Recomendações para proteção de dados contra violações e ataques de ransomware

O CISA (Cybersecurity & Infrastructure Security Agency) lançou a ficha técnica Protegendo informações confidenciais e pessoais de violações de dados causadas por ransomware para abordar o aumento de cibercriminosos usando ransomware para exfiltrar dados e ameaçar vender ou vazar os dados exfiltrados se a vítima não pagar o resgate. Essas violações de dados, muitas vezes envolvendo informações confidenciais ou pessoais, podem causar perdas financeiras para a organização vítima e minar a confiança do cliente.

A Cybersecurity & Infrastructure Security Agency (CISA) lançou a ficha técnica “Protegendo informações confidenciais e pessoais de violações de dados causadas por ransomware” para abordar o aumento de cibercriminosos usando ransomware para exfiltrar dados e ameaçar vender ou vazar os dados exfiltrados se a vítima não pagar o resgate. Essas violações de dados, muitas vezes envolvendo informações confidenciais ou pessoais, podem causar perdas financeiras para a organização vítima e minar a confiança do cliente.

CISA é a Agência Federal responsável pela consultoria de riscos do governo dos Estados Unidos, vinculada ao Department of Homeland Security (DHS). Eles trabalham com parceiros para se defender contra as ameaças atuais e colaborando para construir uma infraestrutura mais segura e resiliente para o futuro. A CISA oferece uma gama de avaliações de segurança cibernética que verificam a resiliência operacional, práticas de segurança cibernética, gerenciamento organizacional de dependências externas e outros elementos-chave de uma estrutura cibernética robusta e resiliente. Essas avaliações profissionais e gratuitas são fornecidas mediante solicitação de forma voluntária e podem ajudar qualquer organização a gerenciar riscos e fortalecer a segurança cibernética da infraestrutura crítica de nossa nação.

A ficha técnica fornece informações para as organizações usarem na prevenção e resposta a violações de dados causadas por ransomware. A CISA incentiva as organizações a adotar um estado de maior consciência e implementar as recomendações listadas nesta ficha técnica para reduzir o risco de ransomware e proteger informações confidenciais e pessoais.
É recomendável que os profissionais de segurança da Informação e de proteção de dados revisem o site: StopRansomware.gov para recursos adicionais sobre ransomware.

Clique aqui para ler a ficha técnica oficial na íntegra

Visão Geral

Nos últimos anos, a CISA e seus parceiros responderam a um número significativo de incidentes de ransomware, incluindo ataques recentes contra uma empresa de oleoduto dos EUA e uma empresa de software dos EUA, o que afetou o serviço gerenciado provedores (MSPs) e seus clientes downstream.

Ransomware é um malware projetado para criptografar arquivos em um dispositivo, renderizando arquivos e os sistemas que dependem deles, tornando-os inutilizáveis. Tradicionalmente, atores maliciosos exigem resgate em troca de descriptografia.

Com o tempo, os criminosos virtuais ajustaram suas táticas de ransomware para serem mais destrutivas e impactantes. Cada vez mais conseguem sucesso ao invadir um sistema, exfiltrando dados e criptografando-os, além de ameaçar vendê-los ou vazá-los – incluindo informações confidenciais ou pessoais – se o resgate não for pago. Essas violações de dados podem causar perdas financeiras e de imagem para a organização vítima, minando a confiança de seus clientes.

Todas as organizações correm o risco de se tornarem vítimas de um incidente de ransomware e são responsáveis ​​por proteger informações confidenciais e dados pessoais armazenados em seus sistemas. Esta ficha fornece informações para todos os setores governamentais e organizações privadas, incluindo organizações de infraestrutura crítica, na prevenção e resposta a danos causados ​​por violações de ransomware. CISA incentiva as organizações a adotar um estado elevado de consciência e implementar o recomendações abaixo.

Prevenindo ataques de ransomware

  1. Mantenha backups de dados criptografados e offline e teste-os regularmente. Os procedimentos de backup devem ser conduzido regularmente. É importante que os backups sejam mantidos offline como muitas variantes de ransomware tentar localizar e excluir ou criptografar backups acessíveis.
  1. Criar, manter e exercitar um plano básico de resposta a incidentes cibernéticos, plano de resiliência e associados plano de comunicações.
  • O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para ransomware incidentes. Consulte o Guia Conjunto de Ransomware da CISA e do Centro de Compartilhamento e Informações Multiestados (MS-ISAC) para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
  • O plano de resiliência deve abordar como operar se você perder o acesso ou o controle de funções críticas. CISA oferece avaliações de resiliência cibernética gratuitas e não técnicas para ajudar as organizações a avaliar suas resiliência e práticas de cibersegurança.
  1. Mitigar vulnerabilidades e configurações incorretas voltadas para a Internet para reduzir o risco de atores que exploram está superfície de ataque.
  • • Empregue as melhores práticas para o uso de protocolo de área de trabalho remota (RDP) e outros serviços de área de trabalho remota. Os agentes de ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam ransomware.
  • – Auditar a rede em busca de sistemas usando RDP, portas RDP fechadas e não utilizadas, aplicar bloqueios de conta após um determinado número de tentativas, aplique a autenticação multifator (MFA) e registre o login RDP tentativas.
  • • Realizar varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. CISA oferece uma gama de serviços de higiene cibernética gratuitos, incluindo vulnerabilidade digitalização, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição ao cyber ameaças, como ransomware. Tirando proveito desses serviços, organizações de qualquer tamanho irão receber recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque.
  • • Atualizar o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorizar correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet, bem como software que processa dados da Internet, como navegadores da web, plug-ins de navegadores e leitores de documentos. Se atualizar rapidamente não é viável, implemente mitigações fornecidas pelo fornecedor.
  • • Certificar-se de que os dispositivos estão configurados corretamente e os recursos de segurança estão ativados, por exemplo, desativar portas e protocolos que não estão sendo usados ​​para fins comerciais.
  • • Desativar ou bloquear o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative versões desatualizadas do SMB.
  1. Reduzir o risco de e-mails de phishing chegarem aos usuários finais:
  • • Habilitando filtros de spam fortes.
  • • Implementando um programa de conscientização e treinamento de usuários de cibersegurança que inclui orientações sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.
  1. Pratique uma boa higiene cibernética:
  • • Garantir que o software antivírus e antimalware e as assinaturas estejam atualizados.
  • • Implementar a lista de permissões de aplicativos.
  • • Garantir que as contas de usuário e privilegiadas sejam limitadas por meio de políticas de uso de conta, controle de conta de usuário, e gerenciamento de contas privilegiadas.
  • • Empregar MFA para todos os serviços na medida do possível, especialmente para webmail, redes virtuais privadas (VPNs) e contas que acessam sistemas críticos.

Observação: as organizações que dependem de MSPs para gerenciamento remoto de sistemas de TI devem levar em consideração o risco práticas de gestão e higiene cibernética de seu MSP. Consulte o CISA Insights: Orientações de Mitigações e Endurecimento para MSPs e empresas de pequeno e médio porte para orientação adicional sobre sistemas de proteção contra ameaças cibernéticas, incluindo ransomware.

Protegendo Informações Sensíveis e Pessoais

O CISA (Cybersecurity & Infrastructure Security Agency) lançou a ficha técnica Protegendo informações confidenciais e pessoais de violações de dados causadas por ransomware para abordar o aumento de cibercriminosos usando ransomware para exfiltrar dados e ameaçar vender ou vazar os dados exfiltrados se a vítima não pagar o resgate. Essas violações de dados, muitas vezes envolvendo informações confidenciais ou pessoais, podem causar perdas financeiras para a organização vítima e minar a confiança do cliente.

Organizações que armazenam informações confidenciais ou pessoais de clientes ou funcionários são responsáveis ​​por protegê-las contra acesso ou exfiltração por ciberatores maliciosos. A CISA recomenda que as organizações:

  1. Saiba quais informações pessoais e confidenciais estão armazenadas em seus sistemas e quem tem acesso a elas. Limite os dados armazenando apenas as informações necessárias para as operações comerciais. Certifique-se de que os dados sejam descartados corretamente quando não forem mais precisava.
  1. Implementar as melhores práticas de segurança física da Federal Trade Commission (FTC): Proteção Pessoal Informações: um guia para empresas e FTC: segurança cibernética para pequenas empresas. (Veja CISA: Cibersegurança e Guia de Convergência de Segurança Física para obter mais informações sobre a importância da segurança física para ativos de TI.)
  1. Implementar as melhores práticas de segurança cibernética:
  • • Identificar os computadores ou servidores onde as informações pessoais confidenciais são armazenadas. Nota: não armazene dados confidenciais ou pessoais em sistemas ou laptops voltados para a Internet, a menos que sejam essenciais para os negócios operações. Se os laptops contiverem dados confidenciais, criptografe-os e treine os funcionários nas informações físicas adequadas segurança do dispositivo.
  • • Criptografar informações confidenciais em repouso e em trânsito.
  • • Implementar firewalls para proteger redes e sistemas de tráfego de rede malicioso ou desnecessário.
  • • Considerando a aplicação de segmentação de rede para proteger ainda mais os sistemas de armazenamento confidencial ou pessoal em formação.
  1. Certifique-se de que seus planos de comunicação e resposta a incidentes cibernéticos incluam procedimentos de resposta e notificação para incidentes de violação de dados.

Para obter mais informações e orientações sobre como proteger informações confidenciais e pessoais, consulte FTC: Proteção de pessoal Informações: Um Guia para Negócios e FTC: Comece com Segurança: Um Guia para Negócios. Para mais segurança cibernética, melhor práticas, consulte o CISA’s Cyber ​​Essentials.

Respondendo a Quebras de Dados causadas por ransomware

O CISA (Cybersecurity & Infrastructure Security Agency) lançou a ficha técnica Protegendo informações confidenciais e pessoais de violações de dados causadas por ransomware para abordar o aumento de cibercriminosos usando ransomware para exfiltrar dados e ameaçar vender ou vazar os dados exfiltrados se a vítima não pagar o resgate. Essas violações de dados, muitas vezes envolvendo informações confidenciais ou pessoais, podem causar perdas financeiras para a organização vítima e minar a confiança do cliente.

Confira nosso outro post: “Recuperação pós-ransomware: 8 dicas para restauração com backups”. Nele você encontra várias recomendações sobre como reagir a um ataque e quais os próximos passos.

Caso sua organização seja vítima de um incidente de ransomware e violação de dados associada, a CISA recomenda enfaticamente a implementação de seu plano de resposta a incidentes cibernéticos e execução das seguintes ações.

  1. Proteja as operações de rede e evite a perda de dados adicionais usando a seguinte lista de verificação, passando pelas três primeiras etapas em seqüência. Nota: CISA recomenda incluir esta lista de verificação como um anexo específico do ransomware nos planos de resposta a incidentes cibernéticos. Ver o CISA-MS-ISAC Joint Ransomware Guide para um ransomware completo lista de verificação de resposta.
  • • Determine quais sistemas foram afetados e imediatamente isolá-los. Se vários sistemas parecerem afetados, faça o rede offline no nível do switch. Se pegar a rede temporariamente off-line não é possível imediatamente, localize o cabo de rede (por exemplo, Ethernet) e desconecte dispositivos afetados da rede ou remova-os do Wi-Fi para conter a infecção.
  • • Se – e somente se – os dispositivos afetados não puderem ser removidos da rede ou a rede não poderá ser desligue temporariamente, desligue os dispositivos infectados para evitar a propagação do ransomware infecção. Nota: esta etapa deve ser realizada apenas se necessário, pois pode resultar na perda de artefatos de infecção e evidências potenciais armazenadas na memória volátil.
  • • Triagem de sistemas impactados para restauração e recuperação. Priorize com base na criticidade
  • • Converse com sua equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise preliminar.
  • • Envolva suas equipes internas e externas e as partes interessadas para informá-los de como eles podem ajudá-lo mitigar, responder e se recuperar do incidente. Considere fortemente a possibilidade de solicitar assistência de um provedor de resposta a incidentes de terceiros confiável com experiência em violações de dados.
  1. Se nenhuma ação de mitigação inicial parecer possível, faça uma imagem do sistema e capture a memória de uma amostra dos afetados dispositivos. Além disso, colete todos os logs relevantes, bem como amostras de quaisquer binários de malware “precursor” e observáveis ​​associados ou indicadores de compromisso. Nota: não destrua as evidências forenses e tome cuidado para preservar as evidências de natureza altamente volátil – ou de retenção limitada – para evitar perda ou adulteração.

Fonte: www.cisa.gov

Posts relacionados: Recuperação pós-ransomware: 8 dicas para restauração com backups / Como age um ransomware e como evitá-lo e NCIJTF lança ficha informativa sobre riscos de Ransomware