O que fazer em casos de invasões corporativas?

Heilman e Craig Hoffman, da empresa BakerHostetler, trabalharam juntos em casos de investigação de incidentes de segurança em vário sites. Juntos, eles alertaram organizações sobre como preparar-se para a fase de investigação/incidentes de respostas que virão após um cyberataque, incluindo quais informações e tipos de logs que a empresa têm em mãos. Segundo os executivos, embora os ataques sejam inevitáveis e exijam que as organizações se planejem no longo prazo sobre como irão responder, reagir e tornar isso público, ainda existem maneiras de minimizar o dano, desde que a companhia esteja preparada.

“Quase sem exceções, todos os casos em que trabalhei poderiam ter sido mitigados se a organização tivesse implementado segurança 101 e direcionado atenção para seus ativos de segurança. Não acredito que você possa prevenir todas as brechas, e, sim, que elas possam ser mitigadas”, explica Heilman.

Isso começa com a construção daquilo que Heilman classifica como “ambiente de pronto compromisso”. Isso significa planejar como reagir no caso de uma invasão e como colaborar com as investigações. “Entender os tipos de perguntas que os investigadores irão fazer para fornecer as respostas corretas reduz o tempo necessário para investigar uma brecha na segurança, além de reduzir o dano final causado”, pontua Heilman.

O problema é que muitas organizações são pegas desprevenidas em suas brechas. “Em muitas oportunidades, os incidentes são revelados pela mídia ou por terceiros. Muitos não são autodetectáveis. O Serviço Secreto, o FBI ou os bloggers que os evidenciam”, avalia o executivo.

Além de possuir um diagrama de rede atualizado que mostre o fluxo de dados, confira abaixo uma lista de itens que devem estar sempre em mãos para responder imediatamente aos incidentes e criar um “ambiente de pronto compromisso”.

Logs – os que são relevantes

“Grandes companhias possuem grandes quantidades de servidores DNS internos. Uma companhia que investigamos possui cem servidores internos de DNS, mas apenas quatro externos. Entretanto, eles estavam logando e trafegando apenas no DNS externo”, cita Heilman. O problema? Sem os logs internos de DNS, o time de resposta de incidentes não conseguia medir qual sistema fazia a requisição de DNS, o que tornava mais difícil rastrear os invasores e os sistemas internos comprometidos.

Endereços de hostname IP

Desde que muitas organizações passaram a usar o Dynamic Host Configuration Protocol (DHCP, na sigla em inglês) para rodar o mapeamento de endereços IPs em sistemas internos, os endereços tornaram-se um alvo em movimento. “Se eu faço buscas de uma investigação sobre algo que ocorreu há sete dias, por exemplo, eu consigo minhas respostas. Entretanto, se procurar por algo que aconteceu há um ano, é impossível determinar as respostas”, pontua Heilman.

Saber como encontrar arquivos na organização

Quando um arquivo malicioso é encontrado na rede, é preciso saber como encontrar a localização dele e ver se ele se espalhou por todo o ambiente. “A maioria das organizações não consegue fazer isso de maneira simples. E tempo é algo que as organizações não têm durante uma investigação”, diz.

Faça testes de resposta de incidentes

Simule como você iria contatar os integrantes das equipes internas relevantes e a ajuda externa e aquilo que você irá dizer durante as coletivas. “Faça algumas experiências”, sugere Heilman.

Não vá a público tão cedo ou com informações não confirmadas

Hoffman citou quatro pontos que você precisa saber responder antes de tornar pública qualquer informação sobre invasões. “O que aconteceu, como aconteceu, o que você está fazendo para prevenir que aconteça novamente e o que você está fazendo para proteger as pessoas afetadas pelo incidente.”

Um grande erro que as organizações cometem é mudar a mensagem que já foi noticiada a respeito da invasão. Segundo Hoffman, se você tiver de mudar a informação, isso vai impactar de maneira negativa a sua credibilidade.