À medida que os ataques se tornam comuns, os CISOs geralmente têm a difícil tarefa de manter as organizações fora das manchetes. Nenhuma solução oferece 100% de proteção. Portanto, eles precisam se concentrar na criação de resiliência e recuperação cibernética para ajudar as organizações a se recuperarem após um ataque. Uma recuperação mais rápida minimiza as interrupções, reduz as perdas financeiras e garante a continuidade dos negócios. Como as empresas podem se recuperar mais rapidamente? Descubra.
Atualmente, as empresas trabalham em cenários de alto risco. Diversos fatores podem afetar uma empresa, desde um conflito geopolítico até um incidente de segurança. O número de iniciativas de transformação digital disparou. Mais de 90% das empresas hospedam dados na nuvem.1 O lado negativo da digitalização acelerada é o aumento da frequência e da escala dos ataques. Há cerca de 4 mil ataques todos os dias e uma empresa é afetada por um ataque de ransomware a cada 14 segundos.2 As empresas precisam fortalecer suas medidas de segurança cibernética para evitar ameaças cibernéticas.
As empresas devem estar sempre preparadas para o pior. O ex-diretor do FBI, Robert Mueller, afirmou: "Existem apenas dois tipos de empresa: as que já foram hackeadas e as que serão."3 Infelizmente, essa afirmação ainda é verdadeira hoje. Como a ameaça se espalha como um incêndio, a possibilidade de uma violação de dados ou de um ataque de hackers tornou-se quase inevitável.
De acordo com um relatório da Gartner, até 2025, cerca de 75% das organizações terão enfrentado um ou mais ataques que resultaram em interrupção dos negócios e tempo de inatividade.4 As medidas preventivas de segurança são importantes. Mas nenhuma solução garante 100% de proteção contra ataques, especialmente quando os métodos de ataque estão se tornando cada vez mais sofisticados. As empresas precisam detectar rapidamente as ameaças cibernéticas e se recuperar mais rapidamente dos ataques. Não é realista combater ameaças avançadas e previamente desconhecidas com recursos limitados. É necessário desenvolver a resiliência cibernética para limitar as interrupções e garantir a continuidade dos negócios. O desenvolvimento da resiliência cibernética exige uma abordagem estratégica. Este blogue analisa como as empresas podem começar.
Um elemento fundamental na construção da resiliência cibernética é a recuperação cibernética – uma abordagem reativa após um incidente. Os planos de recuperação cibernética são como planos de recuperação de desastre, que visam restaurar as infraestruturas de TI e os dados após interrupções causadas por eventos inesperados (eventos políticos, desastres naturais, guerras, etc.). As soluções de recuperação cibernética lidam exclusivamente com incidentes cibernéticos.
A recuperação de sistemas, dados e processos após um atraque cibernético ou violação de dados é essencial para qualquer organização. As medidas de recuperação eficientes podem reduzir significativamente o impacto do ataque e reduzir custos. Os custos médios de recuperação que as empresas tiveram de arcar em 2023 foram de US$ 1,85 milhão.5
As perdas financeiras decorrentes de ataques aumentam a cada dia. Somente em 2023, a soma dos pagamentos de ransomware ultrapassou US$ 1 bilhão.6 De todos os incidentes de segurança, 24% estavam vinculados a ransomware. No entanto, pagar o resgate não é garantia de que você terá todos os seus dados de volta. De acordo com um relatório da Gartner, em média, apenas 65% dos dados são devolvidos após o pagamento.7 Além disso, os atacantes de ransomware exigem pagamento em bitcoins e as transações são armazenadas na rede Bitcoin, que é pública. Como resultado, a probabilidade de novos ataques desse tipo aumenta, pois os criminosos sabem que a empresa afetada está preparada para pagar um resgate.
Como uma estratégia proativa, as empresas devem, portanto, utilizar uma solução de recuperação cibernética que lhes dê uma vantagem. As organizações que usaram práticas de backup de dados gastaram cerca de US$ 375 mil na recuperação pós-ataque. As empresas que não tinham backup de dados pagaram um resgate de US$ 750 mil.
O backup dos dados, por si só, pode economizar cerca de 50% dos pagamentos de resgate, o que é um número significativo.8 Conforme os relatórios, um plano de resposta permite uma recuperação mais rápida e economiza até US$ 1 milhão.9 As organizações com planos de backup e recuperação sofrem cerca de 96% menos impacto financeiro de um ataque de ransomware.10 A seguir, veremos como os backups de dados são criados como parte da abordagem de recuperação.
Os backups de dados oferecem às empresas uma rede de segurança no caso de ataque, pois elas podem voltar ao estado anterior ao ataque depois que os dados forem recuperados. Portanto, é essencial criar backups. No entanto, isso requer uma estratégia. Atualmente, os invasores sabem que as empresas criam backups como um plano de contingência e, portanto, visam primeiro à infraestrutura relacionada. Por exemplo, os ataques modernos de ransomware não apenas criptografam sistemas, mas também podem ter como alvo o armazenamento de backup. Quase 97% dos ataques de ransomware têm como alvo os sistemas de backup.11 O tempo necessário para lançar um ataque e exigir um resgate diminuiu de meses para dias, criando uma necessidade urgente de uma infraestrutura de backup segura.
As organizações precisam repensar os seus métodos tradicionais de backup para desenvolver um plano seguro de recuperação cibernética. Como proceder corretamente:
Os backups criados devem ser otimizados para poderem ser usados com mais eficiência no caso de um incidente de segurança. Os planos de backup regulares, a priorização de dados críticos e a redução dos requisitos de armazenamento para backups por meio de deduplicação e compactação garantem isso. As equipes de segurança cibernética e infraestrutura também devem configurar um ambiente de recuperação isolado (IRE). Esse é um ambiente seguro e separado, usado especificamente para a recuperação de sistemas, aplicativos e dados críticos. No entanto, a criação de uma arquitetura IRE pode ser um projeto demorado e de alto custo.
Antes da recuperação, as equipes de segurança devem conhecer a propagação do ataque, a natureza da ameaça e os sistemas atacados. Após essa avaliação, a próxima tarefa é conter o ataque. No caso do ransomware, é fundamental evitar mais criptografia. O isolamento dos recursos ou redes afetados é essencial nessa etapa. Aqui, a segmentação ajuda a isolar as redes afetadas das demais e a conter a disseminação do ataque. Uma vez identificado o local de recuperação que não foi afetado pelo ataque, os dados devem ser movidos e integrados ao ambiente de produção para restaurar as operações. As empresas devem avaliar se as ferramentas de segurança funcionam sem problemas com os dados integrados, a fim de evitar outras falhas antes da sincronização final.
As organizações devem avaliar os serviços essenciais que são a salvação de seus negócios e restaurá-los primeiro. Os demais serviços e aplicativos podem ser priorizados de acordo com sua importância para a empresa. Os modelos de automação devem ser usados para restaurar rapidamente os dados e reconstruir os servidores. O objetivo é minimizar o tempo de recuperação, pois cada hora é importante no caso de um incidente de segurança. Essas ferramentas podem racionalizar as tarefas de recuperação e, portanto, são um fator importante para uma recuperação mais rápida.
As empresas podem perder até US$ 400 mil por hora devido a falhas nos aplicativos. Esse valor pode chegar a até US$ 1 milhão por hora.12 Algumas interrupções podem levar a crises existenciais em pequenas e médias empresas com recursos limitados para se recuperar de um ataque cibernético. Por exemplo, a Lincoln College, uma universidade dos EUA, teve de suspender suas operações depois de ter sido afetada por um ataque de ransomware durante a difícil pandemia de COVID-19.13 A universidade ficou fora de operação por três meses. Após pagar o resgate de US$ 100 mil, a organização não conseguiu mais recuperar o tempo perdido e teve que interromper as aulas devido às perdas.
As empresas devem procurar maneiras de retomar as operações o mais rápido possível para minimizar as perdas, mas a recuperação só poderá ser bem-sucedida se os sistemas não forem afetados pela ameaça à segurança. Os especialistas em segurança precisam examinar os dados e serviços recuperados em ambientes isolados para confirmar a eliminação das ameaças de ransomware. Essa verificação pode ser realizada usando detecção baseada em assinatura e ferramentas avançadas de IA/ML para detectar atividades anômalas e verificar de forma abrangente o sucesso da recuperação. No entanto, existe o risco de que o malware ataque novamente os sistemas restaurados. Portanto, você deve considerar o uso de software de correção para remover completamente as ameaças dos sistemas. Também é possível que sistemas de segurança desatualizados tenham levado ao ataque cibernético. Nesse caso, as equipes de segurança devem primeiro corrigir e atualizar os sistemas antes de poder restaurá-los.
Após a restauração e a aplicação de patches, a próxima etapa é integrar os sistemas restaurados ao ambiente de produção. Após a integração, o processo de validação garante que os aplicativos e os dados estejam disponíveis e que os serviços funcionem conforme desejado. Assim que tudo estiver funcionando, as equipes devem voltar aos problemas de segurança e trabalhar para corrigi-los. Os servidores e dados comprometidos precisam ser analisados mais detalhadamente para entender a causa e o método do ataque. A infraestrutura deve ser avaliada regularmente, com sistemas desatualizados sendo classificação como possíveis pontos fracos. As empresas devem saber quais aplicativos não são mais suportados pelo fabricante.
Quando se trata de recuperação cibernética, a criação de um plano de resposta a incidentes é tão importante quanto a criação de uma infraestrutura. As fases individuais do plano de resposta a incidentes estão descritas abaixo:
Detecção: A fase de detecção consiste em identificar os sinais de um incidente ou violação de segurança nos sistemas ou redes da organização. Isso pode incluir avisos de ferramentas de segurança, comportamento incomum do sistema ou relatórios de funcionários. O objetivo é reconhecer imediatamente a existência de um incidente e iniciar um processo de resposta. Os ataques de ransomware também podem ser detectados pela correspondência de assinaturas. Os algoritmos baseados em aprendizado de máquina também são uma boa maneira de detectar comportamentos anormais. As equipes de segurança podem contar com ferramentas como filtros de verificação de e-mail, registros da web, endpoints, produtos antivírus e gateways de rede para detectar sistemas comprometidos, exfiltração de dados, violações do diretório ativo, etc.
Análise: Nessa fase, a equipe de resposta a incidentes investiga a natureza, o escopo e o impacto do incidente de segurança para determinar as vulnerabilidades, os métodos de ataque, os arquivos criptografados e os dados exfiltrados. Isso inclui a coleta de evidências, a realização de análises forenses e a avaliação da gravidade da violação. O objetivo é obter uma visão geral abrangente do incidente e acelerar as medidas de contenção e recuperação.
Contenção: O objetivo dessa fase é limitar a propagação e o impacto do incidente de segurança. Isso pode incluir o isolamento dos sistemas ou redes afetados, a introdução de controles de acesso e a adoção de medidas de segurança temporárias para evitar mais danos. O principal objetivo aqui é evitar que o incidente se espalhe enquanto as medidas de recuperação estão em andamento. A contenção inclui a colocação em quarentena de todos os sistemas comprometidos, o bloqueio de contas de usuários infectadas, o bloqueio do tráfego de rede, a aplicação de alterações de senha e a comunicação contínua com as partes interessadas, incluindo os funcionários.
Eliminação: Nessa fase, a equipe de resposta a incidentes trabalha para eliminar a causa do incidente de segurança nos sistemas e redes da empresa. Isso inclui a remoção de malware, a eliminação de vulnerabilidades de segurança e a implementação de controles de segurança para evitar incidentes semelhantes no futuro. O objetivo é eliminar todas as ameaças restantes e restaurar os sistemas afetados para um estado seguro.
Restauração: O objetivo dessa fase é fazer com que os sistemas e dados afetados voltem à operação normal. Isso pode incluir a restauração de backups, a reinstalação de software e a reconfiguração de sistemas para garantir sua segurança. O objetivo é minimizar o tempo de inatividade, restaurar as operações comerciais e voltar à normalidade o mais rápido possível. Algumas métricas que as empresas devem observar são o objetivo de ponto de recuperação (RPO) e o objetivo de tempo de recuperação (RTO). O RPO é a quantidade máxima de dados que uma empresa pode perder. O RTO é o tempo máximo de que uma empresa precisa para restaurar as operações normais após um incidente.
As organizações que têm as ferramentas de segurança, os planos de resposta e as estratégias de recuperação corretos não entrarão em pânico quando ocorrerem incidentes de segurança. Algumas das soluções de segurança que as organizações devem considerar para se preparar melhor, detectar e combater as ameaças cibernéticas são:
De modo geral, é difícil para uma organização manter uma visão geral de 360 graus das ferramentas de segurança, da situação da segurança, das vulnerabilidades dos sistemas e da situação das ameaças externas. A T-Systems apoia as empresas na avaliação da sua situação de segurança e no fechamento das lacunas. Apoiamos as empresas à medida que elas criam sistemas resilientes por meio de medidas de segurança robustas e estratégias de recuperação eficientes. Entre em contato conosco para desenvolver uma estratégia de segurança para a sua empresa com os nossos especialistas.
1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies