Autores: Ed McAndrew e Anthony Di Bello

Cibercriminosos constantemente procuram novos métodos para superarem as medidas de segurança das organizações. Uma pesquisa encomendada pela Guidance Software e conduzida pelo SANS Institute indicou que 56% dos entrevistados supõem terem sido violados ou estarem prestes a serem em um futuro próximo. Ano passado, apenas 47% indicaram o mesmo.

O Procurador Federal e Coordenador de Cibercrime do distrito de Delaware, Ed McAndrew, e o diretor de Segurança de Software Anthony Di Bello separaram as melhores práticas preparação e resposta a ciberataques:

1. Tenha um plano de resposta

Criar planos e procedimentos estabelecidos e acionáveis para o gerenciamento e resposta a intrusões cibernéticas pode ajudar as empresas e limitarem os danos a suas redes, minimizando a paralisação da operação. Também ajuda os policiais e agentes federais a localizar e apreender os criminosos.

2. Identifique os ativos principais

Limitações de custo podem impedir a proteção de toda e empresa. Antes de criar um plano para incidentes cibernéticos, uma organização deve determinar quais de seus dados, ativos e serviços demandam a maior proteção. O Cybersecurity Framework produzido pelo National Institute of Standards and Technology (NIST) fornece bons guias para planos de gerenciamento de riscos e consideração de políticas e méritos.

3. Faça uma avaliação inicial da ameaça

Ao identificar um ataque ou invasão, é essencial avaliar a natureza e vastidão do incidente. Também é importante determinar se ele consiste em um ato malicioso ou falha tecnológica. A natureza do incidente determinará a assistência que a empresa irá necessitar e qual tipo de dano e esforços de remediação serão exigidos.

4. Procure os órgãos legais antes de qualquer ataque

Ter uma relação pré-existente com as agências responsáveis pode facilitar as interações em caso de invasão. Também auxiliará ao estabelecer confiança entre as partes, promovendo o compartilhamento de informações que beneficia a ambas.

5. Tenha um plano de ação pós-ataque

Estabeleça procedimentos que abordem as medidas a serem tomadas após uma invasão. Isso inclui identificar os responsáveis por diferentes elementos da resposta de uma empresa a ciberataques, a capacidade de entrar em contato com funcionários essenciais a qualquer momento, saber como preservar dados relacionados ao incidente de uma forma forense e o conhecimento de quais dados, redes e serviços são críticos para a operação.

6. Conheça e isole a extensão dos danos

Idealmente, a organização vítima de um ciberataque fará a imagem forense dos computadores afetados tão logo a invasão for detectada. Isso preserva o registro do sistema para análises e potencialmente para ser usado como provas em um julgamento. As empresas devem restringir o acesso a esses materiais, de modo a preservar a integridade da autenticidade da cópia. Proteger esses materiais de intenções maliciosas internas e estabelecer uma cadeia de custódia é recomendado.

7. Atue para minimizar danos adicionais

Para impedir que o ataque se espalhe, você deve agir para interromper o tráfego originado pelo agressor. Medidas preventivas incluem reencaminhar o tráfego de rede, filtrar ou bloquear ataques distribuídos de negação de serviço (DoS) e isolar todas as partes da rede comprometida.

8. Mantenha relatórios detalhados

Atue imediatamente para preservar registros relevantes existentes. Todos os funcionários envolvidos na resposta ao incidente devem manter registros detalhados e constantes das medidas tomadas para mitigar a invasão e dos custos resultantes. Todos os incidentes envolvendo comunicação, identidade dos sistemas, contas, serviços, dados e redes afetadas devem ser documentados.

9. Notifique as agências governamentais responsáveis

Muitas empresas ficam relutantes em contatar os órgãos legais após ciberataques, temendo que uma investigação criminal interrompa seus negócios. Normalmente, os investigadores buscam causar a menor suspensão possível. Essas agências também tentarão coordenar declarações à mídia sobre o incidente, garantindo que as informações danosas aos interesses das companhias não sejam divulgadas.

10. Trabalhe com a polícia para contatar outras vítimas potenciais

Comunicar outras possíveis vítimas com a mediação dos agentes governamentais é preferível a fazê-lo diretamente. Isso protege a vítima inicial de exposição desnecessária e permite a continuação das investigações.

11. Informe-se a respeito de ameaças

Estar ciente de vulnerabilidades muito exploradas pode ajudar a empresa a priorizar medidas de segurança. Algumas companhias compartilham informações de ameaças em tempo real. Centros de Compartilhamento de Informações e Análises, que estudam ameaças cibernéticas, foram criados em cada setor da infraestrutura crítica, com alguns fornecendo serviços de segurança.

Fonte: ComputerWorld