0
0
No primeiro semestre de 2021, as demandas médias de ransomware aumentaram 518%, enquanto os pagamentos aumentaram 82%. Houve um número crescente de ataques à saúde, com 560 instalações de saúde atingidas por ransomware no ano passado apenas nos EUA.
À medida que novos ataques geram manchetes a cada semana, obtemos casos de uso do mundo real de como o ransomware prolifera de diversas maneiras, incluindo ataques de engenharia social e exploração de vulnerabilidades. Esses incidentes não só custaram milhões de dólares em recuperação, mas também levaram a atrasos no tratamento do paciente e possivelmente até perda de vidas.
Além de trabalhar com os clientes de saúde da Netskope, também executo nossas operações de segurança corporativa, então obviamente estou preocupado com o ransomware – o que poderia acontecer, como ele pode ser acionado e seu impacto na organização.
Com o ransomware tão desenfreado, as organizações estão começando a se concentrar em quais outras camadas podem ser implementadas para combater os ataques. A maioria das organizações começa com a segurança básica de e-mail, implantando um gateway de e-mail seguro (SEG)—mas isso só leva você até agora. Sempre haverá uma maneira de um invasor empurrar um link ou um arquivo que passe por esses controles, então devemos olhar para os vetores de ataque de forma holística.
Maior complexidade aumenta a superfície de ataque
A forma como lidamos com ransomware hoje está evoluindo porque nossos usuários estão evoluindo. Nossos dispositivos são BYOD e nossos dados não estão mais sentados em um servidor físico em um data center local onde temos acesso físico. Na maior parte, agora está hospedado em outro lugar do mundo em máquinas que são gerenciadas e mantidas por outra empresa.
Estranhamente, muitas equipes baixaram a guarda por causa disso. Eles assumem que se sua nuvem pública for criptografada, outra pessoa intervirá e tudo ficará magicamente bem. Eles dizem a si mesmos que o provedor de nuvem provavelmente pode reverter todos os arquivos de volta para uma versão anterior e isso não será grande coisa. Em alguns casos e com alguns provedores, isso pode ser possível—mas em alguns casos, não é.
Os fatores de risco com ransomware exigem uma abordagem proativa tanto para prevenção quanto para recuperação, caso o pior aconteça. Isso pode realmente se resume a um usuário fazer um clique errante que subsequentemente desliga toda a rede.
Como invasor, só preciso de um clique para colocar uma empresa inteira em risco. Quando você olha para 10% em uma empresa de 1.500 pessoas, são 150 cliques. As pessoas vão cometer erros—mesmo pessoas extremamente inteligentes, bem educadas e experientes em segurança. Então, se nunca teremos ambientes protegidos 100% do tempo, como vamos lidar com isso quando esse clique errante acontecer?
Deixando de lado a questão de saber se você deve pagar um resgate, há realmente duas coisas a considerar quando se trata de se preparar para um ataque de ransomware:
- Se seus dados forem criptografados (ou perdidos ou off-line devido a catástrofe), você precisa ser capaz de restaurar seus sistemas o mais rápido possível
- Mesmo depois que suas operações estão online novamente, ainda há a preocupação de que um invasor também possa ter exfiltrado dados confidenciais ou privados.
A evolução para sistemas de recuperação baseados em nuvem
O processo de recuperação é muitas vezes a última coisa em que alguém pensa. A recuperação de desastres e a continuidade dos negócios (DRBC) são provavelmente a peça mais difícil de resolver e, muitas vezes, a mais ignorada. Mas se sua organização estiver na área da saúde ou parte de infraestrutura crítica, como serviços públicos, pode haver consequências de vida ou morte nas interrupções do serviço. Garantir a continuidade dos negócios pode significar a capacidade de continuar trabalhando para salvar vidas, o que significa que o tempo imediato para a recuperação será muito importante.
No passado, costumávamos ter que ir e retirar fitas de um arquivo em algum lugar externo para restaurar sistemas—e isso poderia levar dias. Há alguns anos, muitas empresas tinham sistemas de backup dentro de um data center hospedado, permitindo que elas restaurassem de outro servidor replicando dados em todo o tubo. Isso foi muito mais rápido do que backups em fita, mas ainda tinha limitações. Hoje, as soluções hospedadas na nuvem facilitam muito as coisas porque tiram instantâneos no tempo de seus dados. Por esse motivo, o armazenamento em nuvem torna o DRBC muito mais rápido do que as soluções legadas que ainda estão presas em um estado de espírito de servidores físicos e aplicativos.
Para ficar à frente do ransomware, as empresas precisam intensificar seu jogo e passar para uma estratégia DRBC baseada em nuvem de próxima geração. Uma das principais razões pelas quais muitas organizações não deram esse passo crítico é que estão preocupadas com a segurança desses ambientes em nuvem.
Um estudo recente da Cloud Security Alliance (CSA) mostrou que a segurança continua sendo uma grande preocupação quando se trata de adoção da nuvem para 58% dos entrevistados. Mas esse medo está criando um risco diferente quando se trata de recuperação rápida e perfeita e continuidade das operações de uma interrupção debilitante—seja causada por ransomware, um desastre natural ou qualquer outro motivo.
E o fato é que, em comparação com muitas das antigas abordagens de armazenamento secundário, a nuvem pode oferecer melhor visibilidade e controle de seus dados do que servidores em um data center físico. Seu tempo de recuperação pode ser muito mais rápido, e seu tempo de atividade pode ser muito melhor.
Garantindo a visibilidade dos dados
Na área da saúde, não se trata necessariamente apenas de recuperar o acesso aos seus dados, mas o que mais aconteceu durante esse processo de criptografia. Os atacantes danificaram os dados? A privacidade de seus pacientes também foi violada no processo deste ataque? Um alerta de segurança cibernética do governo dos EUA não muito tempo atrás alertou especificamente sobre a atividade crescente de ransomware direcionada ao setor de saúde e saúde pública – especificamente chamando ameaças que realizam tanto a interrupção de serviços quanto o roubo de dados.
A segunda parte da preparação para ransomware é sobre estabelecer visibilidade abrangente de seus dados. A classificação de dados torna isso possível. Você quer ser capaz de inventariar todos os seus dados—marcando-os de acordo com o tipo, sensibilidade e localização. A visibilidade nos ajuda a implementar políticas para garantir que informações confidenciais nunca saiam da organização, e também ajuda a impedir que arquivos que violam a política (como ransomware armazenado na nuvem) entrem com base em sua classificação. Ao mesmo tempo, nos ajuda a manter as coisas boas dentro e as coisas ruins fora.
Com ransomware, você nunca sabe se um link ou arquivo de alguma forma passou pelos controles de segurança por meios inteligentes para enganar alguém a abri-lo inocentemente. O exemplo perfeito é alguém se candidatando a um emprego. Um “candidatos a emprego” pode enviar um link do Dropbox, Google Drive ou OneDrive para seu currículo ou portfólio de amostra de trabalho em resposta a uma postagem de RH—mas o que está esperando lá é ransomware, lançado em sua organização a partir da plataforma de nuvem. O vetor de ataque evoluiu do arquivo que precisa entrar fisicamente na sua rede para ter acesso de entrega a partir da borda.
Quando penso em ransomware, começo pensando em como meus usuários interagem com usuários externos ou até mesmo com outros usuários internos. As comunicações de trabalho transcenderam o e-mail e evoluíram para ferramentas dedicadas de colaboração em equipe—às vezes os funcionários até as usam apenas para conversar e conversar socialmente. Como resultado, agora estamos vendo cada vez mais essas ferramentas usadas como vetor de ataque.
Se um invasor sente que uma organização tem ótima segurança de e-mail e todos os seus usuários são bem treinados para evitar ataques de phishing baseados em e-mail, que tal um link para uma pasta do Google Drive ou Dropbox onde a carga útil está localizada e não precisa necessariamente passar por um e-mail? Em vez disso, ele pode vir através do Slack ou WebEx Teams. O invasor só precisa ser capaz de obter um único clique em um link para iniciar seu malware e iniciar o processo de criptografia. Ter visibilidade transparente e controles baseados em políticas em vigor pode ajudar a evitar que isso aconteça.
SASE e além – Confiança zero
Com uma arquitetura de borda de serviço de acesso seguro (SASE) e recursos de prevenção de perda de dados (DLP), posso proteger nossos usuários dentro do que sei – OneDrive ou Google Drive, ou nosso canal corporativo Slack. O problema é que eu não sei o que não sei.
Maior mobilidade, políticas BYOD, aplicativos SaaS e o aumento de trabalhadores remotos tornaram as coisas ainda mais complicadas, especialmente nos últimos 18 meses. Então, também preciso de visibilidade e controles baseados em políticas para evitar que arquivos maliciosos sejam baixados em qualquer dispositivo autorizado a ter nossos dados.
É também aqui que a confiança zero se torna parte da história – ou, como eu gosto de pensar, a confiança adaptativa contínua. Precisamos expandir a visibilidade total da segurança além de apenas dados para também ter uma visão abrangente de usuários, dispositivos e aplicativos. Isso nos dá uma maior capacidade de impor controles granulares baseados em funções e reduzir as oportunidades de ameaças (incluindo ransomware) penetrarem na rede em primeiro lugar. Quanto mais soubermos sobre nossos ambientes de rede expandidos, melhor poderemos proteger nossos usuários, dispositivos, aplicativos e dados contra interrupções.
FONTE: HELPNET SECURITY