Panorama sobre o plano de respostas a incidentes cibernéticos
Autor
26 de setembro de 2022, 16h11
A segurança cibernética é uma preocupação cada vez mais frequente nas pautas estratégicas das empresas, principalmente naquelas que atuam no segmento financeiro, devido ao aumento da ocorrência de ataques cibernéticos e o consequente crescimento no volume de danos financeiros e de imagem que estes eventos podem ocasionar. Com a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/18, e das resoluções CMN 4893/21 e BCB 85/21, pelo Conselho Monetário Nacional e Banco Central, respectivamente, que regulamentam a política de segurança cibernética, as instituições financeiras e de pagamento tiveram ainda mais motivos para aumentar o orçamento aplicado no planejamento e adoção de medidas preventivas de segurança cibernética.
A prevenção é sempre melhor que a remediação, não há como negar, mais ainda quando consideramos os custos decorrentes de incidentes cibernéticos cujas medidas preventivas são muito mais vantajosas e menos custosas que as medidas corretivas. No entanto, mesmo se prevenindo, não é possível prever todas as formas e possibilidades de ataque. Logo, é essencial que a organização desenvolva sua capacidade de respostas a potenciais incidentes cibernéticos, o que significa detectá-los o mais breve possível, mitigar seus danos, restaurar os serviços afetados e eliminar as vulnerabilidades exploradas pelo invasor.
Quais são as classificações de incidentes?
O plano de respostas a incidentes nada mais é do que um documento que deve ser conhecido pelos colaboradores e que deve ser utilizado no momento que o incidente é identificado. Diferentes tipos de incidentes merecem respostas distintas e, para que a melhor reposta seja aplicada, possibilitando a alocação mais eficiente dos recursos da organização, necessita-se reconhecer e classificar os tipos de incidentes.
Nesse sentido, há diversas formas de classificação dos incidentes cibernéticos que podem ser utilizadas pela organização, entre elas, podemos citar aquelas baseadas nas fases do processo de ataque, na técnica de ataque, no vetor de ataque ou mesmo no impacto primário que produz no alvo.
A classificação dos incidentes baseada nas fases do processo de ataque tem como premissa que o ataque cibernético não compreende um único esforço por parte do hacker, e sim um processo que precisa ser identificado nas etapas iniciais e impedido de prosseguir. A Metodologia de defesa de redes, desenvolvida pela empresa americana Lockheed Martin, fabricante de produtos aeroespaciais, é um exemplo de classificação que poderia ser utilizada neste caso, pois descreve o processo de ataque em sete etapas: Reconhecimento, Armamento, Entrega, Exploração e Instalação, Comando e Controle e finalmente Ações no Alvo. Deste modo, é possível que respostas específicas sejam definidas de acordo com a etapa na qual o incidente é detectado.
Por outro lado, a Enisa (The European Union Agency for Cybersecurity) oferece uma metodologia muito utilizada que é baseada na técnica de ataque e que compreende oito categorias: conteúdo abusivo (spam, assédio/discriminação, difamação, pornografia, pedofilia), código malicioso (bot, worm, vírus, trojan, spyware, scripts), pesquisa de informações (varredura, escuta não autorizada, phishing), tentativa de intrusão/invasão (tentativa de exploração de vulnerabilidades ou login), intrusão/invasão (comprometimento de contas e exploração de vulnerabilidades), indisponibilidade (negação de serviço e sabotagem), segurança do conteúdo da informação (acesso não autorizado, modificação não autorizada, acesso à darknet/deepnet) e fraude (violação de direitos autorais, falsificação de identidade, uso de recurso de forma não autorizada).
Há, ainda, outras classificações que são utilizadas, como a disponibilizada pelo National Institute of Standards and Technology (NIST) que considera o vetor de ataque ou a apresentada por Charles Harry e Nancy Gallagher, da Universidade de Maryland, que foca no impacto primário no alvo, uma das principais dimensões a serem consideradas na avaliação de risco, e portanto, bem interessante de ser considerada pelas organizações, como fintechs e IPs. Esta classificação utiliza os conceitos de eventos disruptivos e exploratórios em sua base.
Eventos cibernéticos disruptivos e exploratórios
Os eventos adversos disruptivos são aqueles que interrompem a prestação do serviço ou produção da organização, o que pode ocorrer, por exemplo, por meio da disseminação de vírus, da inutilização de um equipamento físico ou da negação de serviço aos clientes. Esta classe de evento é dividida em cinco categorias de acordo com a parte da infraestrutura de TI afetada: manipulação de mensagens, negação de serviço externo, negação de serviço interno, ataque aos dados e ataque físico.
Os incidentes de segurança exploratórios, por outro lado, são aqueles cujo objetivo primário é roubar informação ao invés de causar descontinuidade das operações, sendo esta classe de incidente subdividida em cinco categorias: exploração de sensores, de hosts finais, de infraestrutura, de servidores de aplicativos e de dados em trânsito.
Para finalizar, reforço que, assim como as estratégias de mitigação de risco são específicas para cada organização, a escolha da classificação de incidentes adequada dependerá de cada organização e seu segmento de mercado, do ambiente em que opera e até mesmo do grupo de organizações com quem troca informações sobre incidentes cibernéticos. Desta forma, sem dúvidas, é possível levar a uma padronização, facilitando as estatísticas e a troca de informações sobre incidentes relevantes, em especial para IPs e fintechs, que têm sido tão impactadas por incidentes cibernéticos.
Encontrou um erro? Avise nossa equipe!