Para muitas organizações dos dias de hoje, a questão já não é saber se elas serão vítima de um ataque direcionado, e sim, quando isso vai acontecer. Nesse caso, a maneira como uma organização responde a um ataque irá determinar se ele se tornará um evento sério ou se ele permanecerá sendo tratado como um mero transtorno. Isso requer uma mudança de mentalidade por parte dos profissionais de segurança da informação, porque atualmente, muitos acham que o ambiente organizacional que comandam ou onde trabalham, não sofrerá nenhuma investida.
Neste cenário de ameaças, o malware usado em ataques direcionados, freqüentemente, não é detectado (porque foi feito sob medida para organizações específicas); um ataque de engenharia social bem trabalhado, que pode envolver um e-mail comercial normal ou técnicas de clique em links maliciosos que contem pragas. Em suma, um atacante com recursos suficientes para atingir seus objetivos, será capaz de encontrar o seu caminho em direção ao seu alvo, independentemente do que o defensor fizer. Os métodos de defesa podem dificultar a entrada, mas não impedi-la de ocorrer.
Levando em consideração todas essas questões, o Instituto SANS fornece algumas orientações para as organizações, sobre como estas devem reagir a incidentes. De um modo geral, no entanto, a resposta pode ser dividida em quatro etapas:
Preparação
Trata-se de responder a um ataque direcionado, mesmo antes do ataque, de fato, acontecer. Nesse caso, os profissionais de segurança precisam planejar uma resposta a um ataque direcionado à sua rede. Os administradores de sistema, de forma rotineira, tem planos, por exemplo, para eventos relacionados com o tempo de inatividade, como um centro de dados que fica offline devido a um ataque sofrido. Da mesma forma, é importante estar ciente das ameaças do cotidiano, que podem assolar uma organização.
Vale ressaltar que os profissionais de segurança da informação não só devem lidar com esses ataques e com a forma como eles acontecem, de modo que as ameaças não convencionais, como ataques direcionados, podem ser rapidamente descobertas. A questão da inteligência de ameaças e análise das mesmas é valiosa nesta etapa, a fim de orientar os profissionais de segurança para a compreensão do que representa, de fato, a situação atual.
Os profissionais de segurança devem também adquirir as competências adequadas para lidar eficazmente com os ataques direcionados. Uma das habilidades mais importantes nesse contexto, é aprender técnicas forenses digitais, que permitem a aquisição adequada e análise de informações a partir de dispositivos comprometidos. Muitas dessas técnicas são desconhecidas para muitos desses profissionais, mas aprendê-las irá ajudar as organizações a obter informações e estar melhor preparado para lidar com qualquer ataque em andamento.
Respostas
Ao identificar um ataque direcionado em plena atividfade, o próximo passo é responder a ele de forma decisiva. Responder a ataques direcionados abrange vários componentes: contenção da ameaça, remoção da mesma e determinação do nível dos danos causados pelo ataque. O primeiro passo é isolar imediatamente ou conter o âmbito de qualquer ameaça. Os procedimentos que podem ser realizados, incluem o isolamento de máquinas infectadas ou tomada de serviços comprometidos. Em última instância, o objetivo é evitar que um ataque possa ter dimensão ainda maior.
Para determinar quaisquer ameaças no local, trabalhando lado a lado com um fornecedor de segurança que tenha o conhecimento de ferramentas de ataque direcionados comumente utilizados e grayware, sendo útil para localizar as ameaças dentro de uma organização. Da mesma forma, o monitoramento contínuo da atividade de rede existente pode ajudar a determinar a escala e o escopo de qualquer ataque existente.
Restauração
Tão importante quanto responder a um ataque, é restaurar uma organização com referência à execução das operações, em seu curso habitual. Enquanto para alguns, as ocorrências perturbadoras são uma parte necessária para responder a um ataque direcionado, a longo prazo, uma organização tem que "voltar ao normal" e voltar às suas operações normais.
"Restaurar" uma organização não está apenas relacionado às considerações técnicas. Se necessário, a organização precisa chegar aos parceiros, agentes e clientes para se comunicar com clareza no âmbito de um dano sofrido, oriundo de um ataque direcionado, além das eventuais medidas a serem tomadas para reduzir esses danos. Em muitos casos, boa vontade e confiança são as grandes vítimas de um ataque direcionado, e estes devem ser abordados.
Aprendizado
Uma vez que um ataque seja longo, as organizações precisam descobrir o que pode ser aprendido com ele. Cada ataque oferece aulas para os defensores, e a partir daí, vem questionamentos como "O que funcionou?", "O que poderíamos ter feito melhor?". Pode acontecer de alguns dos pressupostos e informações que entraram em planejamento para incidentes de segurança não tenham sido integrados de forma correta ou incompleta. No entanto, também é importante não exagerar quando tratar-se de um único incidente.
O Overreacting pode ser tão ruim quanto um "under-reaction": ele pode impor encargos sobre a organização que tem ganhos marginais em segurança, caso houver. Além disso, as decisões devem ser tomadas com base na lógica, para que as organizações possam superar o "rescaldo" de um incidente.
Resumo
No mundo de hoje, onde predominam ataques direcionados frequentes - quando a ocorrência das violações é uma questão de "quando" e não de "se" - uma estratégia cuidadosamente elaborada para responder a ataques direcionados deve ser parte integrante da estratégia de defesa maior. Esta pode ser a diferença entre um transtorno menor e uma grande brecha que poderia significar o fim de uma organização.
Saiba Mais:
[1] Blog Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...tack-response/