NIST Cybersecurity Framework Profile for Ransomware Risk Management

15/06/2021 mindsecblog Artigos, Notícias 7

NIST Cybersecurity Framework Profile for Ransomware Risk Management. Documento, ainda em draft, visa definir uma estratégia clara e efetiva na prevenção e recuperação de ataques de Ransomware.

Ransomware é um tipo de ataque malicioso em que os invasores criptografam os dados de uma organização e exigem pagamento para restaurar o acesso. Em alguns casos, os invasores também podem roubar informações e exigir um pagamento adicional em troca de não divulgar as informações para autoridades, concorrentes ou o público.

O ransomware afeta ou interrompe as operações de uma organização e representa um dilema para a gestão: pagar o resgate e esperar que os invasores mantenham sua palavra sobre como restaurar o acesso e não divulgar dados, ou não pagar o resgate e restaurar as operações com recursos próprios.

Os métodos usados para obter acesso às informações de uma organização e sistemas são comuns a ataques cibernéticos de forma mais ampla, mas neste caso visam forçar o pagamento de um resgate. Os ataques de ransomware visam os dados da organização.

Felizmente, as organizações podem seguir algumas etapas recomendadas para se preparar e reduzir o potencial de ataques de ransomware bem-sucedidos. Isso inclui a identificação e proteção de dados críticos, sistemas e dispositivos alvo de ransomware, e se preparar para responder a quaisquer ataques de ransomware. Existem muitos recursos disponíveis para ajudar as organizações nesses esforços. Eles incluem informações do National Institute of Standards and Technology (NIST), o Federal Bureau of Investigation (FBI), e o Department of Homeland Security (DHS).

Os recursos e medidas de segurança fornecidos apresentados no documento do NIST suportam uma abordagem detalhada para prevenção e mitigação de eventos de ransomware. Mesmo sem realizar todas essas medidas, existem algumas etapas preventivas básicas que uma organização pode tomar agora para se proteger contra a ameaça de ransomware. Esses incluem:

Use sempre o software antivírus. Configure seu software para verificar e-mails automaticamente e drives flash.
Mantenha os computadores totalmente atualizados. Execute verificações programadas para manter tudo atualizado.
Bloqueie o acesso a sites de ransomware. Use produtos ou serviços de segurança que bloqueiem o acesso a sites de ransomware conhecidos.
Permita apenas aplicativos autorizados. Configurar sistemas operacionais ou usar software de terceiros para permite apenas aplicativos autorizados em computadores.
Restrinja dispositivos de propriedade pessoal em redes de trabalho.
Use contas de usuário padrão em vez de contas com privilégios administrativos sempre que possíveis.
Evite usar aplicativos pessoais – como e-mail, bate-papo e mídia social – em computadores de trabalho.
Cuidado com fontes desconhecidas. Não abra arquivos ou clique em links de fontes desconhecidas a menos que você primeiro execute uma varredura antivírus ou olhe os links com atenção.

O documento também relaciona algumas etapas que as organizações podem realizar agora para ajudar na recuperação de um futuro evento de ransomware incluem:

Faça um plano de recuperação de incidentes. Desenvolver e implementar um plano de recuperação de incidentes com papéis e estratégias definidas para a tomada de decisão. Isso pode ser parte de um plano de continuidade das operações.
Backup e restauração. Planeje, implemente e teste cuidadosamente a estratégia de backup e restauração de dados e proteja e isole os backups dos dados importantes e da rede onde os equipamentos de uso diário estejam conectados.
Mantenha seus contatos. Mantenha uma lista atualizada de contatos internos e externos para usar em caso de ataques de ransomware, incluindo contato de aplicadores da lei. (polícia cibernética e outros)