0
0
Eu sou um pentester – ou seja, um testador de penetração profissional. Alguns me chamam de hacker ético, um chapéu branco, ou um timeer vermelho. No calor do momento, fui chamado de muito pior – porque passei incontáveis horas atacando organizações como a sua com ransomware.
Meu trabalho é manter meus clientes seguros, ajudando-os a endurecer suas defesas. Com base na minha experiência como atacante de ransomware, eu vim com essas cinco perguntas que você deve fazer a si mesmo:
1. Posso invadir seu perímetro?
Há inúmeras maneiras de invadir um perímetro. Eu posso procurar uma injeção SQL em uma de suas aplicações web. Posso tentar adivinhar credenciais para sua VPN. Ou posso procurar um erro na configuração do firewall que me dê acesso a um serviço ou aplicativo sensível.
Como atacante, sou menos provável que eu alveja sua empresa, escaneie seu perímetro para problemas, e depois tente explorar um para entrar. Em vez disso, tratarei toda a internet como meu alvo. É mais fácil procurar uma vulnerabilidade específica em que estou realmente, encontrar 100 sistemas que têm essa vulnerabilidade e, em seguida, investigar as empresas que possuem esses 100 sistemas. Em outras palavras, não vou necessariamente te atacar como uma organização. Vou te atacar como dono de um sistema vulnerável.
2. Posso phish seus usuários?
Claro, você implementou defesas que tornam mais difícil e demorado para phishing com sucesso seus usuários. Mas os domínios são baratos, e os e-mails são gratuitos, então eu ainda vou tentar. Além disso, phishing é um jogo com tentativas ilimitadas — e eu só preciso que um usuário clique uma vez, enquanto você precisa que seus usuários não cliquem todas as vezes. Posso continuar tentando diferentes iterações do meu pretexto/carga ou passar para outro alvo. Se eu conseguir um clique, é o jogo.
Você sabe que tipo de defesas colocar em prática. Você precisa de controles de ponto final fortes, incluindo EDR e permissões restritas. Você precisa de filtragem de e-mail que verifica atributos de mensagens, como a idade e a reputação do domínio de origem. E, claro, você precisa treinar todos os usuários — desde seus principais executivos até seus novos contratados — para garantir que eles entendam uma boa higiene de e-mails.
3. Seus backups críticos são viáveis e bem protegidos?
Infraestrutura de backup comprometida é o beijo da morte em um ataque de ransomware. Se eu puder chegar aos seus backups críticos e excluir ou criptografar seus arquivos de backup, você perderá a única opção que você tem para restaurar o seu negócio. Isso aumentará drasticamente a probabilidade de um grande pagamento para o seu.
Para manter uma opção de failover, você deve proteger a infraestrutura de backup. A autenticação multifatorial é importante, assim como a segmentação. Seus servidores de backup devem estar em um domínio separado e não acessíveis na rede por todos os usuários da sua organização. Além disso, é essencial que a infraestrutura de backup não compartilhe credenciais com outros sistemas de produção.
Mais uma ressalva: seus sistemas de backup devem funcionar. Certifique-se de que quem é responsável pela execução e teste de sistemas de backup o faça regularmente. Você não quer descobrir que há uma falha na sua capacidade de recuperação quando você está no meio de um ataque de ransomware.
4. Quanto tempo posso ficar sem ser detectado?
Aqui está uma das lições mais importantes que aprendi do meu tempo como um falso atacante de ransomware: quanto mais tempo eu tenho à minha disposição para explorar e sondar seu ambiente, maiores são as minhas chances de sucesso. Se eu puder ser detectado e despejado dentro de uma hora depois de ganhar uma posição, eu geralmente não tenho muita chance de fazer um ataque bem sucedido. Mas se eu tiver vários dias para me mover lateralmente e comprometer sistemas adicionais, quase sempre chego ao ponto onde posso fazer algo muito prejudicial.
A detecção rápida e precisa de ameaças é fundamental para seus esforços anti-ransomware. Você precisa de muita telemetria através de seus pontos finais, rede e nuvem. Você precisa ser capaz de fazer sentido dessa telemetria, sem ficar sobrecarregado pela fadiga de alerta. E você precisa traduzir imediatamente sua descoberta e identificação de qualquer ameaça ativa em ação decisiva para neutralizá-la.
5. Meu alvo está voando sozinho?
A verdade? Francamente, se for só eu e minha equipe contra o típico SOC com falta de pessoal, quase sempre venceremos. Isso não é um insulto aos SOCs – é apenas um jogo de números. Mas os clientes que já passaram por táticas de pentesting e contraditórios da Equipe Vermelha são mais difíceis de quebrar. Isso é principalmente porque eles já nos deixaram dar uma ou três rachaduras neles — então já descobrimos onde eles estão vulneráveis e os ajudamos a remediar essas vulnerabilidades.
O mesmo acontece com praticamente qualquer outro atacante. Se você não é o alvo mais fácil do mundo, a maioria dos atacantes irá passar com prazer para um ambiente mais vulnerável.
A boa notícia é que você não precisa ser perfeitamente à prova de balas. Se você pode retardar os atacantes rapidamente, as chances são de que eles vão correr para a próxima marca mais fácil. E essa pode ser sua melhor defesa.
FONTE: HELPNET SECURITY