Como construir uma estratégia de defesa multicamadas contra ransomware

O Hacker News relatou recentemente que “o cenário do ransomware está em um estado de fluxo, registrando um declínio de 18% na atividade no primeiro trimestre de 2024 em comparação ao trimestre anterior”. 

Mas não tenha muitas esperanças. 

O mesmo artigo observa que o ransomware como serviço Black Basta – sobre o qual escrevemos um post quando apareceu pela primeira vez em 2022 – tem como alvo mais de 500 entidades da indústria privada e de infraestrutura crítica desde então. 

Depois, há o “Ransomware Roundup” da BlackFog para o primeiro trimestre de 2024: O primeiro trimestre de 2024 quebrou recordes, com 192 ataques de ransomware divulgados publicamente, um aumento de 48% em relação a 2023 . O Roundup também observa que cinco vezes mais ataques não são relatados, portanto os números reais são muito mais altos. Pelo que vimos aqui na Arcserve, o relatório da BlackFog parece ser um reflexo mais preciso do ambiente de ameaças que as empresas de médio porte enfrentam.

Defesas contra ransomware exigem investimentos em TI focados

Esses números enfatizam a importância de construir uma estratégia eficaz de defesa contra ransomware para profissionais de TI em empresas de médio porte. É crucial envolver todos na sua organização, mas os seus esforços devem começar no topo porque isso requer algum investimento. Sua equipe executiva precisa compreender as consequências de não estar preparada – em termos de dinheiro e tempo de inatividade.

Uma análise de custo-benefício que ilustre os custos potenciais de um ataque de ransomware bem-sucedido mostrará que é de bom senso fazer investimentos em TI na proteção de dados. Você também deve descrever como esses investimentos serão gastos na implementação de uma estratégia de defesa contra ransomware em várias camadas que reduza o tempo de inatividade e garanta que seus dados estejam sempre protegidos contra qualquer ameaça . 

Prevenção contra ransomware: reforce suas defesas

Aqui estão alguns passos iniciais que você deve seguir:

Treinamento e conscientização sobre segurança cibernética

Seu pessoal é sua primeira linha de defesa contra ransomware. É por isso que você deve envolver todos na sua organização na sua prevenção. Sessões de treinamento regulares e contínuas devem ser realizadas para educar seus funcionários , incluindo como:

• Reconheça e-mails de phishing, anexos e sites maliciosos
• Evite baixar anexos suspeitos ou clicar em links desconhecidos
• Relate atividades suspeitas imediatamente ao departamento de TI

Segurança avançada de e-mail

De acordo com a Agência de Segurança Cibernética e de Infraestrutura (CISA), mais de 90% de todos os ataques cibernéticos, incluindo ransomware, começam com phishing. Portanto, você precisa investir em soluções avançadas de segurança de e-mail que usam algoritmos sofisticados para verificar as mensagens recebidas em busca de sinais de phishing ou anexos maliciosos . Encontre aqui as análises de pares do Gartner sobre as soluções de segurança de e-mail disponíveis . Essas soluções adicionam outra camada de segurança ao:

• Analisar o conteúdo do e-mail para assinaturas de malware conhecidas
• Comparar URLs dentro de e-mails com sites maliciosos conhecidos
• Colocar em quarentena ou sinalizar e-mails suspeitos para avaliação posterior

Detecção de ransomware: rastreie a atividade do sistema

A detecção rápida é vital para minimizar os impactos de um ataque de ransomware. Aqui estão tecnologias e estratégias para garantir que você esteja ciente de atividades suspeitas em seus sistemas.

Soluções de proteção de endpoint

Soluções de proteção de endpoint, como o Sophos Intercept X Endpoint , interrompem ataques avançados antes que eles afetem seus sistemas.  O Intercept X inclui a tecnologia CryptoGuard que detecta e interrompe universalmente ransomware, incluindo novas variantes e ataques de ransomware locais e remotos. Usando análise matemática avançada de conteúdo de arquivo, o CryptoGuard detecta criptografia maliciosa onde quer que ela ocorra. Independentemente da solução que você escolher, certifique-se de que ela inclua:

• Verificação de malware em tempo real que intercepta downloads e instalações maliciosas
• Integração com redes globais de inteligência de ameaças para lidar com ameaças novas e emergentes
• Análise comportamental, como o Intercept X, que detecta atividades incomuns, como criptografia de arquivos, que podem indicar um ataque de ransomware

Sistemas de detecção e prevenção de intrusões

Os sistemas de detecção de intrusões (IDS) e os sistemas de prevenção de intrusões (IPS) são soluções de segurança de rede que protegem contra ameaças cibernéticas  de diferentes maneiras. Um IPS é um sistema de segurança ativo que:

• Detecta ameaças potenciais e responde automaticamente, prevenindo-as ou bloqueando-as em tempo real
• Usa detecção baseada em assinatura, detecção de anomalias e heurística para identificar ameaças 

IDS é um sistema de segurança passivo que monitora o tráfego da rede ou atividades do sistema que:

• Identifica potenciais incidentes de segurança, violações de políticas ou comportamento anômalo
• Analisa pacotes de rede, logs ou eventos do sistema, detectando vetores de ataque conhecidos, vulnerabilidades ou comportamento fora das linhas de base estabelecidas

O Gartner Peer Reviews oferece sua lista de sistemas IDS/IPS aqui .

Gerenciamento de eventos e informações de segurança (SIEM)

Um sistema configurável SIEM coleta e agrega logs de diversas fontes, fornecendo uma visão holística da sua postura de segurança . Os recursos do SIEM incluem:

• Correlação de eventos entre redes para detectar sinais de um ataque de ransomware
• Alertas e respostas automáticas com base em comportamentos de ransomware detectados
• Relatórios forenses para ajudá-lo a entender os vetores e caminhos de ataque

O Gartner Peer Review oferece sua lista de soluções SIEM aqui .

Resposta e recuperação de ransomware

Empresas de médio porte como a sua normalmente geram uma enorme quantidade de dados. Com a perda de dados e o tempo de inatividade incrivelmente caros, é crucial que você tenha planos e estratégias em vigor para minimizar os danos causados ​​por um ataque de ransomware, violação ou outro desastre de dados . 

Plano de Resposta a Incidentes e Recuperação de Desastres

Você deve ter um plano de resposta a incidentes atualizado especificamente para ransomware que inclua:

• Funções, responsabilidades e links de comunicação claros para a equipe de resposta
• Etapas específicas para isolar sistemas infectados para evitar a propagação de ransomware
• Diretrizes de comunicação para partes interessadas internas e terceiros, como clientes e parceiros

Você também precisa de um plano de recuperação de desastres de TI abrangente e atualizado regularmente. Um guia passo a passo para criar um plano de recuperação de desastres está disponível aqui .

Segmentação de Rede

Ao dividir sua rede em vários segmentos, com cada um funcionando separadamente, você pode limitar a propagação do ransomware :

• Isolar segmentos de rede para que, se um for comprometido, os outros não sejam afetados.
• Conter o ransomware em um ambiente controlado, onde seja mais fácil de gerenciar e erradicar.

Backups automatizados

Backups automatizados que atendem aos objetivos de tempo de recuperação e de ponto de recuperação ( RTOs/RPOs ) estabelecidos em seu plano de recuperação de desastres são a chave definitiva para a resiliência contra ransomware . Com backups regulares, você pode ter certeza de que seus dados serão restaurados rapidamente – sem pagar resgate. Embora o Arcserve Unified Data Protection (UDP) ofereça uma abordagem abrangente e defesas em várias camadas, qualquer solução de proteção de dados escolhida para fazer backup de seus dados deve:

• Automatizar backups com base nas políticas e configurações que você estabelecer
• Apoiar a implementação da estratégia de backup 3-2-1-1 , facilitando a manutenção de cópias de backup de seus dados no local, fora do local, na nuvem e em locais isolados • Imutável armazenamento para pelo menos uma cópia de backup, garantindo que seus dados nunca possam ser alterados ou excluídos por usuários não autorizados