Resumo executivo 361 milhões 144 milhões 4 milhões

Transcrição

1 Um estudo conduzido pela Equipe RISK da Verizon com cooperação do Serviço Secreto dos Estados Unidos e da Unidade Holandesa de Crimes de Alta Tecnologia. Resumo executivo 361 milhões >> 144 milhões >> 4 milhões. Assim segue o cômputo do total combinado de registros comprometidos entre os casos da Verizon e do Serviço Secreto dos Estados Unidos (USSS) nos últimos três anos. Após quatro anos de perdas crescentes, que culminaram com o recorde de 361 milhões em 2008, especulamos se a queda para 144 milhões em 2009 era uma um acaso feliz ou um sinal do que vinha pela frente. O total de 2010 de menos de 4 milhões de registros comprometidos parece sugerir que foi um sinal. Mas de quê? E trata-se de uma mudança permanente de direção ou um desvio temporário? Para nos ajudar a responder a essa questão, temos muita satisfação em ter o Serviço Secreto dos Estados Unidos (USSS) de volta conosco para o Relatório de Investigações de Violações de Dados (RIVD) de Além disso, temos o prazer de dar as boas-vindas à Unidade Holandesa de Crimes de Alta Tecnologia (NHTCU Dutch National High Tech Crime Unit) à equipe. Através deste esforço de cooperação, tivemos o privilégio e o desafio de examinar cerca de 800 novos incidentes de comprometimento de dados desde nosso último relatório (com 761 deles correspondentes a 2010). Para colocar isso em perspectiva, o conjunto completo de dados da Verizon-USSS de 2004 até 2009 contou com pouco mais de 900 violações. Nós por pouco não dobramos o tamanho de nosso conjunto de dados apenas em 2010! É fascinante, do ponto de vista da pesquisa, que a menor quantidade de dados perdidos de todos os tempos aconteceu no mesmo ano em que houve a mais alta quantidade de incidentes investigados de todos os tempos. Além de ser o maior conjunto de casos, também foi extremamente diversificado em termos de agentes de ameaça, ações de ameaça, ativos afetados e atributos de segurança envolvidos. Testemunhamos ataques externos altamente automatizados e prolíficos, ataques simples e lentos, intrincadas redes de fraude interna, esquemas de adulteração de dispositivos alastrados por todo um país, audaciosas conspirações de engenharia social e muito mais. Algumas das estatísticas brutas podem parecer contradizer esta declaração de diversidade (por exemplo, a porcentagem de violações atribuídas a agentes externos está mais desigual que nunca), mas é preciso considerar a mudança de escala. Enquanto 10% costumava significar aproximadamente violações em um conjunto com uma média anual de casos, agora significa 75 violações no contexto dos casos de Leve esse fato em consideração ao analisar e ponderar os resultados do relatório deste ano. 1

2 Com o acréscimo do conjunto de casos de 2010 da Verizon e dos dados contribuídos pelo USSS e pela NHTCU, a série do RIVD agora se estende por sete anos, mais de violações e mais de 900 milhões de registros comprometidos. Continuamos a aprender muito com este estudo contínuo e estamos felizes por, mais uma vez, termos a oportunidade de compartilhar nossos achados com vocês. Como sempre, nossa meta é que os dados e as análises apresentadas neste relatório sejam úteis aos esforços de planejamento e segurança de nossos leitores. Como de costume, começamos com alguns destaques, a seguir. Quem está por trás das violações de dados? 92 % oriundas de agentes externos (+22%) 17 % pessoas de dentro da empresa implicadas (-31%) <1 % resultantes de parceiros comerciais (-10%) 9 % várias partes envolvidas (-18%) Se você tiver acompanhado esses valores com o passar dos anos, pode estar achando que mudamos nossa posição mais do que um contorcionista profissional. Admitimos que os membros da equipe RISK passaram por uma boa dose de coçadas de cabeça tentando interpretar o que os dados nos diziam. Em 2009, as violações que envolveram pessoas de dentro da empresa aumentaram muito devido à incorporação dos dados do USSS, mas voltaram a retornar para os níveis anteriores ao USSS em 2010 (embora ele ainda esteja colaborando conosco). Leia o relatório para conhecer o quadro completo, mas basicamente ele se resume no ENORME aumento do número de ataques externos menores, em vez de uma redução da atividade de pessoas de dentro da empresa. Ah, e as violações causadas por parceiros continuaram seu declínio uniforme. Como as violações acontecem? Devido à proporção mais baixa de agentes de ameaça internos, Uso indevido perdeu a pole position na lista de categorias de ações de ameaça. Ações de hackers e Malware reassumiram a liderança e estão jogando mais sujo que nunca. Credenciais ausentes, fracas ou furtadas estão saindo do controle. Entretanto, um novato está ganhando terreno rapidamente entre os três principais Ataques físicos. Depois de constar como uma porcentagem de todas as violações de 2009, eles conseguiram estar presentes mais uma vez em Talvez o crime cibernético esteja se tornando menos cibernético. Uso indevido e Ataques sociais, apesar de que com uma porcentagem mais baixa, ainda apresentaram um valor alto e forneceram alguns incríveis exemplos de mau comportamento, fraude e conspiração como destaque. 50 % usaram alguma forma de ação de hackers (+10%) 49 % incorporaram malware (+11%) 29 % envolveram várias partes (+14%) 17 % resultantes de uso indevido de privilégios (-31%) 11 % empregaram táticas sociais (-17%) Quais são os pontos em comum? 83 % das vítimas foram alvos oportunos (<>) Infelizmente, violar organizações tipicamente ainda não exige ataques altamente sofisticados, a maioria das vítimas constitui 92 % dos ataques não foram altamente difíceis (+7%) % de todos os dados foram comprometidos em 76 servidores (-22%) 86 % foram descobertos por terceiros (+25%) 96 % das violações poderiam ter sido evitadas por meio de controles simples ou de nível intermediário (<>) 89 % das vítimas sujeitas ao PCI-DSS não tinham atingido a conformidade (+10%) um alvo oportuno em vez de um alvo visado, a maioria dos dados é furtada de servidores, as vítimas geralmente não sabem da violação até ser notificada por um terceiro e quase todas as violações poderiam ter sido evitadas (pelo menos a posteriori) sem a necessidade de ações corretivas difíceis ou dispendiosas. Nós adoraríamos relatar algumas grandes mudanças aqui (números negativos), mas nossos resultados não nos permitem. Embora isso não se aplique a todas as organizações em nossa amostra, avaliações pós-violação daquelas sujeitas ao PCI-DSS revelaram níveis de conformidade bastante baixos. 2

3 Onde os esforços de atenuação devem se concentrar? Reunimos nossas mentes coletivas e honestamente tentamos conceber algo novo para dizer aqui, mas simplesmente não foi possível. Espere para ser honesto, isso não é bem verdade. Gostaríamos de lembrar às organizações que têm ou gerenciam dispositivos de entrada para cartões de pagamento (como caixas eletrônicos, bombas de gasolina, terminais de pontos de venda e outros quiosques) de verificá-los regularmente quanto a sinais de adulteração e skimmers. O número de ataques a eles relacionados vêm aumentando nos últimos anos. Estamos dispostos a inventar algo novo, se necessário, mas os itens à direita (e na seção Conclusões e recomendações) são uma parte saudável de uma dieta balanceada. Além disso, nosso conjunto de casos de 2010 sugere que há muitos por aí que ainda não provaram desse prato e seria falta de educação tirar a mesa antes de eles terem terminado de se servir. Se você estiver em busca principalmente de fast food, ela está disponível em muitos outros lugares. Bom apetite! Eliminar dados desnecessários; vigiar de perto os que permanecerem Garantir que os controles essenciais sejam cumpridos Verificar os itens acima novamente Avaliar os serviços de acesso remoto Testar e revisar os aplicativos da Web Auditorar contas de usuário e monitorar atividades privilegiadas Monitor e minerar os registros de eventos Examinar caixas eletrônicos e outros dispositivos de entrada de cartões de pagamento quanto a violações Ano analisado: 2010 Nuvem, Aurora, Mobilidade, Zeus, APT, Wikileaks, Stuxnet, Anonymous. Se um diagrama de palavras-chave fosse criado com as manchetes do setor de segurança da informação de 2010, certamente as palavras acima constariam em letras grandes e em negrito. Trata-se de uma interessante justaposição de temas. Enquanto a Nuvem e dispositivos móveis nos permitem cada vez mais fazer qualquer coisa a partir de qualquer lugar com qualquer um a qualquer hora, Aurora, Zeus, APTs (Advanced Persistent Threats), Wikileaks e Stuxnet nos lembram da dificuldade de proteger nossos ativos de informações em um mundo voltado para a facilidade de uso. Visto que nosso conjunto de casos (como os do USSS e da NHTCU) é uma janela para esse mundo, seria de se esperar que se vissem aspectos dele neste relatório anual sobre tendências de violação. E o RIVD deste ano cumpre essa expectativa. Depois da palavra Segurança, Nuvem foi a segunda palavra mais usada nos títulos das apresentações da Conferência RSA de Ela definitivamente consta de nossos corações e mentes coletivas. Como tal, nos perguntam com frequência se a Nuvem é um fator de muitas das violações que investigamos. A pergunta é ao mesmo tempo fácil e difícil de responder. A resposta fácil é Não, na verdade não. Nunca nos deparamos com uma violação que envolvesse uma exploração bemsucedida de um hipervisor que permitisse ao invasor, por exemplo, passar de uma máquina virtual para outra. Por outro lado, vemos constantemente violações que envolvem sistemas hospedados, gerenciamento terceirizado, fornecedores invasores e, até mesmo, máquinas virtuais (embora os vetores de ataque não tenham nada a ver com o fato de se tratar ou não de uma máquina virtual). Em outras palavras, a questão está mais relacionada a abrir mão do controle de nossos ativos e dados (sem controlar os riscos associados) do que a qualquer tecnologia específica à Nuvem. Com frequência, somos indagados se a Nuvem é um fator de muitas das violações que investigamos. A resposta fácil é Não, na verdade não. A questão está mais relacionada a abrir mão do controle de nossos ativos e dados (sem controlar os riscos associados) do que a qualquer tecnologia específica à Nuvem. Já que estamos falando de abrir mão do controle de nossos ativos e dados, podemos abordar o tema dos dispositivos móveis. Este é outro tópico sobre o qual nos perguntam com frequência durante nossas apresentações e discussões relacionadas a violações. O fato é que dispositivos para computação móvel (tablets, smartphones, telefones celulares, etc.) são raramente a fonte da perda de dados em nosso conjunto de casos. Isso tem muito a ver com o tipo de casos que investigamos (que tendem a envolver situações deliberadas de violação e comprometimento, em vez de perda acidental de dispositivos). Além disso, este relatório inclui somente incidentes confirmados de comprometimento de dados. 3

4 As ameaças aos dispositivos móveis são reais e supomos que devem certamente aumentar e se diversificar tanto quanto a utilização, os usos e os usuários de tais dispositivos. Considere o efeito do ipad desde seu lançamento um ano atrás: muitos diretores de empresas que eram indiferentes à tecnologia agora exigem o uso de seus ipads no trabalho. A conveniência e a funcionalidade desses e de outros dispositivos semelhantes impulsionarão a adoção disseminada pelas empresas e a segurança irá, mais uma vez, precisar se apressar para acompanhar esse ritmo. Zeus se manifestou pela primeira vez em nosso conjunto de casos de 2009, mas chegou ao seu apogeu em Entre os casos do USSS e os nossos, Zeus e seus diabólicos parceiros de negócios, tomada de contas e fraude nas transferências, foram desenfreados tanto entre os consumidores quanto entre as empresas. Todos esses elementos recebem consideração adicional neste relatório. Por isso, vamos apenas mencioná-los aqui e seguir adiante. Se Zeus nos mostra que os criminosos almejam nosso dinheiro, Aurora, APTs, Stuxnet e Anonymous nos lembram que alguns agentes de ameaça têm mais do que dinheiro em mente. Eles deram origem a um clima mais sinistro, direcionado e pessoal do risco da informação para todos nós em 2010 (alguns acrescentariam sem esperança à lista). Se esses sentimentos são justificados por um aumento considerável do risco é difícil dizer. Talvez esses sentimentos sejam, de fato, justificados. Talvez sejam justificáveis somente para um subconjunto entre nós. É possível que o risco não tenha sofrido nenhuma mudança, mas nossa conscientização dele tenha mudado drasticamente. Pode ser que haja um núcleo de verdade cercado por várias camadas de medo, incerteza e dúvida. O que sabemos de fato é que nosso conjunto de casos de 2010 revelou certas características que podem ser associadas a tais eventos. Por exemplo, os números de vítimas no setor público atingiram seu recorde de todos os tempos. Estudamos mais incidentes que envolveram furto de informações confidenciais, propriedade intelectual e outros dados organizacionais sigilosos do que nunca. Trata-se simplesmente do produto de um conjunto de casos de amostra muito maior e mais diversificado do que de uma mudança real? Talvez... ou talvez não. Os APTs merecem um tratamento especial aqui. Alguns se lembrarão de que expressamos nossa preocupação no RIVD de 2010 e nas postagens de blog subsequentes sobre a histeria relacionada ao APT que assolou a comunidade da segurança. Ainda acreditamos que existe um aumento do escopo na definição do APT. Os originadores do termo o usam principalmente em referência a ataques patrocinados pelo Estado, iniciados na República Popular da China. Outros o usam para descrever qualquer ameaça que apresente habilidade e determinação acima da média. O resultado lógico da primeira abordagem é avaliar e abordar seriamente a postura com relação à segurança de órgãos governamentais e da base industrial de defesa (que está certa e é boa). O resultado lógico da segunda abordagem é concluir que todos são um alvo do APT (o que é um paradoxo e leva a medos irracionais do bicho-papão, enquanto ladrões comuns levam sua casa e seu lar). Simplesmente, não é possível que todos sejam alvos. É indubitavelmente verdadeiro (com base em experiência investigativa) que alguns constituem o alvo de ataques patrocinados pelo Estado (originados na China e/ou em outra parte). Também é inquestionavelmente verdadeiro (mais uma vez com base na experiência) que alguns que creem ser vítimas de APTs são, na verdade, vítimas de criminosos organizados, hackers ativistas, adolescentes e seus scripts glorificados e de seus próprios erros. Porque os APTs são reais (independentemente da definição), é hora de cair na real sobre sua definição e a defesa contra eles. No entanto, fora da notoriedade dessas manchetes, uma história muito diferente se desenrolou em A quantidade de dados comprometidos atingiu seu ponto mais baixo de todos os tempos entre os casos combinados da Verizon e do USSS. DataLossDB, Identity Theft Resource Center e outras fontes também mostram um marcado declínio no número total de registros perdidos ou expostos. O que está acontecendo? As manchetes parecem mais desesperançadas que nunca. No entanto, os números (pelo menos alguns deles) parecem quase promissores. Por que o contraste? Qual é o verdadeiro 2010? Acreditamos que existam pontos verídicos em ambas as histórias. Como discutimos anteriormente, existe alguma verdade por trás das manchetes. Da mesma forma, os índices de perdas de dados apontam para uma possível e real mudança nos motivos e táticas usadas pelos criminosos para roubar informações. Fizemos o possível para retransmitir essas histórias e estatísticas nestas páginas e desvendar suas mensagens e significados principais. Esperamos que esse esforço desempenhe um pequeno papel em nos conduzir em direção a um final feliz em 2011 e além. Se Zeus nos mostra que os criminosos almejam nosso dinheiro, Aurora, APTs, Stuxnet e Anonymous nos lembram que alguns agentes de ameaça têm mais do que dinheiro em mente. Eles deram origem a um clima mais sinistro, direcionado e pessoal do risco da informação para todos nós em

5 Conclusões e recomendações Na conclusão de nosso último relatório, declaramos: Criar uma lista de recomendações eficazes fica mais difícil a cada ano em que publicamos este relatório. Pense: nossas descobertas se modificam e evoluem com o tempo, mas raramente são completamente novas ou inesperadas. Por que seria diferente para as recomendações baseadas nessas descobertas? É lógico que poderíamos encher linguiça com uma longa lista de recomendações até atingir a nossa cota, mas acreditamos que isso já esteja disponível em outros lugares. Estamos mais interessados em qualidade do que em quantidade. Mas é claro que, após examinarmos outras 800 violações no ano passado, teríamos inúmeras novas recomendações para solucionar todas as suas angústias relacionadas à segurança, certo? Na verdade, bastante errado. O último conjunto de evidências nos leva à mesma conclusão de antes: suas angústias relacionadas à segurança não são causadas pela falta de algo novo (a Figura 43 tem basicamente o mesmo aspecto de sempre). Quase certamente, elas têm mais a ver com não usar, subutilizar ou usar incorretamente alguma coisa antiga. O argumento apresentado contra essa noção é a de que nossos adversários são crápulas inteligentes que se adaptarão a fim de burlar nossas antigas defesas. Isso é verdade (e já vimos e discutimos evidências de tal adaptação), mas sejamos realistas. Como um todo, você realmente acredita que os estamos fazendo se mexer para se adaptarem? Ano após ano, nossos dados parecem sugerir que não, e isso é algo que precisa ser mudado. Se eles se adaptarem, que se adaptem. C est la vie. Mas vamos parar de deixar que eles tenham sucesso na estagnação. Com esse intuito, encontramos algumas velhas receitas para atingirmos um sucesso atual. Examinamos os principais ataques de 2010 e identificamos recomendações em nossos relatórios anteriores que melhor se adaptam a eles. Eles são categorizados e relacionados a seguir e esperamos que o ajudem no planejamento e na tabela de negociações orçamentárias. Figura 43. Custo das medidas preventivas recomendadas por percentual de violações* 4% Difícil e dispendiosa Geral Conseguir o essencial e, só então, se preocupar com a excelência: percebemos que muitas organizações obtém níveis muito altos de segurança em várias áreas, mas negligenciam outras. Os criminosos quase sempre preferem o caminho mais fácil. Identificar um conjunto de controles essenciais e assegurar sua implementação em toda a organização sem exceção e, em seguida, passar para controles mais avançados onde necessário representa uma estratégia superior contra ataques no mundo real. 33% Intermediária 63% Simples e barata * Somente o conjunto de casos da Verizon O argumento apresentado contra essa noção é a de que nossos adversários são crápulas inteligentes que se adaptarão a fim de burlar nossas antigas defesas. Isso é verdade (e já vimos e discutimos evidências de tal adaptação), mas sejamos realistas. Como um todo, você realmente acredita que os estamos fazendo se mexer para se adaptarem? 5

6 Controle de acesso Alterar as credenciais padrão: simples e eficaz, quando administradores de sistema/rede configurarem um novo sistema, devem alterar a senha. Se esse serviço for terceirizado, certifique-se de que a senha tenha sido alterada. Não parta do pressuposto de que seu pessoal ou seus parceiros seguem sistematicamente todas as políticas e procedimentos. Além de alterar as credenciais padrão, as organizações devem se assegurar de que as senhas sejam exclusivas e não compartilhadas entre usuários ou usadas em diferentes sistemas. Isso foi especialmente problemático para ativos gerenciados por terceiros. Todo ano em que estudamos ações de ameaças que levam a violações de dados, a história é a mesma: a maioria das vítimas não é vencida por ataques inescrutáveis que não possam ser contidos. Na maioria das vezes, os conhecemos bem o suficiente e também sabemos como dar um fim a eles. Análise de contas de usuários: os relatórios sobre violação de dados dos anos anteriores e anos de experiência nos levam a crer no valor de analisar as contas de usuários regularmente. A análise deve consistir em um processo formal para confirmar que as contas ativas sejam válidas, necessárias, corretamente configuradas e que contem com os privilégios apropriados (de preferência os menores). Restringir e monitorar usuários com privilégios: confie, mas confira. Use a triagem pré-contratação para eliminar o problema antes mesmo que comece. Não dê aos usuários mais privilégios do que precisam (isto é muito importante) e valha-se da separação de tarefas. Certifique-se de que eles tenham direção (que conheçam as políticas e as expectativas) e supervisão (para assegurar-se de que as acatem). O uso privilegiado deve constar dos registros e gerar mensagens para a gerência. O uso privilegiado não planejado deve gerar alarmes e ser investigado. Gerenciamento de rede Proteger os serviços de acesso remoto: em muitos casos, serviços de acesso remoto foram ativados e estão voltados para a Internet. Recomendados restringir esses serviços de modo que somente endereços IP ou redes específicas possam acessá-los. Além disso, é importante limitar o acesso a sistemas sigilosos na rede. Muitas organizações permitem que qualquer dispositivo na rede se conecte e acesse remotamente qualquer outro dispositivo. Recomendamos enfaticamente não gerenciar seus dispositivos dessa maneira. Restrinja os serviços de acesso remoto a redes de gerenciamento específicas por meio de listas de controle de acesso. Monitorar e filtrar o tráfego de saída da rede: a uma determinada altura da sequência de eventos em muitas violações, alguma informação (dado, comunicação, conexão) sai que, se impedida, poderia quebrar a cadeia e evitar a violação. Monitorando, compreendendo e controlando o tráfego de saída, uma organização aumentará em grande medida as chances de atenuar as atividades mal-intencionadas. Desenvolvimento seguro Teste de aplicativos e análise de códigos: ataques de injeção de SQL, scripts entre sites, desvio de autenticação e exploração de variáveis de sessão contribuíram com quase a metade das violações atribuídas a ações de hackers ou invasão de redes. Não é segredo que os invasores estão se movendo para cima na pilha e visando a camada de aplicativo. Por que nossas defesas não fazem o mesmo? Como acontece com tudo o mais, comece por apagar os incêndios: até mesmo uma leve varredura e teste dos aplicativos da Web teriam detectado muitos dos problemas que levaram a grandes violações nos anos anteriores. Em seguida, inclua análises regulares da arquitetura, dos privilégios e do código-fonte. Recomenda-se também incorporar uma abordagem SDLC (Security Development Life-Cycle) ao desenvolvimento de aplicativos. Por fim, ajude seus desenvolvedores a apreciar e programar códigos mais seguros. 6

7 Gerenciamento e análise de registros Ativar e monitorar registros de testemunho de aplicativos e de rede: com muita frequência, a evidência dos eventos que levaram às violações estava disponível à vítima, mas essa informação não foi percebida nem nenhuma ação foi tomada com respeito a ela. Processos que ofereçam monitoramento e resposta sensatos, eficientes e eficazes são críticos à proteção dos dados. No entanto, não basta concentrar seus esforços de registro em rede, sistema operacional, IDS e firewall, negligenciando serviços de acesso remoto, aplicativos da Web, bancos de dados e outros aplicativos críticos. Estes podem representar um conjunto de dados muito útil à detecção, prevenção e investigação de violações. Definir suspeito e anormal (e então buscar seja lá o que for): isso é reconhecidamente vago, mas, na verdade, generalizar o que isto implica a fim de prescrever algo que se ajuste a todos seria contraprodutivo. Descubra o que é crítico, identifique o que constitui o comportamento normal e, em seguida, estabeleça mecanismos cujo foco seja buscar e alertar quanto a desvios da normalidade. Alterar a abordagem ao monitoramento de eventos e à análise de registros: com base nos dados que coletamos nos eventos do momento da violação, acreditamos que as organizações estariam em melhor situação se se concentrassem menos nos métodos de detecção em tempo real e mais nos métodos voltados a esta semana. Se pudermos deslocar o intervalo do Comprometimento à Descoberta de Semanas e Meses para Dias, isso reduzirá significativamente os danos causados à organização. Concentre-se no que for óbvio, em vez de voltar-se aos detalhes minuciosos. Não precisa ser nada dispendioso; um simples script para contar linhas ou avaliar o comprimento do registro e enviar um alerta se estiver além da tolerância pode ser bastante eficaz. Estamos confiantes de que esta abordagem gerará benefícios e economizará tempo, esforço e dinheiro. Treinamento e conscientização Aumentar a conscientização quanto à engenharia social: eduque seus funcionários quanto aos diferentes métodos de engenharia social e aos vetores dos quais esses ataques podem proceder. Em muitos de nossos casos, vemos o momento em que os usuários clicam em links em que não deveriam clicar e abrem anexos recebidos de pessoas identificadas. Recompense os usuários por denunciar s e sites suspeitos e crie os incentivos necessários à vigilância. Treinar funcionários e clientes para procurarem sinais de adulteração e fraude: essas campanhas de conscientização estão presentes em determinadas áreas já há algum tempo, mas a adulteração/fraude de caixas eletrônicos e bombas de gasolina com cobrança por cartão parecem estar aumentando em número e escopo. Organizações que operam esses dispositivos deveriam considerar a condução de exames periódicos dos mesmos. Além disso, capacite os clientes a ajudarem em sua própria proteção, bem como a auxiliar a organização na detecção de problemas potenciais. Gerenciamento de incidentes Criar um plano de resposta a incidentes: se e quando houver a suspeita de que uma violação possa ter ocorrido, a organização vítima deve estar preparada para reagir. Um Plano eficaz de resposta a incidentes ajuda a reduzir a escala de uma violação e garante que as evidências sejam coletadas da maneira apropriada. Dedicar-se ao teste de simulações de incidentes: estamos sentados aqui conversando sobre prática; nenhum incidente, nenhum incidente, nenhum incidente mas estamos conversando sobre prática (os fãs do esporte entre vocês devem estar entendendo o que estou dizendo). Sim, estamos falando sobre prática, porque a prática gera a perfeição. A fim de operarem eficientemente, as organizações devem passar por treinamentos de rotina de recuperação de incidentes que abranjam estratégias de resposta, identificação e classificação de ameaças, definição de processos, devida manipulação da evidência e simulações de situações. Um convite ao compartilhamento de dados Um dos desafios mais críticos e persistentes que assolam os esforços de gerenciamento do risco relacionado a informações é a falta de dados. Enquanto profissionais e responsáveis pela tomada de decisões da comunidade, temos poucos dados porque não compartilhamos e, embora existam muitos motivos para isso, as dúvidas de se isso pode ser feito de maneira prática, privada e mutualmente benéfica são o principal entre os motivos. Gostaríamos de pensar que este relatório é um exemplo de que dados úteis e sigilosos podem ser compartilhados de maneira responsável para o benefício de muitos. Nos últimos dois anos, várias outras firmas de investigação começaram a compartilhar seus resultados e nós reconhecemos e apreciamos esses esforços. Cada pequeno dado compartilhado ajuda. Seria excelente se outros também se juntassem a nós e se você quiser relatar seus resultados usando o VERIS, de modo que possamos todos comparar dados equivalentes, teremos prazer em ajudar como pudermos. 7

8 Também gostaríamos de estender a outras organizações o convite de considerar o uso do site da comunidade VERIS 12 (site em inglês) para relatar incidentes de segurança anonimamente (qualquer tipo não apenas violações de dados). Todos os resultados (agregados e anônimos) serão disponibilizados gratuitamente para a comunidade. Compartilhando informações sobre incidentes, você contribuirá com o conhecimento coletivo da comunidade, ao mesmo tempo em que obtém acesso ao conjunto de dados VERIS para seu proveito. A meta geral é estabelecer as bases a partir das quais possamos aprender com as nossas experiências, de maneira construtiva e cooperativa, a gerenciar melhor o risco. Compreendemos que seu tempo é precioso e, por isso, agradecemos uma vez mais, pelo tempo dedicado à leitura do presente relatório (site em inglês) verizonbusiness.com (site em inglês) verizonbusiness.com/socialmedia (site em inglês) verizonbusiness.com/thinkforward (site em inglês) 2011 Verizon. Todos os direitos reservados. MC14949 BR-PT 6/11. Os nomes e logotipos da Verizon e Verizon Business e todos os outros nomes, logotipos e slogans que identificam os produtos e serviços da Verizon são marcas comerciais e marcas de serviço ou marcas comerciais e de serviço registradas da Verizon Trademark Services LLC ou de suas afiliadas, nos Estados Unidos e/ou em outros países. Todas as outras marcas comerciais e marcas de serviço são de propriedade de seus respectivos detentores. 8