Logotipo IT Forum
IT Forum Distrito Itaquí IT Invest Itaquí
IT Forum - A Comunidade de Tecnologia se Encontra Aqui
Imagem do anúncio

Incident Response ganha destaque com aumento de ameaças cibernéticas

Uma pesquisa da Mordor Intelligence, realizada ao longo de 2021, aponta que o mercado global de serviços de resposta a incidentes (Incident Response), avaliado em US$ 3,48 bilhões em 2020, deve chegar a US$ 10,13 bilhões até 2026, registrando um crescimento médio anual de 20,5% entre os anos de 2021 e 2026. Este crescimento não […]

Publicado: 06/12/2025 às 05:50
Leitura
6 minutos
Incident Response
Construção civil — Foto: Reprodução

Uma pesquisa da Mordor Intelligence, realizada ao longo de 2021, aponta que o mercado global de serviços de resposta a incidentes (Incident Response), avaliado em US$ 3,48 bilhões em 2020, deve chegar a US$ 10,13 bilhões até 2026, registrando um crescimento médio anual de 20,5% entre os anos de 2021 e 2026. Este crescimento não acontece sem razão, com o aumento da sofisticação e da frequência dos ataques, cada vez mais empresas estão buscando meios de minimizar o impacto destas ameaças.

Na prática, os serviços de Incident Response são aqueles que seguem um conjunto de procedimentos e abordagens predefinidos e organizados no caso de ataques cibernéticos. Eles ajudam as empresas a monitorar redes e endpoints em busca de intrusões avançadas e atividades fraudulentas. Para isso, utilizam uma variedade de recursos, como investigação de violação (para identificar se a ameaça é de uma fonte externa ou interna e para identificar o escopo e o cronograma da violação), serviços forenses (coleta de evidências digitais, a serem usadas como parte de uma investigação), tratamento da cadeia de custódia, exame e análise de aplicativos, dados, redes e sistemas terminais.

O especialista em Incident Response da Kaspersky para a América Latina, Eduardo Ovalle, explica que, quando uma empresa está sofrendo um ataque cibernético ou dados corporativos são vazados, o sistema tenta freneticamente resolver dois problemas: minimizar os danos e retornar o processo de trabalho normal o mais rápido possível.

Com isso, todo foco é direcionado para as pessoas que têm a responsabilidade de resolver esses problemas: a equipe de resposta a incidentes. A eficiência de suas ações afetará não apenas a rapidez com que a origem do problema será encontrada, mas também a credibilidade da empresa estará protegida de uma recorrência do incidente. Afinal, os cibercriminosos estão tentando obstruir a investigação e destruir vestígios de sua presença na infraestrutura da vítima, portanto, sem identificação precisa de toda a cadeia de ataque, a proteção confiável contra as mesmas táticas maliciosas não pode ser garantida no futuro.

Ovalle explica que, enquanto a equipe de infosec trabalha para garantir que cada componente da rede está protegido, uma única vulnerabilidade pode abrir a porta a intrusos e lhes dar acesso aos sistemas de informação. “Qualquer coisa pode ser direcionada. Se um sistema for invadido, é vital estabelecer como foi comprometido, a fim de elaborar um plano de mitigação e prevenir tais ataques no futuro. Este é o objetivo do serviço de Incident Response”, afirma.

Para isso, o serviço abrange todo o ciclo de investigação e resposta a incidentes: desde a resposta precoce a incidentes e coleta de evidências até a identificação de vestígios adicionais de hacking e preparação de um plano de mitigação de ataque. Segundo Ovalle, tudo isso deve ser integrado às soluções de segurança já utilizadas pela empresa, o que leva a uma série de desdobramentos que permitem prever e prevenir mais prejuízos.

O executivo destaca que não se trata de uma única ação emergencial, mas de um processo a ser realizado em ciclo contínuo, dividido em quatro etapas:

  • Pedido de inicialização – os especialistas coletam as informações de quem relatou o incidente e de todos que possam ter conhecimento útil, detalhes técnicos e processos de negócios que ajudem a entender os detalhes do incidente. Também são analisadas informações de rede e logs sobre o incidente, permitindo o fornecimento de recomendações de curto prazo sobre o que fazer.
  • Coleta de evidências – dependendo das especificidades do incidente, as abordagens podem ser internas, com os especialistas visitando a empresa para coletar as informações; ou remota, onde a equipe de TI da empresa recebe a orientação para fazer a coleta. Estas evidências podem incluir arquivos de log de sistemas operacionais, aplicativos e equipamento de rede, logs de acesso à Internet (por exemplo, de proxy servidores), tráfego de rede, imagens de disco rígido, memória e outros tipos de informações que possam auxiliar a investigação.
  • Análise de evidências – aqui os especialistas analisam todas as informações disponíveis para criar uma imagem do incidente. Neste processo, são compartilhados novos detalhes descobertos para que ações oportunas possam ser tomadas para evitar o desenvolvimento de novos ataques. Caso surjam sinais de novo comprometimento, todos os recursos de informação da empresa são escaneados para detectar outros hosts comprometidos e coletar mais dados.
  • Relatório final – a equipe de TI da empresa recebe um relatório com as descobertas e recomendações.

Segundo Ovalle, estas etapas podem ser resumidas em preparação, análise de tudo o que pode ser afetado, contenção e erradicação. “Finalmente, temos a recuperação total dos serviços e, claro, as lições aprendidas que devem ser convertidas em oportunidades de melhoria”, explica.

De todo modo, o executivo explica que estas etapas não podem ser “queimadas”, o que significa que não se pode ir da identificação à recuperação, por exemplo, sob o risco de dar aos criminosos a ideia de que eles podem atacar com mais força. “O principal objetivo é sempre reativar o negócio. Isso faz com que não se juntem à estratégia de identificar, restaurar. Se essas etapas são puladas, na maioria das vezes, isso é contraproducente”, diz.

Modelos

Ovalle explica que os serviços de Incident Response são hoje oferecidos em dois modelos: o primeiro, de emergência, e o segundo, chamado de retainer. “O primeiro, como o nome diz, é emergencial e leva tempo, demandando burocracia, contratos etc. O ideal é o ongoing, onde a empresa tem consciência de que o problema pode acontecer”, explica, lembrando que no prazo de dois anos, o valor investido é convertido em treinamento, complementando a estratégia de cibersegurança da companhia.

A experiência do executivo aponta que, normalmente, as empresas entendem a necessidade do serviço, habilitam controles e, com os ajustes, se defendem de uma série de incidentes e de novas ameaças. Para ele, nos dias de hoje é quase certo que haverá incidentes, por isso as empresas precisam se preparar e entender, seguindo as etapas de desenvolvimento do serviço. “O resultado são organizações cada vez mais seguras”, defende.

Mais seguras e contando com estratégias que não dependem exclusivamente da atualização de suas soluções de segurança mas que não devem ser relegadas. “Esses passos têm aval científico da comunidade e as empresas que estão adotando essa abordagem entendem sua necessidade”, diz.

 

 

As melhores notícias de tecnologia B2B em primeira mão
Acompanhe todas as novidades diretamente na sua caixa de entrada
Imagem do ícone
Notícias
Imagem do ícone
Revistas
Imagem do ícone
Materiais
Imagem do ícone
Eventos
Imagem do ícone
Marketing
Imagem do ícone
Sustentabilidade
Instagram Linkedin Facebook Tiktok Youtube
Autor
Notícias relacionadas