- Home
- SIEM
- Incident management
- What is a cybersecurity incident?
O que é um incidente de segurança cibernética?
Nesta página
- Como os incidentes de segurança cibernética estão relacionados a eventos de segurança e incidentes de segurança?
- A crescente importância da segurança cibernética
- Diferença entre um evento de segurança e um incidente de segurança
Um incidente de segurança cibernética é um tipo de incidente de segurança específico que envolve uma violação ou comprometimento de ativos digitais, sistemas de computador, redes ou dados. Ele abrange incidentes relacionados com a exploração intencional de vulnerabilidades digitais, como malware, ataques de hackers, violações de dados ou ataques DoS. Os incidentes de segurança cibernética podem variar muito em termos de escopo, impacto e gravidade. Eles exigem atenção e resposta imediatas para mitigar danos potenciais.
Como os incidentes de segurança cibernética estão relacionados aos eventos e incidentes de segurança?
| Eventos de segurança | Incidentes de segurança | Incidente de segurança cibernética |
|---|---|---|
| Uma atividade ou comportamento observável que pode indicar um problema de segurança potencial no ambiente de TI. | Uma violação confirmada das políticas de segurança ou acesso não autorizado que resulta em possíveis prejuízos ou danos a sistemas, dados ou redes. | Um subconjunto de incidentes de segurança envolvendo especificamente violações ou comprometimentos de ativos digitais utilizando meios cibernéticos. |
Concluindo, um incidente de segurança cibernética é um subconjunto de incidentes de segurança, envolvendo violações ou comprometimentos confirmados da segurança digital que levam ao acesso não autorizado ou danos potenciais. Isso significa uma violação significativa das políticas de segurança. Por outro lado, eventos de segurança são indicadores precoces de ameaças potenciais, destacando atividades incomuns nos ambientes de TI. Embora os eventos de segurança sejam precursores potenciais de incidentes, um evento de segurança cibernética é um termo mais amplo que abrange tanto eventos de segurança menores como incidentes de segurança graves. Incidentes de segurança são qualquer atividade que represente uma ameaça em tempo real à integridade da rede de uma organização. As organizações devem monitorar e responder aos eventos de segurança cibernética diligentemente para melhorar sua postura de segurança cibernética e se proteger contra incidentes de segurança.
Por exemplo, um exemplo real de um incidente de segurança cibernética envolveu o ChatGPT em março de 2023. A OpenAI admitiu a violação ao divulgar um comunicado reconhecendo que informações de cartões de crédito, IDs de e-mail, números de inscrição, nomes e endereços de alguns usuários eram visíveis para outros. Essas informações ficaram disponíveis por um período de nove horas e os usuários ativos durante esse momento correram o risco de ter seus dados visíveis por outros usuários. Esta violação é atribuída a um bug na IA de código aberto que estava sendo utilizada pelo ChatGPT.
A importância crescente da segurança cibernética
Os riscos associados aos crimes cibernéticos estão aumentando conforme a era digital continua avançando. A revista CyberCrime previu que os crimes cibernéticos custarão US$ 10 biliões por ano até 2025 mundialmente. É difícil calcular o retorno sobre o investimento ao orçar os gastos com segurança cibernética de uma organização, mas isso continua sendo o aspecto mais importante. Destacando a ênfase na segurança cibernética, o CEO do Bank of America, Brian Moynihan, afirmou certa vez que o banco tinha um orçamento ilimitado para gastos em segurança cibernética.
É fundamental entender as complexidades dos incidentes de segurança cibernética, distinguindo-os de eventos de segurança e outros incidentes.
Diferença entre um evento de segurança e um incidente de segurança
É importante saber a diferença entre um evento de segurança e um incidente de segurança. Um evento de segurança é uma ocorrência na rede que pode levar a uma violação de segurança. Se for confirmado que um evento de segurança resultou em uma violação, ele será denominado incidente de segurança. Um incidente de segurança resulta em risco ou dano aos recursos e ativos de uma empresa. Com base na violação detectada, medidas suficientes devem ser tomadas para limitar os danos e prevenir que o incidente piore.
Eventos de segurança
Os eventos de segurança são a primeira etapa para identificar uma ameaça ou um ataque completo. Uma empresa pode enfrentar milhares de eventos de segurança por dia. No entanto, nem todos os eventos de segurança indicam um ataque cibernético. Por exemplo, um usuário que recebe um e-mail de spam aciona um evento de segurança. Esses eventos precisam ser monitorados utilizando-se uma solução de SIEM para detectar se um evento de segurança leva a um incidente de segurança.
Algumas das fontes mais comuns de eventos de segurança que devem ser analisadas em uma rede são explicadas abaixo.
Firewalls
Um firewall controla o tráfego que entra e sai da rede. Os logs do firewall fornecem a primeira evidência de uma intrusão por invasores. Portanto, os eventos de segurança detectados nos logs do firewall devem ser monitorados cuidadosamente. Alguns dos eventos e incidentes de segurança comuns que você deve monitorar nos logs do firewall são mostrados abaixo.
- Aumento no tráfego de entrada ou saída: Um aumento no tráfego de entrada ou saída é um evento crítico de segurança. Após uma inspeção mais profunda dos logs do firewall, caso vários pacotes forem recebidos de endereços IP de origem desconhecidos para sua organização, isso é um incidente de segurança, pois indica um possível ataque DDoS.
- Mudanças de configuração nas políticas de firewall: As mudanças nas configurações do firewall são eventos, e não incidentes, de segurança. Entretanto, caso um usuário cujos privilégios foram escalados recentemente tentar mudar as configurações do firewall, o evento será denominado um incidente de segurança.
- Modificação nas configurações do firewall: As mudanças realizadas nas regras de firewall podem ser eventos normais, a menos que permitam o tráfego de ou para um servidor C2C malicioso ou qualquer outra fonte maliciosa para exfiltração de dados. Nesses casos, a mudança torna-se um incidente de segurança. Portanto, é necessário monitorar essas alterações cuidadosamente.
Servidores críticos
Servidores críticos, como servidores de arquivos, servidores web e controladores de domínio, são muito suscetíveis a ataques, pois comprometer esses sistemas significa obter controle da rede ou dos dados em grande medida. Monitorar todas as atividades do usuário e mudanças nas configurações nesses servidores é fundamental. Alguns dos eventos de segurança comuns que você deve monitorar em servidores críticos são:
- Logins de usuário.
- Mudanças na permissão do usuário para acessar os servidores.
- Mudanças nas configurações do sistema.
- Mudanças nas configurações de segurança.
Quando os eventos acima, após a devida investigação, são provenientes de uma fonte suspeita ou indicam comportamento incomum do usuário, eles são incidentes de segurança.
Estes são alguns eventos comuns que você deve monitorar. Dependendo da funcionalidade dos servidores, você pode adicionar outros eventos para monitoramento. Por exemplo, em um servidor web, torna-se essencial monitorar os logs para tentativas de injeção.
Bancos de dados
Os bancos de dados são um dos alvos mais comuns para invasores, pois armazenam detalhes de funcionários, dados comerciais confidenciais, e muito mais. Alguns dos eventos de segurança comuns em bancos de dados são:
- Mudanças nas tabelas do banco de dados: As mudanças nas tabelas de um banco de dados por usuários de contas privilegiadas são eventos de segurança. Caso esse usuário manipular várias tabelas, este será um incidente de segurança.
- Mudanças nos privilégios do usuário: Quando os privilégios de um usuário são elevados para acessar recursos do banco de dados, isso é um evento de segurança. Essa situação se tornará um incidente de segurança caso o usuário com privilégios elevados recentemente tentar alterar os privilégios de outros usuários adicionando ou removendo membros do grupo de segurança de administradores de banco de dados.
- Acesso a ou extração de dados confidenciais: Informações biométricas de funcionários, registros de clientes e detalhes de transações são exemplos de informações empresariais confidenciais. Caso um usuário tentar extrair essas informações do banco de dados, isso será um incidente de segurança.
Endpoints
Endpoints como laptops e desktops geram uma enorme quantidade de eventos de segurança em um único dia. Alguns dos eventos de segurança comuns que você precisa monitorar nos endpoints são:
- Tentativas de login malsucedidas: Caso um usuário efetuar o login no seu dispositivo após repetidas tentativas fracassadas, isso será um evento de segurança. Se este evento for seguido pela tentativa do usuário de aumentar seus privilégios, trata-se de um incidente de segurança.
- Instalações de software não autorizadas: Baixar e instalar softwares não autorizados em um dispositivo é um evento de segurança. Se esta aplicação prejudicar o funcionamento de outras e causar um mau funcionamento do dispositivo, isso será denominado incidente de segurança.
Incidentes de segurança
Um incidente de segurança é um evento de segurança que danifica recursos ou dados da rede como parte de um ataque ou ameaça à segurança. Um incidente nem sempre provoca danos diretos, mas ainda assim coloca a segurança da empresa em risco. Por exemplo, um usuário que clica em um link de um e-mail de spam é um incidente de segurança. Este incidente não causa nenhum dano direto, mas pode instalar malware, que provoca um ataque de ransomware.
Alguns dos incidentes de segurança que você deve monitorar na sua rede incluem:
- Tráfego de endereços IP maliciosos conhecidos: Vários endereços IP são identificados como maliciosos devido a suspeitas de atividades notórias realizadas por meio deles. As informações sobre endereços IP maliciosos são chamadas de informações sobre ameaças ou feed de ameaças. Para rastrear o tráfego de fontes maliciosas, você deve configurar sua solução de segurança, como uma ferramenta de SIEM, para correlacionar dados entre esses feeds de ameaças atualizados dinamicamente e as informações de tráfego de rede. Se esse endereço IP estiver tentando acessar a rede, sua solução de SIEM poderá detectar a tentativa e agir imediatamente.
- Instalações suspeitas de malware em endpoints: Milhões de e-mails maliciosos com anexos aparentemente legítimos são enviados às pessoas diariamente. Se este anexo for aberto por um usuário desavisado, isso poderá levar à instalação de malware no dispositivo. O invasor pode extrair informações confidenciais armazenadas no dispositivo do usuário utilizando o malware ou obter acesso aos recursos de rede da empresa, transformando essa situação em um incidente de segurança.
- Tentativas de login desconhecidas: As empresas utilizam serviços de VPN para ajudar usuários remotos a se conectarem à rede da organização. Caso um hacker conseguir quebrar as credenciais de um usuário remoto, poderá entrar na rede e lançar um ataque cibernético em grande escala. Se um usuário comunica que suas credenciais foram comprometidas e que não efetuou o login na rede recentemente, trata-se de um incidente de segurança grave que exige uma resposta rápida do administrador de TI.
- Escalações de privilégios: Após um invasor obter acesso à rede da empresa, ele pode causar apenas danos limitados, disfarçando-se como o usuário que personifica. Portanto, a próxima etapa geralmente é a escalação de privilégios. A escalação de privilégios permite que o invasor obtenha acesso adicional e, portanto, um controle melhor sobre a rede.
- Mudanças não autorizadas nas configurações de dispositivos críticos: Uma tentativa não autorizada de fazer mudanças em serviços críticos, como firewalls, indica um ataque potencial à rede, de maneira que é registrada como um incidente de segurança.
- Infecção por malware utilizando mídia removível: Conectar mídias removíveis, como unidades USB e discos rígidos, a uma estação de trabalho pode ser prejudicial caso o dispositivo externo contiver malware. Se um sistema antivírus detectar um dispositivo externo contendo malware, um incidente de segurança será registrado.
- Manipulação de dados em bancos de dados: Caso os dados presentes nos bancos de dados de uma empresa forem excluídos ou modificados por um usuário não autorizado, isso será considerado uma violação de segurança e o administrador de TI deverá tomar medidas imediatas para evitar maiores danos à rede da empresa.
As organizações devem ser diligentes no monitoramento e resposta a eventos de segurança cibernética para reforçar sua postura de segurança cibernética e construir suas defesas cibernéticas contra ameaças potenciais. Implementar uma solução de gerenciamento de informações e eventos de segurança (SIEM) pode ser fundamental na detecção, gerenciamento e mitigação desses incidentes, oferecendo uma abordagem proativa para proteger sua rede.
