Nos últimos tempos temos visto um número cada vez maior de empresas e especialistas de mercado falando sobre a necessidade de se criar infraestruturas e processos de segurança que blindam os negócios contra ameaças que, a cada dia, encontram novas brechas e apresentam mais risco aos dados e finanças de uma empresa. E isto é uma ótima notícia. Porém, mesmo que todas as precauções sejam tomadas, nunca se está 100% protegido e imune a ataques. O trabalho da equipe de segurança de uma empresa não pode ser apenas evitar o ataque, mas também estar preparada caso o pior aconteça. Afinal, o que fazer quando somos vítimas de um ataque?
Os processos de prevenção e retenção de ameaças e de contenção de danos após um incidente não podem ser pensados de forma separada. Os SOCs (Security Operation Center) muitas vezes são construídos levando-se em conta apenas um cenário pré-evento, o que deixa um vácuo preocupante nas ações possíveis da equipe de segurança, que por sua vez devem ser centradas em três ações principais: análise do incidente, identificação do agente causador e contenção de danos, reforçando a infraestrutura de segurança para evitar incidentes semelhantes no futuro. Contudo, estas ações precisam ser permeadas por um fator fundamental, que é o rápido tempo de reação.
Para que esta excelência seja atingida, o primeiro passo é buscar uma remodelação dos SOCs, tendo como foco a gestão do tráfego de dados, orquestração e análises retroativas de toda a rede. Este passo é crítico, pois a partir dele as empresas e equipes de segurança terão à sua disposição um conjunto de ferramentas forenses que poderão mapear todo o histórico do tráfego de dados da rede, localizando o chamado “paciente zero” da ameaça, ou seja, a brecha de segurança que permitiu a infecção.
Aqui a analogia com uma doença que afeta nosso corpo não poderia ser mais precisa. Quando nos sentimos mal, o primeiro passo é diagnosticar a fonte do mal-estar, ou seja, identificar a fonte causadora do incômodo, e em caso de uma epidemia, o paciente zero é quem vai dar todas as respostas necessárias para anular a ameaça e criar uma vacina, impedindo novas infecções. Na cibersegurança não é diferente. Podemos recuperar os dados perdidos e eventuais perdas financeiras, mas sem identificar o paciente zero – a brecha inicial – continuamos imunes a futuros ataques da mesma fonte.
Por fim, não podemos subestimar a importância do fator humano. A equipe precisa estar treinada e preparada para, muitas vezes, analisar e encontrar os pontos falhos na rede de tráfego de dados manualmente, a partir do histórico provido pelas soluções acima citadas. É um trabalho que pode levar tempo e investimento em recursos humanos, mas fundamental para encontrar falhas que muitas vezes são estruturais e precisam ser remediadas urgentemente, evitando novos ataques. A verdade é que por mais que novas tecnologias de segurança sejam criadas e melhoradas a cada dia, uma equipe de TI bem treinada e comprometida nunca deixará de ser a base para uma operação segura.
Tudo isso torna o processo pós-ataque tão ou até mais importante que a estrutura de prevenção. Não há como negar que o investimento em tecnologias e pessoal para criar este ciclo pré e pós-ataque é maior e com um tempo de execução maior, mas quando levamos em conta o prejuízo em potencial de um ataque virtual que não foi reparado apropriadamente, percebemos que não é uma opção ignorar a possibilidade de um ataque de fato acontecer, independentemente do quanto nos preparamos e esperamos que ele nunca ocorra.
Originally Posted at: https://americas.thecisconetwork.com/site/content/lang/pt/id/10572
CONNECT WITH CISCO
LET US HELP
Call us: 1.800.553.6387 - Ext 118
US/Can | 5am-5pm Pacific Other Countries