25.6 C
São Paulo
terça-feira, abril 16, 2024
InícioCibersegurançaE se o pior aconteceu, como fazer a recuperação?

E se o pior aconteceu, como fazer a recuperação?

Imagine você receber um telefone do seu time de tecnologia e/ou segurança, ou até mesmo para aqueles que possuem robustos processos de gestão de crises, informando que toda a sua operação está paralisada pois a empresa foi atacada e um incidente cibernético de grandes proporções a afetou, ou então que foi identificado um grande vazamento de dados de informações de seus clientes…

Imagine que esses dois cenários podem acontecer juntos, e, para piorar, um grupo de hackers está praticando uma tentativa de extorsão em sua empresa! Sinceramente falando, eu não desejo passar por isso e nem desejo que ninguém passe, porém, na realidade, muitas empresas já passaram (algumas até mais que uma vez) e muitas outras ainda vão passar.

Os números de incidentes e ataques cibernéticos aumentam a cada pesquisa que é realizada, e traz mais luz para o tema. O risco cibernético é um dos mais temidos segundo as pesquisas com executivos de grandes empresas e governos. Isso já não é novidade para ninguém.

No último artigo, falei sobre uma proposta de estratégia que ajuda na prevenção contra ataques cibernéticos, porém nenhuma estratégia, por mais robusta que seja, por mais que uma grande quantidade de investimento seja feita, erradicará o risco cibernético. 

Mesmo que ele seja muito mitigado, que o nível de risco fique baixo, ainda sim tem aquela pequena probabilidade dele se concretizar, assim como qualquer tipo de risco. E se isso acontecer? Infelizmente, precisamos estar preparados para isso também.

Não podemos simplesmente ignorar o fato de que podemos, e provavelmente passaremos por incidentes cibernéticos com chances de ter grandes proporções. Os casos públicos de incidentes em grandes empresas, aquelas que investem uma grande quantidade de dinheiro já há vários anos, mostra que ninguém está livre de passar por essa situação desagradável.

Um dos principais Frameworks de Gestão de Segurança, o NIST, tem um de seus pilares chamado de “Recovery”, e, na minha opinião, ele é uma das frentes onde as empresas menos investem dinheiro e esforços, mas ele ataca justamente esse ponto. Ele dá diretrizes para orientar e nos preparar para a recuperação de um evento de incidente cibernético, de qualquer proporção.

Vamos citar aqui como exemplo os tão temíveis ataques de Ransomware! Muitos profissionais e empresas pensam que por ter um plano de contingência, redundância e alta-disponibilidade de sistemas estão preparadas para lidar com essa situação, mas o ponto não é essa, a pergunta que tem que ser feita para os responsáveis é: estamos preparados para recuperar nosso ambiente no caso do incidente de Ransomware? 

O Ransomware se espalha pelos nossos sistemas e servidores, pelos bancos de dados, o que também afeta o ambiente de contingência. Isso acontece pois os sistemas de contingência foram desenhados normalmente pensando em estar com as informações e comunicações replicadas o tempo todo entre eles, e isso, para o Ransomware, é um grande facilitador, pois faz com que ele consiga se espalhar pelo ambiente na mesma velocidade que seus dados.

ransomware
Imagem gerada por Inteligência Artificial (IA)

Experimente fazer um exercício com seu time de tecnologia/infraestrutura. Chamamos esse tipo de exercício da Table Top, ou seja, exercícios simulados de situações que podem vir a acontecer e servem para medir a capacidade de resposta das equipes. 

Coloque a eles o cenário de um incidente de Ransomware onde todo o seu ambiente tecnológico está indisponível e pergunte a eles como começamos a recuperar as máquinas, quais os primeiros servidores que precisam ser restabelecidos, qual a ordem de retorno dos servidores, onde eles buscarão os dados com a garantia que estes estão íntegros para serem recuperados e qual a ordem de retorno dos sistemas de negócio. 

Normalmente, a primeira reação será a negação de que isso pode acontecer com a empresa, mas precisamos convencer eles de que isso sim pode acontecer e nós precisamos ter planos que nos ajudem a voltar a operar. 

E, como nunca teremos a garantia que algum ambiente não será afetado por esse tipo de ameaça, se preparar para o pior cenário é um excelente começo porque, a partir dele, qualquer outro cenário menor ou mais controlado também será capaz de ser endereçado. 

É um exercício muito rico e muitas vezes mostra diversas necessidades de mapeamentos que não estão sendo feitos e que precisam da participação das principais áreas de negócio da empresa. Tem que fazer parte do plano de continuidade de negócios da empresa estar preparada para isso.

Não se surpreenda se, nesse exercício, chegar a conclusão que não sabemos basicamente começar a tecnologia da empresa do zero. Como restabelecer a infraestrutura básica, para aqueles que tem ambiente rodando em datacenters próprios físicos, identificar a necessidade de ter que ir fisicamente nos primeiros servidores para recuperar sua funcionalidade mais simples.

Tem certas coisas em tecnologia que somente são feitas no início da construção de uma arquitetura tecnológica e normalmente quem a criou não está mais na empresa e a chance de haver uma documentação sobre isso é mínima.

Não estou falando aqui que temos que chegar no nível de executar algum tipo de teste real deste cenário, falo isso porque provavelmente nenhuma empresa terá estrutura e disposição financeira para fazer algo assim. Mas simular o cenário já nos dá uma excelente visão do nível de preparação que temos.

O trabalho de mapeamento da infraestrutura básica, da arquitetura de rede, das conexões/dependências entre servidores e serviços, é bastante grande e acabará precisando contar com a participação de quase todos os times de tecnologia da empresa, mas ele precisa ser feito e será muito importante para que o plano de recuperação possa ser criado.

ransomware
Imagem gerada por Inteligência Artificial (IA)

Temos que ser capazes, minimamente, de saber em quanto tempo levamos o primeiro e mais crítico sistema da empresa novamente disponível para executar suas funções. Podemos até apimentar a discussão, colocando a questão horário/dia do mês como uma variável importante do plano, pois essas variáveis podem mudar a ordem de retorno dos sistemas para muitas empresas. 

Importante salientar aqui que o tempo de recuperação somente pode começar a contar após a análise/investigação do incidente e a validação de que podemos começar a restabelecer os ambientes com baixo risco deles todos serem novamente travados pelo Ransomware automaticamente, e esse período de análise, infelizmente, é imensurável.

Esse tempo pode surpreender negativamente os executivos em seu primeiro levantamento, pois ele normalmente será alto. O principal motivo disso é que esse tema nunca foi tratado da forma como ele pode e deve ser tratado, e isso acabou se tornando uma preocupação mais latente há pouco tempo. 

Acho que é importante também falar sobre um tema polêmico e que está relacionado aos ataques de Ransomware, que é: devemos ou não pagar o resgate para recuperar nosso ambiente rapidamente? Pergunta “quente” essa, hein? E tenho certeza que ela aparece várias vezes em todos os processos de tratamento dos incidentes dessa natureza. 

A resposta para isso envolve diversos fatores que envolvem desde dilemas éticos quanto ao pagamento e, de certa forma, estar financiando o crime, a confiança de que o pagamento realmente irá recuperar o ambiente, até a capacidade da empresa em pagar, afinal nenhuma ou quase nenhuma empresa tem a disposição de um montante de criptomoedas para pagar pelo resgate. 

E tem um ponto que poucos levam em consideração nessa análise que é: se você descobriu e fechou a porta de entrada do Ransomware, ótimo, mas, se não descobriu, pagando pelo resgate, o risco de ser atacado novamente estará lá sob conhecimento de quem já te atacou. Enfim, é um tema de muito longa discussão e que talvez mereça um artigo específico, mas não é uma carta fora do baralho nessa conversa sobre o plano de recuperação.

Também é importante citar aqui que esse processo também envolve pessoas, normalmente muitas pessoas da empresa, além de impactar 100% dos funcionários. Por conta disso, é preciso também preparar esse público para lidar com a situação, conscientizá-los sobre seu papel, como devem agir, o que podem ou não podem falar sobre, etc. 

Afinal, não é nada legal que, durante um problema como esse, a empresa ainda tenha que lidar com posts em redes sociais de funcionários colocando imagens de seus computadores com a mensagem do pedido de resgate, podendo trazer o holofote da mídia, de investidores e outros interessados no assunto.

Se por acaso você chegou até aqui tranquilo, com a consciência de que seu time de tecnologia e sua empresa já fizeram essa preparação, e se sofrerem um grande ataque de Ransomware (não esqueça de bater na madeira sempre, rs) estão prontos para restabelecer seu ambiente tecnológico, meus parabéns… 

Você provavelmente está dentro de uma pequena, muito pequena, na verdade, parcela dos profissionais do mercado nacional e global. Caso não, e você tenha ficado “mais preocupado” ainda com essa questão, espero que o conteúdo colocado seja útil e recomendo que você coloque esse assunto em pauta!

Glauco Sampaio
Glauco Sampaio
Profissional da área de Segurança da Informação, Gestão de Riscos e Prevenção a Fraudes atuando desde 1999 em empresas de grande porte do mercado financeiro nacional (Bancos: Santander, Votorantim e Original, e Cielo) e também em empresa de mídia (iG e Editora Abril). Gestor desde 2005 sendo responsável pela estratégia, operação e gestão de áreas de segurança da informação.
Postagens recomendadas
Outras postagens