Guia

Contra os ataques
de Ransomware

Um guia de passos que devemos incluir em

um plano de defesa contra um ransomware e
suas implicações para um responsável de
TI/Segurança.
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

Índice

1. Resumo executivo 3

2. Contexto 4

2.1 Cibersegurança hoje 4

2.2 Ransomware: 5 casos que estão abalando o mundo em 2021 6

2.3 Padrão de ataque de ransomware 7

2.4 Ecossistema dos autores de ameaças 8

3. Estratégias de defesa contra Ransomware 10

3.1 Pré incidente 10

3.2 Durante o ataque 12

3.3 Pós incidente 15

4. Conclusão. De MSS para MDR e além 16

2
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

1. Resumo executivo
Bilhões de reais são gastos todos os anos em tecnologia de segurança cibernética. Garantir a saúde das empresas e que consigam
combater os riscos cibernéticos requer um esforço mais exaustivo, sistemático e constante. Neste documento analisaremos o que
devemos incluir nos planos de defesa contra um ransomware e, como conclusão, as implicações que um responsável de TI/Segurança
tem dentro de uma empresa.

Planos de defesa contra um ransomware

Os planos de defesa contra um ransomware estão estruturados de maneira cada vez mais sistemática, que vão desde a preparação e
prevenção, à detecção e resposta, terminando com a recuperação.

Para dar conta das expectativas de proteção contra ameaças
cibernéticas, as empresas estão complementando e
estendendo o serviço de segurança cibernética, reduzindo
o tempo de crise e fortalecendo-se através de:
- Acesso rápido a especialistas em resposta, análise forense e
malware.
- Capacidades de análise de ameaça digital (por exemplo,
ransomware) ou dispositivo comprometido.
ações em resposta a um ataque de ransomware:
- Realizar uma avaliação completa dos riscos cibernéticos
e sua correção, incluindo: análises de vulnerabilidades de
testes de invasão.
- Analisar a Arquitetura de Segurança Cibernética atual e
apresentar cenários de evolução da maturidade em segurança
cibernética; melhorando a postura de proteção dos negócios e
dados sensíveis.

- Estabelecer uma política de confiança zero e segurança em

- Realização de atividades forenses e de relatórios como
suporte para procedimentos legais.
- Assistência para implementar uma estratégia de detecção,
resposta e remediação.
- Avaliação de comprometimento total proativa, depois que
algum comportamento anormal for detectado internamente
ou houver suspeitas de um ataque em andamento.
- Teste de Plano de Resposta a Incidentes para medir a eficácia,
com simulação de cenários de incidentes reais.
As recomendações abaixo são os resultados das nossas
todos os níveis.
- Elaborar campanhas de conscientização para disseminação
da cultura de Segurança Cibernética.
- Aplicar correção de vulnerabilidades em tempo hábil,
implantando patches, testando e validando.
- Implementação ou revisão/atualização do Plano de Resposta
a Incidentes incluindo medidas a serem tomadas, por exemplo,
se a cadeia de suprimentos for comprometida.
- Implementação ou revisão/atualização do Plano de
Continuidade de Negócios.

Como sabemos agora, as mudanças na postura de segurança cibernética podem desempenhar um papel muito maior em uma empresa.
Com a crescente pandemia de ransomware, a pressão por transformação digital e gestão de riscos, as empresas estão explorando
a terceirização, operação automatizada para rápida resposta na detecção e resposta à incidentes cibernéticos e promovendo
redução do risco operacional e risco reputacional.

DE MSS PARA MDR E ALÉM

A detecção e resposta não são uma tarefa fácil. Muitas empresas

acabam compartilhando esta tarefa com empresas externas
especializadas, por não ter internamente o know-how.

Os fornecedores de serviços MDR melhoraram os

programas de segurança de uma empresa, ao mesmo
tempo que diminuem grandemente os custos de adoção
dessas ferramentas.

3
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

2. Contexto
2.1 Cibersegurança hoje
Bilhões de reais são gastos todos os anos em tecnologia de - A pandemia foi explorada pelos autores das ameaças:
segurança cibernética. Uma pesquisa da International Data
Corporation, IDC, prevê que os gastos com segurança global
chegarão a US$ 174,7 bilhões até 2024 (um aumento anual de
8,1% durante 2020-2024). No entanto, as empresas continuam a
falhar e serem vítimas de ataques cibernéticos, como evidenciado
pelos últimos relatórios e tendências:

- Em 2020, o volume de dados comprometidos por um ataque

subiu 141%, o maior número desde 2005.

...e deve piorar até o fim de 2021.

Uma pílula mágica tem sido procurada para garantir a saúde

das empresas, uma tecnologia única que possa prevenir todos
os ataques. Como acontece com muitas doenças graves,
precisamos realizar algumas medida específicas para interromper
completamente alguns tipos de ataques.

O NIST (National Institute of Standards and Technology) criou uma estrutura muito abrangente que
explica como esse programa deve ser estruturado com base nos seguintes pilares:

Identificar Proteger Detectar Responder Recuperar

Gestão de ativos Controle de acesso Irregularidades & Plano de Respostas Plano de recuperação
eventos
Governança do Treinamento e Comunicações Melhorias
entorno empresarial capacitação Vigilância constante
na segurança Análise Comunicação
Avaliação de riscos Proteção de dados
Processos de detecção Mitigação
Estratégia de gestão Informação
de risco sobre proteção e Melhorias
procedimentos

Manutenção

Tecnologias de
proteção

4
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

No entanto, sua aplicação não é fácil.
Mesmo grandes multinacionais em setores
regulados, com experiência relevante em
gestão de riscos e na criação
de capacidades internas
em cibersegurança, estão
lutando com a complexidade
e os custos envolvidos.
Portanto, o quadro para
As empresas dependem agora, mais
empresas menores é ainda
mais preocupante.
De fato, estima-se que o mercado de MSS
chegue a US$ 41 bilhões até 2022, com
crescimento anual de 16,6%.
do que nunca, de fornecedores
de Serviços de Segurança
da Colonial Pipeline e da JBS ilustraram
esse ponto. Como consequência, a JBS
pagou um resgate de US$ 11 milhões em
bitcoins aos autores do
ataque cibernético que
interrompeu temporariamente
o funcionamento de algumas
de suas fábricas.
Tendências no aumento dos
ataques cibernéticos como
a epidemia de ataques de
ransomware que temos
experimentado nos últimos

As empresas dependem
agora, mais do que nunca,
de fornecedores de Serviços
de Segurança Gerenciado
(MSS), buscando terceirizar
os esforços de SecOps por
meio de modelos operacionais
híbridos, bem como soluções
abrangentes e de consultoria,
para construir seu programa de segurança a
partir do início de suas operações.
Gerenciado (MSS), buscando
terceirizar os esforços de SecOps
por meio de modelos operacionais
híbridos.
Os sinais de mudança estão aí e não
podemos ignorá-los. A recente paralisação
meses, maior adoção da
nuvem e mudanças nos
padrões de compra passaram
por quebras e foram
aceleradas em um curto
espaço de tempo. Este novo
cenário combinado com as
mudanças na infraestrutura
de rede trazidas pela
pandemia nos coloca diante
de um ambiente de negócios
reiventado, principalmente
em detecção e resposta rápidas aos
incidentes cibernéticos.

Uma empresa multinacional pagou um resgate

de US$ 11 milhões em bitcoins aos autores de um
ataque cibernético.

5
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

2.2 Ransomware: 5 casos que

estão abalando o mundo
em 2021

- JBS: US$11 milhões

A JBS, líder mundial na produção de carne bovina, confirmou

o desembolso de US $ 11 milhões para retomar suas operações
nos Estados Unidos e Canadá.

- Colonial Pipeline: US$4,4 milhões

A Colonial Pipeline confirmou que pagou um resgate de

US $4,4 milhões à gangue cibercriminosa responsável pela
paralisação do abastecimento de combustível nos EUA.

- Brenntag: US$4,4 milhões

Em maio de 2021, a divisão norte-americana da Brenntag foi

comprometida por cibercriminosos. A empresa de distribuição
de produtos químicos, após vários dias de negociação, pagou
US $4,4 milhões em bitcoin ao grupo DarkSide.

- HSE: US$600 milhões

Em Maio, um ransomware derrubou os sistemas da Health

Service Executive (HSE), serviço de saúde pública da Irlanda.
A instituição decediu não pagar o resgate. As despesas do
ataque de ransomware contra a HSE ultrapassam US $ 600
milhões.

- Kaseya: US$70 milhões

Em Julho, hackers lançaram um ataque de ransomware à

empresa americana Kaseya. Aproximadamente 1.500 empresas
do grupo, distribuídas em 17 países, foram afetadas pelo
ataque. O valor do resgate exigido foi de US$ 70 milhões em
bitcoins.

6
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

2.3 Padrão de ataque de ransomware

Em inglês, “ransom” significa “resgate”. Os cibercriminosos
contaminam os servidores das empresas, conseguem
criptografar dados, geralmente sensíveis, e só liberam
o acesso mediante pagamento de um resgate em
criptomoedas — é como um sequestro digital.
A criptomoeda é um dinheiro virtual que garante o
anonimato porque não é depositado em banco e nem requer
informações pessoais. Sendo assim, trata-se de uma moeda
atraente para o crime - e um obstáculo para quem atua no
rastreamento dos cibercriminosos.

Campanha de Distribuição Infecção Teste

O primeiro estágio é distribuir e instalar
o ransomware. Durante este estágio,
as vítimas são induzidas por e-mail
a realizar o download do software
malicioso. Trata-se de um ataque via
phishing ou e-mail falso. Esse
tipo de ameaça é o estágio inicial
2.3.1 de uma ameaça muito maior e
mais séria que está por vir.
Uma vez na máquina da vítima, é realizado
o download de um arquivo .exe ou outro
executável camuflado, conectando-se
a uma lista predefinida de endereços
IP que hospedam software malicioso.
A partir desta fase, geralmente é
copiado o executável malicioso para
um diretório local, como uma a pasta
Temp. Finalmente, o script
é finalizado, removido e o
2.3.2 ransomware é executado.
A fase de teste é onde o ransomware executa
vários itens de manutenção para garantir
seu funcionamento. O ransomware se
moverá para uma nova pasta e então evoluirá,
verificando a configuração local e as chaves
de registro. Ele procura configurações de
proxy, privilégios de usuário, acessibilidade
e outras informações potencialmente
significativas. O ransomware também executa
uma inicialização no modo de recuperação,
que o desativa o modo de recuperação.
O ransomware também se comunica com
o servidor de controle neste estágio para
realizar o reconhecimento no usuário/sistema
usando ferramentas analíticas de IP online
para determinar se eles são ou não
um alvo aplicável, desativando o
2.3.3 mesmo.

2.3.6 Pedido de resgate

Assim que a criptografia é

2.3.4 Scanning
Assim que o ransomware se
instala, mesmo se houver reinicializações,
ele se prepara para tomar os arquivos
como reféns. O ransomware verifica e
mapeia os locais que contêm arquivos,
localmente e em sistemas mapeados
e não mapeados acessíveis pela rede.
Muitas variantes de ransomware também
procuram repositórios de armazenamento
de arquivos em nuvem, como Box, Dropbox
e outros. Este estágio específico é a
oportunidade real que os especialistas
de segurança cibernética têm para
interromper o ataque de ransomware.
2.3.5 Criptografia
Este estágio é quando os
arquivos previamente descobertos
pelo ransomware são criptografados.
Como a criptografia pode ser detectada
por um software antivírus, o ransomware
normalmente criptografa primeiro os
arquivos importantes (como arquivos de
sistema ou arquivos com datas de acesso
recentes) para que o dano seja causado o
mais rápido possível antes que a detecção
ocorra.
concluída, uma notificação de resgate
é gerada e apresentada à vítima. O
ransomware informa as vítimas sobre a
extensão dos danos causados e as formas de
recuperar os arquivos. Ele também mostra
todas as etapas para pagar o valor resgate,
que pode levar de 2 a 3 dias para que os
cibercriminosos verifiquem o pagamento,
que geralmente é em criptomoedas.
Assim que o pagamento é verificado, o
atacante disponibiliza a chave privada para
descriptografia e, finalmente, os arquivos
são recuperados. Os ataques de ransomware
são executados por redes e empresas
criminosas, não por indivíduos isolados.
Não há garantia de que os dados serão
devolvidos, ou que não serão vazados /
vendidos para outra pessoa, aumentando
os lucros do ataque.

7
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

2.4 Ecossistema dos autores

de ameaças
É importante entendermos que a Inteligência de Ameaças tem a ver com os autores da ameaça e como (Táticas, Técnicas e Procedimentos)
e por que (motivação) eles podem atacar a nossa empresa. Portanto, é muito importante compreender a natureza das atividades de
negócios da empresa e o contexto em que atua (indústria, região, países, geopolítica). Os autores da ameaça não são iguais em termos
de motivação, sofisticação e capacidades. Levando em consideração esses atributos, podemos classificá-los da seguinte forma:

Embora possamos categorizar e separar os agentes de ameaças,
isso não significa que eles não colaborem e não façam
negócios entre si. Nos últimos anos, começamos a ver como o
ecossistema dos cibercriminosos evoluiu para um modelo de
negócios maduro no qual fornecedores e clientes podem realizar
transações comerciais seguras.
É normal ver desenvolvedores de malware no que é comumente
conhecido como Malware-as-a-Service (MaaS), que geralmente
desenvolvem diferentes tipos de malware e depois os vendem a
diferentes agentes de ameaças, como cibercriminosos ou grupos.
O MaaS é um dos pilares do que hoje se chama CaaS (Cybercrime-
as-a-Service). É um setor que cresceu exponencialmente nos
últimos anos e é hoje uma das atividades criminosas mais prolíficas,
sustentada por um modelo de negócios moderno e consolidado,
onde vendedores e clientes podem realizar transações comerciais
em um ambiente de confiança.

8
 GUIA CONTRA ATAQUES DE RANSOMWARE

Modelo de Negócio
de Ameaça

Como vimos, o
ecossistema de autores
de ameaças é vasto e
complexo.

Geralmente, é assim
que a indústria de
ransomware opera:

Venda de produtos e serviços: Ataque os alvos:

Desenvolvedores de malware usam fóruns
aplicativos “Dark Web” privados e públicos,
mensagens ou sites para oferecer seus
produtos e serviços.
Os autores ameaçam, com as ferramentas
compradas anteriormente, que eles atacarão
seus alvos. Eles também podem usar os dados
roubados ou adquiridos anteriormente, como
credenciais da empresa para obter acesso inicial.

Obtenção de novos canais de vendas: Monetize o ataque:

Outros autores de ameaças podem usar os
dados adquiridos como um novo vetor de
ataque e também podem solicitar novos
desenvolvimentos para realizar outros
ataques.
Os autores das ameaças receberão
o resgate ou realizarão um leilão com o
dados roubados. Se isso falhar, eles podem
postar os dados de graça para danificar o
reputação da marca/empresa.

9
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

3. Estratégias de defesa contra

Ransomware

Como se preparar para um incidente cibernético, a partir da detecção

de ataques cibernéticos e resposta à incidentes?

3.1 Pré incidente

3.1.1 Preparação aos Incidentes Cibernéticos

Imprevistos maliciosos e acidentais, podem ocorrer de várias maneiras e a qualquer momento. Portanto, é importante desenvolver
procedimentos, para gerenciar incidentes cibernético mais prováveis de ocorrer. Ou seja, você deve preparar seu negócio para enfrentar
as ameaças mais comuns.

Identifique sistemas e ativos críticos Realize Campanhas de Conscientização

- Identifique quais informações são essenciais para manter Crie mecanismos para disseminação da cultura de Segurança
sua empresa em execução, como detalhes de contato, e-mails e Cibernética na sua empresa. Aborde os mais diversos tipos de
documentos essenciais. phishing (e-mails falsos) e ataques de engenharia social.

- Identifique onde essas informações estão armazenadas.

Por exemplo, as informações estão em um único computador no
seu escritório? É em um servidor remoto? As informações estão
armazenadas na nuvem, por um terceiro?

O próximo passo é identificar quais processos e sistemas de

negócios são essenciais para manter sua empresa funcionando.
Por exemplo, o site ou aplicativo onde seus clientes fazem pedidos
ou o equipamento de produção controlado por computador. Se
ainda não realizou este levantamento, identifique os sistemas
e processos-chave o mais rápido possível e registre onde estão
armazenados (ou como são acessados).

10

3.1.2 Prevenção aos incidentes cibernéticos
Mantenha cópias
de segurança
Faça backup das informações
essenciais regularmente
(diário/semanal). Realize
testes de restauração das
informações para verificar se o
backup está funcionando.
GUIA CONTRA OS ATAQUES DE RANSOMWARE
Implemente Realize Análise de Gerencie as contas
soluções Vulnerabilidades, de usuários
preventivas contra Teste de Invasão Controle o acesso ao ambiente
os ataques de e Vazamento de de rede, cloud e aplicativos
da sua empresa, incluindo
ransowmare Dados a proteção das contas de
usuários e dados através da
Expanda a capacidade de Realize uma análise e autenticação multifatorial
operações de segurança exploração de vulnerabilidades (MFA).
cibernética, permitindo o para identificar ativos de
monitoramento, detecção rede e aplicações vulneráveis
e resposta a ameaças de a ataques cibernéticos,
incidentes de segurança, incluindo o vazamento de
que acontecem 24 horas dados sensíveis.
por dia e 7 dias por semana.
Com base em tecnologia EDR
(Endpoint Detection and
Response), combinada com
as capacidades de CTI (Cyber
Threat Intelligence) e DFIR
(Digital Forensics and Incident
Response) para uma rápida
investigação e resposta aos
incidentes.
11

3.2 Durante o ataque
A primeira etapa para
lidar de forma eficaz
com um incidente
cibernético envolve
identificá-lo.
Ou seja, como você pode detectar se ocorreu um incidente
cibernético (ou ainda está acontecendo)?
Situações que podem indicar um incidente cibernético incluem:
- Computadores funcionando lentamente.
- Contas de usuários bloqueadas.
- Usuários incapazes de acessar documentos.
- Mensagens exigindo resgate pela liberação de seus
arquivos.
- Pessoas informando sobre e-mails estranhos vindos de seu
domínio.
- Pesquisas redirecionadas da internet.
- Pedidos de pagamentos não autorizados.
- Atividade incomum da conta de acesso.
12
GUIA CONTRA ATAQUES DE RANSOMWARE
As 10 perguntas a seguir podem ajudá-lo a identificar o que
ocorreu. É um ponto de partida que você pode usar para coletar
informações essenciais assim que suspeitar de um ataque. As
respostas o ajudarão a fornecer informações essenciais para sua
equipe de TI interna ou externa que irá investigar e resolver o caso.
Qual foi o problema relatado e por quem?
Quais serviços, aplicativos e/ou hardware não estão
funcionando?
Há alguma indicação de perda de dados? Por exemplo, você
recebeu pedidos de resgate ou seus dados foram expostos
na internet?
Quais informações (se houver) foram divulgadas para
partes não autorizadas, excluídas ou corrompidas?
Seus clientes notaram algum problema? Eles podem
usar/acessar seus serviços?
Quem projetou o sistema afetado e quem o mantém?
Quando o problema ocorreu ou chamou a sua atenção pela
primeira vez?
Qual é o escopo do problema, quais áreas da empresa
foram afetadas?
Houve algum sinal de que o problema ocorreu
internamente em sua empresa ou externamente por
meio de sua cadeia de suprimentos?
Qual é o potencial impacto comercial do incidente
cibernético?
 GUIA CONTRA ATAQUES DE RANSOMWARE

3.2.1 Detecção de Ataques Cibernéticos

Para tomar decisões mais rapidamente durante um ataque,
muitas empresas estão capturando novos conjuntos de dados,
através de soluções de EDR, e usando análises automatizadas
para identificar, responder aos ataques cibernéticos e direcionar
mudanças na postura e arquitetura de segurança cibernética.

As principais vantagens são:

- Redução do Risco Cibernético & melhoria do MTTD (tempo de

detecção) & MTTR (tempo de resposta).

- Redução de custos através da identificação precoce de

ameaças, fraudes e incidentes cibernéticos.

- Automatização através da capacidade de SOAR (Security

Orchestration, Automation, and Response).

- Redução de custos através da terceirização da operação:

1. Monitoramento 24×7 e resposta rápida aos ataques

cibernéticos.

2. Hunting proativo de ameaças e assistência

especializada para crises cibernéticas.

3. Processos e metodologia avançada para proteção,

detecção e análise forense.

Monitoramento de contas de
acesso privilegiadas
Identifique e monitore as contas com acesso privilegiado, por
exemplo: administradores do ambiente computacional,
contas para gerenciamento dos serviços em cloud, contas
utilizadas por fornecedores terceirizados para administrar
a infraestrutura ou aplicação da sua empresa etc.

Realize o monitoramento 24×7 para as contas com acesso

privilegiado, definindo os comportamentos aceitos e
permitindo a detecção antecipada de atividade maliciosas.

13
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

3.2.2 Respondendo e recuperando-se do incidente cibernético

As ações nesta etapa ajudarão sua empresa a voltar a funcionar o
mais rápido possível. Você também precisará confirmar se tudo está
funcionando normalmente e corrigir quaisquer problemas.

Além da capacidade de Detecção e Resposta Gerenciada, sua empresa

também utilizará as capacidades do DFIR (Digital Forensics Incident
Response). Trata-se de uma assistência especializada durante uma
crise ou recuperação de violação do ambiente computacional.

Exemplos de caso de uso da

capacidade de Detecção e
Resposta Gerenciada:
- Resposta de ponta a ponta ao ataque de
ransomware em andamento, incluindo assistência
para recuperação segura de dados.

- Hunting proativo de ameaças e assistência para

crises cibernéticas, incluindo: investigações semanais
usando os dados coletados pelo EDR e inteligência de
mercado para descobrir agentes maliciosos, “Táticas,
Técnicas e Procedimentos” (TTPs) e novos “Indicadores
de Comprometimento” (IoCs ).

- Investigação de ataques de vazamento da

dados, comprometimento do diretório principal,
servidor de e-mail, ambientes de nuvem.

- Análise completa de ataques cibernéticos

direcionados aos executivos (C-Level),
envolvendo APTs (ataque persistente avançado) e
técnicas avançadas.

Exemplos de casos de uso da

capacidade de DFIR (Digital
Forensics Incident Response):
- Análise de uma amostra de malware.

- Análise forense de um dispositivo comprometido.

- Análise detalhada de arquivo de log de atividade

suspeita ou um potencial e-mail de phishing.

14

3.3 Pós Incidente
3.3.1 Plano de Contingência e Recuperação de Desastres
Realize a definição, implementação ou revisão/atualização
do Plano de Continuidade de Negócios para estabelecer a
disponibilidade mínima dos processos de negócio críticos,
incluindo: Plano de Contingência e o Plano de Recuperação de
Desastre.
O Plano de Contingência é o resultado de uma análise de riscos
cibernéticos aos quais sua empresa está sujeita, considerando
quais são os recursos disponíveis para mitigar riscos e definir
15
GUIA CONTRA OS ATAQUES DE RANSOMWARE
melhores práticas a serem tomadas em situações de falhas
causadas por ameaças cibernéticas (por exemplo, ataque de
ransomware).
O Plano de Recuperação de Desastres (ou DRP, do inglês
Disaster Recovery Plan) é um plano de ação para restabelecer
rapidamente dados sensíveis, aplicações e ativos da rede após
uma interrupção causada por algum ataque cibernético ou
falhas de TI.
 GUIA CONTRA OS ATAQUES DE RANSOMWARE

4. Conclusão: De MSS para MDR e além

O ransomware se duplicou em 2020, representando 27% dos incidentes
de malware registrados pela Gartner, e está piorando em 2021.

Os CISOs e CIOs estão vivenciando uma verdadeira revolução A detecção e resposta

na detecção de ataques cibernéticos e resposta a incidentes com o
objetivo de superar os desafios e combater os ransomware.
gerenciadas (MDR), ao
contrário das capacidades
Garantir que as empresas se mantenham saudáveis frente aos riscos
cibernéticos requer um esforço muito mais exaustivo, sistemático e tradicionais de MSS para
constante. Os planos de defesa contra ransomware se estruturam gerenciamento de tecnologia
de maneira cada vez mais sistemática nas 5 fases que cobrem desde
a preparação e prevenção, à detecção e resposta, concluindo com a de segurança, concentram
recuperação.
seus esforços na expansão dos
Diante dos desafios acima, é natural que os serviços de segurança
gerenciados evoluam da gestão de tecnologia de segurança para
controles de segurança por meio
soluções abrangentes que visam cobrir todo o problema. de especialistas qualificados
As empresas estão mudando seu foco, exigindo que seus provedores que buscam e eliminam
de MSS elevem seu papel e se tornem um parceiro estratégico, que
possa capacitar seu CISO e ajudar a fornecer resultados tangíveis para ameaças que passariam
os negócios. despercebidas.
E no centro desses resultados de negócios está a Detecção e Resposta, a
verdadeira espinha dorsal das operações de segurança modernas.

A necessidade de empresas externas especializadas

Detecção e resposta não é uma tarefa fácil e espera-se que muitas empresas compartilhem esforços com parceiros especializados:
Os fornecedores de serviços MDR melhoram os programas de
segurança de uma empresa, ao mesmo tempo em que reduzem
consideravelmente os custos de aquisição para adotar esse recurso.
Em comparação, a implantação de detecção e resposta maduras é
quase inatingível para empresas de médio porte, levando em conta as
barreiras de entrada para configurar essa prática e custos contínuos
para manter talentos e tecnologia.

Por exemplo, uma empresa de porte médio precisaria, em média, de

US$ 1.000.000/ano em equipes internas e mais de US$ 350mil/ano em
licenças e infraestrutura, o que seria inalcançável para a maioria das
empresas deste segmento.

É um desafio até mesmo para empresas maiores com maiores

orçamentos: A escassez global de especialistas (projeta-se que haja
3,5 milhões de empregos disponíveis no setor, em todo o mundo até
2021) torna realmente difícil conseguir e reter talentos. Por outro
lado, a complexidade da evolução da tecnologia de segurança está
crescendo constantemente à medida que novos modelos de negócios
(por exemplo, BYOD, trabalho remoto, SaaS, aplicativos sem servidor,
etc.) e perímetros da empresa tomam seu curso mais complexo
(dispositivos não gerenciados, nuvens privadas/públicas, OT e IoT,
dispositivos móveis, etc.).

16
 GUIA CONTRA ATAQUES DE RANSOMWARE

Em contrapartida, os principais provedores de MDR podem fornecer visibilidade global de ameaças entre indústrias e áreas geográficas,
e ao contrário da maioria das empresas, altos custos fixos podem ser permitidos através de economias de escala. Grandes bases
de clientes permitem que eles apoiem altos custos de pessoal (aluguel, treinamento, rotação, retenção de especialistas nível 3, etc.).
Além disso, se realizam grandes investimentos em padronização, automação e análise que lhes permitem reduzir os custos de Nível 1,
para as operações com baixo valor agregado. O alcance global dos principais fornecedores permite estabelecer relações estratégicas
com os principais provedores de tecnologia, ganhando vantagens competitivas, como preços baseados em volume e programas de
suporte premium.

Gestão de vulnerabilidades: Inteligência de ameaças

Voltando para a estrutura de trabalho do NIST e nossa missão de
apoiar programas de segurança abrangentes, reconhecemos que
os MDRs sozinhos não são suficientes. A capacidade moderna
de detecção e resposta é crucial, mas uma prática eficaz de
segurança falhará se não prestarmos a mesma atenção a todas as
outras áreas de operações de segurança e ao próprio programa de
segurança como um todo.

Para também habilitar as funções “Identificar” e “Proteger”,

é fundamental também alavancarmos a capacidade do
Gerenciamento de Riscos de Vulnerabilidade. Precisamos saber o
que proteger, de quais ameaças precisamos protegê-las, e qual
é o nosso nível de exposição a elas.

Os fundamentos de
uma prática robusta de
segurança estão dispostos
no inventário de ativos, nas
avaliações de segurança e De fato, de acordo com um estudo
da Ponemon, 60% das
na priorização da gestão
de vulnerabilidades
pelo risco ao negócio,
contexto organizacional e vulnerabilidades em
informações disponíveis
sobre as atividades das
2019 afetaram um software
ameaças. desatualizado.
Um gerenciamento eficaz
de vulnerabilidades pode
reduzir drasticamente
a carga de operações de
detecção e resposta e, na maioria dos casos, até mesmo evitar
invasões e vazamentos de dados.

Assim, o desafio para a gestão de vulnerabilidade continua sendo

o aumento de novas vulnerabilidades relatadas (em 2020 foram
17.447 vulnerabilidades, marcando o quarto ano consecutivo
com um número recorde), além de dificuldades tanto para
o monitoramento de todos os ativos, quanto para a detecção
de novas falhas de segurança e priorização das correções mais
urgentes.

Como sabemos agora, as mudanças na postura de segurança cibernética podem desempenhar

um papel muito maior na sua empresa. Com a crescente pressão por transformação
digital e gestão de riscos, as empresas estão explorando a terceirização, com operação
automatizada e resposta rápida na detecção e resposta à incidentes cibernéticos;
promovendo redução de custos e redução do risco operacional e risco reputacional.

17