Ações para Proteção de Ransomware
Falaremos hoje nesse artigo em Ações de proteção contra Ransomware (ransomware protection), como reforçar as defesas e recuperar-se pós ataque.
Apenas o pensamento de ransomware é suficiente para manter os CISOs e as equipes de segurança à noite. As vítimas se deparam com a terrível escolha entre pagar um resgate a um criminoso, que pode ou não liberar sua rede e dados capturados, como potencialmente gastar milhões de dólares para remover o ransomware por conta própria. Aí entra a importância de manter uma boa proteção contra Ransomware.
Sumário
Segundo relatórios recentes publicados pela CNBC, o custo de um único incidente de ransomware é de cerca de US $ 713.000. Para esta estimativa calculou-se os custos de pagamento do resgate, somadas às perdas relacionadas ao tempo de inatividade, valor de qualquer dado ou hardware perdido, despesas para melhorar a infraestrutura e, por fim, tempo e dinheiro para reparar a imagem da marca.
Considere ainda, esse número pode aumentar exponencialmente quanto mais tempo os sistemas críticos permanecerem offline.
E esses custos provavelmente aumentarão. Em um ataque recente este ano, por exemplo, os atacantes exigiram um pagamento de 13 Bitcoin (mais de US $ 75.000) por cada computador afetado pelo ataque, para que os usuários pudessem recuperar o acesso aos seus arquivos – muito acima da demanda normal de resgate, que antes era pouco menos de US $ 13.000 .
Não seja Vítima de um Ransomware
Devido ao sucesso financeiro do ransomware, ele continua a atrair criminosos cibernéticos que lançam ataques em larga escala buscando sugar as vítimas descuidadas. Planejam cuidadosamente ataques altamente focados, visando alvos específicos com maior probabilidade de pagamento. Criminosos ainda menos técnicos estão entrando na onda através de um número crescente de portais de ransomware como serviço disponíveis na Dark Web.
Independentemente da abordagem, no mundo digital de hoje, um ataque de ransomware é mais uma questão de quando do que se.
Independentemente de quão sombria essa notícia possa parecer, as organizações têm maneiras de se defender efetivamente contra os ataques ransomware.
10 coisas que você pode fazer para Proteção Ransomware
Aqui estão 10 etapas críticas que toda organização precisa considerar como parte de sua estratégia anti-ransomware:
Mapeamento da superfície de ataque
Você não pode proteger o que não sabe que precisa ser protegido. Comece identificando todos os sistemas, dispositivos e serviços em seu ambiente em que você confia para realizar negócios e mantenha um inventário ativo. Esse processo não apenas ajuda a identificar seus destinos mais vulneráveis, mas também ajuda a mapear a linha de base do sistema para recuperação.
Correção e atualização dos dispositivos vulneráveis
Estabelecer e manter um protocolo regular de correção e atualização é apenas uma prática recomendada básica. Infelizmente, muitas organizações simplesmente não o fazem. Obviamente, nem todo sistema pode ser colocado offline para correção de atualização. Nesse caso, eles precisam ser substituídos (quando possível) ou protegidos usando rígidos controles de proximidade e algum tipo de estratégia de isolamento ou confiança zero.
Atualização dos sistemas de segurança
Além de atualizar seus dispositivos de rede, você também precisa garantir que todas as soluções de segurança estejam executando as atualizações mais recentes. Isso é especialmente crucial para a solução de gateway de email seguro (SEG). A maioria dos ransomwares entram em uma organização pelo email, e uma solução SEG deve ser capaz de identificar e remover anexos e links maliciosos antes de serem entregues ao destinatário.
Da mesma forma, uma solução eficaz de filtragem da Web que aproveita o aprendizado de máquina deve ser capaz de efetivamente parar os ataques de phishing. Além disso, sua estratégia de segurança precisa incluir itens como listas de permissões de aplicativos, mapeamento e limitação de privilégios, implementação de confiança zero entre sistemas críticos, aplicação de políticas de senha fortes e exigência do uso de autenticação multi fator.
Segmente sua rede e tenha mais segurança
A segmentação de rede garante que os sistemas e malware comprometidos sejam contidos em um segmento específico da rede. Isso inclui isolar sua propriedade intelectual e sequestrar as informações de identificação pessoal de funcionários e clientes. Da mesma forma, mantenha os serviços críticos (como serviços de emergência ou recursos físicos, como sistemas de HVAC) em uma rede separada e segregada.
Proteja sua rede estendida
Garanta que as soluções de segurança implantadas em sua rede principal sejam replicadas em sua rede estendida – incluindo redes de tecnologia operacional (OT), ambientes em nuvem e filiais – para evitar falhas de segurança. Também reserve um tempo para revisar as conexões de outras organizações (clientes, parceiros, fornecedores) que tocam na sua rede. Verifique se essas conexões estão reforçadas e se a segurança e a filtragem apropriadas estão em vigor.
Em seguida, alerte esses parceiros sobre quaisquer problemas que você possa descobrir, especialmente relacionados à possibilidade de conteúdo malicioso ser compartilhado ou espalhado por essas conexões.
Isole seus sistemas de recuperação e faça backup de seus dados
Execute “backups” regulares dos dados e do sistema e armazene esses backups fora da rede para que não sejam comprometidos no caso de uma violação. Verifique a integridade dos “backups” em busca de evidências de malware.
Tenha a garantia de que todos os sistemas, dispositivos e softwares necessários para uma recuperação completa do sistema, estejam isolados da rede. Deste modo eles permanecerão disponíveis em caso de recuperação de um ataque bem-sucedido.
Execute exercícios de recuperação
Simulações de recuperação regulares garantem que seus dados de backup estejam prontamente disponíveis, assim como, os recursos necessários possam ser restaurados e todos os sistemas possam operar conforme esperado.
Considere ainda que todos os indivíduos e equipes entendam suas responsabilidades neste processo. As questões levantadas durante uma pesquisa devem ser abordadas e documentadas.
Engajar especialistas externos
Estabeleça uma lista de especialistas e consultores confiáveis que podem ser contatados em caso de comprometimento para ajudá-lo no processo de recuperação. Quando possível, você também deve envolvê-los em seus exercícios de recuperação.
NOTA : As organizações também devem relatar imediatamente qualquer evento de ransomware à CISA, a um escritório de campo local do FBI ou a um escritório de campo do Serviço Secreto.
Atenção aos eventos de ransomware
Mantenha-se atualizado sobre as últimas notícias dos ransomwares inscrevendo-se em alguma inteligência de ameaças e feeds de notícias. A equipe deve estar alinhada sobre como e porque os sistemas foram comprometidos, aplicando as lições no ambiente.
Eduque os funcionários
Em vez de ser o elo mais fraco da sua cadeia de segurança, seus funcionários precisam ser sua primeira linha de defesa cibernética. O “ransomware” geralmente começa por uma campanha de phishing, e é imperativo a aplicação de táticas recentes de combate aos cybercriminosos, sejam elas direcionadas aos dispositivos corporativos, pessoais ou dispositivos móveis.
Além do tipo de revisão anual regular da segurança da qual a maioria dos funcionários deve participar, considere uma cadência regular de campanhas de conscientização.
Atualizações rápidas de vídeo de 30 a 60 segundos, jogos de simulação de phishing, mensagens de email da equipe executiva e pôsteres informativos ajudam a manter o conhecimento. Além disso, a execução de suas próprias campanhas internas de phishing pode ajudar a identificar funcionários que precisam de treinamento adicional
Passe isto adiante
Quando se trata de crime cibernético, estamos todos juntos nisso. Garanta que você tenha reuniões regulares com colegas da indústria, consultores e parceiros de negócios – especialmente aqueles essenciais para suas operações de negócios – para compartilhar essas estratégias e incentivar sua adoção.
Isso não apenas garantirá que eles não espalhem a infecção por ransomware para cima ou para baixo, criando responsabilidade para si e para você, mas também ajudará a proteger sua organização, pois qualquer interrupção na rede provavelmente terá um impacto em cascata nos seus negócios.
Derek Manky é chefe de insights de segurança e alianças globais de ameaças da Fortinet
Fonte: https//ftnt.me/68D233
