O papel crucial da perícia de dados na recuperação pós-ataque cibernético

Imagine voltar para casa para descobrir que alguém invadiu sua casa. Sua primeira reação é garantir que seja seguro entrar. Em seguida, você verifica rapidamente se todas as portas e janelas estão trancadas para proteger sua casa. Essa resposta imediata é como seu objetivo de tempo de recuperação (RTO, Recovery Time Objective) – um esforço rápido para colocar os sistemas em funcionamento com segurança.

Quando a polícia chega, a ameaça imediata acaba. Mas agora vem a próxima etapa: descobrir o que aconteceu.

A polícia quer saber: Quem estava aqui? Como eles entraram? O que eles tomaram? Cada detalhe, como uma impressão digital na maçaneta ou uma área lamacenta, se torna uma pista importante.

Na cibersegurança, a análise forense de dados funciona da mesma maneira que os investigadores em uma cena de crime. 

Por que a perícia forense de dados é importante

Embora a análise forense possa não parecer tão urgente quanto restaurar as operações, é tão importante para criar uma estratégia de defesa mais forte e segura. A análise forense de dados ajuda a descobrir como o ataque aconteceu, quem estava por trás dele, quais dados e sistemas foram afetados, quais vulnerabilidades foram exploradas e como você pode evitar ser atacado novamente.  

A análise forense de dados também é importante por esses motivos:

• O governo precisa de informações: Se você for atingido por uma gangue de ransomware ou uma entidade na lista do OFAC, o governo se envolve e pode apreender seus sistemas. Eles vão querer um registro detalhado de evidências para a investigação.
• Conhecimento é proteção: Entender o que é, o que é, como e por que acelera a análise e identifica o que deve ser feito para se proteger contra ataques futuros.
• Processamento de solicitações de seguro: Se você tem um seguro cibernético, a seguradora pode investigar o ataque. Se você não tem seguro, conseguir é mais difícil e caro, pois os ataques cibernéticos continuam aumentando. No entanto, você tem uma chance maior de obter seguro (e renovar sua apólice) se tomar medidas proativas para se defender contra ataques cibernéticos, o que inclui um plano forense de dados sólido.

Mesmo que o governo ou a seguradora não se envolva com seu ataque cibernético, você ainda precisa realizar um nível de investigação forense para proteger a empresa. Isso levará tempo e o procedimento será disruptivo.

A maneira mais tranquila de lidar com isso é fazendo um excelente trabalho de preservação de seus dados. Mas isso geralmente é mais fácil do que parece.

Desafios comuns para capturar e preservar evidências

Gerenciar dados forenses é complicado. Aqui estão alguns dos maiores desafios que as empresas enfrentam e dicas para enfrentá-los.

• Restrições de tempo: Você precisa agir rapidamente para conter o ataque e tornar a empresa totalmente funcional. Mas preservar e analisar evidências é um processo lento e cuidadoso. Ferramentas automatizadas, como uma solução de backup imutável, podem ajudar a coletar rapidamente as evidências necessárias para uma investigação completa.

• Acesso aos dados: Você está nadando em dados de inúmeras fontes. Como você encontra as pistas essenciais sem ficar sobrecarregado? Use ferramentas como SIEM (proteção de informações e gerenciamento de eventos) e SOAR (proteção orquestração, automação e resposta). Essas ferramentas filtram e correlacionam dados com eficiência para identificar o ponto de ataque e as vulnerabilidades.

• Falta de experiência: A análise forense de dados é uma habilidade especializada, e nem toda equipe tem a experiência disponível. Invista em treinamento regular para sua equipe de TI ou considere contratar especialistas em resposta a incidentes quando necessário.

• Risco de contaminação de evidências: A investigação de sistemas ativos pode alterar ou destruir acidentalmente evidências críticas. Siga procedimentos rigorosos de tratamento de evidências para garantir que tudo permaneça admissível no tribunal. Use bloqueadores de gravação, isole sistemas afetados e crie cópias bit a bit dos dados para análise, deixando as evidências originais intocadas.

• Integridade do backup e risco de reinfecção: Restaurar sistemas após um ataque é complicado: 63% das organizações correm o risco de reinfecção porque seus backups contêm código malicioso. Use uma solução, como os snapshots do SafeMode ..A Pure Storage^®, que permite restaurar backups com segurança e rapidez em um local limpo.

• Conformidade legal e regulatória: Diferentes regiões têm leis diferentes (e, às vezes, conflitantes) sobre o tratamento de evidências e a comunicação de violações. Trabalhe com o consultor jurídico para criar um plano de resposta a incidentes que se alinhe às leis aplicáveis. Mantenha-se informado sobre as mudanças nos regulamentos para garantir conformidade contínua.

• Análise pós-incidente: Depois que o ataque é contido, a pressão para voltar ao normal pode levar a análise pós-incidente ao back burner. Faça da análise pós-incidente uma etapa obrigatória em seu plano de resposta. Use-o para identificar as lições aprendidas, justificar os recursos necessários para uma análise completa e fortalecer suas defesas para o futuro.

Como a Pure Storage pode suavizar o processo forense

Em média, as empresas só podem recuperar cerca de 59% de seus dados após um ataque ransomware, mas não se você usar a Pure Storage. A Pure Storage oferece as ferramentas necessárias para recuperação e análise forense de dados rápidas e eficazes. Veja como:

• Instantâneos à prova de adulteração: A tecnologia SafeMode da Pure Storage cria snapshots imutáveis (inalteráveis) de seus dados. Esses backups são completamente seguros. Eles não podem ser alterados nem excluídos, mesmo por invasores com acesso administrativo. Isso significa que seus dados podem ser totalmente restaurados ao estado exato em que estavam logo antes do ataque acontecer. Isso não apenas acelera seu retorno às operações normais, mas também simplifica o processo forense digital, ajudando a investigar o que deu errado.

• Recursos aprimorados de SIEM e SOAR: A Pure Storage trabalha com os principais provedores de SIEM e SOAR para oferecer maior resiliência cibernética. Juntos, eles permitem detectar possíveis ataques mais rapidamente e responder automaticamente, como acionar snapshots do SafeMode para bloquear seus dados críticos antes que eles sejam comprometidos.

Assista: Como o armazenamento certo pode ajudar a melhorar as operações de SIEM corporativo

• Armazenamento limpo garantido: Quando seus sistemas são atacados, a Pure Storage fornece e configura rapidamente novos equipamentos de armazenamento. Ter um ambiente limpo garante que a investigação forense possa prosseguir tranquilamente em segundo plano enquanto você se concentra em colocar as operações de negócios de volta no caminho certo.
  
• SLA de recuperação cibernética: Além do armazenamento limpo sempre disponível para recuperação e análise forense, a Pure Storage oferece um SLA com um plano de recuperação de 48 horas e serviços em pacote, incluindo um engenheiro de serviços profissionais no local para dar suporte à sua recuperação.

Após uma violação, interrupção ou roubo de dados, a primeira prioridade é colocar os sistemas de volta online o mais rápido possível. Quando tudo estiver funcionando novamente, é hora de uma investigação mais profunda, o que leva muito tempo. É por isso que a Pure Storage desenvolveu sua tecnologia e suporte para ajudar a simplificar o processo e ajudar você a obter insights reais que fortalecem sua resiliência cibernética.

Saiba mais sobre o SLA de resiliência e recuperação cibernética da Pure Storage no Evergreen//One.