Av. Santo Antônio, 1453 - Sala 1102/1103 - Osasco/SP (11) 4380-9796 contato@konfido.com.br

  • Home
  • Melhores práticas de firewall para bloquear Ransomware

Melhores práticas de firewall para bloquear Ransomware

23 de junho de 2022 admin Comments Off

Os ataques de ransomware continuam a assolar as organizações, com mais de um terço das empresas pesquisadas em 30 países revelando que foram atacadas por ransomware no último ano.

Esses ataques estão ficando cada vez mais complexos e os adversários cada vez mais eficientes na exploração das vulnerabilidades de redes e sistemas, o que leva as organizações a terem grandes despesas para eliminá-los: um custo médio global de estonteantes US$ 1,85 milhão – mais do que o dobro do
custo relatado no ano anterior.

Os firewalls modernos são altamente eficazes na defesa contra esses tipos de ataques, mas precisam ter a oportunidade de realizar o trabalho deles. Neste documento técnico, discutiremos como esses ataques funcionam, como podem ser detidos, e as melhores práticas para configurar o firewall e a rede para obter a melhor proteção possível.

Como os ataques de ransomware chegam à rede?
Os agentes de ransomware se utilizam de uma infinidade de Táticas, Técnicas e Procedimentos (TTPs) para penetrar na rede de suas vítimas. As equipes do SophosLabs e do Sophos Managed Threat Response observaram um aumento em ataques de adversários que tentam inúmeras abordagens até encontrarem uma brecha nas defesas da organização.

tab01

Como podemos observar nas respostas à pesquisa na tabela, o principal ponto de entrada de ransomware é por meio de arquivos baixados ou recebidos por usuários em ataques de spam ou phishing. Não deixe a segurança nas mãos dos usuários.
Para esses tipos de ataques, a melhor opção é proteger sua organização com proteções robustas de firewall.

RDP – Remote Desktop Protocol ou Ransomware Deployment Protocol?
O protocolo RDP (Remote Desktop Protocol) e outras ferramentas de compartilhamento de área de trabalho, como o VNC (Virtual Network Computing), são recursos inócuos e altamente úteis na maioria dos sistemas operacionais que permitem à equipe acessar e gerenciar sistemas remotamente.

Infelizmente, sem as proteções adequadas, também oferecem uma via de
acesso conveniente para os invasores e são comumente explorados por ransomware direcionado.
Não proteger adequadamente o RDP e outros protocolos de gerenciamento remoto semelhantes atrás de uma VPN (Virtual Private Network), ou ao menos restringir os endereços IP que podem se conectar por meio de ferramentas remotas, pode
deixar esses protocolos totalmente abertos a invasores. Os invasores costumam usar ferramentas de ataque de força bruta que tentam centenas de milhares de combinações de nomes de usuário e senhas até chegar às credenciais corretas.

Como ficar protegido contra ransomware?
Para proteger apropriadamente sua organização contra ransomware, você pode empreender três iniciativas importantes.


1. Atualize sua segurança de TI
Seu firewall e sua proteção de endpoint podem lhe proteger contra ataques que entram na rede e, se um ataque conseguir penetrar na rede, eles podem impedir que ele se espalhe e infecte outros sistemas. Porém, nem todas as soluções de firewall e segurança de endpoint são capazes de fazer isso com eficácia, portanto, assegure-se de ter um sistema de segurança de TI com essa capacidade.

Certifique-se de ter:
– Um sandbox acessível para analisar o comportamento do arquivo quando executado antes que ele chegue à sua rede
– A tecnologia mais recente de machine learning para identificar variantes de dia zero em arquivos que passam pelo firewall
– IPS de firewall com atualização dinâmica de assinaturas para bloquear explorações de vulnerabilidades da rede
– VPN com acesso remoto e gratuito para possibilitar o gerenciamento remoto de sua rede sem comprometer a segurança
– Proteção de endpoint com recursos anti-ransomware

2. Bloqueie o acesso e gerenciamento remotos
Quando se trata de redes, qualquer abertura para o mundo externo é uma vulnerabilidade em potencial aguardando para ser explorada por um ataque de ransomware. O bloqueio de acesso ao Remote Desktop Protocol, a portas abertas e a outros protocolos de gerenciamento da sua organização é uma das medidas mais eficazes que podem ser adotadas para se proteger contra ataques direcionados de ransomware. Há várias formas de fazer isso. Um método popular é exigir que todos os usuários usem uma VPN para acessar recursos como RDP e restringir o acesso da VPN a endereços IP conhecidos. Além disso, proteja e
reforce apropriadamente seus servidores, use senhas complexas que sejam alteradas com frequência e utilize a autenticação multifator.

3. Segmente sua rede
Infelizmente, muitas organizações operam com uma topologia de rede horizontal, com todos os seus endpoints conectados em uma malha comum de switches. Essa topologia compromete a proteção ao permitir facilmente um acesso mais profundo à rede ou a propagação de ataques na rede local, uma vez que o firewall não tem visibilidade ou controle sobre o tráfego que passa pelo switch.

redelocal01

Uma prática recomendada é segmentar a LAN em sub-redes menores, utilizando zonas ou VLANs e interconectá-las através do firewall, para permitir a aplicação de antimalware e proteção IPS entre os segmentos. Isso é capaz de identificar e bloquear com eficácia ameaças que tentam obter acesso mais profundo à rede.

locsl01

O uso de zonas ou VLANs dependerá da estratégia e escopo da segmentação de sua rede. Entretanto, ambas oferecem possibilidades de segurança similares, ao oferecerem a opção de aplicar a segurança e o controle ideais ao movimento de
tráfego entre os segmentos. As zonas são ideais para estratégias de segmentação menores ou para redes com switches não gerenciados.

Na maioria dos casos, as VLANs são o método preferencial para a segmentação de redes internas, além de oferecerem o que há de mais moderno em flexibilidade e escalabilidade. No entanto, elas exigem o uso (e a configuração) de
switches de Layer-3.

Embora seja uma prática recomendada segmentar a rede, não existe a “melhor” maneira de segmentar uma rede. Você pode segmentar sua rede por tipo de usuário (internos, prestadores de serviços, convidados), por departamento (vendas, marketing, engenharia), por tipo de serviço, dispositivo ou função (VoIP, Wi-Fi, IoT, computadores, servidores) ou qualquer outra combinação que seja adequada à arquitetura de sua rede. Porém, em geral, convém segmentar partes menos confiáveis e mais vulneráveis da rede, isolando-as do restante. Convém também segmentar redes grandes em segmentos menores, com o
objetivo de reduzir o risco de penetração e propagação de ameaças.

Práticas recomendadas para configuração de firewall e rede

Assegure-se de ter a melhor proteção, incluindo um firewal next-gen moderno e de alto desempenho com IPS, inspeção TLS, sandobox de dia zero e proteção contra ransomware com machine learning.

– Bloqueie RDP e outros serviços com seu firewall. Seu firewall deve ser capaz de restringir o acesso a usuários de VPN e colocar endereços de IP sancionados na lista branca.

– Reduza a área de ação de ataques ao máximo fazendo uma análise e revisão minuciosas de todas as regras de encaminhamento de portas para eliminar qualquer porta aberta que não seja essencial. Cada porta aberta representa uma abertura em potencial em sua rede. Sempre que possível, use a VPN para acessar os recursos na rede interna quando estiver fora da rede, ao invés de usar o encaminhamento de porta.

– Certifique-se de proteger apropriadamente quaisquer portas abertas aplicando
uma proteção IPS adequada às regras que governam o tráfego.
Ì Ative a inspeção TLS com suporte para os padrões TLS 1.3 mais recentes no tráfego da Web para
assegurar que as ameaças não entrem na rede por meio de fluxos de tráfego criptografado.

– Minimize o risco de acesso mais profundo à rede fazendo a segmentação das LANs em zonas menores e isoladas ou em VLANs protegidas e interconectadas pelo firewall. Assegure-se de aplicar políticas adequadas de IPS às regras que governam o tráfego que atravessa esses segmentos de LAN para evitar a propagação de explorações de vulnerabilidades, worms e bots nos segmentos de LAN.

– Isole automaticamente os sistemas infectados. Quando houver uma infecção, é importante que sua solução de segurança de TI seja capaz de identificar rapidamente os sistemas comprometidos e isolá-los automaticamente, até que possam ser desinfectados (por exemplo, com o Sophos Synchronized Security).

– Recomendamos o uso de senhas fortes com autenticação multifator para suas ferramentas de gerenciamento remoto e de compartilhamento de arquivos que não sejam facilmente comprometidas por ferramentas de força bruta usadas por hackers.

Informações retiradas de documento da Sophos “Melhores práticas de firewall para bloquear ransomware “.