Quase 60% das solicitações de Incident Response (resposta a incidentes de segurança) processadas pelos especialistas da Kaspersky em 2018 foram feitas depois que as organizações sofreram um ataque com consequências, como transferências não autorizadas, estações de trabalho criptografadas por ransomware e indisponibilidade de serviços.
Já 44% das solicitações foram após a detecção do ataque em estágio inicial, poupando a empresa de consequências mais graves. Estes foram os destaques do mais recente Relatório de Incident Response da Kaspersky.
Em 2018, 22% dos casos de resposta a incidentes de segurança se deram após a descoberta de possíveis actividades maliciosas na rede e outros 22% foram iniciados depois que um arquivo malicioso foi encontrado no sistema. Mesmo sem qualquer outro sinal de violação, ambos os casos sugerem que há um ataque em andamento. Porém, nem todas as equipas de segurança conseguem dizer se suas soluções de segurança automatizadas já detectaram e bloquearam o malware ou se isso foi apenas o início de uma infecção invisível na sua rede, que necessita apoio de especialistas externos.
Muitas vezes, presume-se que a resposta a incidentes é necessária somente quando os danos de um ciberataque já ocorreram e é preciso realizar uma investigação detalhada. Contudo, a análise de vários casos mostra que esse recurso não tem apenas carácter investigativo, mas também é uma ferramenta de mitigação quando é possível detectar o ataque em fase inicial e evitar danos maiores.
Algumas conclusões do relatório da Kaspersky:
- 81% das organizações que forneceram dados para análise tinham indicadores de actividade maliciosa nas suas redes internas;
- 34% das organizações apresentaram sinais de um ataque direcionado avançado;
- 54% das organizações financeiras estavam a ser atacadas por um ou vários grupos especializados em APTs (ameaças persistentes avançadas).
Para reagir com eficácia a Kaspersky recomenda:
- Verifique se a empresa tem uma equipa dedicada (pelo menos um funcionário) responsável pelas questões relacionadas à segurança de TI;
- Implemente sistemas de backup de activos críticos;
- Para reagir rapidamente a um ciberataque, associe a equipa interna de resposta a incidentes de segurança, que seria a primeira linha de resposta, com prestadores de serviços externos, que tratariam de incidentes mais complexos;
- Desenvolva um plano de resposta a incidentes de segurança com orientações e procedimentos detalhados para os diversos tipos de ciberataques;
- Introduza treinamentos de conscientização para instruir os funcionários sobre higiene digital e explicar como eles podem reconhecer e evitar possíveis e-mails ou links maliciosos;
- Implemente processos automatizados para gerenciar correções e actualização de softwares;
- Realize avaliações periódicas de segurança na sua infraestrutura de TI.
