Para se defender contra ataques ransomware com táticas cada vez mais sofisticados, as organizações devem aprimorar sua postura de segurança.
Durante o último ano e meio, os ataques de ransomware foram uma ocorrência quase diária, afetando a vida de quase todos de alguma forma, desde fechamentos de escolas e prateleiras vazias de lojas até preços na bomba. O ransomware se tornou como uma epidemia dentro de uma pandemia, e esses ataques continuam a crescer em frequência e sofisticação. As táticas modernas de ransomware têm mais semelhanças com as técnicas de ataque usadas por atacantes de estado-nação avançados do que com os ataques de malware simplistas de anos anteriores.
A extorsão múltipla é a tática mais recente a surgir em ataques de ransomware. Em vez de simplesmente criptografar arquivos e exigir um resgate em troca da chave de descriptografia, os invasores agora roubam o máximo de informações possível do alvo. Com gigabytes de dados confidenciais em mãos, eles ameaçam o alvo com a divulgação de informações confidenciais de clientes, planos de produtos e outros dados comerciais valiosos, a menos que paguem o resgate imediatamente.
Os invasores também estão cada vez mais sofisticados em suas técnicas de intrusão. Eles não dependem mais da abordagem oportunista de implantar malware na Internet e esperar infectar os usuários que clicam no link errado. Em vez disso, eles pesquisam alvos potenciais com grande fôlego financeiro e, em seguida, usam uma variedade de abordagens para obter acesso à rede do alvo. Seu arsenal inclui ataques sofisticados de phishing, ataques técnicos contra o protocolo de área de trabalho remota (RDP) e até mesmo subornar pessoas internas para conceder-lhes acesso à rede de uma organização. Depois de estabelecer uma posição inicial, eles se movem dentro da rede de uma organização e baixam o máximo de dados possível antes de acionar uma rotina de criptografia.
Por fim, os invasores modernos estão prestando atenção especial à Internet das coisas e às implantações de tecnologia operacional(OT). Na esteira do ataque Colonial Pipeline, eles sabem que os ataques de IoT e OT contra alvos de alto perfil irão gerar uma resposta rápida – e muitas vezes o pagamento rápido de um resgate pesado.
As organizações que buscam se defender contra esses ataques emergentes devem tomar medidas para reforçar suas defesas de segurança.
Backup, backup, backup!
Os backups fornecem às organizações uma alternativa, caso percam o controle de seus dados. Se um invasor criptografar seus sistemas, os backups permitem a recuperação rápida de dados sem pagar resgate. As equipes de TI devem usar um esquema de backup redundante, como a estratégia 3-2-1, em que uma organização mantém pelo menos três cópias de seus dados em dois locais ou mídias diferentes e pelo menos uma cópia fora do local. Os backups também devem ser testados para garantir que funcionem e possam atender aos objetivos de tempo de recuperação e ponto de recuperação de uma organização.
Proteja seus terminais
Os endpoints mal protegidos oferecem aos invasores a oportunidade de se firmarem em uma rede. A implantação de software antimalware de última geração e tecnologia de detecção e resposta de endpoint permite que as equipes de TI protejam seus endpoints dentro e fora da rede da organização.
Desenvolva um programa de gerenciamento de ativos
Você não pode proteger ativos se não souber que os possui.
O gerenciamento de ativos forma a base de um programa moderno de segurança cibernética e é um pré-requisito para a proteção abrangente de terminais.
Os programas de gerenciamento de ativos fazem o inventário de seu hardware de TI e ajudam a rastrear a configuração de segurança desses sistemas para garantir que atendam aos seus padrões de segurança.
Implantar autenticação multifator
O roubo de senhas continua sendo uma grande ameaça no ambiente atual. O uso da autenticação multifator adiciona uma camada de proteção no caso de roubo de senha, exigindo que o invasor também obtenha o controle do telefone de um usuário ou outra tecnologia de autenticação.
Mover em direção a abordagens de acesso de rede de confiança zero
Essa filosofia de segurança cibernética emergente usa autenticação forte para tomar decisões sobre o acesso com base na identidade de cada usuário, e não em seu destino de rede. As soluções de ponta de serviço de acesso seguro são uma ótima maneira de integrar ideias de acesso de confiança zero em sua pilha de controle atual. Mesmo que você não esteja em uma posição para modernizar sua abordagem de acesso remoto, ainda é importante revisar todo o acesso à rede externa. O RDP voltado para a Internet continua a ser uma das principais maneiras de grupos de ransomware obterem acesso às redes das organizações.
Segmente suas redes
As equipes de TI podem usar firewalls e outras tecnologias de segurança para dividir as redes em segmentos menores. Isso frustra a capacidade de um invasor de se mover na rede de uma organização após um ataque inicial e limita o escopo dos danos causados por uma infecção de ransomware.
Ganhe visibilidade na atividade da rede
Os invasores modernos tentam permanecer na rede de uma organização por um longo período para coletar e exfiltrar dados pela Internet para seus próprios sistemas. Um centro de operações de segurança (SOC) bem equipado pode ajudar as equipes de TI a detectar essa atividade com antecedência e tomar medidas para conter os danos. Um programa forte deve incluir controles da “tríade de visibilidade do SOC”: detecção de rede, detecção de endpoint e informações de segurança e logs de gerenciamento de eventos. O conteúdo do SIEM também deve ser mapeado para a estrutura Mitre ATT & CK para garantir que seu SOC tenha visibilidade das táticas, técnicas e procedimentos mais comuns.
A Xtech Solutions possui um hub de soluções para segurança cibernética. Contando com anos e experiência e projetos comprovados por todo território nacional, trabalhamos em parceria com os maiores players do mercado atual, como Fortinet, Cisco e Veeam.
Fale com a nossa equipe pelo WhatsApp agora, e veja como nossa equipe pode ajudar.
