Detecção, isolamento e negociação: Melhorando sua preparação e resposta a ransomware

Views: 55
0 0
Read Time:7 Minute, 5 Second

Os riscos apresentados por ransomware e eventos de extorsão cibernética provavelmente encontraram um lugar nas discussões de sua própria equipe de segurança, e com razão. Os ataques de ransomware proliferaram na última década. Os números são impressionantes, se não esmagadoras, e deixam bem claro que os ataques de ransomware não são uma ameaça que qualquer organização, por maior ou pequena que seja e em todos os setores, pode se dar ao luxo de ignorar.

Segue-se, então, que proteger proativamente os ativos da empresa e mitigar o risco cibernético é um investimento essencial de qualquer negócio hoje. Sem um plano de preparação e resposta a ameaças em vigor, os danos de um ransomware ou evento de extorsão cibernética podem reverberar em suas organizações, resultando em perda de dados, inacessibilidade de serviço, interrupções operacionais, perda de confiança e vantagem competitiva do mercado, e outras repercussões dispendiosas e duradouras.

Melhorando a prontidão para ameaças

Quando os dados da sua empresa são aproveitados em um ataque de extorsão cibernética, uma determinação rápida deve ser feita sobre a natureza e a extensão do ataque, seguida pela execução de planos para responder e mitigar o ataque. Como quanto mais tempo um ataque de ransomware não for resolvido, mais danos potenciais podem ser para a capacidade da sua organização de conduzir os negócios como de costume.

Embora o objetivo final de uma organização seja a prevenção total de um ataque, a mitigação é um objetivo mais proleto (e talvez mais razoável), e as organizações devem priorizar a preparação tanto quanto a prevenção. A prevenção inclui a implementação de melhores práticas e medidas que podem impedir que eventos de ransomware aconteçam, ao mesmo tempo em que posicionam a organização para sofrer o mínimo de danos possível, caso ocorra um ataque.

A prontidão do ransomware pode ser dividida em três componentes principais: preparaçãodetecção isolamento.

Preparação

A capacidade da sua organização de responder a um evento de ransomware é diretamente afetada pelas ferramentas que você tem prontamente disponíveis para você no momento, o que torna a preparação uma parte fundamental da navegação bem-sucedida em um ataque. Uma boa preparação funciona duas vezes para educar suas equipes sobre como prevenir ataques e fornecer orientação sobre o que fazer caso você seja alvo.

A seguir estão alguns dos componentes que você pode querer incluir ao mapear o planejamento da sua organização em torno de ataques de extorsão cibernética.

  • Crie uma cartilha de Resposta a Incidentes que contenha todas as informações relevantes relacionadas à resposta a um ataque de ransomware.
  • Realize regularmente sessões de treinamento obrigatórias para os funcionários para educá-los sobre como evitar dar aos atores de ameaças acesso aos sistemas da empresa para realizar um ataque. A importância da higiene de senhas, sinais de aviso de phishing por e-mail e as melhores práticas para a segurança on-line podem estar entre os tópicos abordados.
  • Capacite os funcionários a ajudar a prevenir ataques, fornecendo-lhes protocolos e recursos para relatar atividades suspeitas e expressar suas preocupações se sentirem que há um risco que precisa ser resolvido.

Detecção

A detecção refere-se às ferramentas, tecnologia, pessoas e processos em vigor para perceber que o ataque está acontecendo ou ocorreu, e para identificar sua fonte dentro da rede. Subcomponentes específicos de detecção incluem:

  • Ter um sistema robusto de plataformas configuradas para monitorar suas redes e alertá-lo se ocorrer atividade suspeita, como o aparecimento de uma extensão de arquivo ransomware conhecida ou a rápida renomeação de um grande volume de arquivos, o que pode sinalizar que eles estão sendo criptografados.
  • Alimentando seu programa de inteligência contra ameaças com conhecimento facilmente acessível e atualizado sobre atores/grupos específicos de ransomware e táticas, técnicas e procedimentos (TTPs) – incluindo inteligência técnica – para antecipar melhor possíveis aberturas e ataques de risco.
  • Implemente autenticação multifatorial para reduzir a probabilidade de resgates obterem acesso não autorizado aos seus sistemas.

Isolamento

Para limitar sua propagação, o isolamento deve ser a primeira prioridade da sua organização depois que você perceber que um ataque de ransomware está visando sua organização. Projetar seus sistemas de uma maneira que separe diferentes redes pode ser muito impactante quando cada segundo conta. Subcomponentes específicos do isolamento incluem:

  • Limitando o acesso de qualquer funcionário individual apenas aos arquivos e dados que eles devem ter para fazer seu trabalho.
  • Desligar sistemas infectados e desconectá-los completamente da rede da sua organização o mais rápido possível.
  • Desativando meios de espalhar dados potencialmente prejudiciais entre dispositivos, incluindo VPN, NAC e usuário do AD.

Respondendo a um ataque de ransomware

Depois de ter pego e interrompido com sucesso a progressão de um ataque de ransomware, é fundamental ter um plano de resposta já em vigor para ajudá-lo a economizar tempo ao tomar decisões e manter as reações emocionais sob controle, o que pode ocorrer durante uma possível emergência. Pode ser difícil determinar o escopo completo de um ataque de ransomware, e quanto mais dados o ator de ameaça extorquir ou criptografar, mais tempo pode levar para entender a natureza da violação.

Um bom plano de resposta é bem ensaiado, facilmente acessível caso seja necessário e baseado nos recursos disponíveis para a organização no momento em que é escrito. Tem várias partes, incluindo a designação das partes que lidam com cada etapa; as informações de contato de todas as partes que se comunicarão e negociarão diretamente com os resgates; e protocolos atualizados relacionados à conformidade legal para lidar com o pagamento do resgate. Mas entre eles, uma das peças mais cruciais a serem abordadas em seu plano é o manuseio da negociação.

Negociação

A negociação abrange todo o envolvimento com o ator de ameaça e é necessária para alcançar qualquer forma de resolução, esteja ou não, o pagamento envolvido. É sempre aconselhável usar um profissional que esteja familiarizado com o envolvimento de atores de ameaças, ataques de ransomware e as obrigações legais das vítimas de ransomware; o conhecimento das tendências atuais de extorsão cibernética, TTPs de atores de ameaças e grupos de atores de ameaças também é importante. A utilização de um negociador que seja transparente durante todo o processo e seja receptivo aos objetivos de sua organização cliente facilita muito uma discussão tranquila que é mais provável que resolva de uma maneira que a organização se sinta confortável.

Não existe um método único para prosseguir com a negociação. No entanto, há algumas coisas gerais para as quais você deve estar preparado se sua organização se encontrar nesse pior cenário.

  • Mantenha todos os bate-papos e comunicação com os atores de ransomware privados e limite o acesso interno aos registros de comunicação com o ator de ameaça. Pode ser aconselhável mudar para comunicações não baseadas em rede se você não tiver certeza se o ator de ameaça tem acesso às suas comunicações por e-mail.
  • Esteja preparado para negociadores profissionais. Enfatizando ainda mais a importância de ter um negociador profissional próprio para alavancar nessa situação, é importante notar que muitos atacantes de ransomware foram observados para usar profissionais com carreiras em negociações por trás deles, a fim de fazer com que as organizações cumpram as demandas de resgate.
  • Envolver a aplicação da lei no início de um ataque de ransomware é altamente recomendado. Isso não apenas ajuda sua organização a garantir que está lidando com o ataque dentro dos limites da lei, mas a aplicação da lei também pode, às vezes, fornecer informações sobre atores de ameaças específicos ou seus TTPs, ajudando você com suas negociações e melhorando a perspectiva da sua situação.

Pressão adicional

Existem outros meios que os atores de ameaças usam para aumentar a pressão às negociações fora do próprio ataque de ransomware, incluindo:

  • Implementando ataques DDoS
  • Enviando e-mails diretamente para os funcionários sobre o ataque
  • Alegando ter dados que eles realmente não se exfiltraram para fazer a situação parecer mais terrível
  • Entrar em contato com executivos ou clientes das vítimas para conscientizá-los sobre o ataque
  • Postando PII confidenciais em fóruns públicos ou mídias sociais
  • Deixando backdoors que permitem que os atacantes de ransomware realizem um segundo ataque contra a mesma organização

Ser vítima de um ataque de extorsão cibernética é estressante e desafiador. Para mitigar seu impacto em seus negócios e clientes, é imperativo que você se prepare para todos esses potenciais fatores adicionais que podem aumentar a agressividade de um ataque de ransomware e causar danos de longa data à reputação e aos resultados da sua organização.

FONTE: HELPNET SECURITY

Previous post Pesquisadores descobrem malware ZuoRAT visando roteadores de home office
Next post Tendências a serem observadas ao criar uma estratégia de segurança para os próximos dois anos

Deixe um comentário