Ransomware: A ameaça do ransomware veio para ficar

Ransomware: A ameaça do ransomware veio para ficar. Sim, estou afirmando o óbvio; a ameaça do ransomware veio para ficar. 

De acordo com as estatísticas do Departamento do Tesouro dos EUA, as vítimas de ransomware nos EUA pagaram US$ 590 milhões em resgate a criminosos de ransomware no primeiro semestre de 2021. Esse dinheiro grande atraiu muitas gangues de ransomware. Repórteres que persseguem os eventos de ransomware identificaram 59 grupos criminosos diferentes por trás dos ataques nos últimos três anos.

Então, o que significa se estabelecer a longo prazo na batalha contra o ransomware? Atualize as bases do seu programa para considerar a ameaça do ransomware. Essas bases são seus modelos de risco, seus padrões de segurança de informações, suas políticas e procedimentos e seus critérios de avaliação de segurança e questionários relacionados. A maioria dos recursos para gerenciar ransomware na cadeia de suprimentos provavelmente já está em seu programa, pois são os fundamentos do gerenciamento de TI e segurança cibernética. Só que agora é mais importante garantir que seus fornecedores estejam fazendo o básico bem.

O estudo de ransomware de 2021 da Coveware reforça a importância de fazer bem o básico. Entre outras pérolas, eles descobriram que 42% dos eventos de ransomware começaram com um ataque de phishing, 42% exploraram o ambiente por meio de um RDP exposto à Internet ou outro serviço de gerenciamento remoto e 14% exploraram uma vulnerabilidade de software presente em um sistema voltado para a Internet. Esses três vetores foram responsáveis ​​por 98% dos ataques de ransomware – o básico! 

Atualize seus critérios de avaliação de fornecedores e procedimentos relacionados para enfatizar ainda mais os controles que são extremamente importantes para a confiabilidade e a resiliência diante do ransomware. Nesta seção, chamo alguns controles-chave que são comumente citados em fontes e padrões respeitáveis ​​que você deve considerar adicionar aos seus critérios de avaliação de fornecedores. Para um conjunto completo de recomendações, sugiro a leitura das fontes fornecidas no final desta seção.

1) Opere um programa de backup e restauração eficaz.

  • Faça backups regulares de todos os arquivos de dados necessários para restaurar as operações de negócios em caso de perda de sistemas, aplicativos e dados.
  • Restaure periodicamente os sistemas a partir do backup para garantir que os backups sejam suficientes para restaurar as operações rapidamente.
  • Crie backups offline separados dos backups online para se proteger contra o evento de o ransomware atingir os sistemas de backup.

2) Prepare-se para um incidente.

Verifique se os fornecedores têm um plano de resposta a incidentes documentado e praticado e se eles têm um manual de resposta específico de ransomware.

3) Eduque os funcionários sobre como identificar e responder a e-mails de phishing.

Citado anteriormente, 42% dos ataques de ransomware começam com phishing. Certifique-se de que os fornecedores estejam instruindo seus funcionários sobre o risco de ataques de phishing e como evitar se tornar uma vítima. Empresas de conscientização de segurança de funcionários, como KnowBe4, PhishMe e Proofpoint, entre outras, envolvem ativamente os funcionários em programas de treinamento com ótimos resultados.

4) Exponha apenas serviços de rede autorizados e protegidos à Internet.

Compartilhando a liderança com phishing, 42% dos ataques de ransomware começam com a exploração de um serviço de protocolo de área de trabalho remota acessível pela Internet. Os serviços de RDP se tornam mais proeminentes durante a pandemia, pois as empresas costumam migrar às pressas os funcionários para o trabalho remoto.

Independentemente de ser o computador de um funcionário operando em casa ou um servidor implantado em um data center ou na nuvem, certifique-se de que os fornecedores restrinjam todos os serviços de rede expostos à Internet apenas àqueles que são explicitamente autorizados e operados de maneira defensável. O RDP, um serviço de acesso remoto muito comum e comumente explorado, não deve ser exposto à Internet. Em vez disso, deve ser usado um serviço VPN seguro que exija autenticação de dois fatores.

5) Mantenha os patches de software atualizados.

De acordo com a Coveware, 14% dos ataques de ransomware começaram com a exploração de software vulnerável em um sistema voltado para a Internet. Exija que seus fornecedores operem um programa robusto para manter os patches de software atualizados, principalmente o software de sistemas voltados para a Internet.

6) Impedir que o malware seja entregue e se espalhe para os dispositivos

  • Filtre e-mails maliciosos antes da entrega em caixas de correio para software malicioso, conteúdo de phishing e fontes de má reputação.
  • Faça proxy de todo o tráfego da Internet do usuário final por meio de um proxy que bloqueia automaticamente o acesso a sites mal-intencionados e detecta e bloqueia dinamicamente códigos e conteúdos mal-intencionados. Uma abordagem mais forte para proteger contra ameaças nativas da Web é permitir o acesso apenas a listas de navegação seguras.

7) Impedir a execução de malware nos dispositivos

Uma posição ideal para se estar é aquela em que o malware simplesmente não pode operar em endpoints. Os fornecedores podem chegar até lá com plataformas de proteção de endpoint em todos os sistemas. Eles interrompem as ameaças identificadas antes de serem instaladas no sistema host. No entanto, eles não fornecem 100% de proteção.

Dois controles adicionais aumentarão muito a capacidade de defesa dos sistemas .

  • Remova os privilégios de administrador de usuários e aplicativos. Essa ação única fará com que a maioria dos ransomwares funcionem com sucesso em sistemas corrigidos.
  • Administrar sistemas centralmente e controlar quais softwares podem ser instalados e operados nos sistemas. As soluções de lista de permissões de aplicativos podem ajudar a gerenciar isso em escala.

8) Detecte atividades maliciosas de rede e endpoint

Obviamente, não é razoável esperar que os controles preventivos bloqueiem todas as ameaças. Como tal, é essencial ter uma atividade robusta de rede e endpoint e monitoramento e bloqueio de ameaças. Isso inclui o monitoramento de tentativas de intrusão, fontes externas e internas da rede, tentativas de exfiltração de dados, comunicações maliciosas conhecidas e anormais.

Alguns recursos a partir dos quais essas recomendações foram desenvolvidas e fornecem um tratamento mais profundo da defesa contra ransomware são:

Clique aqui para baixar o documento completo e obter todos os detalhes sobre as lições aprendidas com os ataques de ransomware. 

Fonte: RiskRecon 

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!