T-Systems-Claim-Logo
Pesquisar
Empresários estão discutindo uma estratégia de recuperação cibernética

Por que as empresas precisam de uma estratégia de recuperação cibernética

Descubra como uma estratégia robusta de recuperação cibernética pode ajudar as organizações a voltar rapidamente às operações normais após um ataque

19/06/2024Dheeraj Rawal

O histórico

À medida que os ataques se tornam comuns, os CISOs geralmente têm a difícil tarefa de manter as organizações fora das manchetes. Nenhuma solução oferece 100% de proteção. Portanto, eles precisam se concentrar na criação de resiliência e recuperação cibernética para ajudar as organizações a se recuperarem após um ataque. Uma recuperação mais rápida minimiza as interrupções, reduz as perdas financeiras e garante a continuidade dos negócios. Como as empresas podem se recuperar mais rapidamente? Descubra.

A triste realidade dos ataques cibernéticos

Atualmente, as empresas trabalham em cenários de alto risco. Diversos fatores podem afetar uma empresa, desde um conflito geopolítico até um incidente de segurança. O número de iniciativas de transformação digital disparou. Mais de 90% das empresas hospedam dados na nuvem.1 O lado negativo da digitalização acelerada é o aumento da frequência e da escala dos ataques. Há cerca de 4 mil ataques todos os dias e uma empresa é afetada por um ataque de ransomware a cada 14 segundos.2 As empresas precisam fortalecer suas medidas de segurança cibernética para evitar ameaças cibernéticas.

Ou hackeadas ou sem noção

As empresas devem estar sempre preparadas para o pior. O ex-diretor do FBI, Robert Mueller, afirmou: "Existem apenas dois tipos de empresa: as que já foram hackeadas e as que serão."3 Infelizmente, essa afirmação ainda é verdadeira hoje. Como a ameaça se espalha como um incêndio, a possibilidade de uma violação de dados ou de um ataque de hackers tornou-se quase inevitável.

As empresas precisam de resiliência cibernética

De acordo com um relatório da Gartner, até 2025, cerca de 75% das organizações terão enfrentado um ou mais ataques que resultaram em interrupção dos negócios e tempo de inatividade.4 As medidas preventivas de segurança são importantes. Mas nenhuma solução garante 100% de proteção contra ataques, especialmente quando os métodos de ataque estão se tornando cada vez mais sofisticados. As empresas precisam detectar rapidamente as ameaças cibernéticas e se recuperar mais rapidamente dos ataques. Não é realista combater ameaças avançadas e previamente desconhecidas com recursos limitados. É necessário desenvolver a resiliência cibernética para limitar as interrupções e garantir a continuidade dos negócios. O desenvolvimento da resiliência cibernética exige uma abordagem estratégica. Este blogue analisa como as empresas podem começar.

Recuperação cibernética como a última linha de defesa

Especialista em software que lida com segurança cibernética

Um elemento fundamental na construção da resiliência cibernética é a recuperação cibernética – uma abordagem reativa após um incidente. Os planos de recuperação cibernética são como planos de recuperação de desastre, que visam restaurar as infraestruturas de TI e os dados após interrupções causadas por eventos inesperados (eventos políticos, desastres naturais, guerras, etc.). As soluções de recuperação cibernética lidam exclusivamente com incidentes cibernéticos.

A recuperação de sistemas, dados e processos após um atraque cibernético ou violação de dados é essencial para qualquer organização. As medidas de recuperação eficientes podem reduzir significativamente o impacto do ataque e reduzir custos. Os custos médios de recuperação que as empresas tiveram de arcar em 2023 foram de US$ 1,85 milhão.5

Aumento das perdas financeiras

As perdas financeiras decorrentes de ataques aumentam a cada dia. Somente em 2023, a soma dos pagamentos de ransomware ultrapassou US$ 1 bilhão.6 De todos os incidentes de segurança, 24% estavam vinculados a ransomware. No entanto, pagar o resgate não é garantia de que você terá todos os seus dados de volta. De acordo com um relatório da Gartner, em média, apenas 65% dos dados são devolvidos após o pagamento.7 Além disso, os atacantes de ransomware exigem pagamento em bitcoins e as transações são armazenadas na rede Bitcoin, que é pública. Como resultado, a probabilidade de novos ataques desse tipo aumenta, pois os criminosos sabem que a empresa afetada está preparada para pagar um resgate. 

Necessidade de uma estratégia de longo prazo

Como uma estratégia proativa, as empresas devem, portanto, utilizar uma solução de recuperação cibernética que lhes dê uma vantagem. As organizações que usaram práticas de backup de dados gastaram cerca de US$ 375 mil na recuperação pós-ataque. As empresas que não tinham backup de dados pagaram um resgate de US$ 750 mil.

O backup dos dados, por si só, pode economizar cerca de 50% dos pagamentos de resgate, o que é um número significativo.8 Conforme os relatórios, um plano de resposta permite uma recuperação mais rápida e economiza até US$ 1 milhão.9 As organizações com planos de backup e recuperação sofrem cerca de 96% menos impacto financeiro de um ataque de ransomware.10 A seguir, veremos como os backups de dados são criados como parte da abordagem de recuperação.

Os backups de dados são a base da recuperação

Os backups de dados oferecem às empresas uma rede de segurança no caso de ataque, pois elas podem voltar ao estado anterior ao ataque depois que os dados forem recuperados. Portanto, é essencial criar backups. No entanto, isso requer uma estratégia. Atualmente, os invasores sabem que as empresas criam backups como um plano de contingência e, portanto, visam primeiro à infraestrutura relacionada. Por exemplo, os ataques modernos de ransomware não apenas criptografam sistemas, mas também podem ter como alvo o armazenamento de backup. Quase 97% dos ataques de ransomware têm como alvo os sistemas de backup.11 O tempo necessário para lançar um ataque e exigir um resgate diminuiu de meses para dias, criando uma necessidade urgente de uma infraestrutura de backup segura.

Como desenvolver uma estratégia para proteger a infraestrutura

As organizações precisam repensar os seus métodos tradicionais de backup para desenvolver um plano seguro de recuperação cibernética. Como proceder corretamente:

  1. Crie uma infraestrutura de armazenamento de backup que seja idealmente protegida contra ataques graves por várias camadas de segurança.
  2. Certifique-se de que várias cópias dos backups estejam armazenadas em locais diferentes, de preferência conforme a regra 3:2:1 para backups de dados. Uma cópia deve servir como a cópia de backup principal no local, a segunda deve estar em um local diferente, por exemplo, na nuvem, e a última deve ser uma cópia off-line em uma mídia externa. Vários backups funcionam como um plano de contingência e garantem a disponibilidade dos dados durante a fase de recuperação.
  3. Os backups também devem ter recursos de inteligência artificial (IA) para reconhecer padrões anormais e notificar as equipes de administração ou segurança quando eles ocorrerem.
  4. As empresas também devem considerar a criação de backups inalteráveis que não possam ser alterados ou excluídos por ninguém. Os backups inalteráveis podem ajudar a restaurar dados anteriores ao ataque que não foram afetados por infecções ou malware. É possível criar redes com arquitetura air-gap para isolar infraestruturas críticas de redes não seguras ou arriscadas.

Maior otimização dos backups

Os backups criados devem ser otimizados para poderem ser usados com mais eficiência no caso de um incidente de segurança. Os planos de backup regulares, a priorização de dados críticos e a redução dos requisitos de armazenamento para backups por meio de deduplicação e compactação garantem isso. As equipes de segurança cibernética e infraestrutura também devem configurar um ambiente de recuperação isolado (IRE). Esse é um ambiente seguro e separado, usado especificamente para a recuperação de sistemas, aplicativos e dados críticos. No entanto, a criação de uma arquitetura IRE pode ser um projeto demorado e de alto custo.

O que você deve considerar antes da recuperação

Uma equipe de segurança está trabalhando em ataques cibernéticos em laptops

Antes da recuperação, as equipes de segurança devem conhecer a propagação do ataque, a natureza da ameaça e os sistemas atacados. Após essa avaliação, a próxima tarefa é conter o ataque. No caso do ransomware, é fundamental evitar mais criptografia. O isolamento dos recursos ou redes afetados é essencial nessa etapa. Aqui, a segmentação ajuda a isolar as redes afetadas das demais e a conter a disseminação do ataque. Uma vez identificado o local de recuperação que não foi afetado pelo ataque, os dados devem ser movidos e integrados ao ambiente de produção para restaurar as operações. As empresas devem avaliar se as ferramentas de segurança funcionam sem problemas com os dados integrados, a fim de evitar outras falhas antes da sincronização final.

Cada hora conta

As organizações devem avaliar os serviços essenciais que são a salvação de seus negócios e restaurá-los primeiro. Os demais serviços e aplicativos podem ser priorizados de acordo com sua importância para a empresa. Os modelos de automação devem ser usados para restaurar rapidamente os dados e reconstruir os servidores. O objetivo é minimizar o tempo de recuperação, pois cada hora é importante no caso de um incidente de segurança. Essas ferramentas podem racionalizar as tarefas de recuperação e, portanto, são um fator importante para uma recuperação mais rápida.

Os ataques podem levar a crises existenciais

As empresas podem perder até US$ 400 mil por hora devido a falhas nos aplicativos. Esse valor pode chegar a até US$ 1 milhão por hora.12 Algumas interrupções podem levar a crises existenciais em pequenas e médias empresas com recursos limitados para se recuperar de um ataque cibernético. Por exemplo, a Lincoln College, uma universidade dos EUA, teve de suspender suas operações depois de ter sido afetada por um ataque de ransomware durante a difícil pandemia de COVID-19.13 A universidade ficou fora de operação por três meses. Após pagar o resgate de US$ 100 mil, a organização não conseguiu mais recuperar o tempo perdido e teve que interromper as aulas devido às perdas. 

Reforma antes da recuperação

As empresas devem procurar maneiras de retomar as operações o mais rápido possível para minimizar as perdas, mas a recuperação só poderá ser bem-sucedida se os sistemas não forem afetados pela ameaça à segurança. Os especialistas em segurança precisam examinar os dados e serviços recuperados em ambientes isolados para confirmar a eliminação das ameaças de ransomware. Essa verificação pode ser realizada usando detecção baseada em assinatura e ferramentas avançadas de IA/ML para detectar atividades anômalas e verificar de forma abrangente o sucesso da recuperação. No entanto, existe o risco de que o malware ataque novamente os sistemas restaurados. Portanto, você deve considerar o uso de software de correção para remover completamente as ameaças dos sistemas. Também é possível que sistemas de segurança desatualizados tenham levado ao ataque cibernético. Nesse caso, as equipes de segurança devem primeiro corrigir e atualizar os sistemas antes de poder restaurá-los.

Recuperação do sistema

Após a restauração e a aplicação de patches, a próxima etapa é integrar os sistemas restaurados ao ambiente de produção. Após a integração, o processo de validação garante que os aplicativos e os dados estejam disponíveis e que os serviços funcionem conforme desejado. Assim que tudo estiver funcionando, as equipes devem voltar aos problemas de segurança e trabalhar para corrigi-los. Os servidores e dados comprometidos precisam ser analisados mais detalhadamente para entender a causa e o método do ataque. A infraestrutura deve ser avaliada regularmente, com sistemas desatualizados sendo classificação como possíveis pontos fracos. As empresas devem saber quais aplicativos não são mais suportados pelo fabricante.

Uma estratégia de recuperação cibernética para a sua organização

Temos ampla experiência ajudando empresas na implementação de medidas de segurança robustas. Teremos prazer em ajudar você a desenvolver uma estratégia eficaz de recuperação e resiliência cibernética.

Criação de um plano de resposta para incidentes (plano de resposta a incidentes)

Quando se trata de recuperação cibernética, a criação de um plano de resposta a incidentes é tão importante quanto a criação de uma infraestrutura. As fases individuais do plano de resposta a incidentes estão descritas abaixo:

Detecção: A fase de detecção consiste em identificar os sinais de um incidente ou violação de segurança nos sistemas ou redes da organização. Isso pode incluir avisos de ferramentas de segurança, comportamento incomum do sistema ou relatórios de funcionários. O objetivo é reconhecer imediatamente a existência de um incidente e iniciar um processo de resposta. Os ataques de ransomware também podem ser detectados pela correspondência de assinaturas. Os algoritmos baseados em aprendizado de máquina também são uma boa maneira de detectar comportamentos anormais. As equipes de segurança podem contar com ferramentas como filtros de verificação de e-mail, registros da web, endpoints, produtos antivírus e gateways de rede para detectar sistemas comprometidos, exfiltração de dados, violações do diretório ativo, etc.

Análise: Nessa fase, a equipe de resposta a incidentes investiga a natureza, o escopo e o impacto do incidente de segurança para determinar as vulnerabilidades, os métodos de ataque, os arquivos criptografados e os dados exfiltrados. Isso inclui a coleta de evidências, a realização de análises forenses e a avaliação da gravidade da violação. O objetivo é obter uma visão geral abrangente do incidente e acelerar as medidas de contenção e recuperação.

Contenção: O objetivo dessa fase é limitar a propagação e o impacto do incidente de segurança. Isso pode incluir o isolamento dos sistemas ou redes afetados, a introdução de controles de acesso e a adoção de medidas de segurança temporárias para evitar mais danos. O principal objetivo aqui é evitar que o incidente se espalhe enquanto as medidas de recuperação estão em andamento. A contenção inclui a colocação em quarentena de todos os sistemas comprometidos, o bloqueio de contas de usuários infectadas, o bloqueio do tráfego de rede, a aplicação de alterações de senha e a comunicação contínua com as partes interessadas, incluindo os funcionários.

Eliminação: Nessa fase, a equipe de resposta a incidentes trabalha para eliminar a causa do incidente de segurança nos sistemas e redes da empresa. Isso inclui a remoção de malware, a eliminação de vulnerabilidades de segurança e a implementação de controles de segurança para evitar incidentes semelhantes no futuro. O objetivo é eliminar todas as ameaças restantes e restaurar os sistemas afetados para um estado seguro.

Restauração: O objetivo dessa fase é fazer com que os sistemas e dados afetados voltem à operação normal. Isso pode incluir a restauração de backups, a reinstalação de software e a reconfiguração de sistemas para garantir sua segurança. O objetivo é minimizar o tempo de inatividade, restaurar as operações comerciais e voltar à normalidade o mais rápido possível. Algumas métricas que as empresas devem observar são o objetivo de ponto de recuperação (RPO) e o objetivo de tempo de recuperação (RTO). O RPO é a quantidade máxima de dados que uma empresa pode perder. O RTO é o tempo máximo de que uma empresa precisa para restaurar as operações normais após um incidente.

Vantagens de uma estratégia de recuperação cibernética

  1. Garantir a continuidade dos negócios: Uma organização resiliente com um plano de recuperação garante menos tempo de inatividade e operações comerciais ininterruptas. As organizações com uma solução de recuperação de dados reduzem o tempo de inatividade em 75%.14
  2. Redução do impacto financeiro: Com o mínimo de tempo de inatividade e perda de dados, também são reduzidos os custos financeiros associados ao ataque cibernético, os custos de produtividade, as multas regulatórias e os danos à reputação.
  3. Melhoria da conformidade: As empresas podem atender aos requisitos regulatórios e aos padrões do setor com a ajuda de medidas de recuperação.
  4. Aumentar a confiança do cliente: Demonstrar medidas de recuperação e resiliência para proteger os dados é uma das melhores maneiras de ganhar a confiança do cliente e garantir uma vantagem competitiva no mercado.
  5. Melhoria da resposta a falhas: O ajuste fino regular das políticas e controles de segurança leva a uma resposta rápida e coordenada que minimiza o impacto de um ataque cibernético.
  6. Minimização do tempo de recuperação: A simplificação do processo de recuperação com a ajuda da tecnologia de automação também contribui para uma recuperação mais rápida e reduz as perdas monetárias.

Como melhorar a resiliência e a recuperação

As organizações que têm as ferramentas de segurança, os planos de resposta e as estratégias de recuperação corretos não entrarão em pânico quando ocorrerem incidentes de segurança. Algumas das soluções de segurança que as organizações devem considerar para se preparar melhor, detectar e combater as ameaças cibernéticas são:

  • Gateways de e-mail seguros: Filtre os e-mails mal-intencionados e reduza os ataques de phishing.
  • Detecção e resposta de endpoints: Monitore continuamente os endpoints em busca de atividades suspeitas e responda às ameaças em tempo real.
  • Solução de segurança de engano: Use iscas para atrair os invasores para a armadilha e detectar o acesso não autorizado nos estágios iniciais.
  • Detecção de ameaças à rede: Analisar o tráfego para detectar atividades mal-intencionadas e possíveis ameaças.
  • Segmentação de rede: A microssegmentação é usada para dividir as redes em segmentos menores aos quais são aplicados diferentes controles de segurança. Restrinja a liberdade de movimento dos atacantes e limite os danos.
  • Secure Access Service Edge (SASE): O SASE reduz a superfície de ataque ao fornecer acesso seguro aos recursos da empresa.
  • Teste de penetração de segurança: Teste a sua infraestrutura simulando ataques reais e encontrando vulnerabilidades antes que os invasores o façam.
  • Gerenciamento de vulnerabilidades: Identifique as vulnerabilidades, priorize-as e corrija-as para reduzir a superfície de ataque.
  • Gerenciamento centralizado de registros: Agregue e analise protocolos de várias fontes para identificar incidentes de segurança e dar suporte a investigações forenses.
  • Gerenciamento de identidade e acesso: Gerencie as identidades dos usuários e controle o acesso a recursos confidenciais para impedir o acesso não autorizado.
  • Autenticação multifatorial: Adicione uma camada extra de segurança aos processos de autenticação de usuários e reduza o risco de acesso não autorizado.

Teremos o prazer em apoiar a sua empresa na criação de uma estratégia de resiliência

De modo geral, é difícil para uma organização manter uma visão geral de 360 graus das ferramentas de segurança, da situação da segurança, das vulnerabilidades dos sistemas e da situação das ameaças externas. A T-Systems apoia as empresas na avaliação da sua situação de segurança e no fechamento das lacunas. Apoiamos as empresas à medida que elas criam sistemas resilientes por meio de medidas de segurança robustas e estratégias de recuperação eficientes. Entre em contato conosco para desenvolver uma estratégia de segurança para a sua empresa com os nossos especialistas.

Visão sobre o autor
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Todos os artigos e perfil do autor

Isso poderia ser interessante para você

Procurando uma estratégia de recuperação cibernética? Nós podemos ajudar você!

Podemos ajudar você a desenvolver uma estratégia de segurança cibernética, resiliência e recuperação. Entre em contato conosco hoje mesmo.

1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies

Do you visit t-systems.com outside of Brazil? Visit the local website for more information and offers for your country.