No atual mundo hiperconectado, a questão não é se as organizações vão enfrentar um ciberataque, mas quando. Os ciberataques ocorrem a cada 39 segundos, pelo que é natural que constituam uma ameaça constante para empresas e indivíduos. As potenciais consequências de uma violação de dados são graves, incluindo perdas financeiras, danos à reputação e interrupções operacionais.

Para protegerem os seus ativos e minimizarem o tempo de inatividade, é essencial que as empresas tenham um plano de resposta a incidentes bem definido. Este artigo descreve os passos essenciais a tomar perante um ciberataque, de forma a ultrapassar momentos de crise e a restabelecer as operações normais.

Preparação da resposta a incidentes

Ter um plano abrangente de resposta a incidentes em vigor antes da ocorrência de uma crise é crucial para minimizar os danos e acelerar os esforços de recuperação. Alguns dos principais componentes de um bom plano de resposta a incidentes incluem:

• Responsabilidades de segurança bem definidasDesignar quem faz o quê no contexto de uma equipa de segurança, nomeadamente a quem os peritos reportam, quem atua na fase de remediação, quem é responsável pela qualificação do incidente, quem efetua a revisão pós-incidente, quem comunica o incidente a outras partes, etc.
• Conhecimento da infraestruturaGarantir que conhecemos corretamente a infraestrutura para podermos identificar a propagação do incidente e a sua origem – isto requer um inventário e uma cartografia de todos os ativos. Para redes maiores, também pode ser importante ter um plano B ou um modo de falha /degradado, para garantir a continuidade do serviço (ex.: ter uma lista dos servidores que devem ser reiniciados primeiro e quais podem atuar como substitutos, etc.).
• Cópia de segurança e recuperação de dadosImplementar procedimentos sólidos de cópia de segurança e recuperação de dados, certificando-nos de que funcionam como previsto.
• Formação de sensibilização para a cibersegurançaInformar os funcionários sobre as potenciais ameaças, o seu papel na prevenção de ataques e a forma como devem reagir a um ataque.
• Protocolos de comunicaçãoEstabelecer canais de comunicação claros para as partes interessadas, internas e externas.
• Equipa de resposta a incidentesDesignar uma equipa dedicada responsável pelo tratamento de incidentes de segurança, especialmente no caso de empresas de média ou grande dimensão. Se a empresa em causa não tiver especialistas internos de resposta a incidentes, pode obter ajuda de um Managed Security Service Provider (MSSP) como a act digital.
• Manual de resposta a incidentesÉ importante ter um manual geral sobre como agir de acordo com o tipo de incidente. Depois, desenvolver procedimentos detalhados para esses vários tipos de incidentes.

Resposta a Incidentes: passo a passo

Imaginemos acordar e encontrar os dados críticos da nossa empresa comprometidos, a confiança dos clientes destruída e as operações completamente paradas. As consequências de um ciberataque podem ser assustadoras, mas uma resposta eficaz pode significar a diferença entre catástrofe e recuperação.

Abaixo encontramos os passos críticos a tomar imediatamente após uma violação ou ciberataque de qualquer tipo:

• Deteção e identificação: reconhecer a ocorrência de um ciberataque através de ferramentas de monitorização do sistema e de deteção de ameaças;
• Contenção: isolamento dos sistemas afetados para evitar mais danos e impedir a propagação do ataque;
• Modo degradado: reiniciar os serviços vitais em modo degradado, se o incidente interromper serviços importantes;
• Erradicação: remover o software malicioso e resolver as vulnerabilidades para eliminar a ameaça;
• Recuperação: restabelecer os sistemas e os dados para o seu estado anterior ao ataque, garantindo a segurança e a funcionalidade.
• Comunicação: informar as partes interessadas, notificar as partes afetadas e coordenar com os organismos legais.
• Documentação e análise: registo do incidente e dos esforços de resposta para referência e aprendizagem futuras.
• Revisão pós-incidente: revisão do incidente, atualização das políticas de segurança e formação dos funcionários para melhorar respostas futuras.

Vamos aprofundar cada passo, de modo a garantir que as organizações estão totalmente preparadas para recuperar face a uma adversidade cibernética.

Passo 1: Deteção e identificação

A etapa inicial e mais crucial do processo de resposta a incidentes envolve a identificação e validação do ciberataque. As organizações devem monitorizar os seus sistemas em busca de atividades anormais e detetar rapidamente as violações para conter a propagação dos danos. Os principais aspetos a considerar são:

• Monitorização contínua…
  • …da rede (com aparelhos de rede)
    Utilizar IDS (Intrusion Detection Systems ou, em português, Sistemas de Deteção de Intrusão), NDR (Network Detection and Response ou, em português, Deteção e Resposta de Rede), proxies e firewalls para detetar acessos não autorizados ou atividades invulgares na rede.
  • …dos endpoints
    Utilizar ferramentas EDR (Endpoint Detection and Response ou, em português, Deteção e Resposta a Endpoints) para monitorizar dispositivos endpoint em busca de sinais de ameaças, investigar atividades suspeitas e responder em conformidade.
  • …de alterações de configuração
    Garantir que todas as alterações de configuração que ocorrem na infraestrutura são desejadas e documentadas, mantendo uma base de referência e comparando regularmente a configuração atual com essa referência.
  • …para correlacionar tudo ao mesmo tempo
    Agregar e correlacionar todas as atividades da organização para implementar sistemas de monitorização em tempo real. Ferramentas como SIEM (Security Information and Event Management ou, em português, Gestão de Informações e Eventos de Segurança) ou as tecnologias XDR fornecem uma supervisão abrangente e alertam para quaisquer anomalias. O Managed SOC (Security Operations Center) também pode ajudar na monitorização. Utilizar ainda ferramentas UEBA (User and Entity Behaviour Analytics) para monitorizar atividades e detetar desvios dos padrões de comportamento típicos. Isto ajuda a identificar contas comprometidas ou ameaças internas.
• Auditorias de segurança regularesEfetuar auditorias regulares e avaliações de vulnerabilidades para identificar os pontos fracos antes de poderem ser explorados. Estas medidas proativas ajudam a reconhecer potenciais pontos de entrada para os atacantes.
• Equipa de resposta a incidentesAssegurar que a equipa de resposta a incidentes tem formação e está preparada para agir rapidamente após a deteção de qualquer atividade suspeita. Esta equipa deve estar munida de protocolos claros para identificar e escalar potenciais ameaças.

Passo 2: Contenção

Assim que um ataque é detetado, a prioridade imediata é contê-lo para evitar mais danos. Esta etapa envolve o isolamento dos elementos comprometidos para impedir a propagação e limitar o impacto. Além de seguir os manuais definidos inicialmente, eis as principais estratégias e ferramentas para conter eficazmente um ataque:

• Segmentação de rede
  Implementar segmentação da rede para isolar os sistemas comprometidos do resto da rede. Isto pode ser conseguido através de VLANs (Virtual Local Area Networks) e regras de firewall para criar segmentos de rede separados.
• Isolamento de endpoints
  Utilizar ferramentas EDR para isolar da rede os terminais afetados. Estas ferramentas podem colocar em quarentena, remotamente, os dispositivos infetados, impedindo a propagação de malware.
• Bloqueio de comportamentos maliciosos
  Utilizar firewalls para bloquear endereços IP maliciosos que possam ter causado a infeção. Utilizar listas de bloqueio EDR e dispositivos de rede para bloquear a transferência e execução de ficheiros maliciosos.
• Bloqueio de execução de aplicações
  Restringir a execução de aplicações não autorizadas através de listas de bloqueio de aplicações pode ajudar a impedir a propagação de malware.
• Controlo de acesso
  Ajustar os controlos de acesso e as permissões para limitar a propagação do ataque. Isto envolve a desativação de contas de utilizador comprometidas, a revogação de privilégios desnecessários e a aplicação do princípio do menor privilégio (PoLP) nas políticas de acesso.
• Plataformas de resposta a incidentes
  Utilizar plataformas de resposta a incidentes para coordenar os esforços de contenção. Estas plataformas fornecem manuais e fluxos de trabalho automatizados para remediar rapidamente os sistemas afetados.
• Pesquisa exaustiva de indícios de propagação de malware  
  Procurar vestígios por toda a empresa de que a ameaça pode ter comprometido outros ativos.

Passo 3: Modo degradado

Depois de nos certificarmos que a ameaça está contida, se o incidente tiver um grande impacto na infraestrutura é importante reiniciar primeiro os serviços vitais, para garantir que as atividades básicas da empresa continuam a funcionar.

Para tal, é necessário ter um plano do que fazer, em que ordem, e conhecer a importância de cada aparelho.

Passo 4: Erradicação

Depois de lidar com a ameaça, o próximo passo é eliminar a causa da mesma. Isto inclui a remoção completa de quaisquer componentes maliciosos dos sistemas e a resolução das vulnerabilidades que levaram ao ataque.

Este passo garante que a ameaça é completamente neutralizada e reduz o risco de reinfeção. Eis os principais aspetos e ferramentas para uma erradicação bem-sucedida:

• Ferramentas de remoção de malwareUtilizar ferramentas especializadas para detetar e remover malware dos sistemas infetados.
• Redefinição de palavras-passeAlterar as palavras-passe de todas as contas comprometidas, incluindo as contas de sistema e de rede.
• Anulação de ações de malwareAnular todas as alterações efetuadas pelo malware, se essas alterações puderem ser identificadas e anuladas. Caso contrário, deve ser privilegiada a reversão para um estado standard anterior.

Passo 5: Recuperação

Após a eliminação das ameaças, os esforços continuam para restaurar e certificar o sistema. Esta etapa foca-se no restabelecimento do funcionamento normal dos sistemas após um ataque, garantindo que estão seguros e a funcionar corretamente.

Esta etapa é necessária para reduzir o tempo de processamento e tranquilizar as partes interessadas. Eis os principais aspetos e ferramentas para uma boa recuperação:

• Redesenho do sistema
  Fazer reset aos sistemas comprometidos para um estado limpo. Isto envolve a reinstalação do sistema operativo e das aplicações a partir de fontes fidedignas.
• Gestão de patches
  Aplicar patches e atualizações de segurança para corrigir as vulnerabilidades exploradas pelos atacantes.
• Restauro do sistema
  Restaurar os sistemas afetados a partir de cópias de segurança limpas. Utilizar soluções de cópia de segurança e recuperação para garantir que é possível restaurar rapidamente os dados e sistemas para o seu estado anterior ao ataque.
• Verificações da integridade dos dados
  Verificar a integridade dos dados restaurados para garantir que não foram adulterados.
• Validação do sistema
  Testar exaustivamente os sistemas para confirmar que estão a funcionar corretamente e em segurança.

Passo 6: Comunicação

Uma comunicação eficaz durante e após o processo de resposta a incidentes é essencial para garantir a transparência, manter a confiança e coordenar esforços em toda a empresa.

Eis os principais elementos e equipamentos para gerir a comunicação durante um incidente:

• Plano de resposta a incidentesSeguir o plano de comunicação definido anteriormente, como parte da estratégia de resposta a incidentes. Este plano deve indicar quem deve ser informado, que informações devem ser partilhadas e como deve ser feita a comunicação.
• Ferramentas de comunicação internaUtilizar ferramentas de mensagens para facilitar a comunicação e a colaboração em tempo real entre a equipa de resposta a incidentes.
• Atualização das partes interessadasManter as partes interessadas informadas sobre o estado do incidente, as medidas que estão a ser tomadas para o resolver e qualquer potencial impacto.
• Comunicação com os clientesInformar os clientes sobre qualquer potencial impacto nos seus dados e sobre as medidas que estão a ser tomadas para os proteger.
• Comunicação pós-incidenteDepois de o incidente ter sido resolvido, comunicar os resultados e quaisquer alterações implementadas para evitar ocorrências futuras.
• Formação e sensibilizaçãoEducar os funcionários sobre a importância da comunicação durante um incidente e dar-lhes formação sobre como utilizar eficazmente as ferramentas de comunicação designadas.
• Partilha de informaçõesPartilhar informações sobre o que aconteceu com a CERT (Computer Emergency Response Team) local e com as equipas de segurança do país ou setor relacionado, para garantir que não são alvo das mesmas ameaças.

Passo 7: Documentação e análise

A documentação e a análise do incidente são importantes para compreender o ataque, melhorar as defesas futuras e cumprir os requisitos de conformidade.

Eis os principais aspetos e equipamentos para uma documentação e análise eficazes:

• Documentação do incidenteManter registos detalhados do incidente, incluindo prazos, medidas tomadas e decisões adotadas.
• Análise da causa principalEfetuar uma investigação exaustiva para determinar como ocorreu o ataque. Isto envolve a revisão e correlação de registos no SIEM, identificando pontos de entrada, todo o caminho de ataque e os Indicadores de Comprometimento (IoC).
• Análise forenseEfetuar uma análise forense para compreender como funciona o ficheiro malicioso e o que é suposto fazer.
• Relatórios de resposta a incidentesGerar relatórios de resposta a incidentes para resumir as conclusões e recomendações.
• Gestão de conhecimentoArmazenar a documentação do incidente e as lições aprendidas num sistema de gestão de conhecimento para referência futura.
• Reuniões de análise pós-incidenteRealizar reuniões de análise pós-incidente com a equipa de resposta a incidentes e as partes interessadas para rever o incidente e identificar áreas de melhoria.

Passo 8: Revisão pós-incidente

A análise pós-incidente é um passo essencial para avaliar a eficácia da resposta e descobrir áreas a melhorar.

Eis os aspetos fundamentais para efetuar uma análise pós-incidente:

• Sessões de balançoRealizar sessões de balanço com a equipa de resposta a incidentes para discutir o incidente, as ações de resposta e os resultados.
• Lições aprendidasIdentificar e documentar as lições aprendidas com o incidente.
• Planos de melhoriaDesenvolver e implementar planos de melhoria com base nas lições aprendidas.
• Melhorias de segurançaImplementar medidas de segurança adicionais para proteção contra futuros ataques. Isto pode incluir a atualização das configurações de segurança, o reforço da monitorização e a melhoria dos controlos de acesso.
• Gestão da configuraçãoAssegurar que as configurações do sistema são seguras, seguindo as melhores práticas e diretrizes.
• Atualizações de políticas e procedimentosAtualizar as políticas e os procedimentos de resposta a incidentes para incorporar as lições aprendidas e garantir a melhoria contínua.
• Formação e exercíciosRealizar ações de formação e simulacros adicionais com base nas conclusões da análise do incidente.
• Métricas e KPIEstabelecer métricas e indicadores-chave de desempenho (KPI) para medir a eficácia do processo de resposta a incidentes.
• Feedback das partes interessadasRecolher feedback das partes interessadas sobre o processo e os resultados da resposta a incidentes.
• Monitorização contínuaMelhorar a monitorização contínua para garantir que as melhorias são eficazes e para detetar quaisquer novas vulnerabilidades ou ameaças.

Conclusão

Compreender e implementar um plano robusto de Resposta a Incidentes é importante para qualquer empresa que enfrente a inevitável ameaça de ciberataques. A nossa Alter CERT, parte da InterCert França, destaca-se na fase de deteção e identificação, utilizando ferramentas avançadas para identificar e analisar rapidamente as ameaças. Para a contenção, os nossos Managed Security Services implementam medidas de resposta rápida para isolar os sistemas afetados e impedir a propagação do ataque.

Durante a fase de erradicação, a nossa equipa especializada trabalha cuidadosamente para remover o código malicioso e proteger os sistemas comprometidos, utilizando tecnologias líderes do setor. Na fase de recuperação, o nosso Managed SOC garante que os sistemas são restaurados para o funcionamento normal com o mínimo de tempo de inatividade, empregando estratégias para recuperar dados perdidos e validar a integridade do sistema.

Com os serviços de Resposta a Incidentes da act digital, as organizações estão mais preparadas para enfrentar os desafios colocados pelas ciberameaças e ataques, sabendo que têm um parceiro de confiança para as orientar em cada passo do processo.