Na era digital, os dados têm um valor cada vez maior para as empresas. A globalização e o livre comércio estão desenvolvendo uma forte competição e alguns atores econômicos não se preocupam com princípios. Os hackers estão em uma boa posição para saber que sempre haverá uma demanda por dados que lhes permitam obter vantagem sobre seus concorrentes e, às vezes, até exercer chantagem ilícita sobre eles. As empresas regularmente têm seus contatos de clientes roubados, outros seus segredos de fabricação ou o código-fonte de seus softwares.
Portanto, é necessário proteger seus dados e segredos comerciais, bem como, se não melhor, que suas instalações. Como detectar a origem de um vazamento de dados? É difícil detectar um vazamento de dados quando não há medidas de segurança para controlar quem pode acessá-lo. Quando você percebe isso, muitas vezes é tarde demais. É por esse motivo que os vazamentos de dados geralmente não são detectados até vários meses após o roubo.
O que fazer se você de um vazamento de dados?
1/ Faça um inventário dos sistemas que armazenaram esses dados: Se você suspeitar que dados confidenciais foram roubados, você deve primeiro definir onde esses dados podem ser salvos: Servidores Computadores Aplicativos Backups externos etc.
2/ Extraia os logs destes sistemas: Em uma segunda etapa, você precisará extrair rapidamente todos os logs presentes nesses sistemas, bem como os logs do Active Directory (o Active Directory gerencia o acesso aos seus sistemas e aplicativos). O estudo desses logs em uma solução de "big data", como Kibana ou Splunk, permitirá que profissionais de resposta a incidentes identifiquem ações suspeitas que possam investigar melhor:
- Logins repetidos de uma conta que não deveria ter acesso a esses dados;
- Conexões de uma conta de serviço de um IP diferente daquele normalmente usado pela solução de gerenciamento de ativos de TI;
- Modificação de arquivo por uma pessoa que não deveria ter acesso a esses arquivos;
- Delegação configurada em uma caixa de correio no Exchange;
- Regra de encaminhamento de e-mail configurada; - Comandos linux incomuns e etc.
3/ Faça um inventário das contas que podem acessar essas informações: Em uma terceira etapa, será necessário realizar um inventário das contas que tiveram ou tiveram acesso aos sistemas e aplicativos em que os dados roubados estavam presentes: contas de administração, serviços, etc. 4/ Ligue para uma empresa especializada em resposta a incidentes: A análise de um incidente de segurança é uma missão técnica meticulosa que exige um olhar fresco e neutro sobre os fatos que podem ter levado ao vazamento de dados.
4/ Ligue para uma empresa especializada em resposta a incidentes: A análise de um incidente de segurança é uma missão técnica meticulosa que exige um olhar fresco e neutro sobre os fatos que podem ter levado ao vazamento de dados.
