No atual mundo hiperconectado, a questão não é se as organizações vão enfrentar um ciberataque, mas quando. Os ciberataques ocorrem a cada 39 segundos, pelo que é natural que constituam uma ameaça constante para empresas e indivíduos. As potenciais consequências de uma violação de dados são graves, incluindo perdas financeiras, danos à reputação e interrupções operacionais.

 

 

Para protegerem os seus ativos e minimizarem o tempo de inatividade, é essencial que as empresas tenham um plano de resposta a incidentes bem definido. Este artigo descreve os passos essenciais a tomar perante um ciberataque, de forma a ultrapassar momentos de crise e a restabelecer as operações normais.

 

 

Preparação da resposta a incidentes

Ter um plano abrangente de resposta a incidentes em vigor antes da ocorrência de uma crise é crucial para minimizar os danos e acelerar os esforços de recuperação. Alguns dos principais componentes de um bom plano de resposta a incidentes incluem:

  • Responsabilidades de segurança bem definidas
    Designar quem faz o quê no contexto de uma equipa de segurança, nomeadamente a quem os peritos reportam, quem atua na fase de remediação, quem é responsável pela qualificação do incidente, quem efetua a revisão pós-incidente, quem comunica o incidente a outras partes, etc.

  • Conhecimento da infraestrutura
    Garantir que conhecemos corretamente a infraestrutura para podermos identificar a propagação do incidente e a sua origem – isto requer um inventário e uma cartografia de todos os ativos. Para redes maiores, também pode ser importante ter um plano B ou um modo de falha /degradado, para garantir a continuidade do serviço (ex.: ter uma lista dos servidores que devem ser reiniciados primeiro e quais podem atuar como substitutos, etc.).

  • Cópia de segurança e recuperação de dados
    Implementar procedimentos sólidos de cópia de segurança e recuperação de dados, certificando-nos de que funcionam como previsto.

  • Formação de sensibilização para a cibersegurança
    Informar os funcionários sobre as potenciais ameaças, o seu papel na prevenção de ataques e a forma como devem reagir a um ataque.

  • Protocolos de comunicação
    Estabelecer canais de comunicação claros para as partes interessadas, internas e externas.

  • Equipa de resposta a incidentes
    Designar uma equipa dedicada responsável pelo tratamento de incidentes de segurança, especialmente no caso de empresas de média ou grande dimensão. Se a empresa em causa não tiver especialistas internos de resposta a incidentes, pode obter ajuda de um Managed Security Service Provider (MSSP) como a Alter Solutions.

  • Manual de resposta a incidentes
    É importante ter um manual geral sobre como agir de acordo com o tipo de incidente. Depois, desenvolver procedimentos detalhados para esses vários tipos de incidentes.

 

 

Resposta a Incidentes: passo a passo

Imaginemos acordar e encontrar os dados críticos da nossa empresa comprometidos, a confiança dos clientes destruída e as operações completamente paradas. As consequências de um ciberataque podem ser assustadoras, mas uma resposta eficaz pode significar a diferença entre catástrofe e recuperação.


Abaixo encontramos os passos críticos a tomar imediatamente após uma violação ou ciberataque de qualquer tipo:

  • Deteção e identificação: reconhecer a ocorrência de um ciberataque através de ferramentas de monitorização do sistema e de deteção de ameaças;
  • Contenção: isolamento dos sistemas afetados para evitar mais danos e impedir a propagação do ataque;
  • Modo degradado: reiniciar os serviços vitais em modo degradado, se o incidente interromper serviços importantes;
  • Erradicação: remover o software malicioso e resolver as vulnerabilidades para eliminar a ameaça;
  • Recuperação: restabelecer os sistemas e os dados para o seu estado anterior ao ataque, garantindo a segurança e a funcionalidade.
  • Comunicação: informar as partes interessadas, notificar as partes afetadas e coordenar com os organismos legais.
  • Documentação e análise: registo do incidente e dos esforços de resposta para referência e aprendizagem futuras.
  • Revisão pós-incidente: revisão do incidente, atualização das políticas de segurança e formação dos funcionários para melhorar respostas futuras.

 

Vamos aprofundar cada passo, de modo a garantir que as organizações estão totalmente preparadas para recuperar face a uma adversidade cibernética.

 

 

Passo 1: Deteção e identificação

A etapa inicial e mais crucial do processo de resposta a incidentes envolve a identificação e validação do ciberataque. As organizações devem monitorizar os seus sistemas em busca de atividades anormais e detetar rapidamente as violações para conter a propagação dos danos. Os principais aspetos a considerar são:

  • Monitorização contínua…
    • …da rede (com aparelhos de rede)
      Utilizar IDS (Intrusion Detection Systems ou, em português, Sistemas de Deteção de Intrusão), NDR (Network Detection and Response ou, em português, Deteção e Resposta de Rede), proxies e firewalls para detetar acessos não autorizados ou atividades invulgares na rede.
    • …dos endpoints
      Utilizar ferramentas EDR (Endpoint Detection and Response ou, em português, Deteção e Resposta a Endpoints) para monitorizar dispositivos endpoint em busca de sinais de ameaças, investigar atividades suspeitas e responder em conformidade.
    • …de alterações de configuração
      Garantir que todas as alterações de configuração que ocorrem na infraestrutura são desejadas e documentadas, mantendo uma base de referência e comparando regularmente a configuração atual com essa referência.
    • …para correlacionar tudo ao mesmo tempo
      Agregar e correlacionar todas as atividades da organização para implementar sistemas de monitorização em tempo real. Ferramentas como SIEM (Security Information and Event Management ou, em português, Gestão de Informações e Eventos de Segurança) ou as tecnologias XDR fornecem uma supervisão abrangente e alertam para quaisquer anomalias. O Managed SOC (Security Operations Center) também pode ajudar na monitorização. Utilizar ainda ferramentas UEBA (User and Entity Behaviour Analytics) para monitorizar atividades e detetar desvios dos padrões de comportamento típicos. Isto ajuda a identificar contas comprometidas ou ameaças internas.

  • Auditorias de segurança regulares
    Efetuar auditorias regulares e avaliações de vulnerabilidades para identificar os pontos fracos antes de poderem ser explorados. Estas medidas proativas ajudam a reconhecer potenciais pontos de entrada para os atacantes.

  • Equipa de resposta a incidentes
    Assegurar que a equipa de resposta a incidentes tem formação e está preparada para agir rapidamente após a deteção de qualquer atividade suspeita. Esta equipa deve estar munida de protocolos claros para identificar e escalar potenciais ameaças.

 

 

Passo 2: Contenção

Assim que um ataque é detetado, a prioridade imediata é contê-lo para evitar mais danos. Esta etapa envolve o isolamento dos elementos comprometidos para impedir a propagação e limitar o impacto. Além de seguir os manuais definidos inicialmente, eis as principais estratégias e ferramentas para conter eficazmente um ataque:

  • Segmentação de rede
    Implementar segmentação da rede para isolar os sistemas comprometidos do resto da rede. Isto pode ser conseguido através de VLANs (Virtual Local Area Networks) e regras de firewall para criar segmentos de rede separados.

  • Isolamento de endpoints
    Utilizar ferramentas EDR para isolar da rede os terminais afetados. Estas ferramentas podem colocar em quarentena, remotamente, os dispositivos infetados, impedindo a propagação de malware.

  • Bloqueio de comportamentos maliciosos
    Utilizar firewalls para bloquear endereços IP maliciosos que possam ter causado a infeção. Utilizar listas de bloqueio EDR e dispositivos de rede para bloquear a transferência e execução de ficheiros maliciosos.

  • Bloqueio de execução de aplicações
    Restringir a execução de aplicações não autorizadas através de listas de bloqueio de aplicações pode ajudar a impedir a propagação de malware.

  • Controlo de acesso
    Ajustar os controlos de acesso e as permissões para limitar a propagação do ataque. Isto envolve a desativação de contas de utilizador comprometidas, a revogação de privilégios desnecessários e a aplicação do princípio do menor privilégio (PoLP) nas políticas de acesso.

  • Plataformas de resposta a incidentes
    Utilizar plataformas de resposta a incidentes para coordenar os esforços de contenção. Estas plataformas fornecem manuais e fluxos de trabalho automatizados para remediar rapidamente os sistemas afetados.

  • Pesquisa exaustiva de indícios de propagação de malware  
    Procurar vestígios por toda a empresa de que a ameaça pode ter comprometido outros ativos.

 

 

Passo 3: Modo degradado

Depois de nos certificarmos que a ameaça está contida, se o incidente tiver um grande impacto na infraestrutura é importante reiniciar primeiro os serviços vitais, para garantir que as atividades básicas da empresa continuam a funcionar.


Para tal, é necessário ter um plano do que fazer, em que ordem, e conhecer a importância de cada aparelho.

 

 

Passo 4: Erradicação

Depois de lidar com a ameaça, o próximo passo é eliminar a causa da mesma. Isto inclui a remoção completa de quaisquer componentes maliciosos dos sistemas e a resolução das vulnerabilidades que levaram ao ataque.


Este passo garante que a ameaça é completamente neutralizada e reduz o risco de reinfeção. Eis os principais aspetos e ferramentas para uma erradicação bem-sucedida:

  • Ferramentas de remoção de malware
    Utilizar ferramentas especializadas para detetar e remover malware dos sistemas infetados.

  • Redefinição de palavras-passe
    Alterar as palavras-passe de todas as contas comprometidas, incluindo as contas de sistema e de rede.

  • Anulação de ações de malware
    Anular todas as alterações efetuadas pelo malware, se essas alterações puderem ser identificadas e anuladas. Caso contrário, deve ser privilegiada a reversão para um estado standard anterior.

 

Passo 5: Recuperação

Após a eliminação das ameaças, os esforços continuam para restaurar e certificar o sistema. Esta etapa foca-se no restabelecimento do funcionamento normal dos sistemas após um ataque, garantindo que estão seguros e a funcionar corretamente.

 

Esta etapa é necessária para reduzir o tempo de processamento e tranquilizar as partes interessadas. Eis os principais aspetos e ferramentas para uma boa recuperação:

  • Redesenho do sistema
    Fazer reset aos sistemas comprometidos para um estado limpo. Isto envolve a reinstalação do sistema operativo e das aplicações a partir de fontes fidedignas.

  • Gestão de patches
    Aplicar patches e atualizações de segurança para corrigir as vulnerabilidades exploradas pelos atacantes.

  • Restauro do sistema
    Restaurar os sistemas afetados a partir de cópias de segurança limpas. Utilizar soluções de cópia de segurança e recuperação para garantir que é possível restaurar rapidamente os dados e sistemas para o seu estado anterior ao ataque.

  • Verificações da integridade dos dados
    Verificar a integridade dos dados restaurados para garantir que não foram adulterados.

  • Validação do sistema
    Testar exaustivamente os sistemas para confirmar que estão a funcionar corretamente e em segurança.

 

 

Passo 6: Comunicação

Uma comunicação eficaz durante e após o processo de resposta a incidentes é essencial para garantir a transparência, manter a confiança e coordenar esforços em toda a empresa.

 

Eis os principais elementos e equipamentos para gerir a comunicação durante um incidente:

  • Plano de resposta a incidentes
    Seguir o plano de comunicação definido anteriormente, como parte da estratégia de resposta a incidentes. Este plano deve indicar quem deve ser informado, que informações devem ser partilhadas e como deve ser feita a comunicação.

  • Ferramentas de comunicação interna
    Utilizar ferramentas de mensagens para facilitar a comunicação e a colaboração em tempo real entre a equipa de resposta a incidentes.

  • Atualização das partes interessadas
    Manter as partes interessadas informadas sobre o estado do incidente, as medidas que estão a ser tomadas para o resolver e qualquer potencial impacto.

  • Comunicação com os clientes
    Informar os clientes sobre qualquer potencial impacto nos seus dados e sobre as medidas que estão a ser tomadas para os proteger.

  • Comunicação pós-incidente
    Depois de o incidente ter sido resolvido, comunicar os resultados e quaisquer alterações implementadas para evitar ocorrências futuras.

  • Formação e sensibilização
    Educar os funcionários sobre a importância da comunicação durante um incidente e dar-lhes formação sobre como utilizar eficazmente as ferramentas de comunicação designadas.

  • Partilha de informações
    Partilhar informações sobre o que aconteceu com a CERT (Computer Emergency Response Team) local e com as equipas de segurança do país ou setor relacionado, para garantir que não são alvo das mesmas ameaças.

 

 

Passo 7: Documentação e análise

A documentação e a análise do incidente são importantes para compreender o ataque, melhorar as defesas futuras e cumprir os requisitos de conformidade.

 

Eis os principais aspetos e equipamentos para uma documentação e análise eficazes:

  • Documentação do incidente
    Manter registos detalhados do incidente, incluindo prazos, medidas tomadas e decisões adotadas.

  • Análise da causa principal
    Efetuar uma investigação exaustiva para determinar como ocorreu o ataque. Isto envolve a revisão e correlação de registos no SIEM, identificando pontos de entrada, todo o caminho de ataque e os Indicadores de Comprometimento (IoC).

  • Análise forense
    Efetuar uma análise forense para compreender como funciona o ficheiro malicioso e o que é suposto fazer.

  • Relatórios de resposta a incidentes
    Gerar relatórios de resposta a incidentes para resumir as conclusões e recomendações.

  • Gestão de conhecimento
    Armazenar a documentação do incidente e as lições aprendidas num sistema de gestão de conhecimento para referência futura.

  • Reuniões de análise pós-incidente
    Realizar reuniões de análise pós-incidente com a equipa de resposta a incidentes e as partes interessadas para rever o incidente e identificar áreas de melhoria.

 

 

Passo 8: Revisão pós-incidente

A análise pós-incidente é um passo essencial para avaliar a eficácia da resposta e descobrir áreas a melhorar.

 

Eis os aspetos fundamentais para efetuar uma análise pós-incidente:

  • Sessões de balanço
    Realizar sessões de balanço com a equipa de resposta a incidentes para discutir o incidente, as ações de resposta e os resultados.

  • Lições aprendidas
    Identificar e documentar as lições aprendidas com o incidente.

  • Planos de melhoria
    Desenvolver e implementar planos de melhoria com base nas lições aprendidas.

  • Melhorias de segurança
    Implementar medidas de segurança adicionais para proteção contra futuros ataques. Isto pode incluir a atualização das configurações de segurança, o reforço da monitorização e a melhoria dos controlos de acesso.

  • Gestão da configuração
    Assegurar que as configurações do sistema são seguras, seguindo as melhores práticas e diretrizes.

  • Atualizações de políticas e procedimentos
    Atualizar as políticas e os procedimentos de resposta a incidentes para incorporar as lições aprendidas e garantir a melhoria contínua.

  • Formação e exercícios
    Realizar ações de formação e simulacros adicionais com base nas conclusões da análise do incidente.

  • Métricas e KPI
    Estabelecer métricas e indicadores-chave de desempenho (KPI) para medir a eficácia do processo de resposta a incidentes.

  • Feedback das partes interessadas
    Recolher feedback das partes interessadas sobre o processo e os resultados da resposta a incidentes.

  • Monitorização contínua
    Melhorar a monitorização contínua para garantir que as melhorias são eficazes e para detetar quaisquer novas vulnerabilidades ou ameaças.

 

 

Conclusão

Compreender e implementar um plano robusto de Resposta a Incidentes é importante para qualquer empresa que enfrente a inevitável ameaça de ciberataques. A nossa Alter CERT, parte da InterCert França, destaca-se na fase de deteção e identificação, utilizando ferramentas avançadas para identificar e analisar rapidamente as ameaças. Para a contenção, os nossos Managed Security Services implementam medidas de resposta rápida para isolar os sistemas afetados e impedir a propagação do ataque.


Durante a fase de erradicação, a nossa equipa especializada trabalha cuidadosamente para remover o código malicioso e proteger os sistemas comprometidos, utilizando tecnologias líderes do setor. Na fase de recuperação, o nosso Managed SOC garante que os sistemas são restaurados para o funcionamento normal com o mínimo de tempo de inatividade, empregando estratégias para recuperar dados perdidos e validar a integridade do sistema.


Com os serviços de Resposta a Incidentes da Alter Solutions, as organizações estão mais preparadas para enfrentar os desafios colocados pelas ciberameaças e ataques, sabendo que têm um parceiro de confiança para as orientar em cada passo do processo.
Partilha este artigo