0
0
As empresas estão perdendo a batalha quando se trata de se defender contra ataques de ransomware, de acordo com um relatório da Veeam, que descobriu que 72% das organizações tiveram ataques parciais ou completos em seus repositórios de backup, impactando drasticamente a capacidade de recuperar dados sem pagar o resgate.
80% dos ataques bem-sucedidos visavam vulnerabilidades conhecidas — reforçando a importância de corrigir e atualizar softwares. Quase todos os atacantes tentaram destruir repositórios de backup para desativar a capacidade da vítima de se recuperar sem pagar o resgate.
O relatório revela os resultados de uma empresa de pesquisa independente que entrevistou 1.000 líderes de TI cujas organizações foram atacadas com sucesso por ransomware pelo menos uma vez nos últimos 12 meses.
“O Ransomware democratizou o roubo de dados e requer uma duplicação colaborativa das organizações em todos os setores para maximizar sua capacidade de remediar e recuperar sem pagar o resgate”, disse Danny Allan, CTO da Veeam. “Pagar cibercriminosos para restaurar dados não é uma estratégia de proteção de dados. Não há garantia de recuperação de dados, os riscos de danos à reputação e perda de confiança do cliente são altos e, o mais importante, isso alimenta uma profecia autorrealizável que recompensa a atividade criminosa.”
Pagar o resgate não garante a recuperação de dados
Das organizações pesquisadas, 76% das vítimas cibernéticas pagaram o resgate para acabar com um ataque e recuperar dados. Infelizmente, enquanto 52% pagaram o resgate e conseguiram recuperar dados, 24% pagaram o resgate, mas ainda não conseguiram recuperar dados — resultando em uma chance de três de que pagar o resgate ainda não leva a nenhum dado. É notável que 19% das organizações não pagaram o resgate porque conseguiram recuperar seus próprios dados. Isso é o que os 81% restantes das vítimas cibernéticas devem aspirar — recuperar dados sem pagar o resgate.
“Uma das marcas de uma forte estratégia de Proteção de Dados Moderna é o compromisso com uma política clara de que a organização nunca pagará o resgate, mas fará tudo ao seu alcance para prevenir, remediar e recuperar de ataques”, acrescentou Allan.
“Apesar da ameaça generalizada e inevitável do ransomware, a narrativa de que as empresas estão desamparadas diante disso não é precisa. Educar os funcionários e garantir que eles pratiquem uma higiene digital impecável; realizar regularmente testes rigorosos de suas soluções e protocolos de proteção de dados; e criar planos detalhados de continuidade de negócios que preparem os principais stakeholders para os piores cenários.”
Prevenção requer diligência tanto de TI quanto de usuários
A “superfície de ataque” para criminosos é diversificada. Os ciber-vilões, na maioria das vezes, tiveram acesso primeiro a ambientes de produção através de usuários errantes clicando em links maliciosos, visitando sites inseguros ou se envolvendo com e-mails de phishing — expondo novamente a natureza evitável de muitos incidentes. Depois de ter obtido acesso com sucesso ao ambiente, houve muito pouca diferença nas taxas de infecção entre servidores de data center, plataformas de escritórios remotos e servidores hospedados na nuvem.
Na maioria dos casos, os invasores se aproveitaram de vulnerabilidades conhecidas, incluindo sistemas operacionais e hipervisores comuns, bem como plataformas NAS e servidores de banco de dados, não deixando pedra sobre pedra e explorando qualquer software não recortado ou desatualizado que eles possam encontrar. É notável que taxas de infecção significativamente mais altas foram relatadas por profissionais de segurança e administradores de backup, em comparação com operações de TI ou CISOs, implicando que “aqueles mais próximos do problema veem ainda mais dos problemas”.
A remediação começa com a imutabilidade
Os entrevistados da pesquisa confirmaram que 94% dos atacantes tentaram destruir repositórios de backup e em 72% dos casos essa estratégia foi pelo menos parcialmente bem sucedida. Essa remoção da linha de vida de recuperação de uma organização é uma estratégia de ataque popular, pois aumenta a probabilidade de que as vítimas não tenham outra escolha a não ser pagar o resgate.
A única maneira de se proteger contra esse cenário é ter pelo menos um nível imutável ou com espaço no ar dentro do quadro de proteção de dados — que 95% dos entrevistados afirmaram que agora têm. Na verdade, muitas organizações relataram ter algum nível de imutabilidade ou mídia de air-gap em mais de um nível de sua estratégia de disco, nuvem e fita.
Outras descobertas-chave
- Questões de orquestração: Para garantir proativamente a recuperação de seus sistemas, uma em cada seis (16%) equipes de TI automatiza a validação e a capacidade de recuperação de seus backups para garantir que seus servidores sejam restauradores. Em seguida, durante a remediação de um ataque de ransomware, 46% dos entrevistados usam uma “caixa de areia” isolada ou área de preparação/teste para garantir que seus dados restaurados estejam limpos antes de reintroduzir os sistemas na produção.
- O alinhamento da organização deve se unificar: 81% acreditam que as estratégias de continuidade cibernética e de negócios/recuperação de desastres de suas organizações estão alinhadas. No entanto, 52% dos entrevistados acreditam que as interações entre essas equipes exigem melhorias.
- Diversificar os repositórios é a chave: 95% das organizações têm pelo menos um nível imutável ou de proteção de dados com lacunas no ar, 74% usam repositórios em nuvem que oferecem imutabilidade; 67% usam repositórios de disco no local com imutabilidade ou bloqueio; e 22% usam fita adesiva que é escancarada. Imutável ou não, as organizações observaram que, além dos repositórios de disco, 45% dos dados de produção ainda são armazenados em fita e 62% entram em uma nuvem em algum momento do ciclo de vida dos dados.
FONTE: HELPNET SECURITY