oito etapas a serem seguidas nas próximas 48 horas (PDF gratuito)

Uma resposta lenta ou incorreta a uma violação de dados pode piorar ainda mais uma situação ruim. Assim que você descobrir que foi hackeado, siga estas etapas para ajudar a conter o dano.

Do e-book:

“Uma violação de dados em si é o segundo pior evento possível que pode ocorrer em uma organização; a má gestão da comunicação sobre a resposta é a pior.” Essa observação vem do estrategista-chefe de segurança da Exabeam, Steve Moore, que rastreou adversários criminais e de estados-nação e liderou a maior resposta à violação de saúde da história. Moore acrescentou que o tempo gasto em uma violação, incluindo auditoria, regulamentação e e a litígios, pode durar não meses, mas anos.

Anteriormente, abordei 5 maneiras de se preparar para uma violação, o que pode ajudar a reduzir os riscos. Se uma violação ainda ocorrer apesar dessas precauções, no entanto, aqui estão oito coisas que você deve fazer dentro de 48 horas para gerenciar e conter a situação da melhor maneira possível.

Independentemente do tipo de violação, essas etapas devem ser aplicadas, seja envolvendo um único dispositivo, uma série de sistemas ou uma invasão em toda a empresa.

Congele tudo
Coloque os dispositivos afetados offline, mas não os desligue ou faça alterações ainda. O objetivo aqui é interromper qualquer atividade em andamento limitando a comunicação de e para os sistemas afetados, mas não cometer nenhuma ação que possa apagar pistas, contaminar evidências ou ajudar inadvertidamente o invasor.

No caso de máquinas virtuais ou outros sistemas que você pode fazer um snapshot, recomendo fazer isso agora para que você tenha uma versão gravada do sistema no momento em que ocorreu a violação. Você pode analisar o instantâneo posteriormente em um estado offline.

Garantir que a auditoria e o registro sejam contínuos
Garantir que a auditoria do sistema existente permaneça intacta e operacional será uma das etapas mais úteis que você pode executar para determinar o escopo da violação e criar métodos de correção. Se a auditoria foi desativada (para cobrir o rastro de alguém, por exemplo), restaure-a antes de continuar. Também ajudará a estabelecer se a atividade de violação ainda está ocorrendo e quando a violação pode ser determinada com segurança como concluída.