7 passos para ajudar a prevenir e limitar o impacto de um ransomware

ransomware

De entidades governamentais locais a grandes organizações, os ataques de ransomware estão sendo cada vez mais utilizados e cabe a todos nós ajudar a impedir que eles tenham sucesso. Ransomware é um tipo de malware que bloqueia o acesso a um sistema, dispositivo ou arquivo até que o resgate seja pago. O ransomware faz isso criptografando arquivos no terminal, ameaçando apagar arquivos ou bloqueando o acesso ao sistema. Pode ser particularmente prejudicial quando os ataques de ransomware afetam hospitais, centrais de atendimento de emergência e outras infraestruturas críticas.

No entanto, a defesa contra ransomware requer uma abordagem holística, empregando quaisquer opções disponíveis, em uma soma de esforços de toda a organização. O artigo em referência apresenta dicas para minimizar o problema e está mais atual do que nunca, tendo em vista o crescimento da digitalização e das ameaças virtuais que estamos vivendo.

Abaixo estão sete maneiras pelas quais as organizações podem ajudar a interromper ataques e limitar os efeitos do ransomware. Mapeamos cada um para as práticas recomendadas de segurança aplicáveis para que você possa aprender mais sobre cada tópico.

1. Mantenha backups – de maneira inteligente

Se entende que o backup de dados importantes seja a forma mais eficaz de se recuperar de uma infecção de ransomware. Existem algumas pontos a serem considerados, no entanto. Seus arquivos de backup devem ser protegidos de forma adequada e armazenados offline ou fora de rede, para que não possam ser alvos de invasores. O uso de serviços em nuvem pode ajudar a mitigar uma infecção de ransomware, já que muitos retêm versões anteriores de arquivos, permitindo que você reverta para uma versão não comprometida pelo ataque. Certifique-se de testar a eficácia dos backups rotineiramente. No caso de um ataque, verifique se seus backups não estão infectados antes de reverter.

2. Desenvolva planos e políticas

Crie um plano de resposta a incidentes para que sua equipe de segurança de TI saiba o que fazer durante um evento de ransomware. O plano deve estabelecer responsabilidade e funções bem definidas e incluir os modelos de comunicações a serem compartilhadas durante um ataque. Você também deve incluir uma lista de contatos, como parceiros ou fornecedores que precisariam ser notificados. Grande parte dos incidentes cibernéticos chegam pelos emails dos funcionários. Assim, por exemplo, vale a pena perguntar: você tem uma política de “e-mails suspeitos”? Caso não tenha, considere a criação de uma política para toda a empresa. Isso ajudará a treinar os funcionários sobre o que fazer se receberem um e-mail sobre o qual possuem dúvidas de sua origem. Pode ser tão simples quanto encaminhar o e-mail para a equipe de segurança de TI.

Ataques de phishing são muito comuns hoje em dia e seu formato mais comum é o envio de e-mails. Fique atento ao abrir um e-mail desconhecido.

3. Revise as configurações das portas

Muitas variantes de ransomware tiram proveito da porta 3389 do protocolo Remote Desktop Protocol (RDP) e da porta 445 do Server Message Block (SMB). Existe uma diversidade de maneiras em que sua organização pode controlar as portas, protocolos, serviços. Como exemplo de mitigação deste risco, considere se sua organização precisa deixar essas portas abertas e considere limitar as conexões apenas a hosts confiáveis. Certifique-se de revisar essas configurações para ambientes locais e de nuvem, trabalhando com seu provedor de serviços de nuvem para desabilitar portas RDP não utilizadas.

4. Proteja seus endpoints

Certifique-se de que seus sistemas estejam configurados com foco na segurança. As configurações seguras podem ajudar a limitar a superfície de ataque das ameaças e fechar as lacunas de segurança que ficam nas configurações padrão. Os Benchmarks do CIS são uma ótima opção gratuita para organizações que buscam implementar configurações líderes do setor desenvolvidas por consenso.

5. Mantenha seus Sistemas atualizados

Certifique-se de que todos os sistemas operacionais, aplicativos os e softwares de sua organização sejam atualizados regularmente. Aplicar as atualizações mais recentes ajudará a fechar as brechas de segurança que os invasores estão tentando explorar. Sempre que possível, ative as atualizações automáticas para obter automaticamente os patches de segurança mais recentes. Verificar frequentemente seus sistemas em busca de vulnerabilidades é uma ação altamente recomendável.

A Clavis oferece soluções para você e sua empresa no combate a vulnerabilidades que permitem ataques com um ransomware. Conheça a solução BART, um sistema tão poderoso que permite dar um tratamento unificado a todo tipo de vulnerabilidade corporativa, incluindo aquelas relacionadas a não-conformidades em processos e políticas.

6. Treine a equipe

O treinamento de conscientização de segurança é a chave para interromper o ransomware em seu caminho. Quando os funcionários podem identificar e evitar e-mails maliciosos, todos desempenham um papel na proteção da organização. O treinamento de conscientização de segurança pode ensinar aos membros da equipe o que procurar em um e-mail antes de clicar em um link ou baixar um anexo.

7. Implemente um SDI

Um Sistema de Detecção de Intrusão (SDI) procura por atividades maliciosas comparando os logs de tráfego de rede com assinaturas que detectam atividades maliciosas conhecidas. Um IDS robusto atualizará as assinaturas com frequência e alertará sua organização rapidamente se detectar uma possível atividade maliciosa.

Quando ocorre uma invasão de ransomware, é importante que sua organização seja notificada e investigue rapidamente. De acordo com dados do Crowdstrike, as organizações maduras devem levar 10 minutos para investigar uma intrusão. No entanto, apenas 10% das organizações são capazes de atender a esse benchmark. Durante este pouco tempo é preciso tomar conhecimento do ataque e tratar o risco adequadamente.

Se você ainda não tem uma solução efetiva, que possa te apoiar na prevenção de malware como o ransomware, recomendamos que visite o site da Clavis e conheça o Serviço de Segurança Gerenciada, o qual inclui um apoio personalizado a sua empresa em todas as etapas do ciclo de gestão da segurança. Por meio do serviço de Segurança Gerenciada, a Clavis atua desde a realização de diagnósticos de segurança e a gestão de ativos de TI até o monitoramento de ameaças e a resposta a incidentes 24h por dia. Isso significa que sua empresa pode contar com a expertise de uma das maiores empresas de segurança do país para dar apoio à execução de atividades especializadas, tratando riscos na operação crítica, agregando valor à organização.

Posts sugeridos: CIS Benchmarks: Atualização de Março 2021 / NCIJTF lança ficha informativa sobre riscos de Ransomware / Identifique e evite ataques de ransomware

Informações obtidas/adaptadas de https://www.cisecurity.org/blog/7-steps-to-help-prevent-limit-the-impact-of-ransomware/