Plano de resposta a incidentes: como criar e por que sua Companhia deve ter um

Share on facebook
Share on twitter
Share on linkedin
Share on reddit
Share on whatsapp

Pesquisas de cibersegurança mostram que, no ano de 2021, os ciberataques no Brasil aumentaram 23% nos oito primeiros meses, comparado com o mesmo período do ano anterior.

Foram 481 milhões de tentativas de infecção, deixando claro para os especialistas que a segurança, mais do que nunca, deve ser levada a sério pelas Companhias, incluindo práticas como o mapeamento de ameaças.

Conheça o que é o hardening e veja como planejar e implementar este processo.

Para preservar a rede, muitas Companhias optam por utilizar um sistema de defesa em camadas, que abranja toda a segurança de rede, de e-mail, de endpoints, protegendo os dados e o acesso a eles de ponta a ponta.

O Hardening

Hardening é o processo de mapeamento das ameaças, mitigação dos riscos e execução das atividades corretivas, com foco na infraestrutura, cujo objetivo é aprimorá-la de modo que seja capaz de enfrentar tentativas de ataques.

O que você vai ver neste post

Como funciona

Um dos pontos que o hardening cuida é com relação ao acesso: a autenticação do usuário, as autorizações e os registro do processo, para que sejam úteis para futuras análises de auditoria, por exemplo. Ele realiza:

  • Revisão de credenciais: remove ou desabilita logins de usuários que não estão mais em uso ou não são autorizados;
  • Revisão de privilégios: aplica o princípio do menor privilégio, eliminando privilégios desnecessários e destinando o uso dos recursos corretos de acordo com o perfil do usuário. Exemplo: revisão e modificação das permissões de acesso e edição de arquivos.
  • Aplicação de patches de atualização, tanto de aplicações como de sistema operacional.
  • Manutenção dos registros das operações, para que conste o registro da utilização dos recursos.
  • Remoção de meios de acesso desatualizados e desnecessários, diminuindo a probabilidade de ataques.
  • Reforço da proteção das credenciais, através de uma política de senhas fortes.
  • Identificação de brechas de segurança.

Como implementar

O mapeamento de ameaças deve abranger tudo que se conecta à rede: estações de trabalho, servidores, dispositivos de rede, impressoras etc. Ele envolve os seguintes passos:

Passos da implementação

1 - Renomear ou desabilitar credenciais padrão

Geralmente, esse é o primeiro vetor de ataque que um invasor tentará ao tentar comprometer um sistema; por esta razão, ao renomear ou desativar contas, será dificultado o acesso não autorizado ao sistema.

Exemplo de erro: Trocar nome de conta interna de “administrador” para “itadmin” –os nomes devem ser exclusivos e não descritivos, pois no segundo caso, ajudará o invasor a localizar a conta privilegiada com mais facilidade.

2 - Trocar senhas fracas por senhas fortes

É importante verifica se as contas recém-renomeadas sejam complexas, únicas e não repetidas. É interessante utilizar um gerador de senhas fortes para isso, como o que a VaultOne disponibiliza gratuitamente em sua página. 

Também é importante que as novas senhas sigam as melhores práticas para isso, como o uso de gerenciadores de senhas, como o VaultOne, que é seguro e emite alertas caso a senha cadastrada apresente algum problema de segurança.

3 - Determinar protocolos necessários

Os sistemas geralmente vêm pré-configurados com as configurações de protocolo padrão, como o SNMP (Simple Network Management Protocol), que utilizam o valor padrão da cadeia de comunidade “PUBLIC” ou “PRIVATE”. Caso esse valor seja utilizado em uma rede de produção, um invasor poderá obter informações confidenciais ou fazer alterações não autorizadas no sistema, impactando o negócio.

Protocolos não criptografados, como TTP, TELNET e FTP, podem fazer com que informações confidenciais, como nomes de usuário e senhas, sejam enviadas através de texto não criptografado pela rede e interceptadas por um invasor que esteja monitorando o tráfego de rede.

4 - Proteger os básicos sistemas de entrada / saída (BIOS)

Todos os sistemas operacionais possuem uma solução de gerenciamento de inicialização, chamada de ‘’BIOS”, o acrônimo de Basic Input/Output System.

O BIOS é responsável por realizar a inicialização do hardware durante o processo de inicialização, permitir que sejam feitas alterações em um sistema, incluindo a sequência de inicialização. 

Inclusive, essa é uma maneira que um invasor pode comprometer um sistema: através da alteração da sequência de inicialização do disco rígido para um dispositivo USB, para inicializar em um sistema operacional malicioso.

Para evitar esse problema, a proteção do sistema deve incluir a configuração de uma senha complexa para acessar o BIOS.

5 - Identificar e remover aplicativos e serviços desnecessários

Muitas vezes, máquinas novas chegam ao consumidor com programas pré-instalados, conhecidos como “bloatware”.

Esse grupo de aplicativos geralmente é executado de forma oculta, afetando o desempenho do sistema, pois requerem a execução de recursos críticos do sistema, que consomem recursos de RAM e CPU. 

Além disso, os aplicativos “bloatware” geralmente permitem que os serviços sejam executados em segundo plano, colocando o sistema em risco de vulnerabilidades de segurança indesejadas. Veja alguns exemplos:

  • Barras de ferramentas adicionais que desarranjam navegador, tem poucas funcionalidades e exibem anúncios incômodos.
  • Adwares, aplicativos que veiculam anúncios em sua área de trabalho e possuem atalhos para sites comerciais.
  • Versões de programas de teste de curto prazo que você não solicitou.

Para reduzir possíveis vetores de ataque, a proteção do sistema deve incluir a identificação e remoção de aplicativos e serviços desnecessários.

6 - Documentar o processo de proteção do sistema

Um ponto fundamental para o processo de segurança dos sistemas é garantir que os processos sejam configurados e implantados todas as vezes da mesma forma, através da documentação das etapas.

A documentação aumenta o conhecimento coletivo de todos da equipe. Quando o compartilhamento de informações se torna uma prática, a Companhia se beneficia com uma transparência maior e com uma cultura mais colaborativa e estratégica.

Previna o erro humano e evite o uso indevido

De acordo com relatório da Verizon de 2020, mais de 20% dos vazamentos de dados envolvem erro humano e 8% estão relacionadas ao uso indevido de dados por usuários autorizados.

Ao rastrear facilmente as ações do usuário, o VaultOne permite que você visualize e restrinja o acesso do usuário aos recursos críticos do seu negócio, evitando erro humano e uso indevido.

Veja o VaultOne em ação, solicite agora mesmo uma demonstração.