Um playbook (manual) de ransomware é um conjunto de procedimentos que uma organização pode seguir ao responder a uma infecção de ransomware suspeita ou confirmada. É importante notar que a eficácia de um playbook pode variar dependendo das circunstâncias e características específicas do ambiente organizacional. Além disso, um playbook não substitui a consulta com um profissional de segurança cibernética ou terceirização dos serviços de Resposta a Incidente, lembrando que boas práticas podem precisar ser adaptadas para se adequar às políticas e procedimentos específicos da sua organização.
Detecção Inicial - Alerta de sistema de monitoramento ou software antivírus, Relatórios de usuários sobre mensagens suspeitas ou atividades incomuns.
Isolamento e Contenção - Isolar a máquina afetada da rede para evitar a propagação, Desconectar dispositivos de armazenamento externo e mapeamentos de rede, Identificar outros sistemas que possam ter sido afetados.
Confirmação da Infecção - Analisar amostras de ransomware para confirmar a identificação, Verificar logs de sistema e eventos de segurança para evidências adicionais.
Notificação às Autoridades e à Equipe de Resposta a Incidentes - Notificar as autoridades locais de crimes cibernéticos, se necessário, Acionar a equipe de resposta a incidentes de segurança cibernética.
Avaliação de Impacto e Priorização - Avaliar o impacto nos sistemas e dados afetados, Priorizar a recuperação com base na criticidade dos sistemas e dados.
Comunicação Interna e Externa - Notificar a alta administração, equipes relevantes e partes interessadas (ANPD), Preparar mensagens de comunicação para funcionários, clientes e parceiros.
Recuperação de Dados - Restaurar sistemas a partir de backups verificados e não afetados, Verificar a integridade dos dados restaurados.
Investigação Pós-Incidente - Realizar uma análise forense para entender a origem e a extensão do ataque, Identificar as vulnerabilidades que foram exploradas.
Melhorias de Segurança e Prevenção Futura - Implementar patches e atualizações de segurança, Reforçar políticas de segurança e conscientização dos usuários, Avaliar e atualizar regularmente os planos de resposta a incidentes.
Treinamento e Conscientização - Conduzir treinamentos adicionais de conscientização sobre ransomware, Reforçar boas práticas de segurança cibernética com os usuários.
Revisão e Atualização do Playbook - Realizar uma revisão pós-incidente do playbook, Atualizar o playbook com lições aprendidas e insights da resposta ao incidente.
Adequação dos playbook é essencial com base nas características específicas da sua organização e nas ameaças cibernéticas emergentes. Além disso, recomenda-se a colaboração com especialistas em segurança cibernética para garantir respostas eficazes a incidentes de ransomware.
- Ref: Playbook NIST, Risk Management NIST, Ransomware Protection and Response
- Projeto Auxiliar na Decriptografia: No More Ransom