Quebra de Segurança?

Obtenha acesso a assistência imediata de resposta a incidentes 24 x 7 x 365 em todo o mundo.

Ligue-nos ou envie-nos uma mensagem.

 

United States

P: (787) 620-5260

Brazil

P: +55-11-983-502-863

Latin America

P: +52-55-5025-4009

Australia & New Zealand

P: +61-3-8539-4869



Se você acredita ter sofrido uma quebra de segurança, recomendamos que você tome as seguintes medidas:

Ação 1

Create a Checklist

Que sistemas são impactados? Que dados são impactados? Que métodos você pode usar para conter a situação? Em que impacto esses métodos terão:

  • Operações comerciais normais
  • Proteção da exfiltração de dados
  • Preservação de provas

Estas listas tornam-se então parte da documentação do incidente e devem ser atualizadas à medida que o incidente avança.


Ação 2

Documentar todas as atividades

Manter um registro de todas as ações tomadas e do tempo em que ocorreram. Isto é especialmente importante quando se tomam ações que podem impactar as provas. Também é útil quando se trata de restaurar sistemas e determinar quais sistemas ainda podem estar em risco. Os registros devem ser mantidos em sistemas que não são acessíveis.

Ação 3

Back Up!

Os sistemas de produção e os dados devem ser copiados antes de serem feitas mudanças. Esta política se aplica especialmente ao malware. Mesmo que o software antivírus esteja reportando um arquivo como sendo uma variante particular, é provável que haja informações adicionais a serem coletadas de arquivos maliciosos, incluindo endereços IP de servidores de comando e controle, links para outras cargas úteis maliciosas e dados de linha de tempo. Também é possível que qualquer malware identificado como um tipo pelo software antivírus possa ser uma variante de uma família com comportamento e capacidades diferentes ou adicionais.

Ação 4

Plataforma Triangulada e Sistemas em Risco

Uma vez que um incidente tenha sido identificado, os sistemas imediatamente afetados são facilmente identificados. Você também deve considerar como esses sistemas interagem com o resto da rede, que informações podem estar neles, e como essas informações podem permitir que um atacante se dirija a outros sistemas. Estas informações variam desde configurações de sistema e aplicações (por exemplo, relações de confiança, credenciais de conta, APIs) até inteligência (por exemplo, modelos padrão de e-mail, diagramas de rede, organogramas). Os atacantes usam muitos métodos para explorar sistemas comprometidos e obter acesso a outros sistemas e dados no ambiente.

Ação 5

Conter e sustentar

Uma vez que você conheça os sistemas em risco e tenha alguma compreensão da violação, você pode determinar o método mais eficaz de proteção de seus sistemas e dados. Você deve ter em mente que a contenção é uma abordagem de curto prazo projetada para "estancar o sangramento". Algumas ações de contenção podem estar em vigor apenas por tempo suficiente para permitir que você implemente soluções mais abrangentes. Por exemplo, colocar toda a rede off-line enquanto revisa e atualiza as regras de firewall. Ao implementar ações de contenção, considere o impacto nos sistemas de produção e as provas potenciais.

Ação 6

Obrigações da Lei de Notificação de Violação de Dados

As exigências de notificação de infração variam significativamente de uma jurisdição legal para outra. Você deve considerar tanto o local em que a violação ocorreu quanto a localização de qualquer pessoa cujos dados estejam em risco. Em alguns casos (por exemplo, na UE), mesmo que seus sistemas não estejam localizados nessa jurisdição, se as informações pessoais das pessoas dentro daquela região forem afetadas, você ainda é obrigado a notificá-las. Você precisa considerar tanto as leis estaduais e federais quanto as relações comerciais, em conjunto com o tipo de dados em risco. Por exemplo, aplicam-se regras diferentes aos dados de cartão de crédito versus informações médicas.

Ação 7

Advogado!

Um método de estar confiante de que você está cumprindo com as obrigações legais é contratar um escritório jurídico especializado em leis de violação cibernética.  A GM Sectec tem uma lista preferida de escritórios de advocacia líderes com os quais trabalhamos regularmente.

Ação 8

Notifique!

Além de quaisquer exigências legais para notificar suas partes impactadas, considere como o incidente e as ações de contenção irão influenciar seus usuários e parceiros. Há algum efeito imediato que eles devem estar cientes? Existe o risco de que sistemas parceiros sejam impactados? Há ações que seus usuários devem tomar para ajudar a conter a violação?

Contate-nos

 
Incidence Response PT