0
0
Recentemente, falei com Ryan Chapman, do SANS Institute, autor do próximo curso SANS FOR528: Ransomware for Incident Responders, sobre como se preparar melhor para ransomware. Essa preparação vem em duas formas: planejar como você responderia a um ataque de ransomware bem-sucedido e superar barreiras para endurecer sua rede contra eles.
Planejando um ataque de ransomware
A recuperação de ransomware não deve ser nada mais do que restaurar um backup, mas a realidade é que muitas vezes você não tem ideia do que é necessário restaurar até enfrentar o processo de restauração. Uma mesa redonda SANS discutiu recentemente se deve pagar um resgate. Em um mundo perfeito, não pagaríamos aos atacantes. Pagar alimenta a indústria de ransomware, mas não é tão cortado e seco. A recuperação de backups leva tempo. Você pode perceber no calor do momento que está perdendo o driver de uma máquina-chave, ou uma chave de produto que você achava que estava armazenada em um local não está lá. A melhor prática é realizar testes de restauração e seguir os processos planejados, mas com os departamentos de TI esticados, essas melhores práticas geralmente ficam fora de foco.
Portanto, as empresas devem decidir se seguem a linha dura e não pagam ou pagam o resgate e, possivelmente, voltam aos negócios mais rapidamente. Chapman observa que as ferramentas de descriptografia geralmente não são bem codificadas e descriptografar uma rede pode ser tão lento quanto recuperá-la de um backup.
Priorize os ativos para trazer de volta primeiro após um ataque de ransomware
As vítimas de ransomware geralmente trazem de volta apenas ativos-chave e decidem mais tarde quais ativos digitais não são mais importantes. É aconselhável identificar com antecedência quais ativos digitais são críticos para garantir a continuidade dos negócios. Inventário de ativos críticos e determine quais processos você precisa para recuperá-los totalmente sem seus processos normais de recuperação. Chapman aconselha a se preparar mentalmente para que você não recuperará todos os seus dados. Você precisa priorizar.
Crie planos alternativos se processos e ferramentas normais não estiverem disponíveis
Muitas vezes, no Active Directory, não fazemos backup de sistemas-chave; replicamos e implantamos. Imagine uma situação em que a replicação não é um método de recuperação apropriado. Tudo se resume a entender o que será necessário para recuperar potencialmente toda a rede. Você não terá processos ou pessoal para lidar com isso. Você pode não ter um Active Directory saudável para se recuperar normalmente. Você pode não ter scripts ou Diretiva de Grupo ou qualquer uma das ferramentas que você considera garantidas. Você pode não ter seu sistema de e-mail normal para se comunicar dentro da sua organização.
Planeje como gerenciar e complementar a equipe
Identifique consultores externos e recursos para trazer para ajudar no processo. Identifique metodologias alternativas de comunicação que você pode precisar ter em vigor que não incluam contas de e-mail pessoais. Planeje como você descansará a equipe de TI e segurança durante a crise para que eles tomem melhores decisões.
Endureça sua rede Windows contra ransomware
Superando blocos de patches internos e externos
A maioria das organizações com as quais Chapman interage é mais prejudicada por ataques de resgate porque está impedida de corrigir rapidamente e atualizar para plataformas suportadas e mais seguras. Ele vê dois tipos de blocos: interno e externo.
O bloco interno geralmente se deve à dependência da empresa de soluções autocodificadas que foram construídas ao longo do tempo e podem não ser revisadas externamente por código ou bem compreendidas o suficiente para saber o impacto quando as alterações são feitas. Especialmente com implantações em ambientes de grande escala, você não sabe o impacto de uma nova configuração de segurança ou de um nível de funcionalidade de floresta do Active Directory até que a implantação real ocorra. As empresas podem testar, mas muitas vezes não é até que a solução seja lançada em toda a rede que um impacto mais realista é visto. Assim, há uma tendência natural e infeliz para o status quo, porque garantir que o negócio tenha continuidade, especialmente agora durante a pandemia, é o trabalho um para muitas divisões de TI.
O bloqueio externo surge quando os fornecedores da empresa não certificarão uma plataforma para uma nova configuração ou plataforma de segurança e impedem que você implante uma configuração que possa fornecer mais segurança. Muitas vezes, em ambientes médicos, o equipamento é construído especificamente e pode nem estar em uma plataforma de suporte estendida. Você enfrenta a decisão de implantar uma atualização necessária que ajudará a manter os atacantes afastados ou quebrar o suporte fornecido pelo fornecedor. Muitas vezes, nessa situação, não há decisão a tomar. Você deve manter o suporte ao fornecedor intacto.
O que você pode fazer para superar esses bloqueios? Primeiro, identifique os principais ativos que você precisa recuperar rapidamente e garanta que você entenda como se recuperar usando meios alternativos. Teste totalmente esse processo. Em seguida, restrinja qual software dentro da sua organização está causando os bloqueios e por quê. Se o fornecedor for o bloco para suas necessidades de implantação, revise se você pode adicionar requisitos e ajustes contratuais e pressionar seus fornecedores a fazer melhor. Se implantações internas de software estiverem causando o bloqueio, revise se a paralisia é real. A empresa teve falhas reais de software devido à implantação de novas configurações e software, ou a paralisia é causada pela falta de recursos nos testes? Exorte as várias equipes do negócio a trabalharem juntas.
Eleve seu nível de floresta do Windows Server para 2016
Muitos de nós ainda dependem de plataformas de servidor mais antigas que dificultam a implantação de soluções de segurança através do Active Directory. Podemos ter servidores Server 2016 e Server 2019 em nossa rede, mas não estamos aproveitando os recursos de segurança desse nível funcional de domínio. Muitos de nós ainda estão em níveis funcionais florestais e de domínio mais antigos porque temos servidores ou aplicativos mais antigos e a falta de testes que nos impedem de lançar esses recursos mais recentes. Ou temos fornecedores que não certificarão plataformas mais recentes e recursos do Active Directory.
Aumentar seu nível florestal para 2016 fornece muitos recursos que protegem melhor a rede, como gerenciamento de acesso privilegiado e rolagem automática de segredos NTLM em uma conta de usuário. Se o seu nível funcional ainda é 2008 R2, você não tem uma interface do usuário para a lixeira do Active Directory, o que facilita a recuperação. Ele também não permite que você se livre de uma antiga falha de segurança de senhas imutáveis em suas contas de serviço se ainda estiver executando o nível funcional 2008 R2.
Aumentar o nível do seu domínio significa que você pode implantar recursos como o Windows Defender Credential Guard, que protege as credenciais NTLM e Kerberos no Active Directory de serem coletadas por atacantes. Você precisará de licenças do Windows 10 Enterprise ou do Microsoft 365 apropriado para implantar esse recurso em suas estações de trabalho.
O grande custo do ransomware é a interrupção dos negócios. Precisamos aumentar a proteção e a detecção em nossas listas de prioridades, juntamente com transparência e compartilhamento de informações. Precisamos fazer melhor, porque agora os atacantes são melhores do que nós.
FONTE: CSO ONLINE