CSO conta como a Renner voltou ao ar em 48 horas

Visibilidade da rede e das aplicações foi fundamental para a reconexão de cada máquina ao ambiente operacional
Paulo Brito
01/09/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O gerente de segurança da informação da Lojas Renner, Adailton Silva, fez ontem um breve relato sobre vários dos passos que foram dados pelas equipes de TI e de segurança da companhia para, em apenas 48 horas, colocá-la de volta na internet e operando. O relato foi feito hoje às 14h30, durante a conferência “Resposta a Incidentes na Prática”, do Primeiro Congresso do Instituto Brasileiro de Segurança e Proteção de Dados, transmitido pela internet e gravado no YouTube (início no time code 5:47:29). Participaram também o country manager da Guardicore no Brasil, Fernando Ceolin, e Paula Ellis, diretora de Demand Generation da empresa.

Silva começou dizendo que foi um esforço grande e desafiador para todo o time: “Subimos uma infraestrutura praticamente do zero, tendo ainda que validar todas as questões comerciais… foi um período estressante, pessoas virando a noite, mas um time unido que nos levou à vitória”. O gerente da Renner citou a pressão da área de negócios e as expectativas dos funcionários no transcorrer dos trabalhos.

Veja isso
Renner recupera sistemas e volta ao ar em tempo recorde
Ransomware usa criptografia intermitente para não detecção

Um dos detalhes importantes na recuperação, segundo ele, foi a questão da visibilidade, que permitiu “ver como cada coisa se conecta e com quem ela fala na rede. Ele acrescentou que os parceiros que atuaram na recuperação foram fundamentais “para entender em pouco tempo o que estava acontecendo. Uma das nossas premissas para voltar era ver o endpoint, ver com quem ele falava, se ele estava fazendo uma comunicação normal ou não”. Para poder fazer esse tipo de observação, segundo ele, é preciso ter profundo conhecimento do ambiente.

Silva chamou a atenção para a questão de documentação: “Por falta de recurso, há empresas que não documentam, mas a documentação é sempre um ponto de partida: primeiro vamos ver como as coisas estão hoje na documentação. Com as ferramentas de segurança que temos no mercado, vamos obtendo isso e agregando a questão da construção e da visibilidade do que se administra”, completou.

Segundo ele, duas horas após o incidente as ferramentas utilizadas já mostravam todo o ambiente e o tráfego de dados, revelando “o que se conectava com o que. Tivemos assim segurança e certeza para garantir disponibilidade posterior”, completou.

Ceolin, da Guardicore, comentou que no caso dos fornecedores de soluções não adianta muito saber qual foi a causa: “Pensando na detecção, o atacante pode usar uma coisa nova, que nunca foi vista. Do nosso lado, o que entendemos é que a proteção vem de dentro para fora: a gente precisa é entender como funcionam as aplicações. A gente deve se preocupar com comportamento do ambiente e entender que somente as aplicações autorizadas pelo cliente devel falar na rede. Se houver um só mecanismo para garantir que só a sua aplicação funcione na rede, voce está um passo à frente”, comentou.

Silva disse que foi um trabalho árduo, checando máquina por máquina, e ressaltou a importância do backup “para o retorno do ambiente. Muitas empresas falam que é um mal necessário. Mas você testa o backup? Tem de ter plano de disaster recovery em segundo plano. Para mim é primordial. Mas e se aí você vê que o backup havia sido corrompido seis ou sete meses atrás? As empresas precisam dar atenção, investir e ter pessoas olhando para isso. A ferramenta não faz tudo sozinha. Ela faz o que ela conhece, mas as pessoas têm um olhar clínico sobre essas coisas”.

Ele chamou a atenção também para os os acessos privilegiados: “Uma ferramenta de PAM (privileged access management) é extremamente importante para que uma credencial não seja vazada. Pessoas olham outros detalhes mas esse pode ser uma porta de entrada. É preciso sempre construir um plano diretor de segurança que tenha os tres pilares: tecnologias, pessoas e processos”, finalizou.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest