Autor: Rubens Paulo Vaz Ferreira, Arquiteto de Cibersegurança do time de Pré-vendas da SEK.
Nos últimos anos os ataques de Ransomware tem aumentado significativamente e consequentemente, tirando o sono e a tranquilidade dos CISOS, CEOs e todos os responsáveis pela administração dos ambientes e superfícies de TI.
Em termos estatísticos, somente nos primeiros seis meses de 2022, ocorreram mais de 236 milhões de ataques de Ransomware globalmente. De acordo com o Data Breach Investigation Report (DBIR) tivemos um aumento de 13% nos ataques ano após ano desde 2021.
As técnicas dos atacantes estão cada vez mais elaboradas e se antes havia um alvo específico direcionado a um certo nicho de mercado, atualmente, todos os setores da indústria tornaram-se target. Podemos afirmar categoricamente que é a oportunidade e o não atendimento por parte das empresas de algumas boas práticas com respeito a Cybersegurança, que faz com que o criminoso Cybernético tenha sucesso ou não.
Mas afinal, o que é Ransomware:
A palavra “Ransom” significa resgate, e esse é o principal objetivo desse tipo de Malware. Uma vez que o Ransomware tenha infectado os principais sistemas da empresa, o mesmo atua criptografando os dados e então passa a exigir o pagamento de uma taxa de resgate. O não pagamento do resgate pode levar à perda permanente dos dados ou à exposição das informações confidenciais e consequentemente, abalar a imagem da empresa no mercado.
Principais tipos de Ransomware:
- Ransomware de bloqueio (Lockers): restringem o uso do computador, laptop ou servidor;
- Ransomware de criptografia: é o tipo atualmente mais utilizado pelos criminosos. Atua criptografando os principais arquivos das empresas.
Principais vetores de ataques e como se proteger:
Se proteger contra esse tipo de ataque exige das empresas uma visão holística com relação às melhores práticas de Cybersegurança. Nós podemos listar alguns dos principais vetores de ataque e como as empresas devem se preparar contra esse tipo de ameaça:
1 – Sistemas operacionais desatualizados
Mantenha o seu parque tecnológico 100% hardenizado. Isso diminui as chances de que os infratores explorem vulnerabilidades já solucionadas. Manter uma política de gerenciamento de postura e exposição alinhada às melhores práticas de segurança é fundamental no combate à esse tipo de vetor.
Quando falamos de ambientes em Cloud, é de suma importância que essa superfície passe por uma análise via uma solução de CSPM (Cloud Security Posture Management). Muitas vezes, o ambiente em Cloud é negligenciado nesse sentido.
2- Proteja o(s) perímetro(s)
Entende-se como perímetro uma divisão lógica ou física que separa os dispositivos de rede de outras redes ou da Internet. Para tanto, você deve utilizar uma boa solução de NGFW (Next Generation Firewall), ter políticas de acesso mais restritivas possíveis, proteger aplicativos Web com uma solução de WAF (Web Application Firewall) e implementar uma solução de VPN ou ZTNA para os colaboradores e parceiros externos.
3 – Proteja o seu usuário
Sabe-se que o usuário é o alvo principal dos maliciosos. Uma tentativa de phishing bem-sucedida é capaz de expor o ambiente de TI e facilitar a tão temida movimentação lateral. Mantenha uma rotina interna com relação às campanhas de conscientização contra phishing. Para a proteção dos dispositivos desses usuários, tenha sempre uma solução de EDR & XDR além de uma solução com características de DLP e que seja capaz de monitorar e alertar qualquer ação que caracterize um tipo de ataque. Implementar uma política Multifator de autenticação é um grande aliado contra esse tipo de vetor.
4 – Faça a gestão adequada das senhas e dos acessos privilegiados
75% das violações de segurança em TI vêm do comprometimento de contas privilegiadas. Mantenha políticas de acesso mais restritivas possíveis e implemente uma solução de Gestão de Identidade. Essas soluções são capazes de proteger os seus colaboradores, fornecedores, qualquer tipo de workload, devices, aplicativos, fornecem a proteção do tipo Zero Trust além de, proverem visibilidade, compliance e auditoria.
5 – Execute testes regulares de segurança
Conte sempre com a experiência de um Red Team e faça testes balísticos regulares em sua estrutura WEB, Mobile APP, API’s, infraestrutura externa e interna, redes Wifi e campanhas pontuais de phishing. As vulnerabilidades encontradas nessas superfícies devem ser corrigidas imediatamente, pois, são as portas principais de entrada para os maliciosos.
6 – Monitore a sua marca e os seus usuários VIP
Por meio de uma solução de Threat Intelligence a sua empresa é capaz de monitorar dados vazados na Deep & Dark Web, monitorar o uso abusivo/ indevido da marca ou de perfis falsos nas redes sociais, além de, monitorar informações pessoais vazadas dos executivos e VIPs.
7 – Crie uma política de Backup consistente
Manter uma rotina de backup consistente e imutável é fundamental para a continuidade dos negócios. Crie a estratégia 3x2x1, ou seja, tenha pelo menos três cópias de backup separadas sem influência uma sobre a outra, utilize dois tipos de mídias de armazenamento distintas e mantenha uma cópia externa desses dados. Crie também uma estratégia de Disaster Recovery na qual ela atenda o RPO e o RTO do seu negócio. Mantenha testes e revisões mensais dessa estrutura.
8 – Mantenha uma política de governança alinhada aos negócios
O mapeamento e a governança dos processos em Cybersegurança são fundamentais e ajudam os gestores a mapear riscos e oportunidades. Abordar a cibersegurança de maneira prática e objetiva é uma obrigação e essa iniciativa deve partir dos níveis mais altos da organização. A governança é a ferramenta pela qual uma organização direciona e controla a segurança, especifica a matriz de responsabilidade e fornece supervisão para garantir que os riscos sejam mitigados, enquanto a administração garante que os controles necessários sejam devidamente implementados, corrigidos, revisados e continuamente melhorados.