O que é resposta a incidentes?
A resposta a incidentes (IR, pela sigla em inglês) é o esforço para identificar rapidamente um ataque, minimizar seus efeitos, conter os danos e corrigir a causa para reduzir o risco de incidentes futuros.
Vamos definir a resposta a incidentes
Quase todas as empresas têm, de certo modo, um processo de resposta a incidentes. No entanto, para as empresas que desejam estabelecer um processo mais formal, estas são as perguntas pertinentes que devem ser feitas:
- Quais são as etapas para acionar as partes responsáveis envolvidas na resposta a um incidente, caso surja algum?
- Qual nível de abrangência e especificidade deve ter seu plano de resposta?
- Você tem funcionários suficientes (e as pessoas certas) para responder adequadamente?
- Quais são os SLAs aceitáveis para responder a um incidente e retornar às operações normais?
Provavelmente, as respostas a essas perguntas não serão as ideais, já que a maioria das empresas não consegue atender conforme o esperado a uma área ou mais, de acordo com um estudo do Ponemon Institute:
77% das empresas não têm um plano formal aplicado de forma consistente
57% indicam que houve um aumento no tempo de resposta
77% dizem ter dificuldade para contratar e reter a equipe de segurança*
Em média, são necessários 214 dias para identificar um ataque mal-intencionado ou criminoso, e 77 dias para contê-lo e concluir a recuperação. Está claro que é necessário melhorar o gerenciamento de resposta a incidentes para proteger totalmente as organizações contra o número crescente e acelerado de ameaças que elas enfrentam todos os dias.
*Estudo da IBM: Responding to Cybersecurity Incidents Still a Major Challenge for Businesses
Visão geral das soluções de segurança da VMware
A administração de Biden orienta as agências federais a corrigir vulnerabilidades conhecidas
O ABC da resposta a incidentes
A. A equipe certa: para fornecer a resposta a incidentes mais eficaz, os especialistas do setor sugerem que você inclua as seguintes funções em sua equipe, independentemente do tamanho da sua empresa. Obviamente, a equipe técnica assumirá a liderança, mas há outras áreas funcionais da empresa que devem participar, principalmente se ocorrer um ataque grave. Depois que as pessoas com estas funções forem identificadas, informe-as sobre suas responsabilidades caso ocorra um ataque grave e extenso com ramificações generalizadas: resposta a incidentes, análise de segurança, TI, pesquisa de ameaças, jurídico, recursos humanos, comunicações corporativas, gerenciamento de riscos, executivos e especialistas forenses de segurança externa.
B. O plano certo: um plano abrangente de resposta a incidentes inclui, no mínimo, as seguintes táticas e processos:
- Preparar a equipe para lidar com qualquer tipo de ameaça
- Detectar e identificar o tipo e a gravidade de um incidente após sua ocorrência
- Conter e limitar os danos
- Determinar o impacto e os riscos associados
- Identificar e eliminar a causa raiz
- Mitigar e resolver o ataque
- Analisar e modificar o plano pós-ataque para evitar ataques futuros
A comunicação é fundamental quando um ataque está em andamento. Portanto, certifique-se de estabelecer um bom fluxo de comunicação como parte de seu plano de resposta.
C. As ferramentas certas: com um número cada vez maior de ataques desconhecidos, as ferramentas certas podem levar sua empresa a economizar muito tempo e dinheiro, além de ajudar a proteger a fidelidade de seus clientes e a marca.
As informações são um ativo essencial para qualquer plano de resposta a incidentes. Por isso, uma solução de segurança de endpoints com base em nuvem normalmente fornece as ferramentas mais abrangentes para mitigar ataques da maneira mais rápida, incluindo o acesso a dados-chave proporcionado pelas seguintes soluções:
- A captura de dados não filtrados, que fornece às equipes de resposta informações sobre o comportamento do endpoint, e não apenas os padrões e comportamentos de ataque descobertos anteriormente. Essa é a chave para encurtar uma investigação de ataque de dias para minutos, considerando especialmente a quantidade crescente de métodos de ataques desconhecidos que estão sendo utilizados atualmente.
- As técnicas de análise de dados, que fornecem visibilidade de todas as atividades dos endpoints, sejam atuais ou passadas. Com os dados certos, você pode ver onde o ataque começou e identificar o caminho que ele percorreu. Tudo isso ajudará a corrigi-lo com mais rapidez.
- A inteligência de detecção de ameaças externas, que ajuda a identificar rapidamente as ameaças que você ainda não viu, mas que outras empresas já viram. Mais uma vez, se você souber com o que está lidando, poderá reagir com mais rapidez
- Os recursos de resposta em tempo real, que ajudam você a corrigir endpoints remotos e eliminar a recriação de imagem desnecessária.
Terceiro estudo anual sobre organização com resiliência cibernética
Industry Pulse: A deslocalização e terceirização são a solução para a resposta insatisfatória a incidentes?
Quase todas as pesquisas sobre os desafios de segurança das empresas incluem estatísticas sobre a dificuldade de contratar e reter pessoal de segurança qualificado, a exemplo também do que afirmaram os 77% de pessoas entrevistadas no estudo do Ponemon acima. Há uma escassez de quase dois milhões de pessoas em cargos essenciais de segurança, que está atingindo rapidamente todo o mundo.
A falta dos funcionários certos na área de segurança pode afetar gravemente qualquer resposta a incidentes, tanto é assim que as empresas estão procurando terceirizar funções de segurança como essa. Na verdade, o Gartner acredita que os gastos com serviços de deslocalização e terceirização de segurança atingirão mais de US$ 18 bilhões em 2018, o segundo maior gasto com segurança depois da consultoria.
Dada a dificuldade de contratar as pessoas certas, isso faz sentido, pois um serviço gerenciado pode preencher rapidamente qualquer lacuna em sua equipe de segurança. Ele pode ajudar você a priorizar alertas, descobrir novas ameaças e acelerar investigações. Esses serviços normalmente são compostos por especialistas em ameaças altamente qualificados que podem manter uma vigilância constante sobre o ambiente da sua empresa, identificando ameaças emergentes e fornecendo acesso a serviços de segurança essenciais quando sua equipe precisar de mais ajuda.
A resposta: as pessoas, o plano, as ferramentas e o fornecedor ideais
Mesmo que você tenha as pessoas, o plano e as ferramentas ideais internamente, ainda há a possibilidade de algo sair do controle. Então, por que correr esse risco? É recomendável trabalhar com o fornecedor certo, que possa oferecer uma plataforma de segurança de endpoints com base em nuvem, além de recursos avançados de busca de ameaças.
Como mencionado acima, os especialistas em busca gerenciada de ameaças podem monitorar seu ambiente e notificar sua equipe sobre as ameaças emergentes. Esses especialistas podem:
- Analisar, validar e priorizar alertas para conduzir as ações certas.
- Identificar tendências e sinais de alerta antecipados e enviar recomendações de forma proativa para garantir uma resposta confiável.
- Descobrir as causas raízes por meio de planos de desenvolvimento que fornecem contexto adicional para otimizar as investigações e a análise de causa raiz.
Uma equipe de caçadores de ameaças também pode oferecer cobertura e triagem de ameaças em toda a implantação de endpoints, para que sua equipe possa se concentrar nos alertas mais importantes. Além disso, você terá acesso à inteligência global de detecção de ameaças, que ajudará você a prever ataques futuros.
Soluções e produtos relacionados
VMware Carbon Black EDR
Endpoint Detection and Response (EDR) local.
VMware Carbon Black Endpoint
Proteção de endpoints nativa da nuvem.
VMware Workspace ONE
Plataforma de espaço de trabalho digital que possibilita a confiança zero.