É muito comum que algum acidente ou incidente tenha que acontecer para que os responsáveis tomem alguma atitude para resolver a fonte do problema. A máxima “é melhor prevenir do que remediar” deveria se tornar uma realidade mais prática do que apenas um ditado popular, principalmente quando se trata de ataques cibernéticos.

Um recente relatório de respostas a incidentes da Kaspersky mostra que quase 56% das solicitações de Incident Response (resposta a incidentes de segurança) processadas pelos especialistas da Kaspersky em 2018 foram realizadas depois que as organizações sofreram um ataque com grandes consequências, como estações de trabalho criptografadas por ransomware, transferências não autorizadas e indisponibilidade de diversos serviços. Já os reportes que foram feitos quase que imediatamente, no estágio inicial, e que puderam poupar a empresa de consequências mais graves, resultam em 44% das solicitações.

Engana-se quem presume que a resposta a incidentes é necessária somente quando os danos de um ciberataque já ocorreram e que só a partir desse momento é preciso realizar uma investigação detalhada. A resposta é essencial, mas também é uma forma de mitigar e detectar o ataque em fase inicial, a fim evitar danos maiores.

Existem casos de IR que se dão após a descoberta de possíveis atividades maliciosas na rede e outros que são iniciados depois que um arquivo malicioso ser encontrado no sistema, mesmo sem qualquer outro sinal de violação, ambos os casos sugerem que há um ataque sendo executado. Nessas situações é prevenir para que a ação maliciosa não evolua em um ciberataque mais grave e buscar formas de realizar uma avaliação mais precisa, até mesmo com apoio de especialistas externos e serviços gerenciados.

Em 2018, 26% dos casos tardios investigados foram causados por com ransomware e 11% dos ataques resultaram em roubos financeiros. E os eventos detectados por causa de spam na conta de e-mail corporativo, de uma violação bem-sucedida ou da indisponibilidade de serviços totalizaram 19% dos casos.

Ayman Shaaban, especialista em segurança da Kaspersky diz que “Esta situação indica que, em muitas empresas, é possível aprimorar os métodos de detecção e os procedimentos de resposta a eles. Quanto antes uma organização detectar um ataque, menores serão as consequências. Porém, com base em nossa experiência, muitas vezes as empresas não prestam a devida atenção aos sinais de um ataque grave e nossa equipe de Incident Response é chamada quando já é tarde demais.”. Ayman ainda relata que muitas empresas têm aprendido a avaliar os sinais de ciberataque em suas redes e conseguem evitar uma consequência mais grave.

Dentre outras conclusões emitidas por esse relatório dizem respeito a mais de 80% das empresas analisadas, tinham indicadores de forte atividade maliciosa em sua rede interna e quase 55% das organizações financeiras estavam sendo atacadas por grupos especializados em APT’s (Ameaças persistente avançadas).

Para reagir com eficácia, a Solo Network, parceira Platinum da Kaspersky, faz algumas recomendações:

• Certifique que a sua empresa tenha uma equipe dedicada (pelo menos um funcionário) responsável pelas questões de segurança de TI;
• Implemente sistemas de backup de ativos críticos;
• Desenvolva um plano de IR com orientações e procedimentos detalhados para os diversos tipos de ciberataques;
• Introduza treinamentos de conscientização para instruir os funcionários sobre higiene digital e explicar como eles podem reconhecer e evitar possíveis e-mails ou links maliciosos;
• Opte por serviços gerenciados de segurança, onde você otimiza sua equipe de TI, direcionando-a para atividades estratégicas.

Fontes: Kaspersky, Solo Network

Imagem: Adobe Stock