0
0
O Ransomware tem sido notado por muitos como o risco de cibersegurança mais ameaçador para as organizações, e é fácil ver o porquê: em 2019, mais de 50% de todas as empresas foram atingidas por um ataque de ransomware – custando cerca de US$ 11,5 bilhões. Só no último mês, grandes corporações de consumo, incluindo Canon, Garmin, Konica Minolta e Carnival, foram vítimas de grandes ataques de ransomware, resultando no pagamento de milhões de dólares em troca de acesso a arquivos.
Embora haja muita discussão sobre como evitar que o ransomware afete seus negócios, as melhores práticas para se recuperar de um ataque são um pouco mais difíceis de identificar.
Embora os valores monetários possam ser menores para sua organização, a importância de recuperar o acesso às informações é tão alta quanto. Que medidas você deve tomar para uma recuperação eficaz do ransomware? Algumas das nossas melhores dicas estão abaixo.
1. Detecção de infecções
Sem dúvida, o passo mais desafiador para se recuperar de um ataque de ransomware é a consciência inicial de que algo está errado. Também é um dos mais cruciais. Quanto mais cedo você puder detectar o ataque de ransomware, menos dados podem ser afetados. Isso impacta diretamente quanto tempo levará para recuperar seu ambiente.
O Ransomware foi projetado para ser muito difícil de detectar. Quando você vê a nota de resgate, pode já ter causado danos em todo o ambiente. Ter uma solução de segurança cibernética que possa identificar comportamentos incomuns, como o compartilhamento anormal de arquivos, pode ajudar a isolar rapidamente uma infecção por ransomware e pará-la antes que ela se espalhe ainda mais.
A detecção de comportamento anormal de arquivos é um dos meios mais eficazes de detectar um ataque de ransomware e apresenta o menor número de falsos positivos quando comparado com a detecção baseada em assinatura ou baseada no tráfego de rede.
Um método adicional para detectar um ataque de ransomware é usar uma abordagem “baseada em assinatura”. O problema com este método, é que ele exige que o ransomware seja conhecido. Se o código estiver disponível, o software pode ser treinado para procurar esse código. Isso não é recomendado, no entanto, porque ataques sofisticados estão usando novas formas de ransomware até então desconhecidas. Assim, recomenda-se uma abordagem baseada em IA/ML, que procurará comportamentos como criptografia rápida e sucessiva de arquivos e determinará que há um ataque acontecendo.
A segurança cibernética eficaz também inclui bons mecanismos defensivos que protegem sistemas críticos aos negócios, como o e-mail. Muitas vezes, o ransomware afeta as organizações por meio de um ataque de e-mail de phishing ou um e-mail que tem um arquivo perigoso anexado ou hiperligado.
Se as organizações estão mal equipadas para lidar com e-mails perigosos, esta pode ser uma maneira fácil de o ransomware entrar nas paredes do ambiente local da sua organização ou dentro do ambiente de SaaS na nuvem. Com ambientes saas em nuvem em particular, controlar aplicativos de terceiros que têm acesso ao seu ambiente em nuvem é extremamente importante.
2. Contenha o dano
Depois de detectar uma infecção ativa, o processo de ransomware pode ser isolado e impedido de se espalhar ainda mais. Se este for um ambiente de nuvem, esses ataques geralmente decorrem de uma sincronização remota de arquivos ou outro processo impulsionado por um aplicativo de terceiros ou plug-in do navegador executando o processo de criptografia de ransomware. Escavar e isolar a fonte do ataque de ransomware pode conter a infecção para que os danos aos dados seja mitigado. Para ser eficaz, esse processo deve ser automatizado.
Muitos ataques acontecem após o expediente quando os administradores não estão monitorando o ambiente e a reação deve ser rápida para impedir a propagação do vírus. As regras e scripts da política de segurança devem ser colocados em prática como parte da proteção proativa. Assim, quando uma infecção é identificada, a automação entra em ação para parar o ataque removendo o arquivo ou extensão executável e isolar os arquivos infectados do resto do ambiente.
Outra maneira que as organizações podem ajudar a se proteger e conter os danos caso ocorra um ataque é comprando seguro de responsabilidade cibernética. O seguro de responsabilidade cibernética é uma linha de seguros especializado destinada a proteger as empresas (e os indivíduos que fornecem serviços dessas empresas) contra riscos baseados na internet (como ataques de ransomware) e riscos relacionados à infraestrutura de tecnologia da informação, privacidade da informação, responsabilidade de governança de informações e outras atividades relacionadas. Neste tipo de situação de ataque, o seguro de responsabilidade cibernética pode ajudar a aliviar parte do fardo financeiro de restaurar seus dados.
3. Restaurar dados afetados
Na maioria dos casos, mesmo que o ataque de ransomware seja detectado e contido rapidamente, ainda haverá um subconjunto de dados que precisa ser restaurado. Isso requer ter bons backups de seus dados para puxar de volta à produção. Seguindo a prática recomendada de backup 3-2-1, é imprescindível ter seus dados de backup em um ambiente separado da produção.
A regra de backup 3-2-1 consiste nas seguintes diretrizes:
- Mantenha 3 cópias de qualquer arquivo importante, um principal e dois backups
- Mantenha o arquivo em 2 tipos de mídia diferentes
- Manter 1 cópia fora do local
Se seus backups forem de ambientes SaaS em nuvem, armazenar esses “offsite” usando um fornecedor de backup nuvem-nuvem se alinha com essa prática recomendada. Isso minimizará significativamente a chance de que seus dados de backup sejam afetados juntamente com seus dados de produção.
A maneira testada e verdadeira de se recuperar de um ataque de ransomware envolve ter bons backups de seus dados críticos para os negócios. A importância dos backups não pode ser enfatizada o suficiente quando se trata de ransomware. A recuperação do backup permite que você esteja no controle de recuperar os dados da sua empresa e não o invasor.
Muitas vezes, as empresas podem assumir incorretamente que o provedor de serviços em nuvem “protegeu magicamente” seus dados. Embora existam alguns mecanismos em vigor do lado do provedor de serviços em nuvem, em última análise, os dados são sua responsabilidade como parte do modelo de responsabilidade compartilhada da maioria dos CSPs. Você pode dar uma olhada na posição da Microsoft sobre responsabilidade compartilhada aqui.
4. Notifique as autoridades
Muitas das principais regulamentações de conformidade que a maioria das organizações se enquadram hoje, como PCI-DSS, HIPAA, GDPR e outras, exigem que as organizações notifiquem as agências reguladoras da violação. A notificação da violação deve ser imediata e o Centro de Queixas de Crimes na Internet do FBI deve ser a primeira organização alertada. A polícia local deve ser informada a seguir. Se sua organização está em uma indústria governada, pode haver diretrizes rigorosas sobre quem informar e quando.
5. Teste seu acesso
Uma vez restaurados os dados, teste o acesso aos dados e a quaisquer sistemas críticos de negócios afetados para garantir que a recuperação dos dados e serviços tenha sido bem sucedida. Isso permitirá que quaisquer problemas restantes sejam corrigidos antes de transformar todo o sistema de volta à produção.
Se você está experimentando tempos de resposta mais lentos do que o habitual no ambiente de TI ou tamanhos de arquivo maiores do que o normal, pode ser um sinal de que algo sinistro ainda está se aproximando no banco de dados ou armazenamento.
Prevenção de ransomware v. recuperação
Às vezes, o melhor ataque é uma boa defesa. Quando se trata de ransomware e recuperar o acesso a arquivos críticos, há apenas duas opções. Ou você restaura seus dados do backup se você estava pensando no futuro o suficiente para ter esse sistema no lugar, ou você tem que pagar o resgate. Além das óbvias implicações financeiras de concordar com as demandas do hacker, pagar é arriscado porque não há como garantir que eles realmente forneçam acesso aos seus arquivos depois que o dinheiro for transferido.
Não há código de conduta ou contrato ao negociar com um criminoso. Um relatório recente descobriu que cerca de 42% das organizações que pagaram um resgate não receberam seus arquivos descriptografados.
Dado o crescente número de ataques de ransomware direcionados às empresas, as consequências de não ter um sistema de backup e detecção seguro no local podem ser catastróficas para o seu negócio. Investir em uma solução agora ajuda a garantir que você não fará uma grande doação para uma organização nefasta mais tarde. Aprender com os erros de outras organizações pode ajudar a proteger o seu de um destino semelhante.
FONTE: HELPNET SECURITY