Indicadores de Compromisso, chave para detectar e resolver incidentes de forma ágil

A resposta rápida e ágil a incidentes é um aspecto básico de uma boa estratégia de segurança cibernética. Aos poucos, mais e mais empresas vão tomando consciência disso, e isso se demonstra na evolução favorável que o tempo de remediação está tendo.

Essa afirmação é corroborada pelo último estudo publicado pela SANS sobre incident response, que mostra que, pelo segundo ano consecutivo, houve uma melhoria na forma como as equipes respondem aos incidentes. 67% dos entrevistados indicam que passaram da detecção à contenção em menos de 24 horas, um aumento de 6% em relação ao ano anterior. Além disso, 89% dos esforços de remediação ocorrem no primeiro mês, período que, dependendo da natureza do incidente, pode ser considerado razoável. No entanto, como resultado desses números, ainda há espaço para melhorias.

Para proteger e manter uma infraestrutura de TI (Inteligência de Ameaças), a estratégia de defesa cibernética deve ser capaz de detectar todas as atividades anômalas o mais rápido possível, identificá-las e reagir rapidamente ao incidente. Além disso, também é essencial realizar análises avançadas de todos os eventos de segurança para reunir padrões e informações potencialmente maliciosas no que é chamado de Indicador de Compromisso (IOC), que ajuda contextualizando a descrição do incidente para que as empresas desvendar a natureza do dano que você sofreu e reagir a ele.

Pesquise IOCs, uma obrigação

Considerando a velocidade com que o crime cibernético progride, a rapidez com que um incidente é detectado e mitigado é crucial para a sobrevivência de qualquer empresa. Para agilizar a identificação do dispositivo e a resposta a ameaças, não é possível ter um provedor de serviços com suporte de pesquisa em tempo real e retrospectiva para IOCs, bem como regras avançadas de hunting (Yara) no endpoint, não é uma opção a escolher, mas uma necessidade.

Mas, a que se deve essa importância? No caso de um incidente em uma organização, a capacidade de pesquisar indicadores de comprometimento em tempo real em todo o conjunto de endpoints da empresa permite a identificação mais rápida dos dispositivos que estão sendo atacados e tomar as medidas de remediação pertinentes para conter a violação o mais rápido possível e reduza o tempo de exposição.  

Em suma, com a busca pelos IOCs, a equipe de TI e o CISO têm maior visibilidade do ambiente e do que está acontecendo, podendo antecipar o problema e detê-lo antes que as consequências se agravem.

Fortalecimento da estratégia com um plano de Incident Response

O pessoal de segurança cibernética não deve apenas usar esses indicadores de comprometimento em seu benefício, mas também reforçar sua estratégia com um plano de Incident Response e soluções de ponta que lhes permitam manter uma abordagem proativa e responder às ameaças de forma eficaz.

Para atender – e superar – os padrões de eficácia na resposta a incidentes de segurança cibernética, há cinco etapas a serem consideradas: preparar um plano de resposta robusto com antecedência que ajude a prevenir violações; assim que a ameaça for detectada, determine a causa do incidente para tentar contê-la; avaliar todos os esforços realizados e necessários para dar a melhor resposta (triagem e análise); conter o dano, erradicá-lo e recuperá -lo; e aplique as mudanças apropriadas à estratégia de segurança cibernética para evitar que aconteça novamente.

Visibilidade e inteligência ao serviço da resposta a incidentes

Neste contexto em que se vêem as vantagens da procura de IOCs e de um plano de resposta e remediação firme e atualizado para mitigar os danos, é muito importante dispor da tecnologia de ponta disponível. Por exemplo, existem soluções no mercado que são capazes de acelerar a resposta a incidentes e a busca por ameaças malwareless com base em análises comportamentais em escala da nuvem.

Nesse sentido, tecnologias como as bibliotecas de Threat Hunting ou Jupyter Notebooks são recursos que devem estar presentes para dar visibilidade e inteligência à busca efetiva de ameaças, investigação acelerada e ação imediata no endpoint. As investigações pré-construídas, os Jupyter Notebooks, também favorecem uma curva de aprendizado curta para analistas e hunters por serem autoexplicativas, extensíveis e repetíveis.

Uma detecção precoce é definitivamente a primeira etapa para conter e erradicar uma rede de invasores, mas isso é inútil sem uma ação imediata nos endpoints , como o mecanismo de resposta, e é aí que entram em jogo as ferramentas dos postos avançados que são capaz de amplificar as capacidades do SOC para distinguir entre a atividade esperada e ações anômalas que podem indicar a presença de uma ameaça.