0
0
CISOs e líderes de segurança podem evitar grandes perdas se preparando para ataques de ransomware antes que eles aconteçam.
Vinte e sete por cento dos incidentes de malware relatados em 2020 podem ser atribuídos ao ransomware. Ransomware — extorsão cibernética que ocorre quando o software malicioso se infiltra em sistemas de computador e criptografa dados, mantendo-os reféns até que a vítima pague um resgate — pode ter um impacto maior em uma organização do que uma violação de dados.
No curto prazo, o ransomware pode custar às empresas milhões de dólares, e uma perda potencialmente ainda maior no longo prazo, impactando a reputação e a confiabilidade. Dos principais provedores de saúde e varejistas dos EUA a provedores de seguros no Oriente Médio, os atacantes de ransomware estão provando ser uma ameaça contínua à segurança cibernética.
As organizações precisam se concentrar na preparação e mitigação antecipada se quiserem reduzir as perdas
“Em alguns casos recentes de ataques de ransomware, as organizações de vítimas pagaram enormes quantias aos atacantes, o que pode ser uma das razões pelas quais esses ataques estão ficando mais populares”, diz Paul Webber, analista diretor sênior do Gartner. “Em vez disso, o que as organizações precisam se concentrar é na preparação e mitigação antecipada se quiserem reduzir as perdas para o ransomware.”
CISOs e líderes de segurança podem reduzir a probabilidade de ataques de ransomware, reduzir a exposição a vulnerabilidades e proteger a organização usando um plano de mitigação. Este plano deve cobrir as seis ações seguintes.
Nº 1: Realizar avaliações iniciais de ransomware
Realizar avaliações de risco e testes de penetração para determinar a superfície de ataque e o estado atual de resiliência e preparação de segurança em termos de ferramentas, processos e habilidades para se defender contra ataques.
“Antes de assumir que o pagamento é a única opção, investigue o uso de software gratuito de descriptografia de ransomware”, diz Webber.
Nº 2: Impor a governança do ransomware
Estabeleça processos e procedimentos de conformidade que envolvam os principais tomadores de decisão da organização, mesmo antes de se preparar para a resposta técnica a um ataque de ransomware. O ransomware pode escalar de um problema para uma crise em pouco tempo, custando uma perda de receita da organização e criando uma reputação danificada.
Pessoas-chave como o CEO, o conselho de administração e outras partes interessadas importantes devem estar envolvidas na preparação. No caso de um ataque de ransomware, é provável que jornalistas e outras partes interessadas externas entrem em contato com o conselho de administração para resposta ao ataque, não os líderes de segurança ou CISO.
Nº 3: Manter prontidão operacional consistente
Realize exercícios e exercícios frequentes para garantir que os sistemas sejam sempre capazes de detectar ataques de ransomware. Construa testes regulares de cenários de resposta a incidentes no plano de resposta de ransomware.
Teste, teste e teste novamente em intervalos regulares para verificar vulnerabilidades, sistemas incompatíveis e configurações erradas. Certifique-se de que os processos de resposta a incidentes não dependem deles mesmos de sistemas de TI que podem ser afetados por ataques de ransomware ou indisponíveis em caso de um incidente grave.
No. 4: Fazer backup, testar, repetir a resposta do ransomware
Fazer backup não só dos dados, mas também de todos os aplicativos não padronizados e de sua infraestrutura de TI de suporte. Mantenha recursos de backup e recuperação frequentes e confiáveis. Se os backups on-line forem usados, certifique-se de que eles não podem ser criptografados por ransomware. Endureça os componentes da infraestrutura de backup e recuperação corporativa contra ataques examinando rotineiramente o aplicativo de backup, o armazenamento e o acesso à rede e comparando isso com a atividade esperada ou na linha de base.
Prepare-se para a recuperação crítica do aplicativo em um ataque de ransomware em todo o sistema, criando parâmetros de RTO (Recovery Time Objective, objetivo de tempo de recuperação) específicos e RPO (Recovery Objective, objetivo de ponto de recuperação), salvaguardando a mídia de armazenamento de backup e a acessibilidade.
Nº 5: Implementar o princípio do menor privilégio
Restringir permissões e negar acesso não autorizado a dispositivos. Remova os direitos do administrador local dos usuários finais e bloqueie a instalação do aplicativo pelos usuários padrão, substituindo-os por uma instalação de distribuição de software gerenciada centralmente.
Os CISOs e os líderes de segurança devem implantar autenticação multifatorial sempre que possível, especialmente para contas privilegiadas. Aumente o registro de autenticação em todos os servidores críticos, aparelhos de rede e serviços de diretório e garanta que os registros não sejam excluídos. Notifique as equipes de operações de segurança de qualquer atividade inesperada e certifique-se de que elas procurem proativamente por tentativas incomuns de autenticação/falha.
No. 6: Educar e treinar usuários sobre ações de resposta a ransomware
O governo de pesquisa e as autoridades regionais que forneceram diretrizes sobre como as organizações podem fortalecer sua infraestrutura de rede contra ransomware. CISOs e líderes de segurança podem usar diretrizes como essas para criar um programa básico de treinamento para todos os funcionários da organização. No entanto, o treinamento de preparação de ransomware precisa ser personalizado para a organização para melhores resultados.
“Use ferramentas de simulação de crise cibernética para simular brocas e treinamentos que forneçam situações mais próximas da vida real para uma melhor preparação dos usuários finais contra ransomware”, diz Webber.
Os desafios do ransomware e outras formas de malware são as táticas e agendas em constante mudança dos hackers. Ter uma estratégia em vigor para a preparação pode ajudar a conter as perdas e proteger a organização.
FONTE: GARTNER