EQUIPE DE EMERGÊNCIA

EQUIPE DE EMERGÊNCIA
  • Ter backups recorrentes e confiáveis, conforme exigência do negócio e tamanho da base de dados, diários, semanais e mensais, que salvaguardarão as informações em seu formato “pleno”.


  • Importante saber que os ataques de Ransomware modernos invadem a empresa, permanecem latentes em seu ambiente e poluem os backups, geralmente durante 2 (duas) a 3 (três) semanas, quando finalmente geram o incidente, impedindo o acesso ao Banco de Dados. O objetivo dessa infeção dos Backups é não permitir que simplesmente se devolva a posição do(s) dia(s) anterior(es) a fim de realmente poderem os bandidos pressionar o Cliente objetivando prejudicá-lo.


  • Ter equipe (colaboradores) treinados em Segurança da Informação e Privacidade de Dados, para que não permitam a entrada do vírus no ambiente tecnológico, pois o ataque ocorre sempre a partir da recepção de e-mails suspeitos e, invariavelmente, da ação inadvertida dos colaboradores clicando em links que não deviam e permitem a entrada desse Malware no Ambiente.

Um ataque por ransomware normalmente cumpre 5 etapas, sendo:

  • Infecção: Depois de ser entregue ao sistema por meio de anexo de e-mail, e-mail de phishing, aplicativo infectado ou outro método, o ransomware se instala nos endpoints e em todos os dispositivos de rede que ele possa acessar.


  • Troca de chaves seguras: O ransomware entra em contato com o servidor de comando e controle operado pelos cibercriminosos por trás do ataque para gerar as chaves criptográficas a serem usadas no sistema local.


  • Criptografia: O ransomware começa a criptografar todos os arquivos que possa encontrar em máquinas locais e na rede.


  • Bomba Relógio: As versões mais atuais, mantém o sistema infectado operacional durante algum tempo de modo que o backup seja corrompido também, e quando os arquivos são trazidos ao tempo atual o ransomware se torna ativo criptografando os arquivos restaurados


  • Extorsão: Com a atividade de criptografia feita, o ransomware exibe instruções para extorsão e pagamento de resgate, ameaçando a destruição de dados se o pagamento não for feito.


  • Desbloqueio: As organizações podem pagar o resgate e esperar que os cibercriminosos realmente decriptografem os arquivos afetados, ou podem tentar a recuperação removendo arquivos e sistemas infectados da rede e restaurando dados de backups limpos. Infelizmente, negociar com criminosos cibernéticos é muitas vezes uma causa perdida, pois um relatório recente descobriu que 42% das organizações que pagaram um resgate não receberam seus arquivos decriptografados.

Ações necessárias para “debelar” o problema (orientação):

  • Isole a infecção: Evite que a infecção se espalhe separando todos os dispositivos infectados uns dos outros, armazenamento compartilhado e rede.


  • Identifique a infecção: A partir de mensagens, evidências nos dispositivos e ferramentas de identificação, determine com qual cepa de malware você está lidando.


  • Relatório: Informe às autoridades, órgãos competentes e consultoria de segurança para apoiar e coordenar medidas para combater o ataque.


  • Determine suas opções: Você tem várias maneiras de lidar com a infecção. Determine qual abordagem é melhor para você. Por exemplo, no caso de um dispositivo infectado não conter dados significativos (dispositivos da portaria que controla unicamente acesso de visitantes) deve ser formatado sumariamente.


  • Restaurar e Atualizar: Use backups sabidamente seguros, fontes de programas e softwares para restaurar seus dispositivos ou equipar uma nova plataforma.


  • Planeje para prevenir a recorrência: Faça uma avaliação de como a infecção ocorreu (análise forense) e o que você pode fazer para colocar medidas em prática que impedirão que ela aconteça novamente (treinamento de segurança da informação e anti-phishing).


Como a WAR pode ajudar?


  • Nossa equipe de Emergência atua diretamente nas máquinas do cliente (remotamente), para a qual se exige a abertura de VPNs do ambiente do próprio Cliente.


  • Atuamos de modo direto, desenvolvendo as seguintes etapas, caso ainda não tenha tomado qualquer das medidas acima descritas nos “PASSOS” 1 A 6), no ambiente ativo e nos Backups, normalmente infectados também, prejudicando a possibilidade de solução rápida:


  • Isolamos a infecção: Nosso Analista, a partir de análises que desenvolve, utilizando Ferramentas de identificação e contenção de danos, verifica o foco da infecção e o isola, evitando que se espalhe para outras aplicações e Bancos de Dados ligados ao local onde encontrou a Infecção.


  • Identificamos a infecção: Nosso analista identifica qual a infecção que foi inoculada no ambiente. Não importando neste ponto como ela entrou na Rede, mas onde está, qual é e como detectar as maneiras de debelá-la.


  • Elaboramos o Relatório: Diante da Necessidade Legal envolvida, nosso analista elabora o Relatório informando a situação da ocorrência para que sejam notificados os órgãos competentes, técnicos, como o CERT BR, o Comitê da Internet do Brasil, os provedores, além da ANPD (em cumprimento da Lei Geral de Proteção de Dados), quando o Incidente envolver dados de Pessoas Naturais e a Polícial Federal, dependendo da extensão do problema detectado e suas consequências imediatas.


  • Determinamos as opções de solução e contorno: Com base no isolamento e na Identificação técnica do tipo de infecção e sua abrangência no Ambiente Tecnológico do Cliente, nosso Analista determina as opções e nosso Gerente de Projetos discute com o cliente as melhores formas de resolver o problema.


  • Restauramos e Atualizamos: havendo Backups seguros em relação à infecção, nosso Analista coordena, junto com a equipe técnica do cliente, o momento correto de restaurá-lo e monitora sua restauração.


  • Prevenimos a recorrência: Avaliando a origem e a localização da infecção, realizamos a análise forense**, mesmo que não seja o caso de Formalizá-la junto à Delegacia de Crimes Digitais (decisão de negócio e de conformidade com a Legislação), identificamos medidas práticas para impedir que este problema reocorra.


  • ** Análise Forense: Trata-se de uma atividade necessária para a classificação formal de atividades envolvendo a possibilidade de defesa (ou ataque) jurídico. É um trabalho que envolve as seguintes tarefas:


  • Após identificada a localização da Infecção, fazer uma cópia idêntica utilizando ferramentas de cópia “byte a byte” (não os comandos simples do Sistema Operacional), pois se trata de ferramenta que registra os indicadores lógicos dos pontos de início e final de gravação, como se fosse “cortado” o Banco de Dados e retirado para análise posterior.


  • O objetivo dessa cópia, denominada “MATRIZ ESPELHO”, é guardar a infecção no seu estado “puro e latente”, para futura e eventual necessidade de rastreamento e checagem. São utilizados 3 (três) HD´s externos para esta finalidade. O primeiro guardará a Infecção eternamente, não é para ser utilizado para qualquer finalidade. Nele haverá os registros para qualquer necessidade futura de investigação. O segundo servirá às Análises necessárias fora do ambiente de produção, com o objetivo de registrar as atuações técnicas executadas para solucionar o problema. O terceiro é idêntico ao segundo, deve ser trabalhado em conjunto com o mesmo e é a evidência que será utilizada / entregue para as autoridades ou para a peritagem, conforme o caso da sequência das atividades;


  • Matriz espelho pronta (as 3 cópias), são criados os documentos que definem os locais físicos onde serão guardados, quem poderá ter acesso a eles e esses documentos são assinados pelo Responsável Legal do Cliente para formalização da ação e consequente tarefa posterior.


  • Se for o caso de uma atividade “Forense” de fato, deve-se chamar o Tabelião Digital, que “firmará” uma “ATA NOTARIAL”. Ele acompanha todo o processo acima descrito, gera o documento e o assina, “dando fé pública” à atividade realizada.


  • Feitos todos esses procedimentos, o conjunto técnico e documental é “entregue” ao Jurídico do Cliente, que deve / pode utilizá-lo para tomar suas providências, sejam elas de defesa, se for o caso do Cliente vir a ser interpelado judicialmente, ou ataque, quando o Cliente processa alguém que tenha sido claramente identificado como autor da Infecção.


  • Obs 1.: Que fique claro que essas ações são técnicas, de gestão e legais. Não devem ser suprimidas em nenhum de seus pontos, a fim de permitir ao cliente ter sucesso na condução das ações de solução e/ou contorno, visando dar a transparência exigida / necessária ao atendimento de preceitos Legais e de Negócio.


Obs 2.: A Equipe Emergencial da WAR não desenvolve os projetos de solução futura e perene, ou seja, é necessário e fundamental que sejam desenvolvidos, depois da Equipe de Emergência resolver o problema, a criação de um Time de Resposta a Incidentes, os treinamentos de Segurança e Privacidade de Informações, a existência de um Comitê deliberativo com a finalidade de ponderar e resolver as questões relevantes para a estabilidade do Ambiente e cerceamento de futuros problemas que possam vir a ocorrer.


Obs 3.: A existência do Time de Resposta a Incidentes, dos comitês e da área formal e operacional de Segurança da Informação não dispensa a atuação da Equipe de Emergência que será demandada sempre que for necessário para debelar situações de qualquer tipo no ambiente tecnológico.


Prazo para execução das atividades:

  • Trabalho Completo (envolvendo forense) – 80 horas
  • Contenção da Infecção e resposta imediata – 40 horas