Embora ter ferramentas de proteção são importantes, entender a mentalidade do atacante, como conhecer quais as táticas e métodos utilizados por ele durante um ataque, também é fundamental para os profissionais de cibersegurança.
Por que utilizar o MITRE ATT&CK? O que é?
Criado pela MITRE, o ATT&CK é um framework, uma base de conhecimento global gratuita, contendo informações como as táticas, técnicas e procedimentos adotados por cibercriminosos, baseado em estudos de caso real de incidentes, foram identificadas e mapeadas as informações de como os adversários agem e o ciclo de vida de um ataque no ambiente de tecnologia.
O framework da Mitre ATT&CK foi organizado em um modelo de matriz de domínios tecnológicos, onde buscaram organizar as informações para os comportamentos do adversário, seguindo uma divisão em matrizes de domínios tecnológicos, conforme abaixo:
Enterprise ATT&CK: Representando informações para ataques a redes empresariais e tecnologias de nuvem para ambientes corporativos.
Mobile ATT&CK: Representando informações para ataques direcionados a dispositivos móveis.
ICS ATT&CK: Representando informações para ataques de sistemas de controle industrial (ICS).
Baseado em sua matriz de domínio tecnológico, foi estruturado as informações dividindo em “táticas, técnicas e subtécnicas” para os comportamentos do adversário, seguindo as definições abaixo:
Táticas: Representam o “porque”, seria o objetivo do atacante.
Técnicas: Representam o “como”, como alcançar o objetivo definido pelas táticas.
Subtécnicas: Seria um nível maior de detalhamento das técnicas e comportamentos do adversário.
Frameworks como o do Mitre ATT&CK, permitem que as equipes de segurança antecipem movimentos de atacantes e realizem uma proteção de forma proativa nas organizações, antecipando ações maliciosas e ajudando a implementar controles mais eficazes nos ambientes de tecnologia.
Peguei um caso em que duas pessoas da equipe financeira receberam um e-mail que se passava pelo CEO da empresa. A mensagem autorizava um pagamento de R$ 28.900,00 pelos serviços prestados. A equipe rapidamente identificou que se tratava de uma fraude e reportou o incidente para a área de cibersegurança. Ainda bem!
O atacante criou uma conta @outlook.com utilizando o nome do CEO, tentando conferir legitimidade ao envio (ex.: abc.xyz@outlook.com).
Além disso, ele alterou o campo Display Name da mensagem para o nome completo do executivo e criou uma assinatura com o logo da empresa.
No corpo do e-mail, o fraudador enviava uma chave Pix para a realização do pagamento, sendo essa chave o próprio CNPJ da empresa recebedora.
Até aí tudo comum em um ataque de phishing…
Por curiosidade, busquei informações sobre a empresa fraudadora e, por meio do CNPJ, cheguei até o proprietário. A empresa estava localizada em Arapongas – PR.
Ao analisar o histórico profissional do dono da empresa, encontrei um dado relevante: em 2023, o fraudador havia trabalhado em uma empresa prestadora de serviços para a companhia que agora estava sendo alvo.
Como o ataque foi direcionado, com conhecimento dos e-mails e dos nomes específicos envolvidos no processo de pagamentos, é bem provável que o atacante tenha se apropriado de alguma base contendo dados dos clientes do seu emprego anterior e, agora, estivesse aplicando golpes.
Infelizmente, trata-se de mais um caso típico de falhas de controle em múltiplos processos. A superfície de risco só cresce quando a cadeia de suprimentos não é monitorada de ponta a ponta.
João Fuzinelli, formado em Sistemas de informação possui algumas certificações de mercado e vasta experiência em ambientes de infraestrutura crítica e cibersegurança. Atualmente trabalha nas operações de SOC da CYLO Cybersecurity.
É… Eu sobrevivi a frenética contagem regressiva até o timestamp “00-01-01 00:00:01”, virada do ano de 1999 para 2000, onde muitos acreditavam que todos os computadores iam bugar.
Agora os preparados, preocupados ou até “pessimistas” já podem acompanhar mais uma contagem regressiva, agora para um outro timestamp “2038-01-19 03:14:08 UTC”, neste momento em questão milhares de dispositivos, principalmente os OTs terão algum comportamento muito possivelmente problemático, já que o modelo de tempo conhecido como “Unix time” não irá mais caber em um inteiro de 32 bits.
Basicamente o Unix time conta os segundos desde um “timestamp específico”, zero horas de primeiro de janeiro de 1970, 1970-01-01T00:00:00, até o momento então quando um equipamento com este modelo de hora registra um evento ele insere a quantidade de segundos desde “timestamp específico”. Veja o exemplo no print abaixo, onde o ano, mês, dia, hora, minuto e segundo atual em Unix time é representado pelo inteiro “1760410507”.
Se você lida com equipamentos médicos, industriais, automação, etc. precisa começar a contatar os fabricantes, fazer testes e/ou buscar alternativas, mas principalmente acompanhar o projeto “Epochalypse”, https://epochalypse-project.org/, projeto que fiquei conhecendo pelo pessoal do Cert.Br, https://cert.br/, e agora relembrado pelo newsletter do SANS Institute, https://www.sans.org/.
Acompanhe, prepare-se e esteja pronto. O tempo não para, você, também não pode ficar parado! Só assim nossos empregos vão sobreviver a mais esta contagem regressiva!
Esta semana tive a satisfação de iniciar a implantação do firewall do Cortex nos endpoints de um novo cliente — abrangendo tanto os Windows Servers quanto as estações de trabalho.
Digo satisfação porque ainda me surpreende como é comum esse recurso essencial ser negligenciado.
Tenho convicção de que o firewall de sistema operacional é uma camada crítica para a segurança dos ambientes. Ele não deve ser tratado como algo opcional, mas sim como parte do fazer certo — com políticas bem definidas, alinhadas à realidade da operação.
Se você está pensando em começar essa implantação, minha sugestão é iniciar pelo servidor de backup. E claro, conte com a nossa ajuda para fazer isso da melhor forma.
Nos últimos dias, a comunidade de segurança da informação voltou sua atenção para uma vulnerabilidade crítica que afeta roteadores da TP-Link, um dos fabricantes mais populares de equipamentos de rede do mundo.
Ainda que eu não acredite que essa vulnerabilidade sozinha possa representar grande risco para atores que não sejam de alto interesse, o uso combinado dessa vulnerabilidade com outras pode levar algum risco significativo, principalmente para pequenos negócios. De qualquer forma, não é bom ficar com vulnerabilidades em sua casa ou na sua empresa. Então, vamos explicar do que ela se trata e como mitigá-la, visto que o produto é descontinuado e ela não terá conserto definitivo.
A falha, identificada como CVE-2023-50224 está sendo ativamente explorada por agentes maliciosos, o que levou a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluí-la em seu catálogo de vulnerabilidades conhecidas e exploradas (KEV). Não é uma vulnerabilidade teórica. A exploração ativa desta falha é antiga e remonta a 2023, sendo atribuída a uma botnet com objetivos de espionagem.
Análise da vulnerabilidade CVE-2023-50224
Descrição: trata-se de uma vulnerabilidade de evasão de autenticação por spoofing no serviço httpd do roteador TP-Link TL-WR841N. A falha permite que um atacante acesse o arquivo /tmp/dropbear/dropbearpwd, que contém credenciais de usuário, sem precisar de autenticação. Essencialmente, a vulnerabilidade abre uma porta para o roubo de senhas do roteador.
Produtos afetados: O principal produto afetado é o TP-Link TL-WR841N, um modelo extremamente popular e amplamente utilizado em residências e pequenos escritórios. Infelizmente, este modelo é considerado End-of-Life (EoL), o que significa que o fabricante não fornecerá mais atualizações de firmware para corrigir a falha.
Data de publicação: A vulnerabilidade foi divulgada publicamente em 19 de dezembro de 2023, mas foi adicionada ao catálogo KEV da CISA em 3 de setembro de 2025, após a confirmação de exploração ativa.
Severidade: Média (CVSS v3.1: 6.5 - AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N). Embora a pontuação não seja classificada como “Crítica”, o impacto real, se explorada, é extremamente alto devido à facilidade de exploração e ao fato de levar ao comprometimento total do dispositivo.
EPSS: 4.50% (baixa probabilidade de exploração nos próximos 30 dias).
Percentil EPSS: 88.70% indica que a pontuação é igual ou superior à de aproximadamente 88.7% das outras vulnerabilidades catalogadas, representando um risco significativamente elevado. Entenda mais sobre “percentil” no EPSS [nesse link].
Outras informações: A exploração desta vulnerabilidade está associada à botnet Quad7 (também conhecida como CovertNetwork-1658), que tem sido ligada a grupos de ameaças com objetivos de espionagem. Em vez de usar os roteadores para ataques de negação de serviço (DDoS), os atacantes os transformam em proxies secretos para lançar outros ataques, como roubo de credenciais de serviços em nuvem (Microsoft 365, etc.).
O Impacto Real: O Que Significa Para Você?
O comprometimento de um roteador vai muito além da simples perda de acesso à internet. Um atacante com controle sobre seu roteador pode:
Interceptar todo o seu tráfego de internet: Isso inclui senhas, dados bancários, e-mails e qualquer outra informação não criptografada que passe pela sua rede.
Redirecionar seu tráfego para sites falsos: O atacante pode realizar ataques de phishing em nível de rede, redirecionando você para um site falso do seu banco, por exemplo, para roubar suas credenciais.
Usar sua rede para atividades ilegais: Como mencionado, os roteadores comprometidos estão sendo usados como uma rede de proxies para lançar ataques contra outras vítimas. Isso significa que sua rede pode ser implicada em atividades criminosas.
Atacar outros dispositivos na sua rede: O roteador pode ser usado como um ponto de partida para atacar outros dispositivos conectados à sua rede local, como computadores, smartphones e dispositivos de IoT (câmeras, assistentes de voz, etc.).
O fato de o TP-Link TL-WR841N ser um dispositivo EoL agrava enormemente o risco. Não haverá uma correção oficial do fabricante. Se você possui este roteador, ele permanecerá vulnerável para sempre.
Recomendações: O Que Fazer Agora?
Dado o risco e a falta de um patch, a recomendação é clara e urgente.
Mitigação Primária (Ação Imediata)
Substitua o roteador imediatamente: Esta é a única maneira de garantir que sua rede esteja protegida contra esta vulnerabilidade. Desconecte o TP-Link TL-WR841N e substitua-o por um modelo de um fabricante confiável que ainda receba atualizações de segurança.
Mitigações Secundárias (Medidas Paliativas)
Se a substituição imediata não for possível, tome as seguintes medidas para reduzir o risco, mas entenda que elas não eliminam a vulnerabilidade:
Desative o gerenciamento remoto: Certifique-se de que o painel de administração do seu roteador não esteja acessível a partir da internet (WAN).
Altere a senha do administrador: Use uma senha forte e exclusiva. Embora a vulnerabilidade permita o roubo dessa senha, alterá-la pode dificultar o acesso se o atacante ainda não tiver explorado a falha.
Isole a rede: Se possível, crie uma rede de convidados (Guest Network) para dispositivos menos confiáveis e use a rede principal somente para dispositivos essenciais.
Conclusão
Verifique o modelo do seu roteador. Se for um TP-Link TL-WR841N, é recomendado que você adote as medidas de mitigação. A CVE-2023-50224 é um lembrete dos perigos associados ao uso de hardware de rede desatualizado. Roteadores são a porta de entrada para a internet e, quando comprometidos, colocam toda a sua vida digital em risco. A exploração ativa desta falha por grupos organizados mostra que mesmo vulnerabilidades de severidade “Média” podem ter consequências devastadoras no mundo real.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Com o aumento do número de vulnerabilidades descobertas diariamente, conhecer e saber categoriza-las no ambiente que está sendo gerenciado pela equipe de segurança se torna uma medida importante para mitigar os riscos de segurança em um ambiente de T.I.
A etapa da categorização das vulnerabilidades se torna fundamental para a equipe realizar a gestão do risco de forma eficiente e estruturar as ações de defesa do ambiente. Entendendo o que elas representam e seu potencial impacto, conseguimos elaborar um plano de ação mais eficiente e priorizar as ações de defesa.
Para ajudar na categorização, podemos utilizar alguns indicadores padrões de mercado que vão nos ajudar a direcionar o esforço, por exemplo o CVSS e o EPSS.
O CVSS (Common Vulnerability Scoring System), é um indicador padrão utilizado para medir a severidade de vulnerabilidades com um sistema de pontuação padronizado para avaliar e realizar a comparação da gravidade das vulnerabilidades de segurança, aplicando medidas quantitativa para medir o potencial de impacto da vulnerabilidade.
O CVSS atribui pontuações numéricas com base em diferentes métricas, onde este cálculo ajuda a equipe de segurança a priorizar os seus esforços para a correlação de vulnerabilidades e apoiar para uma melhor tomada de decisão para correção ou mitigação das vulnerabilidades.
Para realizar o seu cálculo, o CVSS, vamos exemplificar baseado na versão 3.X, utiliza algumas métricas como principais, como métricas de Base, Temporal e Ambiental. Cada métrica possui características diferentes e um peso no cálculo da pontuação da CVSS.
Métrica de Base são métricas onde são avaliados o potencial dano que a vulnerabilidade pode causar no ambiente, facilidade de exploração e a complexidade do atacante conseguir realizar o ataque bem sucedido.
Métrica Temporal são métricas onde são avaliados a evolução da vulnerabilidade ao longo do tempo, podendo incluir algumas características que são considerados no calculo da sua pontuação, como a maturidade do exploit, facilidade da sua correção, confiabilidade da fonte da informação e a quantidade de evidencias disponíveis.
Métrica Ambiental são métricas relacionadas a importância do impacto real para a organização em particular, baseadas em controles de mitigação que podem existir no ambiente para reduzir ou aumentar o impacto da vulnerabilidade ser explorada no ambiente.
Diante do número elevado de CVSS dos ambientes e com as equipes de segurança enfrentando uma grande dificuldade para priorizar as correções. Um grupo de pesquisadores do FIRST (Forum of Incident Response and Security Teams – https://www.first.org/about/), pensando em resolver esse problema, desenvolveu o EPSS, um modelo para calcular informações sobre exploração das vulnerabilidades e apoiar no direcionamento melhor das ações de correção de vulnerabilidades pela equipe.
O EPSS (Exploit Prediction Scoring System), fornece um “score” que é um indicador baseado em dados do CVSS para estimar a probabilidade de uma vulnerabilidade de software estar sendo explorada ativamente no ambiente, cujo seu objetivo, é auxiliar a equipe de segurança a priorizar os esforços de correção de vulnerabilidades com base no EPSS score.
O EPSS fornece uma perspectiva mais dinâmica e contextual, permitindo que as equipes priorizem vulnerabilidades que estão ativamente sendo exploradas, mesmo que tenham um score no CVSS baixo.
Correlacionando dados de CVSS + EPSS e aplicando inteligencia artificial, concluimos o valor do “Score EPSS”, um indicador mais robusto para a categorização de vulnerabilidades, onde podemos exemplificar conforme informações abaixo :
CVSS alto + EPSS alto = prioridade máxima
CVSS alto + EPSS baixo = monitoramento e mitigação planejada
CVSS baixo + EPSS alto = atenção especial, pois pode indicar ataques em andamento
Com essa informação, conseguimos que as equipe realizem uma gestão de risco mais inteligente, baseada não apenas em um unico indicador, mas também relacionando com a probabilidade real de ataque.
Categorizar as vulnerabilidades com base em métricas como CVSS e EPSS é essencial para uma resposta proativa e eficiente às ameaças cibernéticas. Em vez de reagir a cada alerta, as organizações podem tomar decisões assertivas, proteger seus ativos mais críticos e manter a confiança de seus clientes e parceiros.
Você já testou se sua empresa está realmente preparada para os desafios da Internet moderna?
O site TOP – Teste os Padrões é uma iniciativa do NIC.br que avalia se os serviços digitais — como sites, e-mails e conexões — estão em conformidade com os padrões técnicos mais modernos e seguros da Internet. Esses padrões incluem tecnologias como IPv6, DNSSEC, HTTPS, TLS, HSTS, DMARC, DKIM, SPF, STARTTLS, DANE, entre outros.
Por que isso importa para sua empresa?
Segurança: Adotar esses padrões reduz vulnerabilidades e protege contra ataques como phishing, spoofing e interceptação de dados.
Confiabilidade: Serviços que seguem os padrões modernos são mais estáveis e confiáveis, transmitindo mais confiança aos clientes e parceiros.
Reputação digital: Estar em conformidade com os testes do TOP é um sinal claro de compromisso com boas práticas de TI e segurança da informação.
Competitividade: Empresas que investem em infraestrutura moderna se destacam no mercado e estão mais preparadas para escalar seus serviços.
Hora de fazer o dever de casa
A ferramenta é gratuita e fácil de usar. Basta inserir o domínio do seu site ou serviço de e-mail e verificar os resultados. Se algo estiver fora do padrão, o TOP ainda indica o que pode ser feito para corrigir.
Aqui na CYLO, fizemos o dever de casa, somos TOP! Isso reforça nosso compromisso com a excelência e com a Cybersegurança.
Em 12 de junho de 2025, por volta das 14h51 (UTC-3), uma falha significativa em serviços baseados no Google Cloud causou indisponibilidade generalizada de plataformas como Spotify, Discord, Snap, Character.ai e até partes da infraestrutura da Cloudflare. A suspeita inicial de que se tratava de um ataque cibernético coordenado está descartada com base em dados técnicos e fontes confiáveis. O incidente, embora com impacto global, não teve relação com atividade maliciosa.
Linha do Tempo do Incidente
Início do problema: 12 Jun 2025, 17:51 UTC (14:51 GMT-03 BRT).
Atualização final do status: 12 Jun 2025, 22:46 UTC (19:46 GMT-03 BRT).
Locais afetados: Regiões Google asia-east1, europe-west4, africa-south1 e dezenas de outras.
Serviços impactados: APIs, autenticação, conectividade com backend, serviços de hospedagem.
Volume de impacto – relatos simultâneos de inacessibilidade:Spotify 46.000, Google 14.000 e Discord 11.000 (segundo Downdetector).
Fonte: ThousandEyes
Nossa análise
Com base nas evidências disponíveis até o momento, é altamente improvável que tenha ocorrido qualquer incidente relevante de segurança cibernética com impacto global em 12 de junho de 2025.
As interrupções observadas em diversos serviços online parecem ter sido causadas por uma falha técnica na infraestrutura do Google Cloud, e não por ações maliciosas ou por um ataque cibernético.
Não há registros oficiais nem indicadores técnicos que sustentem a hipótese de um ataque cibernético coordenado, apesar da circulação de algumas especulações e teorias da conspiração em redes sociais.
Diagnóstico Técnico
De acordo com GoogleCloud Status Dashboard, o incidente envolveu instabilidades de rede e falhas no fornecimento de recursos críticos para workloads, com degradação em múltiplas zonas de disponibilidade. Apesar do escopo, não houve indícios de exploração de vulnerabilidades, DDoS, sequestro de rota BGP ou comportamento anômalo em logs de tráfego. O relatório completo de status do Google Cloud para o evento de 12/6/2025 pode ser visto nesse link confiável: https://status.cloud.google.com/incidents/ow5i3PPK96RduMcb1SsW
A Cloudflare, por sua vez, relatou impactos secundários limitados a serviços que utilizam o Google Cloud como backend. Segundo relatos de engenheiros da comunidade e usuários técnicos no Downdetector, houve menção a “erro de configuração de rede” e dependências indiretas afetando ao menos 19 data centers da Cloudflare.
Avaliação Cibernética
Do ponto de vista de threat intelligence e resposta a incidentes, nenhuma IOC (indicador de comprometimento) conhecida foi associada ao evento. Nenhum CSIRT internacional (como o US-CERT ou o JPCERT/CC) emitiu alertas relacionados, tampouco houve correlação com campanhas ativas de ameaça.
Buscas por “cyber attack”, “internet outage”, “DDoS” ou “APT activity” relacionadas a 12/06/2025 nas redes sociais e em feeds técnicos (como OTX AlienVault e MISP) não retornaram nenhuma correlação válida. Portanto, a hipótese de ataque coordenado por ator estatal ou hacktivismo pode ser tecnicamente descartada neste caso.
Implicações para Resiliência
Embora não tenha envolvido comprometimento, o incidente reforça o risco de falhas sistêmicas em infraestruturas centralizadas. A dependência excessiva de provedores de nuvem (monoculturas tecnológicas) pode gerar efeitos em cascata mesmo sem ações maliciosas.
É recomendável que analistas e arquitetos de segurança revisem:
Estratégias de redundância multi-cloud.
Monitoramento contínuo de integridade de serviços externos (SLAs e upstreams).
Planos de contingência para falhas de serviços de terceiros.
Conclusão
Apesar das suspeitas iniciais, o incidente de 12/06/2025 foi causado por uma falha técnica no Google Cloud e não representa um evento de segurança cibernética. Para times de resposta a incidentes, é mais um lembrete de que a visibilidade sobre a cadeia de dependências tecnológicas é tão crítica quanto a detecção de ataques.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.
Durante um treinamento recente em Cibersegurança, focado em “Foundations of Incident Management”, entre muitos temas importantes abordados no treinamento, um ponto crucial se destacou: a importância de uma resposta rápida e coordenada a eventos de Segurança da Informação.
Em um cenário onde a tecnologia está em constante evolução, com a área de cibersegurança não seria diferente, a rápida evolução das ameaças e a forma de como os ataques cibernéticos são realizados, a segurança digital para as organizações deixou de ser um diferencial para se tornar uma necessidade e, uma pergunta que não podemos ignorar para as organizações é, “não é se a sua empresa será atacada ou não, mas quando. O ataque será efetivo?” Seguindo neste contexto, um Security Operations Center (SOC) se destaca como uma peça fundamental na estratégia de defesa para as organizações, adicionando uma camada de proteção no ambiente de tecnologia e se tornando essencial para uma melhor resiliência cibernética.
Podemos definir o SOC como um centro especializado em segurança cibernética, responsável pelo monitoramento, detecção e resposta para incidentes de segurança. Utilizando tecnologias avançadas e composto por equipes de especialistas em cibersegurança, tecnologias em geral e processos, ele opera com o objetivo de identificar e responder as ameaças em tempo real, adicionando uma camada essencial para a resiliência cibernética das organizações e minimizando os riscos que possam causar danos significativos.
Vamos relacionar um SOC como uma “torre de controle” com foco para a segurança da informação da sua empresa, onde com uma equipe especializada, são realizados a monitoração dos dados do ambiente, comportamentos suspeitos , tráfego de rede, sistemas, aplicativos e dispositivos em busca de qualquer atividade suspeita.
Oferecendo uma camada de proteção proativa, o trabalho e a importância de um SOC vai muito além da simples detecção de ameaças, onde podemos destacar um pouco mais das suas atividades ;
Detecção rápida de eventos de segurança : Pesquisas indicam que o tempo médio de permanência de um invasor no ambiente de rede pode chegar em 200 dias ou mais antes de ser identificado e, conseguir garantir a capacidade de identificar a ameaça rapidamente é crucial. O SOC utiliza ferramentas avançadas para garantir uma rápida detecção, como a utilização de ferramentas de XDR, SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) para identificar padrões maliciosos, correlacionar eventos, automatizar e gerar alertas em tempo real para a equipe à possíveis ameaças, minimizando o tempo que um atacante tem para causar danos para as organizações.
Resposta a Incidentes : Quando um incidente ocorre, uma equipe bem coordenada faz toda a diferença na resposta do incidente, com um SOC estruturado e treinado, possuir um plano e treinamento para realizar a resposta de incidentes faz toda a diferença, os processos são rapidamente colocados em pratica, gerando a contenção e a erradicação da ameaça. Aplicar o plano de recuperação quando for necessário , realizar relatórios pós-incidente e a identificação da causa raiz, evitando futuras ocorrências. A falta de um plano de resposta eficiente pode levar a grandes perdas financeiras e gerar danos irreparáveis à reputação da empresa.
Monitoração do ambiente 24hx7: Diferente de uma abordagem reativa, o SOC mantém um monitoramento constante, identificando ameaças comportamentais , processuais , físicas e evitando que vulnerabilidades sejam exploradas. Com a utilização de informações de threat intelligence, a detecção no estágio inicial faz toda a diferença para mitigar possíveis ataques.
Políticas e Processos: Uma equipe de SOC realiza o suporte durante o desenvolvimento da política de segurança da informação (PSI), planos de comunicação, planos de recuperação (backup e restore), apoio também em auditorias e fornecimento de relatórios, garantindo que os processos estabelecidos sejam seguidos para que tenhamos um aumento da postura de segurança do ambiente.
Uma pesquisa disponibilizada pela empresa Palo Alto Networks, lider global em segurança cibernética, indicam números alarmantes para o Brasil. O pais tem sido um alvo frequente de ataques cibernéticos, sofrendo bilhões de tentativas de ataques no último ano e isso reforça a necessidade de manter um ambiente de segurança robusto. O apoio do SOC é fundamental nesta jornada e vem se tornando um elemento estratégico para as organizações.
