0
0
A forma como você responde a uma violação de dados e a quantidade de danos que ela causa dependem de quão bem preparado você está
Susan Bradley, CSO (EUA)
Assim que uma violação ocorrer, você desejará identificar o que os invasores acessaram e como eles acessaram os dados. Essas informações ajudam a identificar se você precisa notificar os usuários de que seus dados foram violados e aprender como se proteger do próximo ataque.
Primeiro, certifique-se de ter os recursos e os preparativos necessários para investigar. O processo de identificação de como um invasor entrou na rede geralmente se baseia na evidência e na análise do cronograma. Saber a melhor forma de lidar com as evidências e ter um plano em vigor antes que ocorra uma intrusão são essenciais para lidar adequadamente com a investigação.
Esta lista de verificação de tarefas tornará mais fácil responder a uma violação de dados ou limitará seus danos:
Crie um plano de comunicação
Tenha planos para comunicar à gerência sobre ameaças e riscos potenciais para a organização – e planos e ferramentas para combater as ameaças. Reúna-se regularmente para discutir riscos e reações. Identifique os ativos-chave da empresa e identifique quais processos de proteção você está executando para proteger esses ativos-chave.
Em seguida, tenha um plano de ação sobre o que seguir caso ocorra uma violação. Identifique meios de comunicação alternativos com números de telefone e endereços de e-mail alternativos que não fazem parte do e-mail ou infraestrutura corporativa, pois o e-mail da sua empresa pode ser afetado ou hackeado durante a invasão.
Estabeleça um ponto de contato com as autoridades locais com antecedência. Dependendo do tamanho de sua empresa, isso pode ser fácil de fazer ou você pode precisar buscar orientação de seu provedor de seguro cibernético.
Mantenha backups externos de arquivos de log de acesso e segurança
A maneira como um invasor obtém acesso a uma rede geralmente é encontrada vasculhando arquivos de log, portanto, armazene backups de segurança e acesse os arquivos de log externamente, pois eles tendem a ser sobrescritos rapidamente.
Tenha controles de acesso adequados no lugar
Documente os processos de integração e desativação de funcionários de e para seus recursos de rede, garantindo que as permissões e o acesso sejam definidos ou removidos adequadamente. Eduque os funcionários sobre os procedimentos adequados para lidar com senhas, tanto para acesso à rede quanto para as senhas necessárias para vários aplicativos. Certifique-se de que ninguém deixe para trás senhas em texto simples nos repositórios de arquivos.
Limite o acesso remoto
Muitas das metodologias que os invasores usam para obter acesso à rede dependem de suas próprias técnicas de acesso remoto. Como você as usa há anos, as senhas usadas para acesso provavelmente foram coletadas e compartilhadas em fóruns ou vendidas on-line. Recentemente, foi relatado que os nomes de usuário e senhas de mais de “1,3 milhão de servidores Windows Remote Desktop atuais e historicamente comprometidos vazaram pelo UAS, o maior mercado de hackers para credenciais RDP roubadas”.
Depois que os invasores obtêm acesso por meio do protocolo RDP (Remote Desktop Protocol), eles podem realizar movimentos laterais na rede, especialmente se obtiverem uma senha administrativa. O banco de dados UAS mostrou que muitos servidores usavam credenciais inseguras e fáceis de adivinhar, e software de terceiros frequentemente instalava credenciais de acesso remoto padrão e senhas que poderiam ser usadas por invasores.
Você tem várias maneiras de combater o risco de comprometimento do acesso remoto. Primeiro, você pode limitar a área de trabalho remota a endereços IP específicos como medida inicial de proteção. Em seguida, você pode configurar a Área de Trabalho Remota para passar pelo Gateway de Área de Trabalho Remota como autenticação adicional, bem como usar ferramentas como Duo.com para fornecer autenticação de dois fatores. Resumindo, não deve haver razão para expor a área de trabalho remota a nada externo.
Mantenha sua VPN corrigida
Outro meio que os invasores usam para obter acesso remoto é usar vulnerabilidades em software de acesso externo, como redes privadas virtuais (VPNs). Vulnerabilidades no servidor Pulse Secure VPN foram usadas recentemente em ataques. Webshells foram colocados no dispositivo Pulse Connect Secure para acesso adicional e persistência. Em janeiro de 2020, o software Citrix VPN também estava sujeito a vulnerabilidades.
Revise o nível de patch de qualquer software VPN conectado à sua rede. Se o patch não estiver atualizado em suas VPNs, você estará colocando sua rede em risco.
Aplicar patches ao software VPN, especialmente quando instalado em máquinas remotas, pode ser problemático. Muitas empresas estão migrando para ferramentas de nuvem, como o Intune, para controlar e atualizar melhor as máquinas. Se você usa um software VPN de terceiros, analise suas opções de patch e implantação com o fornecedor. Sempre certifique-se de que sua equipe de patches tenha se inscrito para receber notificações de atualização de software do fornecedor.
FONTE: CIO