0 Dias Sem Incidentes: Investigando e Recuperando-se de Ataques Cibernéticos

Olá! Na primeira parte, "Como e com o que as empresas russas foram invadidas", discutimos as táticas e técnicas dos invasores, bem como como detectá-los a tempo na infraestrutura da sua empresa. Hoje, compartilharemos a segunda parte de nossa grande pesquisa - como se recuperar de incidentes de segurança da informação. E fazê-lo rapidamente.

Para ser claro, neste artigo, "recuperação" se refere especificamente à recuperação de sistemas de TI e infraestrutura para sistemas de negócios críticos. Em outras palavras, para que, após um ciberataque em larga escala, tudo volte a funcionar (de forma segura) e o negócio não pare. Afinal, a recuperação completa (investigação do ataque, eliminação das causas da comprometimento e criação de novas recomendações de segurança) pode levar vários meses.

Portanto, aqui está nossa experiência, com base na qual você pode formar seu próprio plano de resposta a crises.

A Primeira Reação

O estágio mais importante da resposta a um incidente de segurança da informação são os primeiros dois dias. Claro, quanto mais cedo você reagir, melhor, porque a cada 5 minutos extras que os invasores permanecem na infraestrutura da empresa, os riscos aumentam - eles terão tempo para se estabelecerem mais seriamente, poderão se mover horizontal e verticalmente, obter acesso a dados importantes e assim por diante. Em geral, é como em um Tower Defense - quanto menos tempo você deixar para o inimigo, melhor.

E é nessas 24-48 horas que decisões gerenciais importantes são tomadas, que determinarão em última instância quanto tempo a empresa levará para se recuperar e qual dano eles conseguirão causar. Não é por acaso que escrevemos "gerenciais", porque é a liderança da empresa que decide o que fazer - como interagir com hackers (e se vale a pena), como coordenar a estratégia de recuperação, quais tempos de inatividade são considerados aceitáveis, o que e como escrever para clientes e parceiros.

Tarefas-chave para este período:

• Localização do incidente e sua contenção (determinação da verdadeira escala do ataque e implementação de medidas primárias para evitar que isso aconteça novamente).
• Organização do processo de investigação.
• Preparação de um plano de recuperação (provavelmente, ele ainda não existia).

A falha mais comum aqui é iniciar os sistemas muito cedo, pensando que tudo foi consertado. No caos organizacional e na pressa, isso geralmente leva a uma nova infecção da infraestrutura e a um tempo de inatividade dos processos de negócios muito mais longo.

Vamos por ordem.

Localizando o Incidente

Prioridade nesta fase é determinar adequadamente a escala do incidente e limitar ao máximo a propagação do ataque pela infraestrutura. Em seguida - preservar os ativos de TI intocados (principalmente - os meios de backup, necessários para a recuperação).

Aqui estão cinco medidas principais que devem ser tomadas durante a localização:

• Backups - verificar seu estado, isolar o sistema de backup da infraestrutura principal.
• Limitar a comunicação da infraestrutura com a rede externa, interromper quaisquer conexões ilegítimas.
• Se a empresa tiver acesso remoto à infraestrutura para funcionários - mudar para o modo VPN e definitivamente habilitar a autenticação multifator para todos.
• Redefinir todas as senhas para contas, especialmente as privilegiadas.
• Atualizar dados sobre a infraestrutura e sistemas críticos.

Importante - não desligue nem apague imediatamente os ativos de TI infectados, eles podem conter informações e artefatos do ataque que serão úteis para uma investigação minuciosa do incidente.

Em seguida, reúna um comitê de crise composto por:

• O chefe do departamento de segurança da informação, que será responsável pela rápida recuperação dos processos de negócios.
• O chefe do departamento de TI - ele será responsável pela investigação, acompanhamento da recuperação e prevenção de incidentes repetidos.
• Os chefes dos departamentos jurídico e de relações públicas - essas pessoas formarão o tom e o significado das comunicações com clientes e parceiros.

De acordo com nossas estatísticas, os atacantes às vezes obtiveram a oportunidade de rastrear o andamento das discussões sobre o incidente e as decisões tomadas em tempo real - devido ao comprometimento de sessões do Telegram de funcionários envolvidos no processo. Portanto, recomendamos manter a comunicação sobre o incidente através de canais de comunicação seguros.

Como Montar uma Equipe de Resposta e Quem Será Responsável

Para que a equipe responda adequadamente e rapidamente a um incidente, todos devem saber exatamente pelo que são responsáveis e o que estão fazendo, então um modelo de função ajuda muito aqui. O mais importante no início é avaliar honestamente se a empresa tem força suficiente para investigação e recuperação, ou se vale a pena envolver especialistas externos.

Recomendamos o seguinte modelo típico para construir uma equipe de resposta.

Organizando a Investigação

Assim, o incidente foi localizado, as equipes foram reunidas, as funções foram distribuídas. É hora de iniciar o processo de investigação.

Existem quatro perguntas principais que precisam ser respondidas:

• Como exatamente os invasores obtiveram acesso inicial?
• Quais sistemas eles conseguiram comprometer?
• Houve vazamento de dados?
• Como o malware se espalhou pela infraestrutura?

Mais uma vez, enfatizamos que, antes de obter pelo menos os resultados preliminares da investigação, não se deve iniciar a recuperação da infraestrutura, caso contrário, é muito provável que ocorra uma nova infecção.

Aqui estão as coisas que a equipe de investigação terá que determinar na prática. Este é o mínimo básico:

• Métodos de obtenção de acesso inicial;
• Quais técnicas foram usadas para escalonamento de privilégios;
• Como eles se estabeleceram na infraestrutura e quais acessos possuem;
• Como o malware se espalhou;
• Quais são os sinais de vazamento de dados;
• Indicadores de comprometimento descobertos.

Nas primeiras horas, é importante determinar precisamente os métodos de propagação de malware. Se isso for feito, o processo de recuperação já pode ser iniciado, com a única condição de que isso deva ser feito em um ambiente isolado enquanto a investigação estiver em andamento.

O Que Restaurar Primeiro

As prioridades aqui são determinadas não apenas do ponto de vista da arquitetura de TI da empresa, mas também do ponto de vista das especificidades do negócio. Portanto, é necessário determinar:

• Quais processos de negócios devem ser restaurados primeiro para reduzir o tempo de inatividade e as perdas potenciais do negócio;
• Quais sistemas de negócios são responsáveis pelo funcionamento completo desses processos;
• Quais serviços de TI são necessários para iniciar esses sistemas;
• Quais dados são necessários para isso.

O Que Pode Dar Errado

Ao investigar muitos incidentes, chegamos à conclusão de que muitas empresas, nas primeiras horas após a detecção de um ciberataque, frequentemente cometem ações semelhantes que complicam significativamente a própria investigação e tornam a recuperação muito demorada. Aqui também existem quatro tipos principais de armadilhas, uma das quais já escrevemos.

1. Não restaure a infraestrutura prematuramente

Sério, este é um erro muito comum. Aparentemente, a primeira reação a uma infraestrutura caída é o desejo de colocá-la em funcionamento o mais rápido possível. No entanto, sem entender o vetor de ataque, isso leva apenas a uma nova infecção. Tenha em mente - se os métodos de propagação de malware pela infraestrutura não forem determinados, ela será comprometida novamente, inclusive devido ao uso de backups infectados.

1. Não desligue nem reinicie sistemas infectados

Aqui funciona o mesmo padrão de comportamento: "Algo está infectado - vou desligar para evitar problemas". E em vão, porque ativos infectados são um conjunto útil de artefatos de ataque para a equipe de investigação: rastros de hackers, arquivos temporários e processos e muito mais. Se você simplesmente puxar o interruptor e desligar tudo, isso pode ser perdido.

1. Crie um centro de comando unificado para incidentes

Se várias equipes ou departamentos tomarem suas próprias ações em paralelo, você se encontrará em uma situação de "cisne, caranguejo e pique". E qualquer caos na infraestrutura dificultará o trabalho e dará mais tempo aos invasores.

1. Preste atenção suficiente aos backups

Frequentemente, as empresas iniciam a recuperação sem verificar adequadamente se tudo está bem com os backups e se eles são seguros (spoiler - os invasores também pensam sobre isso). Portanto, se os backups foram infectados e a empresa tentou se recuperar deles - bem, você entendeu.

Restaurando a Infraestrutura

Existem dois casos muito diferentes. O primeiro é quando uma empresa restaura a infraestrutura após uma falha grave ou acidente, quando a principal tarefa é "simplesmente colocar tudo para funcionar".

O segundo é uma tentativa de fazer o mesmo, mas em condições de ciberataque, quando toda a infraestrutura é considerada por padrão um ambiente comprometido, e o trabalho ainda precisa ser feito nela. Levando em conta que os hackers também têm direitos de administrador, eles conseguiram introduzir malware e já controlam parte da infraestrutura de TI.

E estas são duas situações completamente diferentes.

Portanto, o processo de recuperação em condições de ciberataque deve ser executado estritamente de acordo com o plano, que é formado nas primeiras horas após a detecção do incidente. A base do plano são as prioridades dos processos de negócios, dos quais o funcionamento da empresa depende diretamente.

Com base em nossa pesquisa, identificamos várias etapas sequenciais, cada uma contendo seus próprios objetivos e tarefas. Veja como é o cronograma:

As próprias etapas de recuperação são quatro.

1. Coleta de artefatos e transferência de dados para a equipe de investigação

Realizada durante toda a investigação. Os dados e artefatos devem ser coletados mesmo que a equipe ainda não tenha solicitado, acredite - esses artefatos coletados não serão supérfluos.

1. Recuperação da infraestrutura básica

Após a análise primária, os serviços de suporte da infraestrutura necessários para os processos de negócios devem ser restaurados. Idealmente, nesta fase, ter um DR Toolkit, uma espécie de kit de emergência, um conjunto de ferramentas e recursos para recuperação de desastres.

1. Recuperação de dados e sistemas de informação críticos

O principal aqui é a qualidade, disponibilidade e segurança dos backups. E a própria recuperação deve ser realizada em um ambiente isolado. Dependendo do volume de dados e do tamanho dos backups, esta etapa pode levar de algumas horas a vários dias.

1. Verificação e lançamento de processos de negócios

Etapa final, na qual é necessário verificar se tudo o que foi restaurado realmente funciona e funciona como deveria. Aqui será útil saber de quais componentes específicos cada processo de negócios da empresa é composto, para verificar e iniciar apenas o necessário, sem sistemas secundários. O resultado do processo é a restauração completa da funcionalidade dos processos de negócios críticos.

Basicamente, é tudo. Se você estiver interessado em detalhes sobre cada um dos itens, aqui está o link para a pesquisa completa e um conjunto de recomendações.

Lá você também encontrará:

• um checklist de segurança da informação para empresas;
• uma seção separada sobre como implementar a anti-fragilidade por conta própria (tornar a infraestrutura pronta para ataques e capaz de se recuperar);
• uma análise detalhada das causas típicas de comprometimento e métodos para combatê-las.

Obrigado por ler. Se tiver alguma dúvida, sinta-se à vontade para escrever nos comentários.