0
0
O ataque informático que colocou todo o serviço da Vodafone em baixo durante largas horas veio reacender a discussão sobre a importância do investimento na segurança dos dados e das infraestruturas online.
Com cada vez mais serviços e dados a serem suportados por plataformas online, é essencial que as empresas se preparem para ataques cada vez mais frequentes, mantendo um constante backup de toda a base de dados e reforçando todas as medidas de segurança.
Se tem uma empresa ou é responsável informático, conheça alguns cuidados que deve adotar para proteger a sua organização em caso de um ataque informático.
Dicas para garantir a segurança informática da sua empresa durante um ataque informático
As violações da cibersegurança são atualmente uma ameaça, não só para as empresas, mas também para a estabilidade da economia mundial.
A preparação pré-incidente e a gestão profissional são os fatores determinantes que podem minimizar o impacto de um ciberataque.
Por estas razões, conheça uma lista desenvolvida pela Cipher, a divisão de cibersegurança da Prosegur, com as recomendações mais úteis para salvaguardar a sua empresa ou organização caso sofra um ataque informático.
Centralize a coordenação da resposta ao incidente
Todas as medidas após um ataque informático devem ser perfeitamente coordenadas a partir de um único ponto e, em particular, não devem ser tomadas medidas unilaterais por diferentes departamentos, pois podem distorcer a informação durante o processo de Threat Hunting.
A ação descoordenada pode ser um sinal de fragilidade que acelera ou radicaliza a resposta dos cibercriminosos.
Identifique e analise
Uma vez confirmado que a organização foi atacada, o desafio é identificar, com a maior precisão possível, tanto os vetores de ataque como as provas ou indicações provenientes do incidente.
Deve ser efetuada uma análise exaustiva a fim de determinar os IoC (Indicadores de Compromisso) do ataque informático, bem como o modus operandi do grupo criminoso envolvido, no caso de, através de mecanismos de ciberespionagem, haver informação disponível sobre o mesmo que possa ser útil para a definição dos próximos passos.
Implemente uma estratégia de contenção dos elementos infetados para travar a propagação de vírus
As estratégias de contenção dependerão do tipo de incidente e dos recursos e capacidades de contenção disponíveis, tendo em conta ainda a eventual necessidade de preservar provas forenses da atividade criminal e a sustentabilidade de uma solução definitiva ou temporária.
Alguns exemplos são o corte completo de ligações ao exterior (Total Internet Cut-Off), limitar a conetividade em protocolos de comando e controlo identificados (por exemplo HTTPS) e o estabelecimento de uma situação de “VLAN de contenção”, em que os elementos afetados sejam isolados.
Erradicação e recuperação
Após um computador ter sido contido devido a uma ameaça, o trabalho de erradicação e recuperação deve começar, para que a normalidade diária de toda a empresa possa eventualmente ser reposta.
Nesta fase, existem várias possibilidades como a reinstalação do equipamento, a restauração de um backup anterior ao incidente ou a limpeza do equipamento de elementos maliciosos.
Análise forense e estabelecimento da linha cronológica
A fase mais grave do ataque informático não é o melhor momento para fazer uma análise completa da linha cronológica, da sua causa e origem.
Em geral, recomenda-se que toda a análise forense do incidente seja orientada para a reconstrução de uma linha cronológica do ataque, a fim de localizar vestígios de atividade maliciosa.
Deve ter-se em conta que, num incidente deste tipo, podem existir centenas, se não milhares de computadores que tenham sido comprometidos ou onde elementos maliciosos possam persistir e levar à reinfeção.
Comunicação interna
Estando as comunicações dentro da empresa comprometidas, é urgente encontrar um canal de comunicação alternativo que possa servir como ferramenta de comunicação segura para partilhar informações sobre a gestão da crise.
Se não existir, podem ser estabelecidas plataformas de comunicação e colaboração alternativas (tais como Teams, ou grupos no Slack, Signal ou Telegram).
Recomenda-se centralizar a comunicação interna na figura do coordenador.
Comunicação externa
Todas as comunicações externas devem ser supervisionadas por um gabinete de crise, que deve solicitar informações à coordenação técnica para notificar clientes, parceiros ou proprietários de dados pessoais comprometidos na ótica do Regime Geral da Proteção de Dados e, sobretudo, as forças de segurança pública.
Recomenda-se também que os stakeholders potencialmente impactados pelo ataque informático sejam notificados o mais rapidamente possível, para que possam realizar um processo de procura de indicadores dentro das suas infraestruturas e excluir a propagação do mesmo tipo de ameaça nos seus sistemas.
Este tipo de comportamento é altamente valorizado pelos parceiros e empresas com quem mantemos uma relação de confiança
Reflexão e aprendizagem
Após o ataque informático ser mitigado e a recuperação estar terminada, é boa prática fazer um balanço das aprendizagens durante a crise, a fim de melhorar as medidas de segurança, desenvolver novos processos e implementar novas tecnologias para a deteção, análise e mitigação de futuros incidentes.
Na sequência da gestão de incidentes, e como parte do processo de aprendizagem, são também recomendadas reuniões de balanço globais, particularmente se o incidente tiver um impacto elevado, para usar o acontecimento como uma oportunidade para transmitir a todos os funcionários a necessidade de manter comportamentos corretos de cibersegurança, sendo que o fator do erro humano é muitas vezes a fragilidade procurada pelos piratas cibernéticos num ataque.
FONTE: TECHBIT