Dez medidas para evitar ataques disruptivos

Após identificar atividades do grupo FIN10 contra companhias na América do Norte, pesquisadores da FireEye mostram como as organizações de todo o mundo podem se proteger 

Em atuação desde 2013, o grupo FIN10 tem como principal objetivo extorquir financeiramente cassinos e organizações de mineração na América do Norte, sendo o Canadá o principal foco. De acordo com os pesquisadores da FireEye, Inc. (NASDAQ: FEYE), empresa de segurança guiada por inteligência, estas operações de intrusão visam o roubo de dados corporativos, arquivos, registros, correspondência e chaves de segurança. Em alguns casos, há o pedido de resgate em Bitcoins, equivalente a cerca de US$ 125.000 chegando até US$ 600 mil.

Responder a incidentes como os observados no FIN10 é um desafio para companhias de todo o mundo, uma vez que não se consegue prever qual será o plano de contenção para deter este atacante, por que não se sabe qual é a motivação e o dano já causado por ele. Para auxiliar as organizações com estes incidentes, a FireEye listou dez lições aprendidas a partir da observação do FIN10. São elas:

1. Verifique se, de fato, há uma brecha: Certifique-se de que o sistema foi realmente hackeado. Tentativas de extorsão não são incomuns. Por isso, examine o ambiente antes de considerar o pagamento do resgaste. O FIN10, por exemplo, costuma fornecer dados como prova de que houve a invasão, o que auxilia a determinar se são seus.

2. Seu adversário é um humano: Lembre-se de que seres humanos são imprevisíveis e podem agir com emoção. Considere, com cuidado, como um atacante poderá reagir sobre a sua ação ou inação – ele pode ser mais agressivo caso sinta-se ofendido. Ou pode conceder mais tempo se acreditar em você.

3. O tempo é crítico: É preciso validar a violação rapidamente, o que exigirá esforço de toda a equipe, incluindo períodos fora expediente, como noites e fins de semana, os quais podem gerar fadiga e burnout. Além de aprovação de mudanças emergenciais em curtos períodos de tempo.

4. Permaneça focado: A distração é latente e você corre contra o relógio. Por isso, avalie as tarefas que ajudam a mitigar, detectar e responder para conter o ataque. Concentre-se no que deve ter (os chamados, must-have) ao invés do que seria bom ter (os nice-to-have), e considere a implementação de soluções temporárias para deter esta invasão.

5. Avalie os atacantes cuidadosamente: O ciberatacante não espera respostas. Então, se considerar responde-lo, limite as interações e seja cauteloso em suas palavras. Garanta o apoio do jurídico em todas as comunicações.

6. Envolva os especialistas antes da violação: Serão necessários especialistas de três áreas a priori: forense, jurídico e relações públicas, ao obter a confirmação de uma violação disruptiva. Por isso, é importante já ter e mantê-los sob aviso.

7. Considere todas as opções quando o resgate é pedido: Tenha a consciência de que o pagamento do resgate não excluirá a volta do atacante ou a devolução de todos os dados furtados. Daí a importância de incluir especialistas para avaliação de cenários e tomada de decisão.

8. Assegure a segmentação e controle de seus backups: A maior parte das companhias não possui políticas cautelosas de backup, de modo a recuperá-los rapidamente caso haja uma falha no sistema. No entanto, é comum que o backup esteja no mesmo ambiente invadido e comprometido pelo atacante. Desta forma, assume-se o risco de destruição dos mesmos.

9. Após o incidente, foque em melhorias de segurança: Seja qual for o resultado, deve-se garantir que os atacantes não voltem e danifiquem ainda mais seu ambiente. Você também não irá querer que um segundo invasor o vise porque esteve disposto a pagar o resgate. Garanta que entendeu como funciona a extensão das brechas de segurança e que irá implementar táticas e ações estratégicas para prevenir acessos de futuros atacantes.

10. Se você pensa que estão fora, eles podem voltar de uma forma diferente: Não esqueça de operacionalizar e melhorar o tempo de implantação das soluções imediatamente após conter o ataque. Garanta testes de conduta e red team, com avaliações para validar os controles de segurança e identificação de vulnerabilidades, de forma a consertá-los prontamente.

Acesse o conteúdo completo do relatório FIN 10 em https://www.fireeye.com/blog/threat-research/2017/06/fin10-anatomy-of-a-cyber-extortion-operation.html .

Sobre a FireEye, Inc.

A FireEye é líder no fornecimento de segurança como serviço liderado por inteligência. Trabalha com base em uma extensão contínua e escalável das operações de segurança do cliente. Por meio de uma única plataforma, a qual combina tecnologias inovadoras de segurança, inteligência de ameaças em nível internacional e a consultoria da Mandiant®, mundialmente conhecida. Com esta abordagem, a FireEye elimina a complexidade e a carga da segurança cibernética para as organizações se prepararem, prevenirem e responderem aos ataques cibernéticos. A FireEye tem mais de 5.600 clientes em 67 países, sendo mais de 40% destes pertencentes à lista da Forbes Global 2000.

© 2017 FireEye, Inc. Todos os direitos reservados. FireEye, iSIGHT, e Mandiant são marcas registradas ou marcas comerciais da FireEye, Inc. nos Estados Unidos e em outros países. Todas as outras marcas, produtos ou nomes de serviços são ou podem ser marcas comerciais ou marcas de serviço de seus respectivos proprietários.