Estratégias de proteção e contenção de ransomware: orientação prática para proteção, endurecimento e contenção de pontos finais

Views: 503
0 0
Read Time:2 Minute, 57 Second

ATUALIZAÇÃO (30 de outubro de 2020): Atualizamos o relatório para incluir estratégias adicionais de proteção e contenção com base na visibilidade da linha de frente e nos esforços de resposta no combate ao ransomware. Embora o escopo completo das recomendações incluídas no relatório inicial permaneça inalterado, as seguintes estratégias foram adicionadas ao relatório:

  • Configurações de regras do Firewall do Windows para bloquear binários específicos de estabelecer conexões de saída a partir de pontos finais
  • Etapas de isolamento e planejamento de recuperação do Controlador de Domínio
  • Orientações proativas de revisão e monitoramento de permissões de GPO

O Ransomware é uma ameaça global direcionada a organizações em todos os setores. O impacto de um evento de ransomware bem-sucedido pode ser material para uma organização – incluindo a perda de acesso a dados, sistemas e paralisações operacionais. O potencial tempo de inatividade, juntamente com gastos imprevistos para restauração, recuperação e implementação de novos processos e controles de segurança, pode ser esmagador. O Ransomware tornou-se uma escolha cada vez mais popular para os atacantes nos últimos anos, e é fácil entender por que, dado o quão simples é alavancar em campanhas – ao mesmo tempo em que oferece um retorno financeiro saudável para os atacantes.

Em nosso relatório mais recente, Estratégias de Proteção e Contenção de Ransomware: Orientação Prática para Proteção de Endpoint, Ending e Contenção,discutimos medidas que as organizações podem tomar proativamente para endurecer seu ambiente para evitar o impacto a jusante de um evento de ransomware. Essas recomendações também podem ajudar as organizações a priorizar as etapas mais importantes necessárias para conter e minimizar o impacto de um evento de ransomware após o ocorrido.

O Ransomware é comumente implantado em um ambiente de duas maneiras:

  1. Propagação manual por um ator de ameaças depois de penetrar em um ambiente e ter privilégios de nível de administrador amplamente em todo o ambiente:
    • Execute manualmente os criptografadores em sistemas direcionados.
    • Implante criptografadores em todo o ambiente usando arquivos de lote do Windows (monte compartilhamentos de C$, copie o criptografador e execute-o com a ferramenta Microsoft PsExec).
    • Implantar criptografadores com GPOs (Microsoft Group Policy Objects, objetos de política do grupo microsoft).
    • Implante criptografadores com ferramentas de implantação de software existentes utilizadas pela organização da vítima.
  2. Propagação automatizada:
    • Extração de token credencial ou Windows a partir de disco ou memória.
    • As relações de confiança entre sistemas – e métodos de alavancagem, como WMI (Windows Management Instrumentation, SMB) ou PsExec para vincular a sistemas e executar cargas.
    • Métodos de exploração não reparáveis (por exemplo, EternalBlue – abordados via Microsoft Security Bulletin MS17-010).

O relatório abrange várias recomendações técnicas para ajudar as organizações a mitigar o risco e conter eventos de ransomware, incluindo:

  • Segmentação de ponto final
  • Endurecimento contra métodos comuns de exploração
  • Reduzindo a exposição de contas privilegiadas e de serviços
  • Proteções de senhas do Cleartext

Se você estiver lendo este relatório para ajudar a resposta da sua organização a um evento de ransomware existente, é importante entender como o ransomware foi implantado através do ambiente e projetar sua resposta de ransomware adequadamente. Este guia deve ajudar as organizações nesse processo.

Leia o relatório de hoje.

*Nota: As recomendações deste relatório ajudarão as organizações a mitigar o risco e conter eventos de ransomware. No entanto, este relatório não abrange todos os aspectos de uma resposta a incidentes de ransomware. Não discutimos técnicas de investigação para identificar e remover backdoors (os operadores de ransomware geralmente têm vários backdoors em ambientes de vítimas), comunicar e negociar com atores de ameaças ou recuperar dados uma vez que um descriptografador é fornecido.

FONTE: FIREEYE

POSTS RELACIONADOS