Principais dicas para CISOs e CIOs: Como combater um ataque de ransomware

Views: 413
0 0
Read Time:7 Minute, 30 Second

Para o CIO ou CISO, ser vítima de um ataque de ransomware tornou-se quase inevitável, mas isso não significa que precisa ser uma catástrofe.

O ransomware acontece porque as medidas básicas de segurança são ignoradas e há uma falha na parte da organização com uma preparação inadequada. Ao evitar esses erros comuns, é possível tornar o pesadelo um pouco mais suportável.

De longe, o erro mais comum que vemos é a falha em ter as medidas básicas de segurança em vigor, ou o que eu me refiro como “falhas de segurança na linha de base”. Falhas de segurança na linha de base significam não ter os controles mínimos de segurança no local que protegem as frutas baixas penduradas.

Atores de ameaças estão tentando entrar em sua organização; está acontecendo. Nenhuma negação pura vai impedir que isso aconteça. Você é um CEO que acha que sua organização é muito pequena para ser um alvo? Você acha que sua indústria é imune a hackers? Você está esperando que uma ferramenta AV simples e herdadas vai mantê-lo seguro? Pense de novo.

Como combater um ataque de ransomware

Você precisa estar preparado de duas maneiras. Primeiro, do ponto de vista preventivo, o que significa garantir que os controles básicos de segurança estejam no lugar e configurados corretamente. Isso normalmente envolverá proteção robusta de ponto final, como um EDR que usa aprendizado de máquina. Precauções tradicionais como AV baseado em assinatura, autenticação multifatorial, segregação de rede, bloqueio de portas RDP que estão expostas à internet ou aplicando o sistema operacional e aplicativos mais recentes são essenciais, mas não serão suficientes para cobri-lo completamente.

A segunda maneira de se preparar como organização é assumir que o pior cenário acontecerá; o atacante passará por suas defesas e terá acesso à rede. Neste pior cenário, estar preparado para se recuperar do ransomware é vital e isso começa com backups offline regulares. Dessa forma, se você for vítima de ransomware, você está reduzindo o impacto geral no negócio, garantindo que você não ficará para baixo por um tempo indeterminado.

Escreva um plano de resposta a incidentes

Para organizações mais maduras, que podem já ter essas coisas em vigor, estar preparado pode ser tão simples quanto ter um plano de Resposta a Incidentes. Um que aborda quem e o que no mínimo.

O “quem” em seu plano deve definir seus principais stakeholders que precisam estar envolvidos quando um incidente é declarado. Este é geralmente a sua equipe de TI, como o Sistema ou Administrador de Rede ou alguém que está intimamente familiarizado com sua infraestrutura de TI.

Idealmente, sua equipe de segurança deve ser apontada como “socorristas” em caso de incidente. Esta parte do seu plano também deve incluir funcionários de nível executivo ou c-suite, como um CISO ou CIO, bem como um conselho geral. Tenha uma lista de quem precisa ser contatado e em que ordem, e ter planos de comunicação internos e externos prontos para serem implementados.

O “o que” define as etapas que precisam ser tomadas e também pode incluir uma lista de ferramentas ou tecnologia que você precisará responder. Espero que não precise usar os planos. Espero que você seja um dos sortudos. Mas no caso de um incidente acontecer, você vai querer tudo isso pronto para ir.

Claro, ter uma brilhante estratégia de backup offline no lugar é a melhor maneira de se preparar para o pior caso. Organizações com backups sólidos podem e sobrevivem a um ataque de ransomware relativamente ilesos. Eles só perderão uma hora ou mais de dados, deixando-lhes espaço para se concentrar na contenção e restauração das operações. Este melhor cenário, no entanto, é, infelizmente, mais frequentemente a exceção do que a regra.

Há grandes organizações lá fora com equipes de TI e segurança bem aproveitadas, que assumem que têm tudo, mas ainda estão em uma batalha constante com atores de ameaças. Atores de ameaça que há muito tempo aprenderam a ir atrás e destruir backups como um primeiro passo em seu ataque.

Como meu bom amigo Morgan Wright, conselheiro de segurança do SentinelOne, muitas vezes diz: “nenhum plano de batalha sobrevive ao contato com o inimigo.” Às vezes, não importa o quão bem preparado, os atores de ameaça encontrarão uma maneira de entrar. Cada vez mais, estamos vendo que esses grupos são meticulosamente bem organizados e são capazes de investir o produto de seus crimes em mais pesquisa e desenvolvimento, sempre ficando um passo à frente.

Erros comuns

Assim que um incidente é detectado, o relógio começa. As primeiras 48 a 72 horas são um bom indicador para ajudar a determinar se o pesadelo vai ser de curta duração, ou um horror recorrente que se arrasta por semanas, se não meses. Recentemente, concluímos um caso com uma grande empresa multinacional que sofreu um ataque de ransomware, onde a contenção e investigação levou quase 3 meses para ser concluída. A razão é que o cliente assumiu que os controles de tecnologia e segurança que tinham no local eram tudo o que precisavam, e os passos iniciais que eles tomaram implicavam a limpeza de 90% dos sistemas que foram impactados antes mesmo de sermos contratados.

Paralelamente, o cliente também começou a reconstruir sua infraestrutura na nuvem, o que dificultou os esforços de resposta, pois não conseguiu abordar o primeiro passo chave ao responder a qualquer incidente; a contenção e preservação do ambiente impactado. Sem entender os problemas subjacentes que levaram ao ransomware e, em seguida, realizar uma análise de causa raiz para corrigir o que precisa ser consertado, você está apenas se preparando para outro desastre.

Para organizações que nunca passaram por um evento de ransomware, limpar tudo imediatamente pode parecer o melhor curso de ação. No entanto, há um protocolo rigoroso que precisa ser seguido e esse protocolo inclui a realização de investigações forenses para identificar toda a extensão da infiltração.

Eu não posso enfatizar o suficiente como é importante ter mãos bem treinadas no teclado, respondendo ao ataque nestas primeiras horas. Muito rapidamente você vai querer obter 100% de visibilidade sobre o seu ambiente de ponto final e infraestrutura de rede, mesmo as partes que você pensou serem imutáveis. Você precisa aproveitar a tecnologia que você já tem em vigor, ou trabalhar com uma empresa que pode trazer as ferramentas e tecnologia para implantar. Isso é o que chamamos de ganhar visibilidade total, para que você possa começar a identificar todo o escopo de impacto e conter o incidente.

Outro erro comum que vejo em algumas organizações, mesmo quando têm um planejamento relativamente robusto de resposta a incidentes e a tecnologia certa em vigor, é negligenciar o aspecto das comunicações do incidente. É vital manter as partes interessadas internas à frente do incidente e, crucialmente, ter certeza de que estão cientes de quais informações podem ser divulgadas e para quem. Trabalhando em um incidente em grande escala muito recentemente, tivemos algumas semanas na investigação quando os detalhes começaram a aparecer na mídia. Informações vazadas assim podem ser quase tão prejudiciais quanto o ataque em si, especialmente quando é completamente impreciso.

O Resgate

Uma parte de um ataque de ransomware sobre o qual não falamos tanto é o resgate em si. Pagar um resgate é sempre um último recurso e essa é a primeira coisa que dizemos aos clientes que vêm até nós depois de serem atingidos por ransomware. Nosso objetivo é trabalhar com o cliente para avaliar todas as opções disponíveis para restaurar as operações. O que eu me refiro como “Análise de Impacto de Resgate” implica minha equipe trabalhando com o cliente para avaliar os dados impactados, seus backups, análise custo-benefício da reconstrução versus pagar um resgate.

O que estamos tentando fazer é ajudar nosso cliente a avaliar se os dados impactados são fundamentais para a sobrevivência do negócio. Às vezes, apesar de todos os melhores esforços, a única solução para obter uma organização de volta em seus pés é pagar o resgate, mas este é um último recurso. Ao contrário dos filmes de assalto, isso não significa sacos de ginástica cheios de dinheiro em estacionamentos abandonados. Isso significa uma negociação cuidadosa e racional com o ator de ameaças.

De tempos em tempos, nos envolvemos com clientes que já entraram em contato com os atores de ameaça e começaram a negociar a si mesmos. Isso raramente acaba bem. Como vítima do ataque, você vai ficar estressado, emocional e desesperado. Se você entrar em uma negociação antes de ter uma imagem completa, você não tem nenhuma vantagem e pode acabar pagando mais por chaves de descriptografia, ou mesmo pagando por chaves de sistemas que você realmente não precisa de volta. Você até arrisca o ator de ameaça ficando escuro e perdendo qualquer chance de recuperação completamente.

Meu conselho geral para o CIO na posição invejável de um incidente de segurança é manter a calma. Esteja o mais preparado possível. Pegue conselhos de especialistas e aja nesse conselho, e lembre-se, não tenha pesadelos.

FONTE: COMPUTER BUSINESS REVIEW

POSTS RELACIONADOS