Ocorreu um incidente de segurança. E agora?

Segundo Carlos Borges, especialista em cibersegurança do Arcon Labs, empresas devem buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento, através de contenção, investigação e erradicação do problema

Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar a diminuição do impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento. Para tanto, existem 3 passos básicos a serem considerados:

Contenção

Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

Investigação

Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

Erradicação

Se a Contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a Erradicação é a medida para sanar o problema de forma definitiva.

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

  • Desenvolvimento de inteligência de segurança para detecção dos incidentes

  • Determinação do impacto e/ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)

  • Tomada de medidas para minimizar o impacto de um ataque

  • Atualização dos controles para evitar tipos semelhantes de ataques no futuro

O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:

Tecnologia

O SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.

Inteligência de Segurança

Sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.

Triagem dos alertas

Ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.

Tempo de resposta

A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.

Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?

* Carlos Borges é especialista em cibersegurança do Arcon Labs

Posts Em Destaque
Posts Recentes
Arquivo
Siga
  • Twitter Basic Square
Tags

© 2013 by Success Consulting. Proudly GlobalMask Soluções em TI

  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Classic
  • Instagram ícone social

 

Comercial@globalmask.com.br

BH | RJ | SP | Maracanaú| Fortaleza | Brasilia | Goiânia | Brasil