Ao considerarmos o atual cenário de (in)segurança digital, as empresas não têm outra saída a não ser buscar reduzir o impacto que um incidente pode causar, sendo ágeis e assertivas no seu tratamento.

Para tanto, existem três passos básicos que devem ser considerados:

1 – Contenção — Rapidamente deve-se conter o incidente para evitar que ele tome maiores proporções. No entanto, trata-se de uma solução temporária para impedir que o incidente tenha consequências mais sérias.

2 – Investigação — Nessa fase é necessário investigar as ações relacionadas à ocorrência para, a partir daí, compreender a extensão do problema, seus impactos e tomar as ações corretivas definitivas.

3 – Erradicação — Se a contenção é o passo emergencial para evitar que o incidente se torne ainda mais grave, a erradicação é a medida para sanar o problema de forma definitiva.

No entanto, ao avaliarmos as fases acima descritas, tudo parece simples e rápido, mas não é bem assim. Aqui estão listadas algumas dificuldades encontradas no processo de detecção e resposta a incidentes de cibersegurança:

. Desenvolvimento de inteligência de segurança para detecção dos incidentes

. Determinação do impacto ou escopo de um incidente (o que foi alterado em um sistema, por exemplo)

. Tomada de medidas para minimizar o impacto de um ataque

. Atualização dos controles para evitar tipos semelhantes de ataques no futuro

O fato é que a velocidade de detecção e resposta é um dos maiores desafios quando ocorre uma violação. E, ao mesmo tempo, o ritmo acelerado de surgimento de novas ameaças não permite a antecipação de defesa para o cibercrime. Ao considerarmos essa realidade, 4 grandes desafios se apresentam às organizações:

Tecnologia: o SIEM (Security Information and Event Management) já se mostrou tecnologia indispensável nessa batalha. No entanto, especialistas de segurança alertam que apenas sua adoção não é suficiente e o resultado pode ser custoso e frustrante.

Inteligência de segurança: sem boas regras de correlação (desenvolvidas de acordo com o entendimento da anatomia das ameaças que surgem e das necessidades do ambiente), nenhum SIEM é capaz de gerar os alertas de segurança a partir da correlação de grandes volumes de logs gerados pelos ativos de TI de uma rede corporativa. Se você não sabe o que procurar, achará qualquer coisa.

Triagem dos alertas: ainda que o SIEM conte com boas regras de correlação, o volume de dados é muito grande. É preciso ter um processo de triagem dos falso-positivos contidos nos alertas gerados para responder aos reais incidentes de segurança identificados, de acordo com sua criticidade.

Tempo de resposta: A demora ou ineficiência no tratamento só aumentará os danos e perdas de uma violação de segurança. Para isso, uma equipe de especialistas em segurança dedicada também é fundamental.

Diante dos recentes ciberataques, é fácil entender que enquanto as empresas não investirem realmente em segurança da informação, uma violação de dados será apenas uma questão de tempo. E sua equipe, está preparada?

A Future possui todas as ferramentas necessárias para garantir total segurança da sua empresa. Saiba mais sobre nossas soluções, clicando aqui.

Fonte: ComputerWorld.