0
0
Você já pode ter um plano de RI, mas, independentemente de quão completo você possa achar que é neste momento, o cenário de ameaças cibernéticas em evolução e as circunstâncias em mudança dentro de sua organização exigem mudanças e melhorias regulares.
Quais são os vetores de ataque mais populares entre os agentes de ameaças atualmente? O Relatório de Resposta a Incidentes da Unidade 42 de 2022 descobriu que o comprometimento de e-mail comercial (BEC) e os ataques de ransomware são generalizados, representando coletivamente 70% dos casos tratados pela equipe de Resposta a Incidentes da Unidade 42. Especificamente, os três principais vetores de acesso para agentes de ameaças são phishing, exploração de vulnerabilidade de software e ataques de credenciais de força bruta.
É crucial que revisemos regularmente nossos planos de RI tendo em mente os tipos de ataques mais prevalentes. Aqui estão cinco práticas recomendadas que podem melhorar seu plano de RI e fortalecer sua postura geral de segurança.
Promova a conscientização sobre seu plano e manual de RI
Muitas organizações confiam na existência de seu plano de resposta a incidentes (IRP), mas muitas vezes não têm certeza do que fazer com ele. Um manual de IR específico para ameaças pode oferecer orientação facilmente acessível durante o caos da resposta a incidentes e é um elemento vital de um plano de IR.
Quando ocorre um incidente de segurança cibernética, você se esforça para entender o que está sendo danificado ou roubado, e não saber por onde começar pode agravar os danos. Usar seu manual como um conjunto de procedimentos operacionais padrão (SOPs) de RI pode definir as funções e responsabilidades de cada membro da equipe de RI, bem como de outras partes interessadas importantes dentro da empresa e manter todos na mesma página.
Por exemplo, a equipe de RI determinará que as senhas precisam ser alteradas durante a contenção de um incidente de ransomware, mas para entender quais senhas precisam ser alteradas (administrativas, conta de serviço etc.) ou outras ações necessárias, eles podem consultar o manual para uma resolução mais rápida.
Esses incidentes exigem “todas as mãos no convés”, mas para que as coisas funcionem sem problemas, todos devem conhecer suas funções individuais e as funções dos outros, incluindo quem é o ponto crítico de contato para cada fluxo de trabalho.
Evolua seu plano de RI ao adotar novas tecnologias
A tecnologia está avançando e mudando rapidamente, há mudanças nas operações de negócios e mudanças envolvendo pessoal e funções. À medida que essas mudanças acontecem, seu plano de RI deve ser ajustado. Por exemplo, você abre sua organização para novas ameaças ao mover dados ou cargas de trabalho para a nuvem. Como resultado, você precisará adaptar seu plano de IR para lidar com ameaças específicas da nuvem.
Não é necessário jogar fora o plano antigo e criar um totalmente novo. Faça alterações no que você possui e aproveite as práticas recomendadas mais atualizadas, como as fornecidas pelo NIST Cybersecurity Framework e CSIRTpara ajudar a orientá-lo.
Teste seu plano proativamente, antes de precisar dele
Testar seu plano de IR pode ajudá-lo a descobrir falhas antes que um agente de ameaça ajude a equipe a testá-lo. Ao praticar, os membros da equipe estarão mais propensos a saber exatamente o que fazer e para onde ir em caso de um incidente real.
Os testes proativos podem incluir exercícios de IR, exercícios de mesa, testes de penetração e equipes roxas. Também é útil envolver cada parte interessada neste teste, como jurídico (incluindo advogado externo), comunicações de crise, marketing, etc., para garantir que eles contribuam para o plano e processo.
Também é mais importante do que nunca avaliar regularmente as partes interessadas designadas em seu IRP. Mudanças na economia podem significar que o atrito e a rotatividade de funcionários tenham um impacto mais significativo em seu IRP este ano.
Estabeleça um orçamento de dia zero
Se não houver orçamento, até mesmo o melhor plano pode falhar. Embora sua organização possa ter seguro para ajudar a se recuperar de um ataque cibernético, você pode precisar de capital adicional para cobrir custos auxiliares ou inesperados.
Para evitar ter que tomar decisões orçamentárias durante um incidente ou permitir que o orçamento estrague sua capacidade de responder da maneira certa, certifique-se de que seus jogadores relevantes sejam informados e tenham assinado antecipadamente como garantir esse orçamento.
Afinal, você pode precisar comprar novos dispositivos para manter as operações de negócios funcionando ou investir em software para ajudar a conter um ataque. Quando essas conversas hipotéticas ocorrem durante o estágio de planejamento de RI, você elimina a incerteza ou o tempo potencial perdido em uma situação de alta pressão.
Certifique-se de que o treinamento é uma prioridade
Pode ser fácil deixar o treinamento de resposta a incidentes cair no esquecimento devido à natureza movimentada e dinâmica das operações comerciais diárias. No entanto, isso leva a planos obsoletos e respostas insuficientes quando mais importa.
Independentemente do tamanho da organização, o treinamento de RI deve ser uma prioridade de negócios, incorporado ao plano de RI e orçado de acordo. Isso deve incluir a discussão de cenários possíveis e a prática de ações de resposta, para que todos entendam suas responsabilidades.
Dado o que está em jogo, é vital que seu IRP seja eficaz. Seguir essas práticas recomendadas para fortalecer sua resposta significa que, embora ocorram incidentes de segurança, você será capaz de orientar seus negócios durante o incidente com resiliência e menos impacto nas operações comerciais.
FONTE: HELPNET SECURITY