O que é Ransomware e o que ele pode fazer na sua empresa?
Ransomware é um tipo de malware que criptografa os arquivos da vítima ou bloqueia o acesso a um sistema até que uma quantia em dinheiro (resgate) exigida pelo invasor seja paga. Seus sistemas e dados podem ser infectados pelo Ransomware de várias maneiras, geralmente por meio de e-mails de phishing (engenharia social) ou downloads drive-by (site comprometido), enganando usuários insuspeitos para que cliquem e instalem arquivos maliciosos em suas máquinas. Além disso, métodos mais novos de ransomware direcionados a servidores da web vulneráveis também foram observados como um ponto de entrada para a rede de uma organização.
A pandemia do covid-19 forneceu o terreno fértil perfeito para o Ransomware, à medida que o trabalho remoto e a adoção em massa de serviços em nuvem acontecem. Os pesquisadores viram um aumento significativo no ransomware Ryuk, responsável por um terço de todos os ataques de ransomware desde 2020 e afetando empresas de provedores de saúde (Universal Health Services), escritórios de advocacia (Seyfarth Shaw) e varejistas online (Steelcase). Ryuk é especialmente perigoso porque os hackers usam uma abordagem direcionada e muitas vezes aproveitam vários tipos de malware, incluindo malware Emotet e TrickBot para comprometer redes corporativas.
Outro ransomware perceptível, Maze, trabalha para roubar os arquivos da vítima antes de criptografá-los como aconteceu nos ataques à Canon, LG Electronics e Xerox. Apesar de ter anunciado a aposentadoria de suas operações em outubro de 2020, sua técnica de extorsão dupla foi rapidamente adaptada e desenvolvida por outras operações de ransomware, como REvil, Clop e DoppelPaymer para continuar a devastação.
A prevenção de ransomware é melhor do que a cura
À medida que os resgates dos ataques de Ransomware continuam a aumentar (agora acima de US$ 1 bilhão e contando), é muito fácil colocar a culpa nos funcionários vitimados. A verdade é que os bandidos são melhores no ataque do que as organizações na defesa, e os primeiros sempre terão vantagem sobre os que vêm em seguida. A única maneira de as organizações realmente se defenderem contra o Ransomware é impedir que a infecção entre em primeiro lugar. Em vez de novas tecnologias brilhantes, os líderes de segurança devem se concentrar em reforçar sua higiene cibernética para os mais altos padrões possíveis, fornecendo a seus funcionários o conhecimento necessário para reconhecer e evitar ataques de phishing, e as ferramentas e processos para apoiar o risco proativo de extinção.
A maioria das violações de dados de ransomware bem-sucedidas resultou da exploração de vulnerabilidades conhecidas (por exemplo, em software de terceiros) ou simples falhas de segurança (controles de acesso inadequados, configuração incorreta do banco de dados e contas de fornecedores padrão) em vez de ataques zero-day. É claro que as medidas de segurança preventivas são muito mais eficazes em cortar a causa pela raiz, que é a razão pela qual “identificar” é recomendado como o ponto de partida pelas principais autoridades em cyber segurança.
A estrutura de melhores práticas destaca o papel da avaliação de risco – “identificar” antes de “proteger e detectar”. A mudança de paradigma pandêmico expandiu drasticamente o perímetro de segurança e a superfície de ataque. No entanto, muitas organizações simplesmente reforçam seu mecanismo de “proteção e detecção” sem reavaliar sua exposição ao risco. Ao fazer isso, eles gastam tempo e recursos em coisas que não são um risco em primeiro lugar, deixando os riscos reais desprotegidos. É por isso que é tão importante começar com “identificar” – ganhando visibilidade de sua postura de segurança em evolução e avaliando onde é fraca para que se torne a estrela norte de seu programa de segurança. Você terá então o plano para tomar melhores decisões, seja para priorização de vulnerabilidade, cadência de patch ou investimento em nova tecnologia, para atingir seus objetivos de redução de risco. Claro, a prevenção por si só não pode protegê-lo 100% de ransomware, ainda é vital para as organizações fazer backup de seus dados que lhes permitirá a recuperação em cenários de pior caso. Mas, para encontrar o equilíbrio e aumentar a resiliência, você deve começar com uma avaliação de risco.
Um plano de três etapas para elevar o nível de higiene da segurança: Medidas proativas de higiene cibernética são simples de implementar e ajudarão instantaneamente a melhorar a prontidão de uma organização para ataques em potencial.
-
Aumente a consciência de segurança
As empresas estão tendo que mudar seu foco e abraçar o trabalho remoto. Isso mudou o perímetro de segurança incomensuravelmente, desde a segurança dos firewalls do escritório até endpoints como laptops de funcionários, aumentando as ameaças de ransomware e a possível infiltração de sistema se ocorrer um comprometimento na casa do funcionário.
Com os sistemas de segurança domésticos sendo menos adequados do que os do ambiente de escritório, nunca foi tão importante transformar sua equipe na primeira linha de defesa da segurança cibernética. Muitos ataques de ransomware e phishing predominantes se baseiam em táticas de engenharia social para enganar funcionários desprotegidos, fazendo-os clicar em links maliciosos e, se baixados, os hackers podem assumir o controle do computador da vítima e bloquear o acesso. Portanto, é essencial ajudar os funcionários a entender e identificar melhor essas ameaças.
Além da educação e do treinamento, sua higiene cibernética pode ser bastante reforçada por meio de jogos de papéis e simulações de ataques de phishing. Exercícios e treinamentos como esses são úteis para ajudar as organizações a medir o nível de conscientização de segurança de seus funcionários, entender melhor as ameaças e o impacto causado por ataques de phishing e ransomware e ajustar seu programa de segurança para proteger sistemas de alto risco e fechar backdoors anteriormente desconhecidas.
Nossos serviços e treinamentos de Gestão de Vulnerabilidade ajudam a criar e orquestrar campanhas de phishing personalizadas para os funcionários e fornecer métricas de desempenho para garantir que seus líderes de negócios tenham um contexto sobre como a falta de conscientização sobre segurança pode ter um impacto negativo em seus negócios, tanto financeiramente quanto de reputação.
-
Meça frequentemente e reduza os riscos continuamente
Se você não pode medir, você não pode melhorar. Com os hackers oportunistas frequentemente baseando seus ataques em brechas na defesa de segurança, vulnerabilidades conhecidas e funcionários desavisados, ter um processo contínuo de avaliação de risco é uma parte fundamental da prevenção. Especialmente para empresas que são propensas a falhas de segurança, como shadow IT e baixa visibilidade de ativos.
A avaliação regular da vulnerabilidade e o monitoramento da segurança são essenciais para detectar ameaças em potencial e remediá-las antes que se tornem um problema. Mas como você faz isso depende da criticidade dos negócios, da maturidade da segurança e do componente de tecnologia de seus negócios:
- Teste anual versus avaliação contínua. Nem todos os ativos de negócios exigem avaliação contínua, por exemplo, se eles não forem essenciais para os negócios e não abrirem um caminho para os ativos essenciais para os negócios. Ao mesmo tempo, os pentests anuais não são suficientes para proteger a infraestrutura crítica ou os aplicativos da web. Saber o que é crítico ou não em seu ambiente de negócios ajudará a determinar a cadência necessária para testes e monitoramento de segurança.
- Risco vs vulnerabilidades. Para organizações mais maduras, a grande quantidade de novas vulnerabilidades descobertas todos os dias significa que a abordagem tradicional de ‘varredura e correção’ não funciona mais. As equipes de segurança precisam ver além das pontuações de gravidade CVSS genéricas e aproveitar a inteligência de ameaças para priorizar os esforços de patch nos maiores riscos para a organização, a fim de reduzir o tempo de exposição com maior eficiência.
- Avaliação de segurança em siled vs full-stack. A segurança costuma ser uma questão secundária ao adotar uma nova tecnologia. Mesmo quando os controles de segurança são considerados, eles geralmente erram o alvo devido à implementação em silos. Os invasores podem usar qualquer exposição de segurança em sua pilha de tecnologia para ganhar uma posição de pivô em seus sistemas. Para evitar isso, as organizações devem ir além das avaliações isoladas de dispositivos, redes, aplicativos, dados e usuários para uma avaliação de “fullstack security” para obter a visão mais completa de sua superfície de ataque.
-
Prepare-se para o pior
Criar consciência de segurança e um processo robusto de higiene cibernética desde o início minimizará enormemente seus riscos, mas como nenhuma empresa está totalmente protegida contra ataques cibernéticos, como você prepara sua organização no caso de um ataque de ransomware? Simulação de ataque baseado em cenário.
Depois de investir e implementar as ferramentas e processos de segurança para manter os invasores fora, é importante validar se eles estão funcionando e funcionando como deveriam para uma camada adicional de garantia de segurança. Testes baseados em cenários, como simulação de ataque de violação presumida ou pegada digital irão ajudá-lo a entender o que pode acontecer se uma violação ocorrer e a que distância um invasor pode chegar sem ser detectado. Ele vai além dos pentests de escopo restrito para avaliar suas capacidades preventivas, de detetive e de resposta e, o mais importante, irá revelar os caminhos de ataque ocultos que são desconhecidos para você, como onde as ameaças podem surgir de seus ativos voltados para o público e ajudar a melhorar os controles de segurança.
Quando nada é certo, é importante estar pronto. Nossos hackers éticos e equipe de segurança ofensiva usam técnicas de hacking avançadas para ajudar a amadurecer seu programa de segurança em cenários de ataque da vida real. Complementar o gerenciamento de vulnerabilidade com ataques simulados e treinamentos avançados podem fazer a diferença entre uma violação de dados e manter sua reputação intacta.
Fale com Nossos Especialistas
Fonte: texto adaptado do Outpost24