3 passos para a construção de um plano de resposta a incidentes resiliente

Views: 107
0 0
Read Time:6 Minute, 54 Second

De acordo com o relatório Accenture State of Cybersecurity 2020, o custo médio de um ataque cibernético para “não-líderes” é de US$ 380.000 por incidente. O relatório classifica as organizações em “líderes” e “não-líderes”. Os ‘líderes’ são aqueles que definem o limite para a inovação e alcançam resiliência cibernéticade alto desempenho.

Dada a taxa de ataques cibernéticos de hoje, uma violação de segurança pode facilmente executar um negócio não resiliente em uma grande perda. Sem mencionar que o custo das violações de dados vai além do dinheiro, estendendo-se ao compromisso de dados.

Essas circunstâncias exigem que as empresas desenvolvam um plano robusto não apenas para prevenir ataques, mas também para mitigar ameaças assim que elas aparecerem. As melhores empresas avaliam sua segurança cibernética pela rapidez com que podem detectar uma brecha, bem como fechar a lacuna para evitar que um invasor cause danos.

Avaliação do nível de tolerância ao risco

O primeiro passo inevitável para construir um plano de resposta a incidentes resiliente é responder às duas perguntas seguintes:

  • Que ameaças sua organização pode encontrar?
  • Que nível de impacto um ataque em particular teria em sua organização se isso ocorresse?

Essas perguntas ajudam a esclarecer seu apetite por risco, pois permitem criar cenários possíveis para diferentes tipos de ataques. Uma avaliação de tolerância ao risco determina o fluxo de investimentos, ferramentas e recursos de segurança. Uma empresa FinTech, por exemplo, definitivamente tem uma baixa tolerância para uma violação de dados, dado o quão catastrófica ela pode ser.

A equipe executiva do negócio deve estar totalmente envolvida em decisões de tolerância ao risco, uma vez que os riscos de cibersegurança podem efetivamente prejudicar o negócio.

Treinamento de conscientização e detecção de ameaças

Os empregados são a primeira linha de ataque. É impossível construir um plano de resposta eficaz se os trabalhadores não reconhecerem ameaças. Mesmo que a mitigação de ameaças exija o envolvimento da equipe de TI, todos os funcionários devem ser capazes de detectar ameaças e também ter conhecimento suficiente para não expor inadvertidamente a empresa a ameaças.

Os millennials compõem a maior parte da força de trabalho nos Estados Unidos. Eles são nativos digitais. Mas com esse status vem o esquecimento dos ataques por causa de sua tendência de colocar muita confiança nos dispositivos. Simultaneamente, 90% das violações de dados ocorridas no Reino Unido em 2019 foram devido a erros humanos. Isso reforça a necessidade de educação em segurança cibernética.

O treinamento para a conscientização e detecção de ameaças não deve ser pontual. Novas ameaças cibernéticas surgem a cada dia. Portanto, os funcionários devem ser atualizados regularmente para que possam identificar ameaças. O treinamento repetitivo é, portanto, de extrema importância.

Tecnologias de resposta a incidentes

O relatório Accenture classifica diferentes tecnologias de acordo com sua eficácia na resposta a incidentes. De cima para baixo, eles são os seguintes:

Segurança, Orquestração, Automação e Resposta (SOAR)

O SOAR é uma tecnologia de resposta a incidentes que ajuda a mitigar ameaças com o mínimo esforço humano, fornecendo defesa adaptativa. Uma tecnologia relativamente nova, muitas vezes é confundida com oSiem(System Information and Event Management), outra tecnologia de inteligência de ameaças e detecção de ameaças.

Mas SOAR e SIEM não são os mesmos. A grande diferença entre o SOAR e o SIEM é que o primeiro monitora as ameaças de uma perspectiva mais ampla. Os sistemas SOAR integram entradas de outras ferramentas de monitoramento de segurança (incluindo o SIEM) sob uma plataforma.

Usando um formato de fluxo de trabalho de tomada de decisão digital que deriva do aprendizado de máquina, as organizações podem usar o SOAR para definir procedimentos de resposta, principalmente para ameaças de baixo nível.

Existem dois componentes principais dos sistemas SOAR.

  • Orquestração: Este é o aspecto de integração do SOAR pelo qual o sistema coordena e analisa alertas a partir de múltiplas ferramentas de segurança.
  • Automação: A implicação do uso de várias ferramentas de segurança é que pode haver várias instâncias de ameaça para detectar em diferentes soluções. O SOAR fornece uma estrutura para executar tarefas de neutralização de ameaças.

Os sistemas SOAR fornecem uma abordagem holística para a segurança cibernética e particularmente a inteligência de ameaças.

Autenticação baseada em riscos

Não é mais novidade que a proteção por senha não fornece segurança de dados suficiente. Os sistemas protegidos por senha precisam de camadas adicionais de segurança que:

  • Impede o acesso não identificado aos dados.
  • Não complique o processo de login do usuário.

A autenticação baseada em riscos, também conhecida como autenticação adaptativa, funciona determinando o risco de uma tentativa de login avaliando o contexto usando inteligência em tempo real. Os detalhes avaliados incluem informações do dispositivo, conexão de rede, endereço IP, informações de localização, sensibilidade aos dados, etc. Com base nessas informações relativas ao risco de violação, ele calcula um escore de risco pelo qual o acesso é concedido ou restrito.

Como a RBA opera:

  • Em baixo risco , (se os detalhes do usuário são familiares, como usar o mesmo dispositivo como sempre) o acesso é concedido.
  • Em um risco médio ( se os detalhes do usuário não forem familiares, como o acesso de uma rede diferente) o sistema solicita detalhes adicionais para verificar a identidade da pessoa.
  • Em alto risco, bloqueia o acesso.

Firewall de próxima geração

De acordo com o Gartner,“firewalls de última geração (NGFWs) são firewalls de inspeção de pacotes profundos que vão além da inspeção de porta/protocolo e do bloqueio para adicionar inspeção em nível de aplicativo, prevenção de intrusões e trazer inteligência de fora do firewall.”

Os firewalls tradicionais mais avançados usam um modelo de filtragem de pacotes imponente. Os NGFWs vão além disso filtrando pacotes com base em aplicativos e não apenas no contexto de tráfego. As propriedades de conscientização do aplicativo permitem definir regras específicas do aplicativo para segurança, independentemente do contexto. Isso fornece um nível mais profundo e um modelo dinâmico de inspeção.

NGFWs fazem tudo o que firewalls tradicionais podem fazer e muito mais. As principais áreas em que um firewall de próxima geração é diferente de um firewall tradicional, além da consciência do aplicativo, incluem:

  • Um nível mais alto de inspeção estadual,
  • Sistema Integrado de Prevenção de Intrusões (IPS),
  • Inspeção profunda de pacotes (DPI) e
  • Inteligência de Ameaças.

No geral, os NGFWs reduzem a detecção de ameaças a uma questão de segundos, e podem impedir que o malware entre em uma rede. Os NGFWs também podem ser integrados a outros sistemas de segurança, como software SIEM, ferramentas de autenticação, etc. Isso proporciona visibilidade abrangente da rede e gerenciamento adaptativo.

Gestão de acesso privilegiado

Contas de usuário privilegiadas são de alto risco porque o acesso não autorizado a elas pode ter efeitos de longo alcance na organização. Essas contas têm acesso às informações mais confidenciais e são alvos principais de atacantes cibernéticos. De acordo com um relatório de pesquisa publicado no ano passado, 74% das violações de dados envolveram abuso de credenciais de acesso privilegiado.

Isso mostra que há muita diferença que o PAM (Privileged Access Management, gerenciamento de acesso privilegiado) eficaz pode trazer para a segurança de uma organização, especialmente quando se usa uma abordagem do Zero Trust. O PAM inclui o armazenamento seguro de credenciais de usuários privilegiados, bem como define rigorosos requisitos de acesso a contas privilegiadas. De acordo com a Microsoft,as quatro etapas envolvidas na configuração do PAM são as seguintes:

  • Prepare-se. Identifique grupos privilegiados.
  • Proteger. Configure os requisitos de autenticação.
  • Operar. Os pedidos aprovados têm acesso just-in-time.
  • Monitor. Revise auditorias, alertas e relatórios.

O PAM é diferente do IAM (Identity Access Management, gerenciamento de acesso à identidade), que se preocupa com a autenticação para todos os usuários e contas em vez de acesso elevado. PAM é menos uma tecnologia do que uma abordagem.

Conclusão

Todas as organizações, grandes ou pequenas, enfrentarão ataques cibernéticos em algum momento de sua vida útil. A questão importante é: quão preparada sua organização está para acontecer agora?

Um plano de resposta a incidentes resiliente envolve a avaliação dos riscos a que sua organização pode ser exposta, bem como o uso das tecnologias e sistemas adequados para mitigar tais riscos. A velocidade e a eficiência da resposta da sua organização às ameaças cibernéticas determinam o quão resiliente é sua segurança cibernética.

FONTE: TRIPWIRE

Previous post Grupos APT encontrando sucesso com mistura de ferramentas antigas e novas
Next post A gigante de brinquedos Mattel divulgou um ataque de ransomware

Deixe um comentário