Com o aumento dos ataques de ransomware às organizações, a questão não é se um ataque acontecerá, mas quando. Procuramos maneiras de minimizar o impacto de tal ataque
Por
Publicados: 28 de novembro de 2022
relatório da Sophos constatou que dois terços dos 5.600 entrevistados dizem que suas organizações foram afetados por ransomware em 2021 – quase o dobro do ano anterior. Quase metade (46%) dos entrevistados admite que suas organizações foram atacadas por criptografia de ransomware e tiveram que pagar um resgate para recuperar seus dados.
- Por:
- Theodore Wiggins
Como Paul Watts, distinto analista do Fórum de Segurança da Informação (ISF ), aponta, sempre que os resgates são pagos, o apelo do crime permanece. É um ciclo difícil de quebrar.
“Apesar da enorme quantidade de atenção e preocupação com o ransomware, grandes muitas organizações simplesmente não estão preparadas para isso quando ele ataca”, diz ele. “Da mesma forma, eles também não podem e não vão deixar seus negócios fracassarem. Eles pagam, ou seus negócios morrem. Você pode ver o dilema.”
Controles do usuário
Existem muitas técnicas para reduzir o risco e os danos que esses ataques podem causar. Os especialistas da Computer Weekly falaram para recomendar que as organizações comecem com uma educação atualizada do usuário, cobrindo as últimas tendências e ataques.
Petra Wenham, voluntária do BCS, The Chartered Institute for IT, diz que, normalmente, as proteções contra ransomware incluem a filtragem de todos os e-mails recebidos e enviados em busca de arquivos maliciosos e links maliciosos. Isso geralmente é obtido por meio de um serviço comercial externo.
“Essas digitalizações os serviços podem ser estendidos para cobrir a exfiltração de dados por e-mail e a varredura do tráfego da web de uma empresa”, diz ela.
Wenham sugere que os líderes de TI implementem políticas de login para acesso à rede com base em acesso com privilégios mínimos . Ela recomenda que os departamentos de TI criptografem o tráfego de rede para funcionários remotos e implementem o acesso durante o dia. Essas técnicas podem limitar os danos causados se um trabalhador remoto for alvo de ransomware.
Embora o ransomware continue sendo uma das principais preocupações de segurança cibernética para as organizações atualmente, de acordo com Mandy Andress, diretora de segurança da informação (CISO) da Elastic, o estado da defesa contra ransomware está falhando.
Embora as organizações tradicionalmente dependam de uma combinação de pessoas, processos e tecnologia para impedir ameaças cibernéticas, Andress diz que essas táticas por si só não são suficientes para mitigar ataques de ransomware cada vez mais sofisticados.
“A defesa do ransomware está falhando porque é vista como um problema técnico ou problema organizacional quando, na verdade, é econômico”, acrescenta.
As economias do mundo são amplamente dependentes do movimento e distribuição de dados. Para Andress, isso implica que a infraestrutura digital deve ser examinada com a mesma urgência que a infraestrutura física crítica. Ela considera a questão do ransomware como interconectividade.
“O mesmo ransomware os ataques que causaram escassez de gás e atrasos no transporte também afetaram a capacidade das pessoas de acessar cuidados de saúde ou encontrar o que procuram no supermercado”, diz ela.
Ao reconhecer o ransomware como um problema econômico, Andress diz que há uma oportunidade para os líderes empresariais mobilizarem uma resposta mais eficaz. Como parte disso, ela sugere que os CISOs e os líderes empresariais nas organizações para as quais trabalham devem falar abertamente sobre os ataques de ransomware que sofreram.
Como observa Andress, há uma forte cultura de vergonha dentro das organizações em torno do ransomware: “As empresas geralmente têm muito medo ou vergonha de admitir que foram vítimas de um ataque por medo de prejudicar sua reputação, resultar em multas pesadas ou causar pânico entre clientes e outras partes interessadas.
“Na verdade, alguns invasores de ransomware até usam isso a seu favor, empregando táticas de ‘nome e vergonha’ com suas vítimas em um esforço para forçá-las a pagar um resgate.
“Se grandes corporações com amplos recursos de segurança podem ser vítimas de ransomware, organizações deve reconhecer que a vergonha é injustificada. Todas as empresas estão em risco.”
Também vale a pena lembre-se de que alguns dos maiores e mais bem-sucedidos ataques de ransomware foram orquestrados por poderosos estados-nação. Isso, diz Andress, torna quase impossível para uma única organização se proteger de forma eficaz.
“Durante a pandemia, por exemplo, o setor de saúde foi sobrecarregado com ataques de ransomware conduzidos por estados-nação que tentavam obter dados e pesquisas sobre vacinas contra a Covid-19, e muitos laboratórios pequenos e independentes não tinham os devidos recursos ou habilidades para mitigar esses ataques”, diz ela.
Desafios de proteção contra ransomware
No entanto, CISOs devem analisar como podem mitigar os danos que um ataque de ransomware bem-sucedido pode causar.
Rob Dartnall, CEO e chefe de inteligência da SecAlliance, enfatiza a importância de fortalecer a cadeia de suprimentos. “Várias empresas lidam com violações de ransomware e violações de dados, não de dentro de sua própria empresa, mas de sua cadeia de suprimentos”, diz ele.
“Quer o fornecedor tenha ou não acesso direto à rede, forneça software com atualizações maliciosas em potencial ou retenha dados confidenciais, monitorar o ecossistema mais amplo – particularmente a cadeia de suprimentos – agora é tão importante como monitorando sua organização.
“Saber quem pode atingir seus fornecedores e a aparência da superfície de ataque pode ter um impacto significativo na probabilidade de sua organização ou de seus dados serem comprometidos por operadores de ransomware”, acrescenta Dartnall.
Watts da ISF recomenda que os líderes de negócios e segurança de TI decidam quais são suas joias da coroa e ativos de missão crítica. “Se você não controlar seus inventários de ativos, seus catálogos de serviços e dados, como diabos você pode ter certeza de que tem tudo coberto, especialmente se ninguém lhe avisar quando eles mudarem?” ele diz.
Um offline o backup é um pouco complicado para o ransomware penetrar e a arquitetura geral de segurança de TI é uma consideração importante no 
luta contra o ransomware .
“Se o seu projeto de rede é representativo de um único plano aberto warehouse, tudo o que o agente da ameaça precisa fazer é entrar, então é acessar todas as áreas”, adverte Watts. “Inibir o movimento lateral de um ator de ameaça e limitar a escala de impacto caso ele libere uma carga útil pode ser a diferença entre uma pequena inconveniência e um evento em nível de extinção.”
Ele insta os arquitetos de segurança de TI a investir tempo e esforço na criação de um ambiente segregado que possa oferecer um nível de proteção, para limitar os danos que um ataque de ransomware pode causar.
Watts argumenta que as equipes de TI precisam implementar forte e seguro configurações baseadas no privilégio mínimo juntamente com um regime
O departamento de TI precisa avaliar se o ativo está corrigido e mantido e verificar se realmente precisa de acesso via internet ou requer serviços de acesso remoto, como protocolo de área de trabalho remota
. Watts recomenda que as equipes de TI garantam que serviços como Telnet, SSH e W3C sejam desativados, a menos que sejam realmente necessários.
“A varredura de vulnerabilidades e o teste de penetração andam de mãos dadas com tudo isso, dando a você uma visão independente de onde estão seus pontos fracos”, acrescenta ele.
Além da verificação de vulnerabilidade, Dartnall recomenda que os CISOs implementem um função de inteligência de ameaças cibernéticas para monitorar a ameaça de ransomware e as superfícies de ataque. Eles oferecem recomendações acionáveis que podem impedir a ocorrência de um ataque de ransomware.
Olhando externamente, ele diz: “Monitorar as ações dos agentes de ameaças, suas táticas e técnicas, infraestrutura de ataque e coletar indicadores nos permite refinar nossos controles de segurança, lógica de detecção e caça a ameaças capacidades. Cada uma dessas atividades limita ainda mais a possibilidade de um surto de ransomware.”
Como observa John Tolbert, analista sênior da KuppingerCole, ter todos os elementos certos de uma arquitetura de segurança em vigor melhora as chances de um CISO prevenir ataques de ransomware e/ou minimizar os danos. Os invasores agora têm como alvo membros da cadeia de suprimentos de software e provavelmente continuarão a fazê-lo. Ele recomenda que os CISOs implementem defesas abrangentes para aumentar a resiliência. Essas medidas precisam ser implantadas em todo o setor de TI.
Leia mais sobre gerenciamento de operações de TI e suporte de TI
Sua equipe é a linha de frente na luta contra o ransomware
Think Tank de Segurança: Sejamos transparentes sobre o ransomware
Sua equipe é a linha de frente na luta contra o ransomware
Think Tank de Segurança: Sejamos transparentes sobre o ransomware