À medida que grande parte da força de trabalho aprova as férias, os hackers estão intensificando seu mercado. Sem dúvida, veremos um aumento na atividade à medida que os hackers continuarem a lançar golpes de comércio eletrônico e ataques de phishing com temas natalinos. Os hackers adoram usar essas táticas para induzir os usuários finais a comprometer não apenas seus dados pessoais, mas também os dados de sua organização.
Mas isso não significa que você deva passar as próximas semanas em constante estado de ansiedade.
Em vez disso, use este momento como uma oportunidade para garantir que seu plano de resposta a incidentes (IR) seja sólido.
Onde começar?
Primeiro, certifique-se de que sua estratégia siga as seis etapas para concluir a resposta a incidentes:
Os 6 passos de um IR completo
- Preparação: Esta é a primeira fase e envolve a revisão das medidas e políticas de segurança existentes; realizando avaliações de risco para encontrar vulnerabilidades potenciais; e estabelecer um plano de comunicação que estabeleça protocolos e alerte a equipe sobre possíveis riscos de segurança. Durante as férias, o estágio de preparação do seu plano de RI é crucial, pois oferece a você a oportunidade de comunicar as ameaças específicas das férias e colocar as rodas em movimento para lidar com essas ameaças à medida que forem identificadas.
- Identificação: A fase de identificação é quando um incidente foi identificado, seja um que tenha ocorrido ou esteja em andamento. Isso pode acontecer de várias maneiras: por uma equipe interna, um consultor terceirizado ou provedor de serviços gerenciados ou, na pior das hipóteses, porque o incidente resultou em uma violação de dados ou infiltração em sua rede. Como muitos hacks de segurança cibernética envolvem credenciais de usuário final, vale a pena discar mecanismos de segurança que monitoram como suas redes estão sendo acessadas.
- Contenção: O objetivo da etapa de contenção é minimizar os danos causados por um incidente de segurança. Esta etapa varia de acordo com o incidente e pode incluir protocolos como isolar um dispositivo, desabilitar contas de e-mail ou desconectar sistemas vulneráveis da rede principal. Como as ações de contenção geralmente têm implicações comerciais graves, é imperativo que as decisões de curto e longo prazo sejam determinadas com antecedência, para que não haja problemas de última hora para resolver o problema de segurança.
- Erradicação: Depois de conter o incidente de segurança, o próximo passo é garantir que a ameaça foi completamente removida. Isso também pode envolver medidas investigativas para descobrir quem, o quê, quando, onde e por que o incidente ocorreu. A erradicação pode envolver procedimentos de limpeza de disco, restauração de sistemas para uma versão de backup limpa ou recriação completa do disco. O estágio de erradicação também pode incluir a exclusão de arquivos maliciosos, modificação de chaves de registro e possivelmente reinstalação de sistemas operacionais.
- Recuperação: O estágio de recuperação é a luz no fim do túnel, permitindo que sua organização volte ao normal. Assim como a contenção, os protocolos de recuperação são melhor estabelecidos de antemão para que medidas apropriadas sejam tomadas para garantir a segurança dos sistemas.
- Lições aprendidas: Durante a fase de lições aprendidas, você precisará documentar o que aconteceu e observar como sua estratégia de RI funcionou em cada etapa. Este é um momento importante para considerar detalhes como quanto tempo levou para detectar e conter o incidente. Houve algum sinal de malware persistente ou sistemas comprometidos após a erradicação? Foi um golpe conectado a um esquema de hackers de férias? E se sim, o que você pode fazer para evitá-lo no próximo ano?
Como as equipes de segurança enxutas podem se estressar menos neste período de épocas festivas
Incorporar as melhores práticas em sua estratégia de RI é uma coisa. Mas criar e implementar essas práticas recomendadas é mais fácil dizer do que fazer quando você não tem tempo ou recursos.
Líderes de equipes de segurança menores enfrentam desafios adicionais desencadeados por essa falta de recursos. Orçamentos básicos combinados com a falta de pessoal suficiente para gerenciar as operações de segurança estão deixando muitas equipes de segurança enxutas resignadas com a ideia de que não serão capazes de manter sua organização protegida contra ataques violentos que frequentemente vemos durante as festas de fim de ano.
REFERÊNCIAS:
https://thehackernews.com/2022/12/accelerate-your-incident-response.html