Incident Response ganha destaque com aumento de ameaças cibernéticas

Uma pesquisa da Mordor Intelligence, realizada ao longo de 2021, aponta que o mercado global de serviços de resposta a incidentes (Incident Response), avaliado em US$ 3,48 bilhões em 2020, deve chegar a US$ 10,13 bilhões até 2026, registrando um crescimento médio anual de 20,5% entre os anos de 2021 e 2026. Este crescimento não acontece sem razão, com o aumento da sofisticação e da frequência dos ataques, cada vez mais empresas estão buscando meios de minimizar o impacto destas ameaças.

Na prática, os serviços de Incident Response são aqueles que seguem um conjunto de procedimentos e abordagens predefinidos e organizados no caso de ataques cibernéticos. Eles ajudam as empresas a monitorar redes e endpoints em busca de intrusões avançadas e atividades fraudulentas. Para isso, utilizam uma variedade de recursos, como investigação de violação (para identificar se a ameaça é de uma fonte externa ou interna e para identificar o escopo e o cronograma da violação), serviços forenses (coleta de evidências digitais, a serem usadas como parte de uma investigação), tratamento da cadeia de custódia, exame e análise de aplicativos, dados, redes e sistemas terminais.

O especialista em Incident Response da Kaspersky para a América Latina, Eduardo Ovalle, explica que, quando uma empresa está sofrendo um ataque cibernético ou dados corporativos são vazados, o sistema tenta freneticamente resolver dois problemas: minimizar os danos e retornar o processo de trabalho normal o mais rápido possível.

Com isso, todo foco é direcionado para as pessoas que têm a responsabilidade de resolver esses problemas: a equipe de resposta a incidentes. A eficiência de suas ações afetará não apenas a rapidez com que a origem do problema será encontrada, mas também a credibilidade da empresa estará protegida de uma recorrência do incidente. Afinal, os cibercriminosos estão tentando obstruir a investigação e destruir vestígios de sua presença na infraestrutura da vítima, portanto, sem identificação precisa de toda a cadeia de ataque, a proteção confiável contra as mesmas táticas maliciosas não pode ser garantida no futuro.

Ovalle explica que, enquanto a equipe de infosec trabalha para garantir que cada componente da rede está protegido, uma única vulnerabilidade pode abrir a porta a intrusos e lhes dar acesso aos sistemas de informação. “Qualquer coisa pode ser direcionada. Se um sistema for invadido, é vital estabelecer como foi comprometido, a fim de elaborar um plano de mitigação e prevenir tais ataques no futuro. Este é o objetivo do serviço de Incident Response”, afirma.

Para isso, o serviço abrange todo o ciclo de investigação e resposta a incidentes: desde a resposta precoce a incidentes e coleta de evidências até a identificação de vestígios adicionais de hacking e preparação de um plano de mitigação de ataque. Segundo Ovalle, tudo isso deve ser integrado às soluções de segurança já utilizadas pela empresa, o que leva a uma série de desdobramentos que permitem prever e prevenir mais prejuízos.

O executivo destaca que não se trata de uma única ação emergencial, mas de um processo a ser realizado em ciclo contínuo, dividido em quatro etapas:

• Pedido de inicialização – os especialistas coletam as informações de quem relatou o incidente e de todos que possam ter conhecimento útil, detalhes técnicos e processos de negócios que ajudem a entender os detalhes do incidente. Também são analisadas informações de rede e logs sobre o incidente, permitindo o fornecimento de recomendações de curto prazo sobre o que fazer.
• Coleta de evidências – dependendo das especificidades do incidente, as abordagens podem ser internas, com os especialistas visitando a empresa para coletar as informações; ou remota, onde a equipe de TI da empresa recebe a orientação para fazer a coleta. Estas evidências podem incluir arquivos de log de sistemas operacionais, aplicativos e equipamento de rede, logs de acesso à Internet (por exemplo, de proxy servidores), tráfego de rede, imagens de disco rígido, memória e outros tipos de informações que possam auxiliar a investigação.
• Análise de evidências – aqui os especialistas analisam todas as informações disponíveis para criar uma imagem do incidente. Neste processo, são compartilhados novos detalhes descobertos para que ações oportunas possam ser tomadas para evitar o desenvolvimento de novos ataques. Caso surjam sinais de novo comprometimento, todos os recursos de informação da empresa são escaneados para detectar outros hosts comprometidos e coletar mais dados.
• Relatório final – a equipe de TI da empresa recebe um relatório com as descobertas e recomendações.

Segundo Ovalle, estas etapas podem ser resumidas em preparação, análise de tudo o que pode ser afetado, contenção e erradicação. “Finalmente, temos a recuperação total dos serviços e, claro, as lições aprendidas que devem ser convertidas em oportunidades de melhoria”, explica.

De todo modo, o executivo explica que estas etapas não podem ser “queimadas”, o que significa que não se pode ir da identificação à recuperação, por exemplo, sob o risco de dar aos criminosos a ideia de que eles podem atacar com mais força. “O principal objetivo é sempre reativar o negócio. Isso faz com que não se juntem à estratégia de identificar, restaurar. Se essas etapas são puladas, na maioria das vezes, isso é contraproducente”, diz.

Modelos

Ovalle explica que os serviços de Incident Response são hoje oferecidos em dois modelos: o primeiro, de emergência, e o segundo, chamado de retainer. “O primeiro, como o nome diz, é emergencial e leva tempo, demandando burocracia, contratos etc. O ideal é o ongoing, onde a empresa tem consciência de que o problema pode acontecer”, explica, lembrando que no prazo de dois anos, o valor investido é convertido em treinamento, complementando a estratégia de cibersegurança da companhia.

A experiência do executivo aponta que, normalmente, as empresas entendem a necessidade do serviço, habilitam controles e, com os ajustes, se defendem de uma série de incidentes e de novas ameaças. Para ele, nos dias de hoje é quase certo que haverá incidentes, por isso as empresas precisam se preparar e entender, seguindo as etapas de desenvolvimento do serviço. “O resultado são organizações cada vez mais seguras”, defende.

Mais seguras e contando com estratégias que não dependem exclusivamente da atualização de suas soluções de segurança mas que não devem ser relegadas. “Esses passos têm aval científico da comunidade e as empresas que estão adotando essa abordagem entendem sua necessidade”, diz.