Vamos encarar: as ameaças cibernéticas não vão a lugar nenhum. À medida que a tecnologia continua a evoluir e crescer, o mesmo acontecerá com as táticas e técnicas usadas pelos agentes de ameaças. Um relatório recente da Statista estima que o custo global do crime cibernético chegará a US$ 15,63 trilhões até 2029. Para combater isso, uma das coisas mais importantes que as organizações podem fazer é estar preparadas. De acordo com o National Institute of Standards and Technology (NIST), o ciclo de vida de resposta a incidentes pode ser dividido em quatro estágios principais, com o primeiro, e sem dúvida o mais importante, sendo a preparação.
Sua organização pode tomar várias medidas preparatórias proativas para garantir a prontidão de resposta a incidentes (IR), incluindo a avaliação do cenário de ameaças existente em seu ambiente. Essas medidas incluem a realização de avaliações de risco regulares, a implementação de políticas de segurança abrangentes e o fornecimento de monitoramento contínuo e coleta de inteligência de ameaças. As organizações podem aprimorar suas capacidades de IR investindo em programas de treinamento e exercícios de simulação, permitindo uma reação rápida e eficaz a incidentes cibernéticos.
Vamos examinar várias atividades de prontidão que podem ser conduzidas bem antes de qualquer incidente de segurança cibernética. Essas atividades podem, em última análise, ajudar a melhorar a maturidade geral de IR e segurança cibernética da sua organização.
1. Realizar uma avaliação de prontidão para RI
Sentir-se preparado para o pior cenário pode ser enganoso porque organizações não testadas podem não compreender totalmente o que desconhecem. As avaliações de prontidão conduzidas por um terceiro externo fornecem uma perspectiva crítica sobre o estado atual de prontidão da sua organização. Essas avaliações devem incluir a avaliação de processos, procedimentos, pessoal, documentação e tecnologia para avaliar a maturidade da prontidão geral de IR da sua organização. Ao contrário de uma auditoria, essas avaliações são projetadas para identificar potenciais fraquezas que podem prejudicar sua capacidade de responder efetivamente a um incidente.
As organizações podem abordar proativamente deficiências fora do engajamento ativo identificando pessoas (lacunas de capacidade e habilidade), processos ou tecnologia. Essa abordagem proativa identifica oportunidades para fortalecer a resiliência contra ameaças cibernéticas e aumenta a prontidão. Em última análise, essas avaliações capacitam as organizações a fortalecer suas defesas e se proteger melhor em um cenário de segurança cibernética cada vez mais complexo e desafiador.
2. Desenvolva um plano de RI robusto
Um plano de IR serve como um guia abrangente para gerenciar incidentes cibernéticos. Ele descreve meticulosamente as estratégias de resposta da sua organização antes, durante e depois de incidentes de qualquer tipo e gravidade. Ele também detalha a estrutura da sua equipe de IR, especificando funções e responsabilidades para garantir clareza e eficiência durante um incidente.
O plano abrange as etapas essenciais do IR: preparação, detecção e análise, contenção, erradicação e recuperação, e atividade pós-incidente. Cada etapa é projetada para abordar e mitigar metodicamente o impacto dos incidentes, garantindo uma abordagem estruturada para o gerenciamento de incidentes. Além disso, um plano eficaz define metas e objetivos, níveis de gravidade do incidente e outros elementos cruciais que contribuem para uma estrutura de resposta abrangente.
Mais importante, o plano de IR deve ser visto como um documento vivo. Ele requer atualizações e manutenção regulares para permanecer eficaz e relevante. A Fortinet recomenda conduzir uma revisão semestral do plano e uma avaliação após cada incidente significativo. Este processo de revisão garante que as lições aprendidas sejam integradas ao plano e que quaisquer mudanças organizacionais sejam refletidas e abordadas.
Sem esse plano, as organizações podem tomar decisões ad hoc durante uma crise, levando a resultados dispendiosos e ineficazes. Um plano de IR bem mantido fornece um roteiro claro durante incidentes e aprimora a capacidade da sua organização de responder rápida e efetivamente aos desafios.
3. Forneça orientação por meio de manuais de IR
Os playbooks de resposta a incidentes são uma extensão essencial do plano de IR mais amplo, oferecendo procedimentos padronizados adaptados a incidentes específicos. Esses playbooks fornecem uma estrutura clara e acionável que descreve as etapas precisas que uma organização deve tomar para se preparar, responder e se recuperar de cada tipo distinto de incidente. Ao focar em cenários de incidentes específicos, os playbooks garantem que a resposta não seja apenas rápida, mas também eficaz e consistente.
Cada manual de IR fornece orientação detalhada sobre todas as fases do IR, incluindo preparação, detecção e análise, contenção, erradicação, recuperação e atividade pós-incidente. Esses documentos também devem ser projetados para serem abrangentes, apresentando itens de ação passo a passo atribuídos a membros específicos da equipe de resposta. Esse nível de detalhe garante que todas as tarefas sejam contabilizadas e que todos os objetivos sejam atendidos durante uma resposta a incidente.
Os playbooks típicos incluem ransomware, malware, comprometimento de e-mail comercial, ataques de negação de serviço, incidentes de perda de dados, dispositivos perdidos ou roubados, ameaças internas e vulnerabilidades de dia zero. O playbook deve delinear ações e responsabilidades específicas para cada cenário, garantindo que a equipe de resposta esteja bem preparada para lidar com um incidente de forma eficiente e confiante.
4. Teste seu plano de RI usando exercícios de mesa
Uma vez que um plano de IR e um manual estejam em vigor, é hora de testá-los com um exercício de mesa. De acordo com o NIST , um exercício de mesa é “um exercício baseado em discussão onde o pessoal… [discute] seus papéis durante uma emergência e suas respostas a uma situação de emergência específica.”
Para simplificar, um exercício de mesa é como um jogo de RPG. Um facilitador fornece aos participantes fatos, ou “injeções”, sobre um incidente fictício de segurança cibernética. Os participantes então discutem como responder a esses fatos usando o plano de IR e o manual como um guia. Esses exercícios podem ser desenvolvidos e atendidos a um público específico, geralmente como um exercício operacional para membros da equipe técnica ou um exercício de nível sênior, onde os líderes organizacionais se concentram em decisões relacionadas a negócios e políticas durante um incidente.
Exercícios de mesa devem ser conduzidos pelo menos anualmente. No entanto, um ciclo trimestral é ideal para que as equipes se mantenham atualizadas e melhorem sua resposta a incidentes de segurança cibernética.
5. Desenvolver inventários de sistemas e diagramas de rede
Infelizmente, muitos profissionais de segurança e TI não sabem quais recursos de IR existem ou como acessá-los. Isso dificulta que as equipes de segurança entendam o contexto de uma atividade observada ou descubram com eficiência a amplitude e a profundidade de um incidente. Também não é incomum que profissionais de segurança e TI não saibam quais dados podem ser impactados quando um sistema é comprometido. Em qualquer cenário, um tempo crítico pode ser desperdiçado rastreando proprietários de negócios, construindo mapas de rede ou outras atividades que deveriam ter ocorrido bem antes de um incidente. Isso pode retardar significativamente os esforços de resposta e aumentar o impacto nos negócios.
Os inventários de sistemas devem incluir informações como o proprietário do negócio, funcionalidade do sistema, nomes de host e IPs, classificação de dados, criticidade de dados, informações relevantes de auditoria ou regulatórias e outras informações cruciais de identificação que podem ser úteis para os respondentes de incidentes. Essas informações podem ajudar a identificar e garantir respostas oportunas aos sistemas mais críticos em toda a organização. Entender os processos de negócios associados a esses sistemas é essencial para que decisões informadas possam ser tomadas durante todo o incidente.
Os diagramas de rede auxiliam os respondedores de incidentes a entender onde os sistemas estão, como a rede é segmentada e potenciais pontos de estrangulamento ou pontos de isolamento que podem ser usados para ajudar a conter e erradicar um agente de ameaça. Desenvolver inventários de sistemas e diagramas de rede antes de um incidente permite uma resposta mais eficiente e eficaz, permitindo que os respondedores entendam o impacto organizacional de um determinado sistema sendo comprometido durante um incidente.
6. Implementar um processo de gerenciamento de patches
Os agentes de ameaças prosperam explorando vulnerabilidades em sistemas voltados para a Internet como um vetor de acesso inicial. Com base nos engajamentos de IR tratados pela equipe de IR do FortiGuard no segundo semestre de 2023 e no primeiro semestre de 2024, 46% de todos os incidentes foram diretamente o resultado de uma exploração em um aplicativo voltado para o público. Os fornecedores geralmente fornecem patches para essas vulnerabilidades semanas, meses e, às vezes, anos antes de serem exploradas pelo agente de ameaças. Embora se possa argumentar que a aplicação de patches não é infalível devido a vulnerabilidades de dia zero, a aplicação de patches em vulnerabilidades conhecidas estreita com eficiência o cenário de ameaças da organização e remove frutas fáceis que podem ser um ponto de entrada atraente.
7. Realizar avaliações regulares de vulnerabilidade e coordenar testes regulares de penetração
As avaliações de vulnerabilidade são críticas para avaliar e refinar a eficácia de um processo de gerenciamento de patches. Essas avaliações são tipicamente direcionadas para atingir IPs ou sistemas internos ou externos, empregando ferramentas automatizadas e técnicas manuais para examinar vulnerabilidades existentes em sistemas, aplicativos e dispositivos de rede. É essencial durante essas avaliações revisar meticulosamente os resultados para eliminar falsos positivos e avaliar com precisão o impacto potencial das vulnerabilidades na organização.
Enquanto as avaliações de vulnerabilidade se concentram em vulnerabilidades conhecidas, os testes de penetração desempenham um papel complementar na descoberta de fraquezas desconhecidas que podem comprometer as redes, sistemas ou aplicativos da sua organização. Os testes de penetração podem ser adaptados para ambientes específicos, como redes internas ou externas, ou até mesmo se concentrar em segmentos individuais dentro dessas redes. Essas avaliações são projetadas para identificar potenciais pontos de entrada que os agentes de ameaças podem explorar para se infiltrar em ambientes externos ou girar dentro de redes internas. Alternativamente, os testes de penetração podem se concentrar em um aplicativo web ou móvel específico, conduzindo um exame completo para identificar potenciais vulnerabilidades que podem ser exploradas para fins maliciosos ou para obter acesso não autorizado dentro de uma rede.
Embora os requisitos regulatórios possam exigir testes de penetração anuais para ambientes específicos, é prudente para muitas organizações conduzir essas avaliações com mais frequência. Dada a natureza dinâmica dos ambientes em rede, com integração contínua de novos sistemas e tecnologias, as avaliações de vulnerabilidade devem ser programadas com frequência, geralmente mensalmente, com testes de penetração ocorrendo comumente pelo menos anualmente e, se possível, com mais frequência.
8. Revise o ambiente do Active Directory
As infraestruturas do Active Directory (AD) normalmente se expandem conforme as organizações crescem organicamente. Embora integrais aos programas de Gerenciamento de Identidade e Acesso (IAM), os ambientes do AD são frequentemente negligenciados em termos de gerenciamento completo e supervisão de segurança. Conduzir uma revisão abrangente do ambiente do AD é crucial para garantir o alinhamento com recomendações críticas da Microsoft e de órgãos de padronização, como o NIST. Esse alinhamento aprimora a postura geral de segurança da configuração do AD e facilita a otimização de recursos de registro para dar suporte à coleta de dados e impulsionar esforços mais eficazes de detecção e investigação de incidentes.
Uma avaliação de um ambiente de AD deve incluir a avaliação de sua configuração em relação às melhores práticas do setor. Esse processo visa identificar e remediar potenciais lacunas de segurança, configurações incorretas ou vulnerabilidades que agentes mal-intencionados podem explorar. Ao implementar protocolos recomendados, as organizações podem reduzir significativamente seu cenário geral de ameaças e fortalecer suas defesas contra acesso não autorizado e possíveis violações.
Revisar e aprimorar o registro do AD é essencial para uma resposta rápida e precisa a incidentes. Registros configurados corretamente fornecem insights cruciais sobre atividades do usuário, tentativas de autenticação e eventos do sistema, permitindo que as equipes de segurança detectem e mitiguem ameaças prontamente. Essa abordagem proativa ajuda a mitigar riscos potenciais e garante a conformidade com os requisitos regulatórios e padrões do setor. Investir em uma revisão completa e gerenciamento contínuo do ambiente do AD é essencial para manter práticas robustas de IAM e reforçar a resiliência geral da segurança cibernética.
9. Habilitar registro central e garantir monitoramento
Muitos incidentes de segurança cibernética podem persistir sem serem detectados por semanas ou até meses, ressaltando o papel crítico dos logs na investigação eficaz de incidentes. Adotar uma abordagem baseada em risco é essencial para determinar quais logs capturar, definir períodos de retenção e estabelecer o nível de detalhes necessário para dar suporte ao processo investigativo. Ao agregar logs gerados por dispositivos, redes e soluções de segurança, as organizações podem correlacionar dados para auxiliar nas investigações e detectar comportamentos anômalos em seu ambiente.
O registro centralizado forma a base de um programa de detecção eficaz, mas monitorar essas informações coletadas é igualmente vital. Sem monitoramento robusto, as organizações podem ignorar ou perder alertas críticos, potencialmente aumentando os incidentes de segurança cibernética. Portanto, as organizações devem garantir diligentemente a capacidade de resposta a anomalias e alertas identificados por meio de mecanismos abrangentes de registro e alerta de segurança.
Ao integrar o registro centralizado e o monitoramento vigilante, as organizações podem identificar e responder proativamente a eventos antes que eles se transformem em incidentes completos. Essa postura proativa aprimora os recursos de IR e fortalece as defesas gerais de segurança cibernética, protegendo contra ameaças potenciais no cenário dinâmico de ameaças de hoje.
10. Não se esqueça dos usuários finais
No ano passado, a equipe de IR do FortiGuard observou um aumento notável no uso de credenciais válidas durante seus engajamentos, respondendo por aproximadamente 54% dos métodos de acesso inicial. Essa tendência ressalta a crescente sofisticação dos invasores que exploram credenciais legítimas para obter acesso não autorizado, muitas vezes permitindo que eles ignorem as medidas de segurança tradicionais. Para combater efetivamente essa ameaça, as organizações devem priorizar o perfil do comportamento normal do usuário em seus ambientes para identificar desvios indicativos de atividade maliciosa. Uma abordagem poderosa é a implementação do User and Entity Behavior Analytics (UEBA). O UEBA aproveita algoritmos avançados e aprendizado de máquina para monitorar ações do usuário, estabelecer linhas de base comportamentais e detectar anomalias que podem sinalizar incidentes de segurança. Para organizações que utilizam o FortiSIEM , a implantação de agentes FortiSIEM com UEBA habilitado pode facilitar a coleta detalhada de dados de atividade do usuário, o que pode ajudar a detectar comportamento anômalo e malicioso.
No entanto, ferramentas sofisticadas não são estritamente necessárias para análise do comportamento do usuário, desde que existam práticas de registro robustas (veja o item 9 acima). As organizações podem criar linhas de base comportamentais abrangentes registrando sistematicamente várias atividades do usuário, como horários de logon, dispositivos usados para autenticação, sistemas acessados e aplicativos utilizados. Essas linhas de base permitem a identificação de desvios que podem indicar potenciais incidentes de segurança cibernética. Definir o que constitui comportamento normal e estabelecer limites para atividades anormais são etapas cruciais. Quando anomalias são detectadas, elas podem indicar contas comprometidas ou ameaças internas, necessitando de investigação e resposta imediatas. Independentemente de como a análise do comportamento do usuário é conduzida, é crucial ter um manual em vigor para resposta e socorristas.
Integrar o perfil de comportamento em estratégias de segurança é essencial para mitigar a crescente ameaça de uso indevido de credenciais. Ao alavancar o UEBA (ou mesmo o registro e monitoramento básicos), as organizações podem criar uma postura de segurança dinâmica e responsiva que pode se adaptar rapidamente para identificar e mitigar ameaças. Essa abordagem proativa aprimora a detecção precoce de atividades maliciosas, fortalece os recursos de IR e fortalece a estrutura de segurança da sua organização.
Embora esta lista não seja exaustiva, e cada organização deva tomar medidas adicionais, ela abrange as fraquezas mais comuns encontradas nas organizações com as quais a Fortinet trabalha. Recomendamos fortemente que as organizações comecem trabalhando nos quatro primeiros itens da lista sequencialmente, especialmente se eles não foram feitos ou não estão atualmente em vigor. Os itens restantes devem ser priorizados com base em seus objetivos de negócios.
