Em um esforço para dar esclarecimentos sobre o tema de ataques direcionados, nós lançamos uma série de artigos tratando dos diferentes aspectos de um ataque direcionado; o que é e o que ele pode fazer, seu impacto em uma empresa e seus componentes. Aqui vamos falar das contramedidas e o que fazer no caso de um ataque direcionado.
Antes de qualquer coisa, vamos recapitular o que é um ataque direcionado. Um ataque direcionado acontece quando uma empresa específica, ou um grupo de pessoas de uma empresa, é o alvo de atores de ameaças, tentando se infiltrar em sua rede e roubar informações. Normalmente, são ataques duradouros e persistentes que muitas vezes ocorrem sem o conhecimento dos alvos. Depois que os atores da ameaça acessam a rede da empresa, eles trabalham para ganhar mais acesso, em busca de seus dados alvos. Todo esse processo pode levar meses para ser atingido, sendo a extração de dados seu principal objetivo. Os efeitos de Ataques Direcionados bem-sucedidos incluem o roubo de propriedade intelectual, interrupções dos negócios, perda financeira ou de reputação e perda de informações de clientes.
Como Defender Seus Dados dos Ataques Direcionados
Classificação de Dados
Os atores de ameaças por trás de ataques direcionados gastam muito tempo e esforço procurando os dados específicos que possam ser roubados, vendidos ou usados mais tarde. Categorizar os dados é o primeiro passo para protegê-los e o acesso a dados específicos devem ser limitado a grupos de trabalho que precisam deles.
Educação do Pessoal e Inteligência de Ameaças
É muito importante para os funcionário, independentemente da competência ou cargo, aprender a inteligência de ameaças básica. As empresas podem oferecer seminários grátis ou informar adequadamente seus funcionários sobre as ferramentas, táticas e procedimentos dos atores de ameaças. Podem também se referir a eventos passados para mostrar a seriedade da situação. No final, esse conhecimento diminui as chances de erro humano.
Infraestrutura de Proteção de Dados e Segmentação de Rede
A maneira que uma rede é estruturada pode afetar a segurança dos dados. Os dados sensíveis precisam ser armazenados separadamente, onde seja exigida um nível de de segurança mais alto antes de serem acessados. As empresas podem utilizar acesso de vários níveis para o armazenamento de dados e colocá-los em redes separadas ou desconectadas. Redes mal configuradas podem abrir toda a infraestrutura de dados corporativos para atores de ameaças.
Dividir a rede em segmentos de acordo com as funções também é uma boa ideia para minimizar o impacto de um ataque direcionado. A segmentação permite uma administração melhor da rede, atribuindo privilégios para determinados usuários. Isso dificulta o movimento lateral dos atores de ameaças, exigindo que eles passem por mais máquinas ou obtenham privilégios melhores de usuário para se movimentar de uma rede para outra.
Educação do Pessoal e Inteligência de Ameaças
É muito importante para os funcionário, independentemente da competência ou cargo, aprender a inteligência de ameaças básica. As empresas podem oferecer seminários grátis ou informar adequadamente seus funcionários sobre as ferramentas, táticas e procedimentos dos atores de ameaças. Podem também se referir a eventos passados para mostrar a seriedade da situação. No final, esse conhecimento diminui as chances de erro humano.
A grande empresa pode também estabelecer protocolos para o equipamento roubado da empresa para aumentar mais a segurança. Uma manutenção apropriada de conta também deve ser exercida, tal como substituição regular de senhas, assegurando que as senhas sejam fortes e monitoradas consistentemente pela equipe de TI local.
Protegendo Contas e Prestação de Contas de Usuário
É muito comum nos escritórios dar aos funcionários suas próprias contas e acesso à rede. Porém, as contas devem ser configuradas para limitar o acesso do funcionário aos dados que eles precisam. Do mesmo modo, limitar o número de usuários de alta prioridade que podem acessar dados sensíveis dificulta a infiltração.
Análises de Registros
Apesar de ser muito difícil saber se um ataques está em andamento, a presença de agressores pode ser revelada com uma verificação e análise de registros sistemática. Trabalhando com informações de segurança e gerenciamento de eventos (SIEM) ou grupos de gerentes de evento de segurança (SEM), as empresas podem ser capazes de ver padrões no movimento lateral desses atores de ameaças e criarem contramedidas para a ameaça.
Resposta a Incidentes
Para as empresas com dados sensíveis ou setores que costumam ser alvos de atores de ameaças, saber como responder a ataques direcionados é uma necessidade. A resposta a incidentes pode ser resumida em quatro etapas:
Prepare-se – Tenha um plano para um ataque direcionado antes que ele aconteça. Isso inclui criar uma inteligência de ameaças, lidar com as ameaças normais, identificar ameaças anormais e aprender novas técnicas para ajudar a melhorar a resposta a ameaças.
Responda – Depois de identificar o ataque, uma ação rápida é necessária. Isso diz respeito à contenção e remoção da ameaça, avaliação do dano e monitoramento contínuo da atividade existente na rede.
Restaure – A empresa deve restaurar suas operações em duas frentes. Internamente, ela deve voltar as suas operações regulares depois de responder à ameaça. Externamente, a empresa deve ir a seus acionistas e clientes para comunicar o escopo do dano feito pelo ataque e também dar os passos para reduzir possíveis danos.
Aprenda – As empresas devem aprender com suas experiências. Cada incidente pode ajudar em situações futuras possíveis – o que funcionou e o que não funcionou? O que pode ser melhorado? Essas informações podem ser vitais quando for a hora de responder a futuros ataques.