Se a resiliência cibernética é um esporte em equipe, veja o que você precisa no seu banco

“Todo mundo tem um plano até que seja atingido”, disse o boxeador Mike Tyson. 

Esse pode ser o mantra para os CISOs e suas equipes de segurança, que podem fazer toda a preparação possível antes de possíveis incidentes de segurança, apenas para jogar o manual fora da janela quando a realidade atingir o fã. Não importa o quanto a preparação tenha sido feita, um incidente de segurança tem uma maneira de levar os procedimentos, as tecnologias e as pessoas de uma organização ao limite. 

Não estamos argumentando que um manual não é importante para a recuperação (é muito importante), mas ter uma base resiliente é a chave real. Isso inclui ter uma equipe bem treinada e bem preparada com as ferramentas certas para entrar em ação no calor do momento. Quando você tem ordens de marcha claras, um plano de recuperação totalmente priorizado, uma linha de visão para equipamentos de recuperação e dados resilientes, é menos provável que você esteja se embaralhando. 

Leia o relatório: Alcançar a resiliência cibernética exige trabalho em equipe

Você precisa de uma equipe dinâmica 

A segurança cibernética é um esporte de equipe que exige conhecimento, coordenação e prontidão multifuncional. O maior curinga para qualquer organização que responde a um incidente são as pessoas. Eles conhecem suas funções? Eles estão prontos para intervir e desempenhar? 

“No calor da batalha, surgem diferentes personalidades, e as coisas que você ensaiou tendem a ser testadas”, disse um dos CISOs no painel de discussão recente da Pure Storage. É por isso que é essencial ter uma equipe de resposta a emergências bem preparada pronta para agir quando o tempo é essencial. Isso pode incluir:

• Especialistas forenses digitais. Esse grupo coletará e analisará evidências das máquinas afetadas, bem como logs de segurança e outras ferramentas, seguindo procedimentos detalhados para manter a integridade de suas descobertas e garantir sua adequação como evidência. Isso inclui reconstruir os eventos que levaram a um evento usando dados de log de segurança, recuperar dados perdidos de dispositivos físicos e virtuais, coletar e analisar evidências de incidentes, garantir uma cadeia de custódia comprovada de evidências digitais, estabelecer contato e colaborar com a polícia e fornecer testemunho em processos legais.
• Assessoria jurídica. As águias legais ajudam você a entender as obrigações, os conflitos potenciais e as responsabilidades associadas a um evento. Eles podem aconselhar sobre como se comunicar com a polícia, agências de investigação e partes interessadas. Eles também podem fornecer informações valiosas ao elaborar políticas e procedimentos. 
• Segurança da informação (InfoSec). A InfoSec é um subconjunto de cibersegurança especificamente relacionado à segurança de dados. A equipe da InfoSec coordena a investigação, avaliação, rastreamento, resolução e relatório de incidentes críticos de segurança. Eles também serão as pessoas para promulgar o protocolo de violação de segurança e determinar se um incidente de segurança precisa ser relatado.
• Tecnologia da informação. Não é de surpreender que a equipe de TI esteja ativamente envolvida em todas as fases da resposta a emergências. Isso inclui mapeamento de todos os ativos e endpoints de TI e rede, identificação e avaliação de incidentes, medidas de contenção para minimizar danos, erradicação ou remoção da ameaça, restauração de sistemas ao estado anterior e análise pós-evento para melhorar os esforços futuros de segurança e resposta a incidentes.
• Relações com a mídia e comunicações corporativas. Uma organização deve ser capaz de comunicar uma conta uniforme e precisa durante e após o evento de segurança. Um ponto de contato predeterminado pode controlar e coordenar a comunicação, incluindo comunicações internas, e gerenciar a comunicação com meios de comunicação, entidades de negócios afiliadas e partes interessadas externas. 
• Relações com investidores. Designar uma única pessoa ou equipe para se comunicar com parceiros e investidores valiosos no caso de um incidente de segurança ajuda a garantir que eles recebam comunicações ordenadas e possam avaliar os impactos financeiros do incidente.
• Gerente de incidentes. O gerente de incidentes ocupa um cargo no topo da hierarquia da ERT. Seu trabalho é coordenar todas as ações da ERT, garantir que cada membro da equipe execute seus itens de ação, resumir as descobertas, encaminhar problemas para a gerência superior e, quando necessário, atribuir funções ad hoc.
• Outros membros importantes da equipe. Conforme necessário, a equipe pode incluir provedores de seguros cibernéticos e organizações policiais locais ou nacionais.

A tecnologia que você precisa

Após uma violação ou ataque de segurança, os recursos de computação podem ser desativados e quaisquer recursos comprometidos podem ser confiscados, colocados em quarentena ou necessários para uso pelos investigadores. Um ambiente de recuperação em etapas, configurado e testado com antecedência, oferece um ambiente de TI seguro e limpo para ajudar a colocar os sistemas críticos de volta online o mais rápido possível. 

• Instantâneos imutáveis. Apelidados de “airbags para armazenamento de dados”, os snapshots imutáveis protegem os dados contra modificação e exclusão não autorizadas com base nas políticas de retenção de dados existentes. Após a intrusão e reconhecimento iniciais, o ransomware tentará executar, criptografar e/ou exfiltrar dados. Sem os snapshots, e se um ataque ransomware criptografar dados de backup ou metadados de backup, suas chances de recuperação de dados serão pequenas, deixando você vulnerável a demandas de resgate. 
• Um SLA de recuperação cibernética que envia arrays limpos para recuperação. 
• Arquitetura de resiliência em camadas com “bunkers” de dados. Arquiteturas de backup em camadas são sobre resiliência. Eles garantem que os dados estejam sempre no melhor local para recuperação, aproximando você de atingir objetivos de tempo de recuperação (RTOs, Recovery Time Objectives). Os snapshots em camadas os isola, garantindo ainda mais sua disponibilidade em caso de desastre.

Mantenha-se resiliente contra eventos com a plataforma da Pure Storage

E se sua plataforma de armazenamento de dados pudesse tornar os “eventos importantes” mais como “eventos toleráveis”? Embora um array da Pure Storage não possa impedir um ataque, ele pode dar a você a capacidade de sobreviver a um ataque e se recuperar rapidamente. Veja como.

Os snapshots do SafeMode (SureMode) da Pure Storage® são os únicos snapshots do setor com essa vantagem. Os snapshots do SafeMode são o que chamo de “superimutável+”. Como os snapshots tradicionais e imutáveis, depois de armazenados, os dados contidos neles não podem ser alterados, editados ou substituídos. No entanto, há uma grande vantagem para os snapshots SafeMode da Pure Storage: Eles também não podem ser excluídos, mesmo por um usuário ou processo com privilégios administrativos no array da Pure Storage. 

Para os assinantes do Evergreen//One. Nossa assinatura de armazenamento como serviço de nível corporativo, o SLA de recuperação cibernética e resiliência oferece um serviço complementar exclusivo para reduzir riscos, garantindo:   

• Envio no próximo dia útil de array(s) de recuperação limpa* 
• 48 horas para finalizar um plano de recuperação
• Taxa de transferência de dados de 8 TiB/hora
• Serviços agrupados, incluindo uma equipe de engenharia de serviços técnicos para finalizar o plano de recuperação e um engenheiro de serviços profissionais no local, desde o momento da chegada do array até a substituição da infraestrutura de serviço afetada
• Relatórios trimestrais de resiliência cibernética, preparados pela Pure Storage e analisados diretamente com você 
• Serviços de correção fornecidos pelos arquitetos de segurança da Pure Storage se você quiser resolver as vulnerabilidades identificadas no relatório

A resiliência cibernética começa com segurança de dados sólida e colaboração entre equipes. Faça download do novo relatório da Pure Storage e da 451 Research sobre como melhorar as relações entre as operações de TI e os grupos de segurança. 

*Cronograma de envio: Envio de arrays para a América do Norte e EMEA no próximo dia útil. Três dias úteis para Ásia e Austrália/Nova Zelândia. O envio rápido pode estar disponível dependendo da região.