Conforme declarou o líder de segurança da informação da IBM para América Latina, Felipe Peñaranda, "se compararmos ao ano anterior, as mesmas indústrias estão no topo do ranking, tendo somente trocado as posições. Isso acontece mesmo, pois as invasões desses sistemas resultam em grandes perdas para as companhias e, se as investidas maliciosas forem bem sucedidas, elas podem permitir ganhos financeiros aos cybercriminosos, que estão cada vez mais ávidos por esse intuito".
Ações Humanas como Fator Chave para Incidentes de Segurança
Mais de 95% dos incidentes de segurança registrados pela empresa no ano de 2013, estavam relacionados às ações humanas. Atividades aparentemente inocentes como "clicar em anexos infectados" e em hyperlinks inseguros, são os erros mais comuns. Nesse contexto, o estudo apontou, ainda, que a má configuração do sistema, o péssimo gerenciamento de patches, utilização de logins e senhas padrão ou fáceis de serem decifradas, perda de computadores ou dispositivos móveis e divulgação de informações por e-mails inadequados, também colaboraram muito para que os cybercriminosos sejam felizes em suas investidas.
Códigos Maliciosos e Coleta de Informações
Os dois tipos mais comuns de ataques são os códigos maliciosos, o que envolve softwares criados para uso mal intencionado, e a varredura sustentada – atividade de reconhecimento projetada para coletar informações sobre o sistema alvo. A pesquisa também analisou os ataques cibernéticos e incidentes de dados monitorados pelas operações de segurança da IBM em 133 países do mundo todo, entre o período de janeiro e dezembro de 2013.
Definição e Exemplos Comuns de Incidentes de Segurança
Como uma grande parte das pessoas sabe, em especial as que trabalham ou se interessam pela área da Segurança da Informação, um incidente de segurança pode ser definido como qualquer evento adverso, seja ele confirmado ou sob suspeita, que esteja relacionado à segurança de sistemas computacionais ou de redes de computadores. De uma modo geral, toda e qualquer situação onde uma entidade ligada à sistemas informáticos esteja sob risco, é considerada um incidente de segurança. Em face disso, os exemplos mais comuns de incidentes incluem o desfiguramento do website de uma instituição, prática que também é conhecida como "deface" ou "defacement"; processos de evasão de informações confidenciais e a propagação de um vírus ou worm por meio da lista de contatos de e-mails. O envio de spam também é uma situação de risco, caracterizando-se como incidentes sérios e que podem facilmente, resultar em impacto significativo para uma instituição, se não manejados de forma correta.
Gravidade, Mensuração e Impacto Causado pelos Incidentes
De fato, a gravidade de um incidente de segurança é mensurada de acordo com o impacto que o mesmo causa no processo de negócios de uma instituição. Como exemplo, podemos citar um incidente que indisponibiliza o acesso ao site de uma loja virtual; este possui alta severidade, já que os clientes não podem acessar o site para realizar compras, e assim, gerando perdas para o comerciante/empresário. Além do mais, os incidentes de segurança podem ser classificados, de forma elementar, em duas categorias: incidentes internos e incidentes externos. Os incidentes externos, como seu próprio nome sugere - o que vem de fora - caracterizam-se por serem originados extra rede da instituição, ou seja, eles são externos ao domínio administrativo daquela instituição.
Detecção, Identificação de Vulnerabilidades e Prejuízos Causados Pelos Incidentes
Caso seja realizada uma varredura, será com a intenção de detectar e identificar vulnerabilidades a partir de um servidor de uma organização. E conforme os incidentes internos refiram-se a todo tipo de incidente originado na própria rede da instituição, há o exemplo das práticas de roubo de informações confidenciais e da má utilização dos recursos disponíveis. No que diz respeito ao dispêndio, os incidentes de segurança internos podem ser mais dispendiosos que os incidentes externos. Esse tipo de incidente possui maior probabilidade de ser bem sucedido quando implementado, pois há um pressuposto de que o atacante possui prévio conhecimento da estrutura interna da instituição.
Em relação aos ataques internos, sobretudo em instituições federais - onde existem muitos alunos realizando experimentos e testando ferramentas sem a devida precaução de segurança, esse tipo de ocorrência passa a ser muito comum. Nessa sequência, vale ressaltar que o potencial de um ataque interno é muito alto, uma vez que essas máquinas estão realmente dispostas em canais de alta velocidade, e com razoável poder de processamento. Esse tipo de ataque merece uma atenção especial em sua estrutura de segurança, sendo bastante conveniente desenvolver mecanismos especiais para sua mitigação.
Processos de Respostas a Incidentes de Segurança
Além do que já foi mencionado, é necessário lembrar que todo incidente deve ser tratado seguindo uma metodologia previamente definida pela instituição. Essa metodologia é chamada de "processo de respostas a incidentes de segurança". As resposta a incidentes de segurança caracterizam-se como uma metodologia organizada, com a finalidade de gerenciar conseqüências de uma situação, que envolve um caso de violação de segurança da informação. Portanto, o principal objetivo do processo de resposta a incidentes de segurança é minimizar o impacto de um incidente, e permitir que haja o restabelecimento dos sistemas o mais rápido possível.
Maior Rigor na Política de Segurança para Responder com Sucesso às Ocorrências de Incidentes
Um bom plano de resposta a incidentes, passa pela definição de uma política de segurança enérgica, que define claramente as etapas do processo que devem ser seguidos, quando um incidente ocorrer. Além disso tudo, é necessário enfatizar que o processo de resposta a incidentes deve ser produto de uma sinergia que ocorre entre as diferentes equipes organizacionais, agregando níveis gerenciais a níveis técnicos, ao passo que a sua implementação seja de responsabilidade do time de resposta a incidentes, ou CSIRT (Computer Security Incidente Response Team).
Um time de resposta a incidentes de segurança é constituído por um grupo criteriosamente selecionado, que além de analistas de segurança também pode incluir representantes legais e integrantes do departamento de relações públicas de uma empresa. Além do mais, a definição de um processo de respostas a incidentes deve observar alguns princípios que norteiam a concepção de um sistema de tratamento a incidentes, como é o caso do processo de identificação; cabe a esta etapa detectar ou identificar, de fato, a existência de um incidente de segurança. Para isso, a equipe pode basear-se em notificações externas ou em um conjunto de ferramentas de monitoração de rede, como um IDS (sistema de detecção de intrusão).
Os esforços da equipe concentram-se em identificar os sintomas do ataque e suas características, observando a severidade do incidente ou seja, o quanto a estrutura de negócios da instituição é afetada. Além de tudo isso, há uma recomendação também de que o time de resposta a incidentes implemente uma base de conhecimento relacionada a incidentes, isto é, um conjunto de registros de incidentes passados. Essa base de conhecimento será útil para levantar informações iniciais dos incidentes em andamento, assim como seus sintomas e características.
Identificação de Danos Causados por um Incidente
Depois de identificar a existência de um incidente e as conseqüências trazidas com ele, é de responsabilidade da equipe identificar os danos causados pelo incidente em questão. A avaliação dos sintomas coletados, permite diagnosticar de forma preliminar a causa do problema, ou pelo menos inferir algumas conclusões que serão de extrema utilidade para determinar qual a medida a ser adotada. tomada.
Resolução de Problemas e Processos de Mitigação
De forma conclusiva, esta etapa sugere possibilidades de ações, que possivelmente, podem ajudar a resolver o incidente em andamento. Há ainda a questão da mitigação: o objetivo chave desta etapa é isolar o problema, e determinar a extensão dos danos causados através da implementação da solução delineada na etapa anterior. Além de utilizar procedimentos para isolar o incidente (para evitar a propagação do ataque), a equipe também busca restabelecer o sistema, mesmo que seja com uma solução temporária, até que a solução definitiva seja implementada.
Saiba Mais:
[1] IBM Service Security Intelligence 2014 http://www-935.ibm.com/services/us/e...x-infographic/