A CISA (Cybersecurity & Infrastructure Security Agency), com sede nos Estados Unidos, acaba de lançar um Conselho de Segurança Cibernética (Cyber Security Advisory) conjunto com países de todo o mundo para alertar os provedores de serviços gerenciados (MSPs) sobre o perigo crescente de ataques de cibersegurança. O comunicado alerta que atores mal-intencionados, incluindo grupos de ameaças patrocinados, podem tentar explorar MSPs vulneráveis para obter acesso aos dados e processos de negócios de seus clientes
Atualmente, não é apenas a quantidade de incidentes de segurança em várias áreas de consumo que aumentaram, mas também há um aumento dos ataques aos sistemas e às cadeias de suprimentos de TI. Mais recentemente, começou com a vulnerabilidade do Log4Shell e passou por explorações de dia zero em alguns fornecedores de TI. Os invasores estão aproveitando as vulnerabilidades da cadeia de fornecimento de software, não visando diretamente empresas específicas, mas buscando criar danos por meio da proliferação e reutilização de componentes de software amplamente utilizados.
Para se armar nessa situação de ameaça crescente, é importante que os MSPs e as empresas, conforme recomendado pelo CSA, revisem e aumentem ainda mais suas precauções de segurança. Ao fazê-lo, é importante não focar apenas em evitar o perigo, mas também preparar o curso de ação necessário em caso de incidente de segurança e apoiá-lo com sistemas adequados para que se possa agir rapidamente em caso de ataques cibernéticos. Isso evita o caos desnecessário em caso de crise e mantém o dano resultante o mais baixo possível. O gerenciamento sistemático de incidentes de segurança prepara as empresas e seus funcionários da melhor maneira possível para lidar com incidentes de segurança. Sistemas poderosos, como o STORM, desenvolvido pela OTRS, apoiam as empresas nesse processo.
Os processos automatizados ajudam as equipes de segurança a responder de maneira ideal aos incidentes. A base para lidar com incidentes de segurança é a criação de um plano no qual as tarefas e responsabilidades são definidas. Em um plano de resposta a incidentes, todas as ações necessárias são definidas e as responsabilidades são claramente definidas – as seguintes fases são recomendadas para esse fim:
Preparação: fornecer ferramentas e processos de gerenciamento de incidentes
Com base nas melhores práticas comprovadas, todas as fases importantes são definidas com uma ferramenta adequada. Desta forma, no caso de um incidente de segurança, as informações necessárias para uma resposta podem ser reunidas em um curto espaço de tempo. A comunicação entre todas as partes envolvidas pode ser preparada e as informações de contato prontas.
Análise: identificar se ocorreu um incidente de segurança
A análise de dados de sistemas de gerenciamento de log, IDS/IPS, sistemas de compartilhamento de ameaças, bem como logs de firewall e atividade de rede, ajuda a classificar os incidentes de segurança. Uma vez identificada uma ameaça, ela deve ser documentada e comunicada de acordo com a política estabelecida.
Contenção: controle a propagação e evite mais danos
Decidir qual estratégia usar desempenha o maior papel. A questão principal é qual vulnerabilidade permitiu que uma intrusão ocorresse. A mitigação rápida, como isolar um segmento de rede, é o primeiro passo em muitos incidentes, após os quais a análise forense é frequentemente procurada para avaliação.
Erradicação: feche as lacunas de segurança, elimine malware
Uma vez que a ameaça potencial é contida, a causa raiz do incidente de segurança deve ser encontrada. Para fazer isso, todos os malwares devem ser removidos com segurança, os sistemas corrigidos, as atualizações aplicadas e o software atualizado, se necessário. Portanto, os sistemas devem ser atualizados para o nível de patch mais recente e devem ser atribuídas senhas que atendam a todos os requisitos de segurança.
Recuperação: reative sistemas e dispositivos
Para retornar à operação normal do sistema, verificações constantes devem ser feitas para garantir que todos os sistemas estejam funcionando conforme o esperado. Isso é garantido por meio de testes e monitoramento por um longo período. Durante essa fase, a equipe de resposta a incidentes determina quando as operações serão restauradas e se os sistemas infectados foram totalmente limpos.
Lições Aprendidas: esclareça o que deu certo e o que não deu certo
Após a Fase 5, uma reunião de encerramento deve ser realizada com todas as partes envolvidas. Aqui, as questões em aberto devem ser esclarecidas e o incidente de segurança deve ser finalmente encerrado. Com os insights obtidos com essa troca, melhorias para incidentes futuros podem ser identificadas e definidas.
*Jens Bothe, Vice-Presidente de Segurança da informação do OTRS Group.