Como a Varonis melhora a sua resposta a um incidente

equipe de resposta a incidentes

É um bom momento para investir em segurança cibernética.  Equipes de Resposta a Incidentes estão crescendo e há mais empregos na área de segurança da informação do que candidatos qualificados.

O desafio para as empresas é combinar as pessoas certas, os processos e a tecnologia para poderem melhor se equipar para detectar e responder às ameaças de segurança cibernética. As equipes de RI precisam de todo a ajuda que puderem obter, e a Varonis tem duas soluções próprias para obter esse backup.

Playbook de Resposta a Incidentes Varonis

O Varonis Playbook é integrado ao Varonis DatAlert e funciona como se a empresa tivesse um funcionário com 20 anos de experiência em segurança da informação na sua equipe.

A página de investigação de alertas é rica em contexto para responder a perguntas sobre o usuário, o dispositivo, os dados e muitas outras informações relevantes. E a orientação do Playbook acelera as investigações e resoluções da equipe de RI.

Veja esse exemplo em um cenário comum de ataque de força bruta:

Observe o lado direito da página de alerta. Para muitos modelos de ameaça, você tem um guia passo a passo para ajudá-lo a decidir quais ações tomar. Nos aprofundando no Playbook, vemos que a primeira seção é Detecção e Análise. Esta seção informa como determinar se é um ataque de força bruta legitimo ou não. Confira este trecho e imagine responder ao alerta pela primeira, segunda ou terceira vez.

O que pode indicar um ataque:

  • Concentre-se nas contas. Verifique se  têm insights de avaliação de risco suspeitos
  • Observe se as contas afetadas pertencem ao mesmo departamento e função ou se compartilham um  Gerente. Visualize o cartão de contexto do usuário ou as colunas relevantes nas páginas Eventos, Alertas ou Usuários
  • Concentre-se no (s) dispositivo (s) de onde a atividade foi realizada. Verifique se eles têm insights de avaliação de risco suspeito. Essas contas normalmente usam esses dispositivos?
  • Se os dispositivos forem Controladores de Domínio, verifique o log do Controlador de Domínio que inicia a chamada
  • A atividade foi realizada durante o horário de trabalho padrão das contas?
  • Veja os insights de avaliação de risco em relação ao horário de trabalho sob Tempo na página Informações de Alerta. Se a atividade foi  realizada fora do horário de trabalho padrão das contas, um ataque pode ter ocorrido

Os clientes da Varonis relatam que são melhores em diagnosticar e responder incidentes por causa das orientações do Playbook.

Confira este trecho da seção Contenção, Erradicação e Recuperação:

  • Redefinir as senhas das contas comprometidas. Certifique-se de notificar os usuários relevantes
  • Verificar alertas e eventos adicionais gerados pela conta de atuação, para garantir que não há problemas
  • Verificar os dispositivos da conta comprometida. Eles podem estar infectados com malware

Quão fáceis são essas instruções? Para um analista experiente, essas tarefas podem ser simples. Mas pense em um novo integrante da equipe, com pouca experiência e nos primeiros dias de trabalho. Quanto mais rápido ele consegue ter esse conhecimento na “ponta da língua”, melhor será seu trabalho.

Entretanto, pode ser necessários mais ajuda prática.

Equipe de Resposta a Incidentes Varonis

Os tipos de perguntas que a equipe trabalha são específicos de incidentes de segurança cibernética. Por exemplo, se você receber alertas sobre um possível ataque de força bruta NTLM, entre em contato com a Equipe de RI da Varonis que eles irão responder com as próximas etapas sugeridas ou poderão começar a investigar o incidente diretamente junto com você.

Essa equipe descobriu uma nova versão do QBot no final do ano passado.

Mas quanto custa isso? Nada, é grátis. Todos os usuários da Varonis têm acesso a uma equipe global de 16 integrantes.

Pensamentos finais

Os Playbooks e a Equipe de RI são ótimos acréscimos de valor para o seu investimento em uma plataforma de segurança Varonis, que permitem aumentar sua capacidade de responder a incidentes rapidamente. Playbooks podem acelera o tempo de resposta da sua equipe de RI e aumentar a experiência dos integrantes e, dessa forma, aumentar seus próprios recursos e perceber como qualquer investimento em soluções Varonis valem muito mais do que o preço cobrado.

Quer ver o quanto a Varonis pode ajudar a acelerar o tempo de detecção (TTD) e o tempo de resolução (TTRR)? A Forrester conduziu um estudo independente sobre um cliente da Varonis para quantificar o ROI de obter alertas de alta fidelidade e ricos em contexto, resultando em uma redução de 90% nos tempos de resposta.

Confira a equipe de RI da Varonis em ação durante um webinar do Live Cyber Attack Lab.

Saiba o que a Varonis pode fazer pela sua empresa. Solicite uma demonstração ao vivo para saber como nossas soluções protegem seus dados contra ataques.