Por que a velocidade de recuperação é o verdadeiro indicador da resiliência cibernética

Introdução: Mudando o foco da prevenção para a recuperação

Durante a maior parte dos últimos 20 anos, o principal argumento para o investimento em segurança cibernética centrou-se na prevenção: firewalls, proteção de terminais, inteligência contra ameaças e impedir a entrada de invasores a todo custo. O conceito fazia sentido quando os incidentes eram menos frequentes e mais controláveis.

Essa abordagem faz muito menos sentido em um mundo onde, para muitas organizações, a questão mudou de “Teremos um incidente grave?” para “Com que rapidez nos recuperaremos após um incidente?”.

O impacto nos negócios do tempo de inatividade e dos ataques de ransomware

À medida que as empresas se tornaram mais dependentes do acesso ininterrupto à informação, o impacto financeiro e operacional do tempo de inatividade não planejado aumentou significativamente. Em setores como saúde, serviços financeiros e infraestrutura crítica, ficar offline por algumas horas pode levar a uma ampla gama de eventos prejudiciais:

• Operações adiadas
• Transações mal sucedidas
• Multas regulatórias
• Reputação da marca prejudicada que perdura além do tempo de inatividade real

O ransomware moderno alterou essa dinâmica de forma bastante significativa. Atualmente, é prática comum atacar os backups juntamente com os sistemas primários, mesmo que apenas para reduzir as opções de recuperação (e a vantagem) da organização atacada. Pagar um resgate também não garante a restauração das operações comerciais – as chaves de descriptografia costumam ser lentas ou incompletas, e os dados restaurados ainda podem conter código malicioso latente. Portanto, o processo de recuperação não se resume apenas a reverter o processo de criptografia.

Definição de resiliência cibernética: além da proteção e da detecção

A resiliência cibernética é comumente vista como sinônimo de segurança cibernética, embora sejam conceitualmente diferentes por natureza. A segurança cibernética concentra-se em minimizar a possibilidade de ocorrência de um incidente, enquanto a resiliência cibernética descreve como uma empresa restauraria as funções necessárias no caso de falha dos controles preventivos. Dada a sofisticação das ameaças modernas, a questão da falha desses controles não é “se”, mas “quando”.

Uma organização resiliente não é uma organização que não tem incidentes. Uma organização resiliente é aquela que se recupera de incidentes de forma mais rápida, suave e com menor impacto prolongado nas operações. Essa diferenciação é significativa para definir estratégias, alocar orçamento e avaliar se os controles existentes são adequados para começar.

Métricas tradicionais vs. resiliência centrada na recuperação

A maioria das métricas que comumente medem a postura de segurança foi desenvolvida durante a época em que a contenção era o principal objetivo de segurança. Elas ainda são valiosas, mas fornecem um panorama incompleto de como uma organização se sairá em um incidente grave — já que param assim que o invasor é removido. A abordagem de resiliência centrada na recuperação, por outro lado, trata esse ponto como o começo, não o fim, focando na eficiência e na rapidez com que uma empresa pode retornar ao funcionamento normal.

Breve visão geral de MTTD, MTTR, RPO e RTO

MTTD (Tempo Médio de Detecção) é usado para definir o tempo entre o momento em que algo ocorreu e o momento em que esse fato é descoberto.

MTTR (Tempo Médio de Resposta, em contextos de segurança) é usado para definir o tempo entre a detecção e a contenção.

RPO (Objetivo de Ponto de Recuperação) define a perda máxima aceitável de dados em um determinado momento, RTO (Objetivo de Tempo de Recuperação) define a rapidez com que os sistemas devem ser recuperados.

Essas métricas não são novidade na área de segurança e, por si só, não constituem o problema. O problema reside na importância que as organizações atribuem a elas em relação umas às outras.

Limitações da velocidade de detecção e dos gastos com prevenção

A velocidade de detecção é um fator, mas apenas até certo ponto. Saber imediatamente sobre uma invasão é benéfico por si só, mas se a infraestrutura da organização for incapaz de se recuperar de forma clara uma vez que o problema tenha sido identificado e contido – não há redução significativa no impacto nos negócios.

Os gastos com prevenção enfrentam um tipo semelhante de limite – nenhuma medida de controle preventivo isolada pode eliminar o risco por completo, e um orçamento de segurança fortemente voltado para a prevenção em detrimento da capacidade de recuperação deixará uma organização bem defendida e mal preparada ao mesmo tempo.

Por que o tempo médio de recuperação (MTTR/MTCR) é mais importante

A métrica que melhor reflete a resiliência de uma organização é o tempo que realmente leva para se recuperar de uma situação totalmente limpa e verificar o retorno à operação normal. Esse tipo de abordagem vai muito além da definição usual de MTTR em operações de segurança também.

No contexto da recuperação de dados, o Tempo Médio para Recuperação Limpa (MTCR) é definido pelo intervalo de tempo entre a confirmação do incidente e um sistema confiável e livre de malware operando em plena capacidade. Essa distinção torna-se extremamente importante ao considerar a integridade do que está sendo restaurado, e não apenas a velocidade da restauração.

A lacuna na recuperação cibernética: lições de incidentes recentes e pesquisas

A lacuna entre a capacidade de recuperação presumida e o desempenho real de recuperação costuma ser bastante substancial. Não é incomum que as organizações descubram essa diferença durante um incidente, e não em testes — o que está longe de ser o momento mais adequado para descobri-la.

Altas taxas de falha nas restaurações de ransomware na área da saúde e em outros setores

A área da saúde é um dos principais alvos do ransomware, tanto devido à importância geral das operações de saúde quanto por causa das infraestruturas legadas e dos departamentos de TI com recursos insuficientes, ambos comuns no setor.

De acordo com o relatório Sophos State of Ransomware in Healthcare 2024, apenas 22% das organizações de saúde conseguiram se recuperar de ataques de ransomware em uma semana ou menos, o que representa uma queda significativa em relação aos 54% das organizações que relataram recuperação bem-sucedida em 2022.

O mesmo relatório também revelou que os invasores frequentemente tentam explorar os backups das organizações de saúde (relatado em 95% dos casos), com 2/3 dessas tentativas sendo bem-sucedidas. Verificou-se também que as organizações com backups comprometidos têm duas vezes mais chances de pagar o resgate (63% contra 27%).

Dados que mostram práticas limitadas de recuperação e backups comprometidos

A frequência dos testes de recuperação é, por si só, um ponto fraco persistente. Um estudo de 2021 citado pelo profissional de DR Dale Shulmistra constatou que quase metade das empresas testa a recuperação de desastres uma vez por ano ou menos, e 7% não realizam nenhum teste.

Os invasores aprendem a explorar essa vulnerabilidade: o tempo de permanência (o intervalo entre o acesso do invasor e a ativação do ransomware) pode variar de dias a meses, dando tempo para que o malware entre na cadeia de backup. A menos que a verificação de integridade seja integrada ao processo de backup, não há como saber até onde seria necessário ir para encontrar um backup não comprometido.

Velocidades típicas de recuperação para diferentes mídias de armazenamento

A velocidade da recuperação é grandemente afetada pela mídia de armazenamento utilizada.

O nível mais rápido inclui SSDs NVMe e memória de classe de armazenamento (SCM). As unidades SAS/SATA tradicionais são muito mais lentas em comparação, o desempenho do armazenamento de objetos depende da rede e do tamanho dos objetos, e a fita apresenta uma latência de recuperação substancial (de até várias horas para grandes conjuntos de dados).

Os números precisos de taxa de transferência são específicos do ambiente e geralmente constam em benchmarks dos fornecedores, em vez de pesquisas independentes – mas a diferença entre as camadas é grande o suficiente para determinar se um RTO documentado é realmente possível ou não.

A velocidade de recuperação como a verdadeira métrica de resiliência

Definindo o Tempo Médio de Recuperação (MTTR) versus o Tempo Médio de Recuperação Completa (MTCR)

Como já definimos tanto o MTTR quanto o MTCR, também é importante abordar suas diferenças com mais detalhes — diferenças que se tornam mais evidentes em condições de ataque. A tabela abaixo mostra como o MTTR difere do MTCR dependendo do tipo de incidente:

Como uma recuperação rápida e eficiente reduz a exposição regulatória e os custos de tempo de inatividade

O custo de um incidente aumenta com o tempo, e a velocidade de recuperação é um dos principais fatores que determinam o valor final. As estimativas de custo de tempo de inatividade que vêm sendo publicadas tendem a variar significativamente dependendo do setor, do tamanho da organização e da metodologia – de dezenas de milhares a várias centenas de milhares de dólares por hora em setores que lidam intensivamente com dados (sendo que essa variação reflete, em parte, a raridade com que as organizações divulgam publicamente os custos reais).

Todas as fontes de dados concordam com o fato de que cada hora de inatividade tem um custo financeiro mensurável, enquanto processos de recuperação testados e comprovados também conseguem reduzir a exposição regulatória em situações em que a restauração oportuna da disponibilidade dos dados é um fator de conformidade.

Pressões regulatórias: Lei de Resiliência Cibernética da UE e outras estruturas

Vale a pena abordar em detalhes a cobertura exata da Lei de Resiliência Cibernética da UE (Regulamento (UE) 2024/2847).

A CRA entrou em vigor em 10 de dezembro de 2024, com as principais obrigações entrando em vigor em 11 de dezembro de 2027. Ela se aplica especificamente a produtos que incorporam elementos digitais — tanto hardware quanto software disponibilizados na UE, sendo os fabricantes responsáveis pela segurança cibernética durante todas as etapas do ciclo de vida do produto.

Os marcos normativos mais diretamente relevantes para a capacidade de recuperação organizacional são a NIS2 (Redes e Sistemas de Informação), que abrange setores críticos e cadeias de abastecimento, e a DORA (Lei de Resiliência Operacional Digital), que impõe requisitos específicos de resiliência operacional e testes às entidades financeiras.

Fatores que afetam a velocidade de recuperação

A velocidade de recuperação não é apenas uma variável isolada, mas o produto de vários fatores interligados. Para melhorar o MTCR de forma significativa, é necessário compreender onde é mais provável que surjam gargalos.

Desempenho da infraestrutura e do armazenamento (SCM, SSD, SAS, Objeto, Fita)

As velocidades máximas de restauração são determinadas principalmente pela capacidade de throughput da mídia na qual os dados recuperados são gravados.

A hierarquização do armazenamento (utilizando mídias de alta velocidade para aplicações de missão crítica, enquanto se reserva armazenamento mais lento para os dados menos sensíveis ao tempo) pode ser empregada para alcançar uma velocidade de restauração aceitável para dados essenciais, sem incorrer nos custos de armazenamento de alto desempenho em toda a linha.

Da mesma forma, a largura de banda da rede torna-se o gargalo para a restauração se um grande conjunto de dados for restaurado em uma rede congestionada – mesmo os dados de mídia de armazenamento de alto desempenho levariam mais tempo para serem recuperados se fossem limitados pelas capacidades da infraestrutura de rede.

Integridade dos dados: garantindo backups limpos e livres de malware

Velocidade sem integridade, no contexto da segurança cibernética, é na verdade pior do que inútil – já que restaurar rapidamente usando um backup comprometido apenas prolongará o incidente.

A recuperação eficaz depende tanto da verificação de integridade quanto da verificação de malware como parte do processo de backup, e não apenas de uma verificação única durante o processo de restauração.

Os backups para armazenamento WORM não podem ser criptografados ou modificados por ransomware, mesmo que o próprio sistema de backup esteja sob o controle de um invasor.

Tudo isso, combinado com a retenção versionada, cria um estado recuperável que é difícil de infectar — desde que o período de retenção seja longo o suficiente para conter a infecção inicial.

Automação, orquestração e priorização de tarefas de restauração

Os processos de recuperação manuais geram variabilidade com a qual é difícil trabalhar sob pressão. Manuais de procedimentos padronizados podem ajudar a priorizar sistemas críticos, sequenciar dependências corretamente e executar tarefas de restauração em paralelo sempre que possível — e não há necessidade de julgamento humano em cada etapa durante uma emergência.

O objetivo aqui não é eliminar a supervisão humana, mas garantir que as decisões que exigem julgamento humano sejam tomadas durante o planejamento, em vez de serem improvisadas na hora.

Fatores humanos: testar planos de recuperação e habilidades regularmente

Um plano de recuperação que existe apenas na documentação não é tão confiável quanto um plano que já foi executado. Exercícios simulados demonstram pontos fracos de comunicação e tomada de decisão dentro de uma organização, enquanto testes de restauração completos destacam possíveis falhas técnicas – dependências não documentadas, sistemas que não serão capazes de restaurar corretamente, cronogramas que não atenderão às expectativas iniciais.

Esses testes devem ocorrer com frequência suficiente para acompanhar as mudanças na infraestrutura, e também é importante que esses testes imitem cenários de ameaças reais tanto quanto possível, em vez de se concentrarem exclusivamente em falhas de hardware.

Selecionando as métricas e KPIs corretos

Combinando RPO, RTO, MTTR e MTCR para uma visão holística

Nenhuma métrica isolada pode capturar o quadro completo neste caso.

• RPO define a perda de dados aceitável e determina a frequência do backup
• RTO define a meta de restauração
• MTTR monitora o desempenho real em relação a essa meta
• MTCR acrescenta a dimensão de integridade que mais importa em cenários de recuperação cibernética

Quando combinadas, essas métricas permitem que uma organização identifique pontos fracos específicos. Por exemplo, uma combinação de RTO robusto e MTCR insatisfatório aponta a integridade do backup como o maior problema. Alternativamente, um MTCR alto com um MTTR não atingido significa que o problema está no departamento de recursos ou de processos.

Alinhando métricas com objetivos de continuidade de negócios e conformidade

As métricas são mais úteis quando podem ser vinculadas a resultados que realmente importam para a empresa. RTOs baseados em análises de impacto nos negócios (que mostram o custo operacional real do tempo de inatividade) são mais acionáveis do que RTOs definidos para corresponder aos padrões dos fornecedores ou copiados de estruturas genéricas.

Da mesma forma, as metas de MTCR devem refletir os requisitos práticos de integridade dos dados em questão, juntamente com as obrigações regulatórias que se aplicam a eles.

Por que o Bacula se destaca na recuperação rápida e limpa

Os problemas descritos acima — backup comprometido, restauração lenta, incerteza quanto à integridade, variabilidade dos processos manuais — são exatamente os mesmos problemas que soluções como o Bacula Enterprise foram criadas para resolver. Sua arquitetura é um reflexo claro da ideia de que a integridade do backup e o desempenho da recuperação não podem ser tratados como questões separadas.

Arquitetura modular e escalabilidade do Bacula

O design modular do Bacula ajuda a garantir que as organizações não tenham um único ponto de falha, mesmo ao gerenciar ambientes grandes e distribuídos. A plataforma consiste em três componentes principais: o diretor, o daemon de armazenamento e o daemon de arquivos. Cada componente pode ser escalonado independentemente, com base nas necessidades de throughput e capacidade da organização.

Esse design ajuda a dar suporte a ambientes grandes e complexos (incluindo implantações híbridas e em múltiplas nuvens) sem a necessidade de uma infraestrutura monolítica que se torne um ponto único de falha.

Recuperação granular: restauração rápida de arquivos e sistemas individuais

Nem todo problema requer uma restauração completa do sistema. Na maioria das vezes, restaurar apenas determinados arquivos, bancos de dados ou serviços é uma maneira mais rápida de retornar a um estado operacional do que restaurar sistemas inteiros do zero.

A recuperação granular do Bacula permite que o administrador do sistema selecione exatamente qual item restaurar, limitando o tempo de restauração e o risco de reintroduzir dados potencialmente infectados.

Integração com armazenamento WORM, imutabilidade e verificação de malware

O Bacula Enterprise permite a integração com dispositivos de armazenamento WORM e destinos de backup imutáveis, reduzindo o risco tanto de adulteração quanto de criptografia do backup. Seus recursos de verificação de malware confirmam a integridade do backup antes que uma restauração seja realizada, mitigando assim o risco de restaurar a partir de um ponto de backup corrompido.

Esses recursos abordam diretamente o desafio do MTCR – ajudando a verificar se a recuperação terá início a partir de uma cópia de backup confiável.

Priorização de tarefas de restauração e automação de fluxos de trabalho de recuperação

Os recursos de script e API oferecidos pelo Bacula podem facilitar fluxos de trabalho automatizados de restauração e manuais de procedimentos sequenciados. As tarefas de restauração do sistema podem ser priorizadas por importância comercial, com as dependências do sistema sendo gerenciadas para garantir que tudo volte a ficar online na sequência correta. Isso pode ajudar a melhorar o MTTR prático e também melhorar os RTOs quando necessário.

Estratégias para acelerar a recuperação e melhorar a resiliência

Testar backups regularmente e verificar a integridade dos dados

Uma tarefa de backup bem-sucedida não significa necessariamente um backup que possa ser restaurado sem problemas. A verificação de integridade consiste em realizar testes de restauração periódicos – não apenas verificar se o processo de backup está em execução, mas garantir que os dados produzidos sejam recuperáveis, não estejam corrompidos e estejam livres de malware.

A frequência dos testes de restauração deve refletir dois fatores principais:

• A criticidade dos sistemas envolvidos
• O ritmo em que a infraestrutura muda

Utilização de armazenamento em camadas e mídias de alta velocidade para dados críticos

Nem todos os dados precisam ser armazenados na mídia mais rápida que a empresa possui, mas aqueles que exigem RTOs curtos certamente devem ser armazenados dessa forma. A adoção de uma abordagem em camadas — com mídias de alto desempenho e alta taxa de transferência sendo utilizadas para as aplicações que assim o exigem, enquanto dados menos críticos são colocados em armazenamento mais lento e mais barato — ajuda as organizações a otimizar a velocidade de recuperação onde ela é mais importante, sem arcar com o custo de armazenamento de alto desempenho em toda a linha.

Automatização de manuais de resposta a incidentes e recuperação de desastres

Manuais de recuperação que precisam ser montados em condições de incidente são muito menos confiáveis do que aqueles que foram criados e testados com antecedência. A automação, como recurso, ajuda a reduzir a dependência do julgamento em tempo real para decisões que podem ser predefinidas – seja a ordem de restauração do sistema, a sequência de dependências ou a execução paralela de tarefas. A automação também resulta em resultados mais previsíveis, tornando a revisão e a melhoria pós-incidente significativamente mais úteis.

Medindo e melhorando o MTTR e o MTCR ao longo do tempo

A resiliência melhora quando é medida de maneira consistente. Monitorar o MTTR e o MTCR tanto em testes quanto em incidentes reais (em vez de tratar cada exercício como um evento isolado) permite que as empresas identifiquem onde o tempo está sendo perdido – seja na detecção, na verificação da integridade do backup, na sequência de restauração ou na coordenação humana.

Esses dados são o que ajuda a transformar o planejamento de recuperação de um exercício de conformidade em um programa útil com resultados mensuráveis.

Conclusão: Adotando uma mentalidade que prioriza a recuperação

Resumindo por que a velocidade de recuperação define a resiliência cibernética

Embora a prevenção e a detecção sejam necessárias, a velocidade e a eficácia da recuperação determinam o verdadeiro custo de um incidente. O MTCR — tempo até um estado verificado, não infectado e operacional — é um indicador muito mais preciso de resiliência do que as métricas de postura de segurança por si só, e é também a métrica mais controlável ao alcance de uma organização durante um ataque.

Incentivar as organizações a avaliar e melhorar suas métricas de recuperação

As organizações não seriam capazes de ter uma visão precisa de seu MTCR real se não tivessem testado recentemente suas capacidades de recuperação em cenários realistas, como cadeias de backup comprometidas ou tempo de permanência prolongado.

O Bacula Enterprise oferece a arquitetura, os controles de integridade e os recursos de automação necessários para reduzir significativamente essa lacuna, mesmo nos ambientes mais complexos e de grande escala, ao mesmo tempo em que ajuda a desenvolver uma postura de recuperação que possa ser demonstrada, em vez de simplesmente ser presumida.

Perguntas frequentes

A velocidade de recuperação é mais importante do que a prevenção de violações?

Nenhuma das opções é mutuamente exclusiva. A prevenção minimiza o risco de ocorrência de incidentes; uma forte capacidade de recuperação minimiza o impacto caso um incidente realmente ocorra. O argumento prático para dar maior ênfase à recuperação do que normalmente se faz é que a prevenção tem um certo limite — ataques complexos, em algum momento, terão sucesso mesmo contra os alvos mais robustos — enquanto a capacidade de recuperação é diretamente proporcional ao custo geral de um incidente.

Como as seguradoras cibernéticas avaliam as capacidades de recuperação?

Os subscritores têm se tornado mais rigorosos nessa área recentemente. A maioria agora pergunta explicitamente sobre a frequência do backup, a disponibilidade de backups externos e imutáveis, com que frequência o processo de recuperação é testado e se os backups estão isolados da rede de produção. Organizações com processos de recuperação documentados e testados regularmente, além de cadeias de backup verificáveis e intactas, tendem a receber condições mais favoráveis do que aquelas cuja estratégia de backup existe principalmente no papel.

Com quais métricas de recuperação os reguladores e auditores realmente se preocupam?

Embora o escopo regulatório difira entre estruturas e setores, os compromissos e a demonstração de viabilidade para RTO e RPO são universalmente aplicáveis. A capacidade de restaurar o acesso aos dados pessoais dentro de um prazo aceitável após uma violação é um requisito específico do GDPR e de legislações de proteção de dados comparáveis. Enquanto isso, a DORA fornece especificações de teste para entidades financeiras. Os auditores querem cada vez mais ver resultados de testes, não apenas metas documentadas.