataque direcionado antes que ocorra? Pergunta difícil, não? De acordo com nossa pesquisa, 42% das organizações não têm uma resposta clara. Além disso, a maioria dos especialistas em segurança da informação que responderam à pesquisa (63%) também não poderia dar uma. Mas o que fazer neste caso deve ser pensado antecipadamente.
Abordagem de esperar-e-ver
A estratégia clássica de segurança da informação consiste, em sua maior parte, em tecnologias e políticas preventivas, cujo principal objetivo é impedir que pessoas externas penetrem na infraestrutura de informações. Funciona bem com ameaças generalizadas. No entanto, os ataques direcionados complexos são desenhados para ignorar essa abordagem. E quando ocorre um ciberincidente, todos, incluindo funcionários dos departamentos de IS, procuram descobrir como responder.
Em muitos casos, uma empresa chega à conclusão de que não fazer nada é o melhor. Claro, os bônus podem ser perdidos e serão emitidas ordens para fazer o necessário para evitar a reincidência desse incidente no futuro (ou seja, melhorar as medidas preventivas), e as empresas continuarão como antes. O motivo dessa decisão é que a administração tem medo de perdas adicionais. Afinal, uma investigação de um incidente cibernético pode levar à parada de sistemas que são críticos para a continuidade dos processos comerciais.
Enquanto isso, no rescaldo de um ataque, é extremamente importante analisar o que aconteceu, que informações obtiveram os atacantes, quanto tempo permaneceram em seus sistemas e como chegaram lá. Conseguiram credenciais financeiras? Ou os dados do cartão de crédito dos seus clientes? Aqui você precisa tomar medidas urgentes; caso contrário, o incidente resultará em perdas ainda maiores.
Processo unificado de resposta a incidentes
Para minimizar o número de surpresas desagradáveis no caso de um incidente cibernético, é necessário desenvolver antecipadamente um processo de resposta a ataques complexos e direcionados. Uma das novas ferramentas que podem reforçar todas as estratégias viáveis é um sistema de detecção e resposta para endpoints (EDR). Ele complementa os centros de operação de segurança com métodos de próxima geração, como a caça a ameaças.
Esse sistema permite que os especialistas em segurança da informação coletem os dados necessários para análises detalhadas de todas as estações de trabalho. Os especialistas podem estudar remotamente a anomalia, remover ou bloquear cirurgicamente a ameaça e iniciar os procedimentos de recuperação. E podem fazê-lo de forma imperceptível para os usuários, sem a necessidade de acesso físico aos seus espaços de trabalho e sem interromper a continuidade da empresa.
Em muitos casos, a EDR permite que você identifique um incidente em um estágio inicial, quando os atacantes já penetraram na sua rede, mas não causaram danos significativos antes de poderem transmitir informações de sua infra-estrutura.
Mais informações sobre como responder corretamente aos ciberincidentes podem ser encontradas em nosso estudo “Novas ameaças – Novas abordagens: Preparação do risco para proteger contra ataques complexos“.
Detalhes sobre a nossa solução EDR, que está agora no estágio piloto, estão disponíveis no site Kaspersky Endpoint Detection and Response.