Blue team
A resposta a incidentes continua a ser um pouco descurada por muitas organizações na preparação dos seus planos de cibersegurança, em grande parte por desconhecimento sobre o real impacto dos ataques
Por David Grave, Senior Cybersecurity Consultant, Claranet Portugal . 03/09/2021
Existe sem dúvida uma maior preocupação das organizações em evitar ciberataques, com investimento em auditorias e soluções de cibersegurança, e formação dos colaboradores em áreas como o phishing e a engenharia social. Esta prática não é mais do que a resposta natural ao aumento crescente das ciberameaças em Portugal e a nível global, cujo perfil se alterou de forma significativa nos últimos anos: em vez de enfrentarmos hackers motivados pelo conhecimento, falamos agora de cibercriminosos altamente organizados, com estratégias para maximizar a probabilidade de obterem um benefício económico. Muitas organizações já têm planos de disaster recovery e de business continuity, mas devem também acautelar os mecanismos e os serviços adequados, testados e prontos a atuar, no caso da organização ser vítima de um ataque. A verdade é que muitas organizações continuam a resistir ao investimento em serviços de SOC (Security Operations Center) e de resposta a incidentes, devido sobretudo a seis mitos associados à cibersegurança, que convém esclarecer: 1 – Apenas as empresas conhecidas do público são apetecíveis para os cibercriminosos. Os cibercriminosos sabem que muitas vezes é mais fácil e rentável explorar as vulnerabilidades comuns em ambientes semelhantes de organizações desconhecidas do grande público, do que atacar deliberadamente uma organização específica e mais conhecida. 2 - É suficiente defender o perímetro e as aplicações expostas à internet. A maioria dos incidentes envolve um fator humano, que pode estar dentro do ambiente de uma organização, tornando as defesas tradicionais de perímetro quase inúteis. Basta um utilizador configurar algo de forma errada, ou clicar no link de um e-mail… 3 - Os cibercriminosos só usam técnicas de ataque altamente sofisticadas e evasivas. Embora possam usar vulnerabilidades desconhecidas e técnicas altamente avançadas, os cibercriminosos vão sempre apostar nas técnicas mais eficazes. E essas passam frequentemente pelo roubo dos dados de acesso dos utilizadores, decorrente de ataques de phishing com recurso a engenharia social. 4 - São necessários cada vez mais produtos de segurança para parar as novas ameaças. De nada serve usar soluções altamente sofisticadas de cibersegurança se não temos a capacidade de agregar, de uma forma inteligente, os indicadores recolhidos, nem dispomos de equipas para os monitorizar. Não precisamos propriamente de mais tecnologia, mas sim de tecnologia mais “inteligente”, simples de entender e fácil de usar. 5 - Desenvolver um plano de resposta a incidentes é muito caro. O investimento na cibersegurança será sempre bem mais reduzido que o potencial custo de um ciberataque bem-sucedido. Qualquer incidente pode representar uma ameaça concreta à continuidade do negócio pelo que, numa situação de crise, as decisões têm de ser tomadas num curto prazo de tempo. Os processos de resposta a incidentes devem por isso estar devidamente preparados, documentados, implementados e testados, de forma a permitir a comunicação rápida entres os intervenientes e as partes interessadas na reposta a dar. 6 – Manter segredo sobre um ataque sofrido ajuda a preservar a imagem da organização. A não comunicação de um ataque de cibersegurança, na expectativa de que este passe despercebido, tem o potencial de provocar danos irreversíveis de imagem e de reputação. Os planos de resposta a incidentes devem incluir uma componente de comunicação, já que é fundamental saber transmitir informação sobre o sucedido - internamente, às autoridades, aos reguladores, à seguradora e, possivelmente, à comunicação social. Explicar o que aconteceu, quem ou que serviços foram afetados, os impactos esperados e o que está a ser feito para mitigar os efeitos do ataque é uma forma inteligente de controlar a narrativa em torno do incidente, acautelando efeitos reputacionais adversos. No panorama atual da cibersegurança, a questão deixou se ser “se” e passou a “quando” vamos ser atacados. É assim crucial perceber se estamos ou não preparados para dar respostas adequadas a estas ameaças em evolução constante.
Conteúdo co-produzido pela MediaNext e pela Claranet |