Como superar os desafios de resposta a incidentes

Introdução

Este ano, os relatórios trimestrais de ameaças da Kaspersky Lab destacaram os avanços significativos no mundo de ataques avançados e surtos epidêmicos, com os infames ataques do WannaCry e ExPetr dominando as manchetes de todo o planeta. Hoje, além de ter que lidar com o dilúvio quase constante do malware tradicional, as empresas também correm o risco de enfrentar ameaças mais sofisticadas que muitas vezes envolvem malware sem arquivos, ransomware, atividades de reconhecimento e técnicas de engenharia social. Esses ataques ardilosos são normalmente operações em várias camadas que podem até mesmo não envolver nenhum malware, permitindo que passem despercebidos por soluções de proteção de endpoints, deixando empresas com uma falsa sensação de segurança enquanto criminosos virtuais não deixam pistas ou destroem praticamente todos os seus rastros de atividades.

Aparentemente, endpoints ainda são o principal método de entrada para criminosos e as estratégias de prevenção tradicionais usadas pelas empresas já não são mais adequadas. Com uma violação de segurança sendo agora uma questão de tempo, e não uma hipótese, as empresas precisam repensar sua abordagem para administrar a segurança corporativa, dando mais foco para monitoramento constante e análise que aproveite inteligência de ameaças, além de mitigar as consequências de um incidente. Agora é impossível que empresas corrijam e bloqueiam tudo, o que significa que estruturas precisam ser elaboradas para possibilitar a investigação constante e a avaliação regular a fim de garantir que estratégias de resposta estejam em dia. A segurança cibernética, por isso, não é mais um destino, mas uma jornada contínua.

Nesse ambiente, a resposta a incidentes se torna um processo organizacional completo que exige estratégia, tecnologias avançadas de segurança cibernética e participação de várias pessoas da organização. Ela exige uma abordagem rápida e eficiente para avaliar os grandes volumes de dados de segurança gerados pelo cenário de ameaças na rápida evolução de hoje. Os tempos de conseguir responder manualmente e gerar um contexto completo da segurança estão no passado, causando um problema de milhões de alertas para departamentos de segurança de TI. Aliado à falta de mão de obra qualificada em toda a indústria, isso pode resultar nos indicadores de incidentes mais cruciais sendo ignorados por equipes de segurança sobrecarregadas enquanto os criminosos passam despercebidos pela estrutura corporativa e permanecem lá, escondidos, para espionar, roubar ou causar danos.

Para ajudar as empresas a lidar com o ambiente de ameaças cibernéticas de hoje e superar os desafios organizacionais e estratégias de minimizar riscos e responder a ataques, a Kaspersky Lab realizou um estudo que investiga as principais preocupações da indústria e os incidentes reais que elas enfrentaram nos últimos 12 meses. Os resultados são resumidos no relatório a seguir.

Metodologia

A Pesquisa de Riscos de Segurança de TI Corporativa da Kaspersky Lab é um estudo global que envolve tomadores de decisões de negócios de TI, realizado pela B2B International em nome da Kaspersky Lab em abril de 2017.

A pesquisa entrevistou 5.274 profissionais sobre vários aspectos da segurança cibernética, incluindo as atitudes de sua empresa sobre a área, os principais desafios enfrentados e os tipos de abordagens/estratégias atualmente empregados.

Os participantes representam empresas bem pequenas (1 a 49 funcionários), de pequeno a médio porte (50 a 999 funcionários) e grandes organizações com mais de 1.000 profissionais. Os resultados foram comparados com a pesquisa do ano passado (além de avaliados entre regiões, indústrias e portes de empresas) para gerar um contexto amplo do ambiente de ameaças.

Principais resultados

• Os ataques direcionados se tornaram uma das ameaças com mais rápido crescimento em 2017, com um aumento geral em 6% na ocorrência em comparação com 2016 e de 11% para empresas. Composto não apenas por malware comum, mas por um padrão malicioso e único que criminosos cibernéticos usando em organizações, um ataque direcionado é extremamente perigoso para empresas que contam exclusivamente com abordagens convencionais para sua segurança cibernética.
• Uma vez que não existe uma abordagem comum para combater ameaças complexas, as empresas lutam para entender como lidar com ataques direcionados, e 42% dos entrevistados admitiram que não têm certeza sobre a estratégia de resposta mais efetiva. De forma preocupante, esse número é significativamente superior (63%) entre os participantes que são especialistas em TI.
• Uma falta de especialistas em segurança de TI, especialmente aqueles com conhecimento específico em gerenciamento de SOC, resposta de incidentes e identificação de ameaças, está agravando a situação. Metade das empresas (50%) admitem que precisam contratar profissionais de segurança de TI mais experientes e que uma falta de equipe interna exclusiva aumenta a exposição a ataques direcionados em 15%.
• No entanto, as organizações estão relutantes em aumentar seus gastos em segurança na proteção contra ataques direcionados: 78% dos entrevistados acreditam que gastam atualmente um valor suficiente, ou até mesmo além do suficiente, quando se fala em investir em defesa avançada de ameaças.
• Enquanto isso, há uma necessidade clara por soluções de segurança que vão além da prevenção, uma vez que a velocidade da detecção é crítica quando se fala no custo de violações. Quando ataques foram detectados imediatamente, o custo médio da recuperação foi de US$ 63.000 para pequenas e médias empresas e US$ 102.000 para as de grande porte, em comparação com US$ 465.000 e US$ 1,2 milhão, respectivamente, quando a detecção levou mais de uma semana.
• Por fim, uma resposta eficiente a incidentes não se trata apenas de tecnologia. Para conseguir combater ameaças cibernéticas de forma efetiva, as organizações precisam pensar no tópico como um processo e não um destino. Além das tecnologias corretas, a estratégia também deve envolver experiência humana (interna ou terceirizada), estruturas de investigação de incidentes, procedimentos e planejamento de eficiência de custos.

Ataques direcionados: uma batalha em desvantagem

Não é segredo que as equipes de segurança de TI estiveram ocupadas nos últimos 12 meses, algo destacado pelo fato de que mais de três quartos (77%) das empresas terem relatado que sofreram algum tipo de incidente durante o período.

Na verdade, todos os tipos de ataques aumentaram em ocorrência ao longo do ano passado, com ataques direcionados mostrando especificamente um dos maiores aumentos (6%).

Isso está colocando uma enorme pressão sobre as equipes de segurança, e muitas enfrentam o dilema de como incorporar uma estratégia de resposta que seja capaz de proteger suas organizações contra ameaças cibernéticas complexas sem afetar os processos de negócios.

Violações de negócios não são mais uma hipótese, mas uma questão de tempo

Mais de um quarto (27%) das empresas admitem que sofreram ataques direcionados em sua infraestrutura, contra 21% no ano passado, e 33% das empresas acreditam que estão sendo direcionadas especificamente por ataques cibernéticos.

Como é de se esperar, organizações grandes sofreram o maior número de ataques direcionados, provavelmente devido à mina de ouro de dados corporativos confidenciais que elas detêm atualmente, enquanto organizações de TI e telecomunicações (30%), saúde (30%) e serviços públicos (29%) foram as mais procuradas pelos criminosos cibernéticos.

Mas não é apenas a quantidade de incidentes que está causando problemas para empresas. Dois terços dos entrevistados (66%) concordam que as ameaças de segurança de TI estão se tornando mais complexas, e 62% dizem que sofreram incidentes de segurança de TI complexos em 2017, enquanto criminosos cibernéticos continuam a aprimorar suas habilidades.

Como resultado, as organizações estão acordando para o fato de que as violações de segurança cibernética são agora inevitáveis. Na verdade, 57% das empresas acreditam que suas organizações serão comprometidas em algum tempo, contra 51% em 2016, o que sugere uma mudança de mentalidade quando se fala em segurança cibernética e destacando uma necessidade de conseguir responder a qualquer ataque.

No entanto, apesar da conscientização sobre as ameaças, as empresas ainda estão relutantes em aumentar seus gastos com segurança, provavelmente devido a ouvirem continuamente que precisam comprar novas soluções para conter a “próxima grande ameaça”.

Como o gráfico abaixo mostra, apenas 15% das empresas não acham que gastam o suficiente na proteção contra ataques direcionados.

Quanto a ataques direcionados especificamente, a grande maioria (84%) dos especialistas de TI nível C acredita que sua empresa está gastando o suficiente ou além da conta com proteção.

De forma interessante, esse número é levemente inferior (79%) entre executivos de nível C em cargos que não são de TI, sugerindo que eles estão mais preocupados com os riscos de negócios ligados a ataques direcionados.

Quando se fala em responder a um ataque, há muita confusão

Um desafio significativo que as empresas enfrentam atualmente na batalha cibernética está ligado à falta de conhecimento e experiência, o que dificulta para empresas definirem estratégias de respostas claras.

Quando questionados, 42% dos entrevistados concordaram que sua organização não tem certeza sobre a estratégia mais efetiva para combater ameaças como ataques direcionados. Esse número é maior para empresas de saúde (46%) e manufatura (47%), possivelmente sugerindo que as organizações nessas indústrias estão sobrecarregadas pela ameaça gerada por tais incidentes.

Há também algumas diferenças geográficas. Metade das empresas na região da Ásia-Pacífico concordam que não têm certeza sobre a melhor estratégia de resposta, em comparação com 41% na Europa, 39% na América do Norte e apenas 31% na Rússia.

Da mesma forma, 46% dos participantes concordaram que seu conhecimento de ameaças de segurança de TI especificamente voltado para seus negócios está longe do ideal, chegando a 62% na Ásia-Pacífico e caindo para 42%, 41% e 36% na Europa, América do Norte e Rússia, respectivamente.

As empresas atualmente não podem se dar ao luxo de serem complacentes quando se fala em sua segurança cibernética, por isso a necessidade de garantir que uma estratégia de resposta efetiva esteja em vigor com uma combinação de procedimentos, tecnologias e especialistas humanos caso um ataque ocorra.

Velocidade é tudo

Um segredo essencial que a pesquisa destaca é a importância de agilidade quando se fala em detectar e responder a violações de dados e ataques direcionados.

Além da velocidade de detecção ser um dos maiores fatores do custo geral, a remediação rápida é essencial para limitar os custos relacionados a danos de reputação duradouros como perda de negócios, aumento de prêmios de seguro e contas de indenização constrangedoras.

Mas, de acordo com a pesquisa, apenas um quarto (25%) das empresas identificaram seu incidente de segurança mais sério em apenas um dia, destacando a importância de um processo amplo de resposta a incidentes. De forma preocupante, levou a um décimo das empresas um ano para descobrir a perda, roubo ou danos aos dados, tornando a remediação um processo mais complicado e caro.

Tempo até a descoberta	Porcentagem
Mais de um ano	5,9
Cerca de um ano	10,3
Vários meses	16,6
Várias semanas	18,3
Vários dias	22,9
Dentro de um dia	12,3
Dentro de poucas horas	8,7
Quase que instantaneamente	3,6

Fonte: Pesquisa de Riscos de Segurança de TI de 2017, dados globais

As organizações do governo foram as mais rápidas, com 34% detectando seu incidente de segurança mais grave em um dia, em comparação com os setores públicos, onde a descoberta levou um ano ou mais em 21% dos casos.

Essa diferença se deve provavelmente a um conjunto de razões, incluindo a pressão que organizações do governo enfrentam quando se fala em proteger os dados, a ênfase na segurança no geral e a complexidade de arquiteturas de rede internas.

E certamente vale a pena as empresas estarem atentas, uma vez que a velocidade da detecção tem um impacto material significativo sobre o custo financeiro de um ataque. Para empresas de pequeno e médio porte, o custo médio de recuperação de um ataque, se detectado imediatamente, é de US$ 63.000. Esse número salta para US$ 78.000 se detectado dentro de uma semana e US$ 102.000 se a detecção levar mais do que isso.

Para grandes empresas, o aumento é ainda mais significativo, com um ataque direcionado custando uma média de US$ 1,2 milhão se permanecer oculto por mais de uma semana – três vezes mais do que o custo de US$ 456.000 no caso da detecção imediata.

De igual importância é a remediação, que é especialmente importante para limitar os danos financeiros e de reputação a longo prazo associados a um ataque cibernético.

Fatores como perda de negócios, emprego de profissionais externos, treinamento de funcionários e custos extras para relações públicas repararem os danos à marca são levados em conta, possivelmente aumentando centenas de milhares de dólares na costa de recuperação e tornando uma resposta rápida ainda mais importante.

A falta de mão de obra qualificada torna as empresas lentas e irregulares

Então, porque as empresas são lentas para detectar e responder a ameaças direcionadas? A resposta simples é que há muita confusão. Com as empresas enfrentando um número crescente de ataques, as equipes de segurança lutam com a incapacidade de detectar as ameaças mais perigosas entre centenas de milhares – ou até milhões – de alertas de incidentes.

Mais da metade (52%) das empresas admitiram que está se tornando mais difícil identificar a diferença entre ataques genéricos e ameaças realmente sérias, o que significa que ataques direcionados podem passar despercebidos e causar danos sérios. Fica claro que uma estratégia de resposta ampla é essencial.

A falta de experiência em segurança de TI agrava ainda mais o problema. A falta de mão de obra com experiência em segurança cibernética é um problema discutido amplamente, destacado pela proporção de empresas que foram forçadas a buscar ajuda externa ao se recuperar de uma violação de dados.

Quase três quintos (58%) dos participantes disseram que um ataque cibernético os forçou a empregar serviços de consultores de segurança de TI, sugerindo a falta de talentos internos. De forma interessante, há diferenças geográficas. No Japão, por exemplo, 65% das empresas contrataram consultores externos, enquanto o número foi significativamente inferior para organizações na Europa (54%) e Rússia (40%).

Os setores de saúde (65%), telecomunicação (63%) e finanças (63%) foram aqueles que mais costumam buscar ajuda externa, enquanto varejo e organizações governamentais tendem a contar com a equipe existente.

Impacto financeiro total para empresas de pequeno e médio porte	US$ 91.000	US$ 86.000
Impacto financeiro total para grandes organizações	US$ 1,1 milhão	US$ 930.000
Presença de especialistas internos	Não	Sim

Fonte: Pesquisa de Riscos de Segurança de TI de 2017, dados globais

Por fim, 53% das empresas concordaram que precisam empregar mais especialistas com experiência específica em segurança de TI em vez de profissionais gerais de TI – um número que salta para 61% em grandes empresas. Essa é uma tendência preocupante, uma vez que contar com especialistas internos em segurança de TI proporciona às empresas uma vantagem financeira quando se fala em responder a violações de dados.

Isso também destaca a importância de incorporar uma combinação de pessoas, processos e tecnologia em qualquer estratégia efetiva de resposta a incidentes.

Proteção proativa: a resposta aos ataques direcionados

Todas essas tendências estão se combinando para formar uma tempestade perfeita de ameaças cibernéticas, e os profissionais de TI começaram a aceitar o fato de que é necessário uma mudança de atitude para combatê-las.

As empresas estão percebendo que, para obter visibilidade no mundo de alertas e reagir imediatamente às ameaças mais graves, uma mentalidade proativa de detecção e resposta é o melhor caminho.

Quase três quintos (59%) das empresas acreditam que sua estratégia de segurança de TI deve priorizar a capacidade de detectar e responder de forma mais efetiva aos ataques, sendo que as indústrias de finanças (66%) e serviços públicos (63%) encabeçam a lista.

Essa mentalidade é especialmente comum em grandes empresas com mais de 1.000 funcionários (62%), possivelmente devido ao enorme número de ataques que afetam tais organizações e a uma compreensão mais madura sobre o ambiente atual de ameaças.

Há também uma necessidade clara por soluções de segurança que vão além da prevenção e em fornecer um pacote de segurança cibernética mais completo. Por exemplo, 56% das empresas concordaram que precisam de ferramentas melhores para detectar e responder a ameaças persistentes avançadas (APTs) e a ataques direcionados, e 67% das empresas consideram soluções que buscam, de forma contínua e proativa, ameaças e agentes de ameaças voltados para suas organizações para garantir a efetividade.

Os países da Europa parecem estar especialmente a favor dessa abordagem, com 75% das empresas na Itália, 71% na Espanha, 70% na França e 69% no Reino Unido concordando. No outro lado do espectro, estão os Estados Unidos (60%) e o Japão (55%).

Por fim, uma atitude voltada para a detecção e a resposta proativas é apoiada por aqueles na TI, uma vez que 60% dos profissionais de TI acreditam na efetividade dos serviços que buscam proativamente ameaças direcionadas para sua organização, em comparação com 47% dos profissionais que não são de TI.

As empresas estão claramente prontas para mudar sua mentalidade sobre estratégias efetivas de segurança. O desafio agora é criar um processo eficiente que empregue tecnologia e pessoas para ajudar as organizações a ficarem um passo à frente dos criminosos.

Conclusão

desenvolvimento rápido e constante do ambiente de segurança cibernética significa que as empresas simplesmente não podem se dar ao luxo de ficarem paradas quando se fala em proteção contra ataques direcionados e sofisticados, uma das ameaças com maior crescimento em 2017.

As soluções de segurança estão gerando mais alertas de incidentes do que nunca e é, de forma compreensível, cada vez mais difícil para equipes de TI sobrecarregadas separar o trigo do joio, o que significa que as ameaças mais perigosas muitas vezes passam despercebidas. Isso, em combinação com o rápido aumento nos custos de recuperação conforme as ameaças permanecem ocultas e ao fato de que estão cada vez mais complexas, tem colocado as empresas em desvantagem.

Fica claro que algo precisa mudar. Entre os entrevistados, 57% concordaram que um ataque vai passar despercebido em algum ponto, o que significa que as organizações precisam conseguir formar um contexto completo da segurança cibernética em toda a empresa. Isso também vai permitir que as empresas adaptem sua abordagem e se concentrem em conseguir detectar e responder imediatamente a ameaças, ao contrário de uma mentalidade mais tradicional focada apenas na prevenção.

Os departamentos de segurança de TI, como os guardiões da tecnologia, têm o dever de encabeçar essa evolução ao garantir que suas organizações continuem a investir em tecnologias avançadas e profissionais com conhecimento e experiência específicos na identificação de ameaças, forense e resposta a incidentes.

No entanto, uma vez que a proteção contra ameaças modernas é um processo complexo, esses componentes precisam ser complementados por procedimentos de recuperação efetivos e uma estrutura ampla de investigação de incidentes, composta por monitoramento contínuo, detecção avançada e mitigação de eventos de segurança graves.

No mundo de hoje, as empresas nunca estarão totalmente livre de riscos. Mas, ao mudar seu foco para a proteção proativa, adotar uma abordagem estratégica para a segurança e planejar com antecedência, elas podem ficar em uma posição para conseguirem responder de forma efetiva aos ataques direcionados e conter os danos.