Os ataques cibernéticos a sistemas empresariais - incluindo sistemas de identidade híbrida - continuam a fazer manchetes, incluindo as recentes violações contra a empresa de cuidados de saúde Henry Schein e o conglomerado hoteleiro MGM Resorts. Para além destes ataques bem publicitados, a equipa de Serviços de Preparação e Resposta a Violações da Semperis registou um aumento nos pedidos dos nossos clientes (e dos clientes dos nossos parceiros) para os ajudar a recuperar de ataques relacionados com a identidade.
Durante esses compromissos de resposta a incidentes (IR), observei diferenças gritantes no tempo de recuperação e no impacto que isso tem em várias organizações, o que me fez pensar sobre o nível de resiliência dessas empresas. Qual é a diferença entre uma empresa que recupera num período de tempo relativamente curto após um ataque relacionado com a identidade e uma empresa cuja recuperação se arrasta durante dias ou semanas, incorrendo em enormes custos para a organização? Com base na minha experiência pessoal, concluí que a maior diferença é a capacidade da organização para orquestrar, automatizar e testar o processo de recuperação.
As cópias de segurança são apenas o começo
Ter cópias de segurança é, obviamente, um ponto de partida essencial para a recuperação de empresas. Embora este não deva ser o caso atualmente, algumas empresas ainda se debatem com políticas e procedimentos de cópia de segurança offline/offsite. No caso de um ciberataque que derruba o ambiente do Active Directory, temos visto frequentemente que o primeiro alvo de encriptação é o servidor de cópia de segurança e recuperação na rede da empresa. Depois de os atacantes encriptarem com êxito o sistema de cópia de segurança, passam a encriptar o resto da organização.
Recomendação: Certifique-se de que tem cópias de segurança offline/offsite que não podem ser acedidas utilizando as mesmas credenciais que o resto da sua rede de produção.
O processo de recuperação pode ser um obstáculo
Um procedimento de recuperação complicado também pode atrasar o regresso às operações comerciais normais. A melhor abordagem para a recuperação é "a prática faz o progresso". Em muitos casos de IR a que somos chamados, a maior parte do tempo de recuperação é gasta em conseguir que as pessoas certas aprovem o processo de recuperação. Mas outros aspectos da recuperação que parecem óbvios - como a manutenção de uma lista offline de contactos-chave e a organização de horários de turnos para os especialistas - também são negligenciados, o que acrescenta complicações a uma situação inerentemente caótica.
Os analistas da Gartner, Wayne Hankins e Craig Porter, salientaram recentemente a importância da rapidez na recuperação de um ataque de ransomware: "Os CISO responsáveis pela preparação para ataques de ransomware devem criar resiliência, desenvolvendo uma estratégia de contenção que possam executar durante um ataque de ransomware. Se não o fizerem, aumentarão o risco de uma resposta descoordenada e ineficaz, prolongando o tempo de recuperação."
Embora a Gartner não forneça instruções específicas sobre como criar o manual de recuperação, posso atestar que quanto mais detalhes uma organização captar, mais rápida será a recuperação. Descobrir esses detalhes requer a prática de cada etapa da jornada de recuperação.
Recomendação: Certifique-se de que tem um procedimento de IR bem documentado que fornece detalhes sobre todos os aspectos do processo de recuperação - e verifique se esta informação pode ser acedida mesmo que a rede esteja em baixo. As informações básicas (publicaremos uma lista mais abrangente no futuro e colocaremos um link para ela aqui) incluem:
- Quem precisa aprovar várias etapas do processo - por exemplo, quem pode autorizar o início do procedimento de recuperação do Active Directory?
- Quem são os seus principais fornecedores (esta lista pode ser diferente para um caso de IR em comparação com os fornecedores para operações normais de TI) e onde estão as suas informações de contacto?
- Que SLAs estão em vigor com os seus fornecedores?
O tempo é o fator crítico para o sucesso da recuperação
Depois de termos recuperado as cópias de segurança e de o procedimento de recuperação ter sido aprovado, o desafio seguinte é o tempo. O tempo é o único fator que está a trabalhar contra si. Eu diria que, com tempo suficiente e acesso a backups válidos, qualquer ambiente pode ser recuperado. Mas um tempo alargado para recuperar pode causar danos irreparáveis à organização. Existe uma ligação direta entre o tempo de inatividade operacional e o custo dos danos para a organização. Embora não seja comum que os esforços de recuperação falhem completamente, os custos associados ao tempo de inatividade excessivo podem ser devastadores.
Avaliar com precisão os custos totais do tempo de inatividade é notoriamente difícil, e a contagem final varia consoante a dimensão da organização e o sector. A estimativa de 2014 da Gartner de que o tempo de inatividade das TI custa às organizações, em média, 5 600 dólares por minuto continua a ser utilizada como referência. A Gartner informou recentemente que os custos de recuperação de ataques de ransomware, em particular, aumentaram 20% em 2023 em comparação com 2022.
Mas, mais uma vez, os custos do tempo de inatividade podem variar muito: De acordo com a Forbes, o fabricante automóvel médio perde 22 000 dólares por minuto quando a linha de produção pára. A questão relevante não é saber qual é o custo médio do tempo de inatividade da indústria. A consideração importante é quanto é que o tempo de inatividade irá custar à sua organização - não só em custos reais, mas também em danos à reputação, legais e regulamentares.
Recomendação: Certifique-se de que orquestra e automatiza o máximo possível do processo de recuperação. A recuperação orquestrada com sistemas complexos pode fazer a diferença entre dias e semanas de tempo de recuperação versus minutos e horas. Por exemplo, a Maersk demorou nove dias apenas para recuperar seu Active Directory após o ataque NotPetya. No mesmo ambiente, mas com uma solução orquestrada, o tempo de recuperação pode ser reduzido para 30 minutos.
A segurança pós-violação impede ataques subsequentes
Uma vez concluída a recuperação, o último grande esforço no processo de recuperação é garantir que o ambiente está seguro e é fiável. A última coisa que se pretende é expor o ambiente recuperado demasiado cedo, o que poderia abrir a porta a que os atacantes regressassem imediatamente e o derrubassem novamente. É necessário identificar e erradicar o malware persistente antes de devolver os sistemas à produção.
Recomendação: Certifique-se de que o seu processo de IR inclui um processo bem definido para proteger o ambiente após a recuperação. O procedimento deve incluir a verificação de todos os sistemas em busca de indicadores de exposição (IOEs), indicadores de comprometimento (IOCs) e potenciais indicadores de ataque (IOAs).
Concentração na redução do tempo de inatividade para melhorar a ciber-resiliência
A preparação para o pior cenário possível é o primeiro passo para garantir que a sua organização consegue sobreviver a um desastre cibernético. O número e a gravidade dos ataques a organizações de todas as dimensões, todos os mercados verticais e todas as localizações geográficas aumentam a cada mês que passa.
Com base na minha experiência em ajudar as organizações a recuperar de ataques devastadores, recomendo a todos os líderes empresariais que dêem prioridade ao desenvolvimento de um plano de recuperação de desastres totalmente testado e com prioridade ao ciberespaço. Embora não seja possível evitar todos os ciberataques, é possível reduzir drasticamente o tempo de recuperação. Esse tempo de inatividade reduzido pode ser o fator que determina a sobrevivência da sua empresa.