Adicione uma nova dimensão às defesas contra ransomware

Views: 78
0 0
Read Time:5 Minute, 20 Second

Ransomware é um esforço particularmente sem coração. Os criminosos têm como alvo escolas, infraestrutura vital e até registros de pacientes em uma unidade de tratamento psiquiátrico. O Departamento de Segurança Interna dos EUA reconhece isso como uma das principais ameaças, e os profissionais de segurança colocam as estratégias defensivas de ransomware no topo de sua lista de tarefas. Como acontece com todas as outras iniciativas de segurança cibernética, a defesa em profundidade é axiomática para uma proteção eficaz contra ransomware. Construir consciência de conteúdo é uma maneira simples e acessível de adicionar outra camada às suas estratégias anti-ransomware.

Compreensivelmente, a maioria das estratégias defensivas começa com medidas que minimizam os pontos de apoio que os atacantes podem encontrar no ambiente de TI de uma organização. Verificar e-mails recebidos em busca de cargas úteis de ransomware, dar aos usuários conselhos práticos sobre “smarts de rua” na Internet e monitorar a rede em busca de atividades suspeitas são elementos essenciais de uma estratégia anti-ransomware eficaz. Soluções emergentes de governança de dados baseadas em IA oferecem uma arma adicional para a luta contra ransomware: conscientização situacional informada por insights profundos sobre o conteúdo.

A conscientização de conteúdo cria resiliência ao ransomware. Para entender o porquê, é útil se colocar no lugar (ou atrás do teclado) do seu oponente e pensar em como ele planeja, executa e monetiza o ataque. Armado com uma compreensão do processo de ataque e capacitado com insights sobre seu conteúdo, você terá o que precisa para minimizar os danos antes, durante e após incidentes de ransomware.

Então, vamos começar onde os atacantes começam – estabelecendo uma posição. Os atacantes usam criptografia para tornar dados valiosos inacessíveis. Para fazer isso, eles precisam assumir o controle das contas. Idealmente (da perspectiva do invasor, é claro), as contas comprometidas terão acesso a uma ampla gama de dados críticos para os negócios. Na realidade, é um rolo de dados. A engenharia social e as campanhas de e-mail maliciosas do atacante prendem alvos aleatórios.

É como a caixa de chocolates da Forrest Gump. Depois que uma conta é comprometida, a caixa é aberta. Às vezes, a conta está cheia de guloseimas, com acesso a uma ampla gama de arquivos e dados. Outras contas são caixas quase vazias, com acesso muito mais limitado. Se você estiver na defesa, seu objetivo é manter a caixa fechada. E, caso o atacante consiga abri-lo, seria ótimo se ele não tivesse muitas guloseimas dentro.

A maioria das estratégias atuais de mitigação de ransomware se concentra em manter a caixa fechada, o que faz sentido. Houve menos atenção ao gerenciamento dos chocolates na caixa. Modelos de acesso a dados de menor privilégio, destinados a conceder ao usuário acesso apenas aos dados de que precisam, são uma ótima maneira de limitar a exposição no caso provável de um comprometimento da conta. O mínimo privilégio não é uma estratégia preventiva. É uma estratégia de limitação de danos que assume – como você deveria – que um invasor de ransomware acabará ganhando o controle de uma ou mais de suas contas.

Mas se o mínimo privilégio funciona, por que a prática não é mais difundida? Uma organização típica gerencia ao norte de 10 milhões de arquivos, desde convites para piquenique até documentos financeiros privados. Cerca de um terço desses documentos são críticos para os negócios (portanto, de interesse para um autor de ransomware). Esse é um número assustador de arquivos com uma variedade de conteúdo que pode ser difícil até mesmo para equipes de TI qualificadas avaliarem, entenderem e protegerem.

Para melhor ou pior, isso significa que os usuários finais geralmente são responsáveis por quem pode e não pode ver seu conteúdo. E, às vezes, esse documento de código-fonte crítico ou a planilha com informações incorporadas do cliente é compartilhado de forma mais ampla do que o necessário. Cerca de 12% de todos os documentos críticos para os negócios correm o risco de comprometer o ransomware por causa do compartilhamento excessivo.

Para ajudar a aliviar o risco, as tecnologias de governança de acesso a dados baseadas em IA ajudam digitalizando milhões de documentos de uma organização usando algoritmos de processamento de linguagem natural para categorizar conteúdo e detectar compartilhamento excessivo. É uma ferramenta poderosa que ajuda a limitar o acesso desnecessário – e os riscos de ransomware que vêm com ela.

A conscientização de conteúdo também ajuda quando se trata da detecção de ataques em andamento, porque as explorações de ransomware diferem de outros crimes cibernéticos de uma maneira crítica: os criminosos não precisam tomar posse de dados. Como os dados não se movem, as medidas de segurança no perímetro não estão em uma ótima posição para detectar ou interromper ataques em andamento. Isso muda a imagem de detecção: Em vez de alguns pontos de controle de perímetro, os profissionais de segurança precisam acompanhar um número impressionante de arquivos localizados em toda a organização.

Consequentemente, as estratégias de detecção de ataques de ransomware buscam monitorar a atividade de criptografia e artefatos de criptografia no nível do arquivo. Ao estabelecer uma linha de base antes do ataque, diferenciar entre atividades rotineiras e nefastas é muito mais simples. E se a linha de base incluir insights sobre a criticidade comercial desse conteúdo, você pode detectar criptografia indesejada e avaliar a ameaça para tomar decisões de mitigação mais eficazes.

Finalmente, se você se encontrar confrontado com uma demanda de resgate, a conscientização de conteúdo é inestimável. Decidir se pagar para recuperar seus dados é uma decisão difícil em qualquer circunstância, mas tomar essa decisão com uma compreensão completa de exatamente quais dados estão em risco de perda é muito melhor do que ter que fazê-lo sem saber o que está em jogo. Seu atacante muitas vezes não sabe se o que tem é crítico ou trivial. A consciência de conteúdo pode lhe dar vantagem.

Ransomware é, sem dúvida, uma escalada na corrida armamentista por crimes cibernéticos. Ao aumentar seus esforços antimalware e antiphishing com controle de acesso de mínimos privilégios, você pode minimizar os danos caso ocorra um ataque. A conscientização de conteúdo e atividade estabelece uma linha de base que torna a criptografia indesejada mais fácil de detectar e as atividades de mitigação mais rápidas e eficazes. E se você se encontrar em negociações sobre o resgate, ficará feliz por ter uma compreensão clara de quais dados estão em risco.

FONTE: HELPNET SECURITY

Previous post 71 razões para atualizar o Windows o mais rápido possível
Next post VirusTotal Lança Relatório de Ransomware Baseado na Análise de 80 Milhões de Amostras

Deixe um comentário