12 etapas a serem seguidas contra um adversário ativo em sua rede

Os Chefes de Segurança Executivos (CISOs) sabem que devem responder de forma rápida e eficaz a um incidente, mas as pesquisas apontam que os desafios aumentam para atingir esse objetivo.

Os Chefes de Segurança Executivos (CISOs) sabem que devem responder de forma rápida e eficaz a um incidente, mas as pesquisas apontam que os desafios aumentam para atingir esse objetivo.

Um relatório do State of Incident Response 2021, das empresas de tecnologia Kroll, Red Canary e VMware, pesquisou mais de 400 profissionais de Segurança da Informação e 100 líderes jurídicos e de conformidade, e descobriu que 45% deles identificaram inadequações nos recursos de detecção e resposta. Além disso, 55% queriam melhorar o tempo de contenção e automação de resposta a incidentes.

Existem razões convincentes para investir em uma melhor resposta a incidentes.

Considere as descobertas da empresa de tecnologia Cisco, que em seu relatório Security Outcomes Study Volume 2 de dezembro de 2021, identificou cinco principais impulsionadores do sucesso do programa de segurança cibernética. Os cinco incluem a capacidade de detectar ameaças com antecedência e precisão, a capacidade de responder rapidamente a incidentes e a capacidade de se recuperar prontamente de desastres.

Os CISOs precisam de planos detalhados de resposta a incidentes cibernéticos para cumprir esses três pontos. Eles precisam praticá-los para identificar quaisquer déficits que possam prejudicar seu desempenho caso os criminosos ataquem. E eles precisam perfurar regularmente para que possam ter o melhor desempenho possível em um evento real.

“Um incidente ativo não é hora de descobrir tudo isso”, diz Joe McMann, líder global do portfólio de segurança cibernética da Capgemini.

Para estarem bem preparadas, as equipes de cibersegurança corporativa precisam ter inventários de ativos precisos e visibilidade de todas as áreas de seu ambiente de TI; eles precisam conhecer os sistemas de missão crítica de sua organização; e eles devem entender como responder se detectarem hackers tentando atrapalhar isso.

As principais etapas que eles precisarão tomar – rápida e quase simultaneamente – se houver um adversário ativo em sua rede são as seguintes:

1. Soe o alarme

As equipes de segurança enfrentam uma média de 11.047 alertas por dia, de acordo com o relatório State of Security Operations de 2021 da Forrester Consulting e da Palo Alto Networks.

É claro que muitos desses alertas são falsos positivos ou indicam riscos de baixa prioridade, mas outros apontam para problemas maiores que devem ser escalados rapidamente.

Os Chefes de Segurança Executivos (CISOs) sabem que devem responder de forma rápida e eficaz a um incidente, mas as pesquisas apontam que os desafios aumentam para atingir esse objetivo.

“Você precisa saber quando quebrar o vidro. As pessoas têm medo de puxar esse gatilho, de chegar a esse modo, porque é difícil voltar atrás se você fizer isso. Há supervisão e custos, e as pessoas têm medo de aumentar às vezes”, diz McMann.

Diante disso, as equipes devem ter boas orientações para saber quando e como escalar situações.

“Esse ponto de decisão será exclusivo para cada organização, mas o caminho de escalação, para quem ligar, quando entrar em contato com a área jurídica, […] deve ser claramente documentado”, diz Nick Biasini, chefe de divulgação da Cisco Talos, uma organização de inteligência de ameaças .

Isso evita atrasos que podem permitir que os cibercriminosos tenham mais tempo para causar danos, mas evita respostas dispendiosas a incidentes menores ou alarmes falsos.

2. Escopo da situação e triagem

“Faça um balanço do que você sabe e do que você não sabe: esses são os fatos, os alertas que estão sendo gerados, as informações que estou recebendo dos colegas, quão grande é isso, quão grande pode ser o impacto, essas são algumas das perguntas que precisam ser respondidas inicialmente, para que você possa priorizar, tomar decisões inteligentes e agir”, diz McMann.

Isso exige que os CISOs tenham um bom gerenciamento de ativos e visibilidade dos sistemas, acrescenta ele, pois logs de segurança, logs de aplicativos, dados transacionais e outros dados ajudam as equipes a avaliar a situação, fazer a triagem e formular a resposta certa.

3. Demonstre o negócio

Os CISOs devem fazer um loop nos negócios durante o processo de triagem, dizem os líderes de segurança, um ponto que geralmente é ignorado durante as respostas ativas. Como parte disso, as equipes de segurança precisam identificar imediatamente quais componentes afetados são críticos para a condução dos negócios, quem possui esses componentes e quem os controla.

Como J. Wolfgang Goerlich, CISO consultivo da Cisco Secure, diz: “Este é um problema de negócios. Mas em uma violação de segurança, uma pessoa muito técnica pensará: ‘Tenho que corrigir.’ No entanto, uma das coisas que os CISOs precisam lembrar é que uma violação é um problema de negócios, não um problema técnico. Portanto, deve haver um processo secundário que esteja executando a continuidade dos negócios e a recuperação de desastres, para que a empresa possa continuar fazendo o que precisa fazer.”

4. Estanque o sangramento

Como tudo isso está acontecendo, as equipes de segurança precisam se concentrar nas rotas de saída para garantir que nada saia, diz Steven Graham, vice-presidente sênior do EC-Council, um órgão de certificação técnica de segurança cibernética.

“Se houver um adversário ativo na rede, eles provavelmente criarão o maior número possível de backdoors. Identifique quais pontos de saída existem na rede para que você possa interromper o efeito do ataque”, diz ele.

5. Encontre os pontos de entrada

Ao mesmo tempo, as equipes de segurança precisam descobrir como os atacantes entraram e para onde foram. “Investigue as migalhas de pão, qual foi o caminho deles, o que eles fizeram em seguida, o que é tudo o que eles tocaram. É uma etapa adicional de triagem”, diz Graham, acrescentando que um bom monitoramento de rede é obrigatório aqui. Em seguida, feche essas vulnerabilidades para que ninguém mais possa entrar novamente.

6. Reúna as tropas

À medida que o escopo do incidente entra em foco, os CISOs devem reunir toda a equipe complementar necessária para responder – todos os executivos necessários para tomar decisões; os profissionais de segurança e TI com as habilidades necessárias para a resposta; os representantes certos das áreas de comunicação, recursos humanos, jurídico e outras áreas funcionais; e quaisquer recursos externos necessários. Os CISOs também precisam saber se e quando acionar a aplicação da lei e quais agências envolver, outro elemento que deve ser delineado com antecedência para que não haja confusão durante o incidente, diz Randy Trzeciak, diretor do Mestrado em Política de Segurança da Informação & Management (MSISPM) na Carnegie Mellon University.

7. Acompanhe suas ações

Notas sobre a investigação, prioridades, tarefas realizadas, atividades em andamento, necessidades não resolvidas e outros detalhes devem ser efetivamente documentados e divulgados com eficiência, diz McMann, acrescentando que documentos ou e-mails do Word normalmente não são bons veículos para compartilhamento e arquivamento de informações.

Ele enfatiza a necessidade de um bom sistema de gerenciamento de conhecimento ou plataforma de comunicação para compartilhar e registrar dados durante a resposta a incidentes – outro ponto que ele diz ser muitas vezes esquecido durante um evento real.

“Você tem que ter uma plataforma que colete e armazene as informações e as descobertas, todas as questões em aberto. Isso precisa ser coletado, organizado e entendido porque essas informações chegam aos coordenadores de incidentes para que os CISOs ou seus representantes possam destilar as informações e tomar decisões ”, diz ele.

8. Coordene o contra-ataque

Os Chefes de Segurança Executivos (CISOs) sabem que devem responder de forma rápida e eficaz a um incidente, mas as pesquisas apontam que os desafios aumentam para atingir esse objetivo.

À medida que a investigação se transforma em ação, os CISOs precisam coordenar seus movimentos contra os atacantes – quer isso signifique expulsá-los imediatamente ou ter tempo para monitorar suas atividades antes de atacar contra eles, diz Biasini.

“Eles terão mais de um ponto de apoio, então você quer expulsá-los de todos os pontos de apoio de uma só vez. Seja o mais meticuloso possível, para não jogar Whac-A-Mole ”, diz ele.

9. Trabalhe o plano

De acordo com os especialistas, os CISOs, outros executivos e todas as equipes de resposta a incidentes precisam seguir o plano de resposta e resistir a assumir tarefas fora de suas funções atribuídas.

“Você tem uma cartilha. Certifique-se de que está sendo executado e você não assume o controle. Seu plano como líder é não intervir a menos que seja atribuído a você”, adverte Jeff Pollard, vice-presidente e analista principal da Forrester Research.

Líderes em crise muitas vezes são tentados a pular nas trincheiras, mas eles, como todo mundo, podem contribuir melhor concentrando-se em seu próprio trabalho. Os CISOs que começam a revisar os dados de log ou a usar teclados na verdade criam gargalos na resposta e atrasam outras tarefas críticas que só eles podem fazer, como a comunicação com o conselho.

10. Adapte conforme necessário

Mesmo o plano, mais detalhado e praticado, de resposta a incidentes não pode levar em conta todos os potenciais cenários, uma nova ameaça ou uma nova técnica. Portanto, os CISOs e as organizações como um todo devem saber quando dinamizar e ser capazes de adaptar sua resposta às realidades em que estão enfrentando durante o evento real.

“Sempre há uma bola curva”, diz Pollard.

Pollard ressalta ainda que os ataques de ransomware em um ponto se transformaram, com grupos de cibercriminosos não apenas mantendo reféns de dados criptografados, mas, depois de receber o resgate, ameaçando liberar dados roubados se outro resgate não for entregue. Em algum lugar, há um CISO que foi o primeiro a ver isso e teve que descobrir rapidamente a melhor forma de combater – o que, diz Pollard, confirma a necessidade de os líderes de segurança serem ágeis.

11. Alerte os outros

Os CISOs não poderão ocultar um incidente e, em muitos casos, não podem legalmente tentar fazê-lo. Isso significa que eles devem trabalhar com suas equipes jurídicas e de comunicação para planejar o que devem dizer, quando dizer, como transmitir a mensagem e para quem.

“Conheça seus pontos de contato, crie uma história clara e concisa e coloque todos na mesma página”, diz Graham. Pollard acrescenta que os CISOs também devem alertar outros oficiais de segurança internos e externos.

“Quando há um ataque, o compartilhamento se torna uma reflexão tardia ou é uma preocupação por causa da possibilidade de litígio, mas descubra o que você pode compartilhar, para que sua equipe saiba o que pode e o que não pode falar e informe aos outros eles devem verificar seus ambientes mesmo se você não puder [dizer que foi violado]”, diz ele.

Isso não apenas ajuda a preparar outros CISOs, acrescenta Pollard, mas também ajuda o CISO representante a saber rapidamente se a vulnerabilidade ou o ataque é exclusivo de sua organização ou parte de um problema maior.

12. Fique calmo. Atenda às necessidades da equipe

Os profissionais de segurança saberão a gravidade da situação, portanto, reações raivosas ou frenéticas não farão com que ninguém trabalhe mais ou afugente os adversários. Na verdade, tais reações podem fazer mais mal do que bem. Segundo Pollard: “Vai ser uma crise, mas não precisa ser um caos. Podemos trabalhar uma crise; ninguém pode trabalhar efetivamente no caos.”

Ele e outros especialistas dizem que os CISOs e seus colegas executivos são mais bem servidos se estiverem atentos a seus funcionários e suas necessidades.

Goerlich diz que viu as equipes “se afundarem” trabalhando longas horas sem pausas e até um dia ou mais sem dormir. Embora essa agenda extenuante mostre um nível de dedicação, é provável que leve a erros.

“As pessoas entram em suas zonas e trabalham muito além do tempo que deveriam”, diz Goerlich, observando que os CISOs devem planejar linhas de comunicação claras, limites de horas de trabalho, horários escalonados e folgas pós-evento. Ele acrescenta: “Na medida do possível, as organizações devem pensar com antecedência como lidar com os elementos humanos”.

Fonte: www.csoonline.com

Posts relacionados: 7 dicas para melhores relacionamentos CISO e CFO / Como os CISOs podem conduzir a narrativa de segurança e [Artigo] Ameaça Cibernética Global: Ataques cibernéticos em alta