Prosegur fornece dicas de como lidar com ataque informático

No Dia da Internet Mais Segura, a Cipher, a divisão de cibersegurança da Prosegur, reuniu uma lista de oito pontos chave, com as recomendações mais úteis para salvaguardar as empresas ou organizações caso sofram um ataque informático

As violações da cibersegurança são atualmente uma ameaça, não só para as empresas, mas também para a estabilidade da economia mundial, como o Fórum Económico Mundial tem vindo a destacar na sua conferência anual em Davos desde 2016. De acordo com o Instituto Ponemon, no último ano o custo médio de uma falha de cibersegurança foi de 4,86 milhões de dólares (4,26 milhões de euros).

A preparação pré-incidente e a gestão profissional são os fatores determinantes que podem minimizar o impacto de um ciberataque. Por estas razões, neste Dia da Internet Mais Segura, a Cipher, a divisão de cibersegurança da Prosegur, reuniu uma lista com as recomendações mais úteis para salvaguardar as empresas ou organizações caso sofram um ataque informático:

1. Centralizar a coordenação da resposta ao incidente: todas as medidas após um ataque informático devem ser perfeitamente coordenadas a partir de um único ponto e, em particular, não devem ser tomadas medidas unilaterais por diferentes departamentos, pois podem distorcer a informação durante o processo de Threat Hunting. A ação descoordenada pode ser um sinal de fragilidade que acelera ou radicaliza a resposta dos cibercriminosos.

2. Identificar e analisar: uma vez confirmado que a organização foi atacada, o desafio é identificar, com a maior precisão possível, tanto os vetores de ataque como as provas ou indicações provenientes do incidente. Deve ser efetuada uma análise exaustiva a fim de determinar os IoC (Indicadores de Compromisso) do incidente, bem como o modus operandi do grupo criminoso envolvido, no caso de, através de mecanismos de ciberespionagem, haver informação disponível sobre o mesmo que possa ser útil para a definição dos próximos passos.

3. Implementar uma estratégia de contenção dos elementos infetados para travar a propagação de vírus: as estratégias de contenção dependerão do tipo de incidente e dos recursos e capacidades de contenção disponíveis, tendo em conta ainda a eventual necessidade de preservar provas forenses da atividade criminal e a sustentabilidade de uma solução definitiva ou temporária. Alguns exemplos são o corte completo de ligações ao exterior (Total Internet Cut-Off), limitar a conetividade em protocolos de comando e controlo identificados (por exemplo HTTPS) e o estabelecimento de uma situação de “VLAN de contenção”, em que os elementos afetados sejam isolados.

4. Erradicação e recuperação: após um computador ter sido contido devido a uma ameaça, o trabalho de erradicação e recuperação deve começar, para que a normalidade diária de toda a empresa possa eventualmente ser reposta. Nesta fase, existem várias possibilidades como a reinstalação do equipamento, a restauração de um backup anterior ao incidente ou a limpeza do equipamento de elementos maliciosos.

5. Análise forense e estabelecimento da linha cronológica: a fase mais grave do incidente não é o melhor momento para fazer uma análise completa da linha cronológica, da sua causa e origem. Em geral, recomenda-se que toda a análise forense do incidente seja orientada para a reconstrução de uma linha cronológica do ataque, a fim de localizar vestígios de atividade maliciosa. Deve ter-se em conta que, num incidente deste tipo, podem existir centenas, se não milhares de computadores que tenham sido comprometidos ou onde elementos maliciosos possam persistir e levar à reinfeção.

6. Comunicação interna: estando as comunicações dentro da empresa comprometidas, é urgente encontrar um canal de comunicação alternativo que possa servir como ferramenta de comunicação segura para partilhar informações sobre a gestão da crise. Se não existir, podem ser estabelecidas plataformas de comunicação e colaboração alternativas (tais como Teams, ou grupos no Slack, Signal ou Telegram). Recomenda-se centralizar a comunicação interna na figura do coordenador.

7. Comunicação externa: todas as comunicações externas devem ser supervisionadas por um gabinete de crise, que deve solicitar informações à coordenação técnica para notificar clientes, parceiros ou proprietários de dados pessoais comprometidos na ótica do Regime Geral da Proteção de Dados e, sobretudo, as forças de segurança pública. Recomenda-se também que os stakeholders potencialmente impactados pelo ataque informático sejam notificados o mais rapidamente possível, para que possam realizar um processo de procura de indicadores dentro das suas infraestruturas e excluir a propagação do mesmo tipo de ameaça nos seus sistemas. Este tipo de comportamento é altamente valorizado pelos parceiros e empresas com quem mantemos uma relação de confiança.

8. Reflexão e aprendizagem: após o incidente ser mitigado e a recuperação estar terminada, é boa prática fazer um balanço das aprendizagens durante a crise, a fim de melhorar as medidas de segurança, desenvolver novos processos e implementar novas tecnologias para a deteção, análise e mitigação de futuros incidentes. Na sequência da gestão de incidentes, e como parte do processo de aprendizagem, são também recomendadas reuniões de balanço globais, particularmente se o incidente tiver um impacto elevado, para usar o acontecimento como uma oportunidade para transmitir a todos os funcionários a necessidade de manter comportamentos corretos de cibersegurança, sendo que o fator do erro humano é muitas vezes a fragilidade procurada pelos piratas cibernéticos num ataque.