Abstrair: Os ataques de ransomware continuam a aumentar em frequência, complexidade e danos efeitos em todo o mundo.1 Os cibercriminosos operacionalizaram o ransomware em um empreendimento ilegal multibilionário com a capacidade de explorar e interromper até mesmo o maiores e mais sofisticadas empresas. No entanto, tanto a probabilidade quanto a gravidade de um ataque pode ser mitigado quando as empresas desenvolvem e mantêm estratégias tanto para prevenção quanto para mitigação. Este white paper oferece informações sobre o Cenário de ransomware e descreve as etapas que uma organização pode tomar para se preparar e responder a ataques de ransomware.
Baixar White Paper PDF
Guia de Referência Rápida do Gerenciamento de Incidentes de Ransomware
Verificação de conhecimento: CPE Quiz Membros ISACA, faça login para ganhar 1 crédito CPE passando com uma pontuação de 75%.
Introdução
Ransomware é um malware que ameaça restringir permanentemente o acesso a um sistema ou publicar dados comprometidos se um pedido de resgate não for satisfeito. Uma vez que um sistema é comprometido, os dados são criptografados e o acesso é bloqueado até que o pagamento seja recebido em troca da promessa de chaves de descriptografia.
Os cibercriminosos operacionalizaram o ransomware em uma perseguição criminosa multibilionária, com a capacidade de explorar e interromper até mesmo as maiores e mais sofisticadas empresas. Um ataque de ransomware pode, na melhor das hipóteses, impactar temporariamente a geração de receita ou, na pior, causar uma enorme perda financeira que desencadeia falência ou liquidação.
Evidências anedóticas sugerem que muitas organizações nos setores público e privado carecem de práticas básicas de segurança cibernética, mantendo o custo dos negócios acessível para os maus atores. Isso, por sua vez, resultou em graus variados de resposta governamental, muitas vezes na forma de ação legislativa.
Dado o alcance dos mandatos governamentais, as entidades públicas têm menos flexibilidade para lidar com potenciais ameaças e respostas de ransomware (pelo menos no futuro previsível), enquanto as empresas privadas ainda possuem a capacidade de decidir se pagam resgate. O pagamento de resgate é muito debatido e está fora do âmbito deste Livro Branco.
Dada a natureza diversa e invasiva da tecnologia da informação, a variedade de controles que devem ser implementados e o variado nível de integração desses controles nas operações, uma defesa eficaz em um ambiente pode não funcionar em outro. O risco de controle tem uma série de causas básicas, desde a interpretação equivocada de um novo requisito de controle de negócios e sua intenção de treinar inadequadamente a equipe. Além disso, cada ataque é único porque motivações e objetivos muitas vezes exigem que o adversário permaneça ágil e se adapte, sem impedimentos pela defesa empresarial.
A cultura empresarial também é uma das influências mais fortes em sua capacidade de se preparar, defender e se recuperar de um ataque. Dependendo da maturidade da empresa, isso pode significar a diferença entre a preparação real ou uma falsa sensação de segurança.
A cultura empresarial é uma das influências mais fortes sobre a capacidade da empresa para preparar, defender e Recupere-se de um ataque. Dependendo da empresa maturidade, isso pode significar a diferença entre preparação ou uma falsa sensação de segurança.
Este white paper fornece informações sobre ataques de ransomware e apresenta orientações detalhadas sobre como se preparar e responder a eles. A cibersegurança, embora desafiadora, é altamente influenciada por variáveis que incluem, mas não se limitam ao tamanho da empresa, setor e indústria.
A Ascensão do Ransomware
Embora os ataques de ransomware tenham interrompido as operações de negócios desde 1989, o número desses ataques está aumentando rapidamente. O Relatório de Investigação de Violação de Dados de 2022 da Verizon revela um “aumento de 13% nas violações de ransomware – mais do que nos últimos 5 anos combinados”.2 A Figura 1 mostra o aumento mundial de ransomware de 2017 a 2022.
FIGURA 1: Volume Global Ransomware por Ano
Fonte: SonicWall, Inc., “2023 SonicWall Cyberthreat Report”, 2023, https://www.sonicwall.com/2023-cyber-threat-report/
Os grupos cibercriminosos continuam a evoluir as suas operações e a aumentar o seu espaço no mercado. A Figura 2 mostra uma análise de custo-benefício da execução de uma campanha simples de ransomware de commodities. O resultado mostra a baixa barreira à entrada no ransomware.
FIGURA 2: Análise de Custo-Benefício da Campanha de Ransomware
Fonte: Hinsch, Nicholas; “Louisville Metro ISSA Louisville, KY 2019–Ransomware Recovery,” 18 de novembro de 2019, www.therubiconadvisorygroup.com/2019/11/18/louisville-metro-issa-2019/
Ciclo de Vida do Ransomware
À medida que as práticas de segurança cibernética evoluem para acompanhar as mudanças no cenário digital, os maus atores continuam a mudar e se adaptar para superar essas práticas. Uma simples consulta na web irá gerar inúmeras variações do ciclo de vida de um ataque de ransomware. Por exemplo, uma entidade financeira proeminente publicou insights visualizados na figura 3. Um ciclo de vida mais detalhado do CERT da Nova Zelândia é mostrado na figura 4.
FIGURA 3: Cinco Estágios de um Ataque de Ransomware
Fonte: JPMorgan, “The Anatomy of a Ransomware Attack”, 7 de setembro de 2022, www.jpmorgan.com/commercial-banking/insights/the-anatomy-of-a-ransomware-attack
FIGURA 4: Ciclo de Vida CERT da Nova Zelândia de um Incidente de Ransomware
Source: Government of New Zealand, “How Ransomware Happens and How to Stop it,” www.cert.govt.nz/it-specialists/guides/how-ransomware-happens-and-how-to-stop-it/ Govt NZ 2023. Reprinted under https://creativecommons.org/licenses/by-nc/4.0/.
Compreender o ciclo de vida de um ataque de ransomware pode ajudar os profissionais de negócios a identificar ameaças, avaliar riscos e implementar estratégias de mitigação eficazes. Também lhes permite desenvolver um plano de resposta a incidentes e promover uma cultura de sensibilização para a cibersegurança.
Tipos de incidentes de ransomware
Vimos softwares mal-intencionados evoluírem de computador manual para transferência de computador (por exemplo, disquete ou unidade USB) para replicação de vírus para o desenvolvimento de ferramentas de acesso remoto. Anteriormente, as organizações eram atacadas e suas informações privadas comprometidas com a intenção de que as informações roubadas fossem vendidas dentro do submundo do crime. Agora, os criminosos armam softwares criptográficos ou usam a funcionalidade de criptografia do sistema. Eles exigem pagamentos imediatos via criptomoedas. A nossa prontidão e resposta final a estas ameaças têm de mudar. Ransomware não é mais para diversão, mas se tornou um negócio altamente lucrativo.
Ransomware não é mais para diversão, mas sim tornou-se um negócio altamente lucrativo.
Os três principais tipos de incidentes de ransomware são:
- Infecção automatizada em massa de sistemas isolados — Os agentes de ameaças lançam redes muito amplas e dependem fortemente da automação para explorar e espalhar ransomware para alvos de oportunidade. Normalmente, eles rendem um retorno sobre o investimento menor para o agente da ameaça. Esse tipo de ataque era comum entre 2015 e 2019, antes do surgimento do ransomware corporativo.
- Enterprise Ransomware (também conhecido como “Big Game Hunter”)—Os agentes de ameaças se concentram em invasões direcionadas para obter lucro (extorsão). As vítimas geralmente são redes empresariais de pequenas e médias empresas e grandes organizações. O ransomware empresarial constitui a forma mais comum de ataque de ransomware após 2019 e também é responsável pela maior parte da inovação em torno das táticas de extorsão e do surgimento de ecossistemas de cadeia de suprimentos de ransomware (ou seja, corretores de acesso, serviços de câmbio e mula de dinheiro, hospedagem à prova de balas, redes de entrega de malware, etc.)3
- Ransomware-as-a-Service (RaaS) — Este é um novo modelo de entrega projetado para suportar operações de ransomware corporativo no qual os desenvolvedores de ransomware alugam/oferecem o código malicioso para afiliados qualificados (também conhecidos como “operadores”) que possuem as habilidades de hacking para executar invasões direcionadas e implantar ransomware em redes corporativas. O modelo permite que os desenvolvedores de ransomware reduzam o nível de habilidade necessário para lançar um ataque de ransomware e aumentem esses ataques, oferecendo ransomware a várias afiliadas, ao mesmo tempo em que transferem para essas afiliadas o risco de serem identificadas e presas. Os afiliados recebem a maior porcentagem do resgate (geralmente em torno de 60-70%) e não precisam gerenciar as atividades de extorsão (por exemplo, negociações, transferências de criptomoedas, gerenciamento de sites de vazamento, desenvolvimento de ransomware, etc.).
Atores de ameaças de ransomware
Três tipos principais de agentes de ameaças geram ataques de ransomware:
- Grupos criminosos – O único objetivo desses agentes de ameaças é ganhar dinheiro. Eles veem um ataque de ransomware como uma transação comercial na qual a moeda é extorquida de um alvo.
- Atores de ameaças patrocinados pelo Estado – Esses atores se concentram na disrupção para promover seus objetivos geopolíticos e sociopolíticos e influenciar a direção de um alvo. Os atores patrocinados pelo Estado são apoiados por seus governos. O ransomware é frequentemente usado antes de um engajamento cinético, como visto com a Guerra Russo-Georgiana em 2008 e, mais recentemente, com suspeitas de campanhas russas visando a Polônia, interrompendo organizações de transporte e logística e um importante canal de fornecimento de ajuda militar à Ucrânia.4
- Provedores de ransomware como serviço (RaaS) — Os agentes de ameaças usam uma versão criminalizada do Software como Serviço, na qual o risco da campanha de ransomware (por exemplo, custos, recursos e legal) é reduzido e os retornos são compartilhados entre os membros afiliados e o provedor de RaaS.
Tendências Atuais Observadas do Ransomware
Os agentes de ameaças estão refinando suas operações — em vez de investir recursos para obter acesso, os grupos de ameaças estão aproveitando seus relacionamentos com corretores de acesso inicial, permitindo que os grupos de ameaças passem mais tempo orquestrando ataques direcionados em vez de investir recursos para comprometer inicialmente um alvo. Isso também abre o mercado para atacantes menos sofisticados que podem não ter experiência, habilidade ou capacidade de violar defesas de perímetro, mas podem seguir um runbook.
As mudanças nas operações de grupos de ameaças exigem que as empresas revisem seus programas de treinamento e conscientização de segurança e garantam que suas forças de trabalho estejam bem cientes da ameaça de ransomware e das políticas de ransomware de sua empresa. A conscientização da política de um funcionário deve incluir a posição e a resposta oficiais da empresa, por exemplo, “A Acme nunca pagará um resgate” vs. “A Acme abordará o ransomware caso a caso”.
Mudanças em operações de grupos de ameaças exigem que as empresas para revisar sua conscientização e treinamento de segurança programas e garantir que sua força de trabalho esteja bem ciente da ameaça de ransomware e de seus Políticas de ransomware da empresa.
Uma vez que as empresas têm de se transformar, adaptar e inovar para manter uma presença dominante no mercado, os operadores criminosos devem fazer o mesmo. Os agentes de ameaças estão investindo em seus produtos para se adaptar ao cenário de mercado em mudança, ou seja, à superfície de ataque empresarial.
Os grupos de ameaças estão se especializando e amadurecendo suas capacidades técnicas, muitas vezes mais rápido do que as empresas podem aprender a se adaptar e se defender contra eles. Essa rápida taxa de inovação e adaptação exige que as empresas monitorem continuamente as ameaças e aprimorem seus recursos de gerenciamento de incidentes e de perícia digital (engenharia reversa).
Barreira de entrada de ransomware está caindo O cenário de ataques cibernéticos evoluiu significativamente, com o advento do Ransomware-as-a-Service (RaaS), que permite que agentes mal-intencionados aproveitem o malware pago pelo uso para lançar e sustentar campanhas de ransomware. Em vez de ter que desenvolver seu próprio código de ransomware e executar um conjunto personalizado de operações, os invasores agora podem se valer de uma plataforma que oferece o código de ransomware e a infraestrutura operacional necessários. O aumento de provedores como serviço (por exemplo, corretores de acesso inicial e pacotes de ransomware personalizados) está diminuindo o custo para entrar no mercado de ransomware. A barreira à entrada está no nível mais baixo de todos os tempos e continua a cair, permitindo que mais agentes de ameaças entrem no mercado.
Essa queda no custo é outro fator para que as empresas olhem objetivamente para seus planos e preparativos para ataques de ameaças.
Os agentes de ameaças estão ficando melhores em esconder sua identidade e ações – os agentes de ameaças ocultam suas identidades, aproveitando serviços comuns de anonimização não apenas quando interagem com seus homólogos criminosos, mas também para tornar mais difícil para as empresas se defenderem contra ataques. Os invasores também usam provedores de VPN e serviços de nuvem eticamente flexíveis para ofuscar ainda mais sua origem.
Uma melhor ofuscação de identidade reforça a necessidade de as empresas atualizarem seus recursos de caça a ameaças e gerenciamento de incidentes.
Explorações de dia zero estão aumentando – No passado, as campanhas de phishing eram o método mais bem-sucedido para os adversários ganharem posição. Hoje, explorações de dia zero são mais comuns, desde explorações remotas altamente divulgadas, como Log4J (CVE 2021-45046), até uma variedade de explorações baseadas no Microsoft Windows,5 destacando a necessidade de manutenção de inventário, gerenciamento de configuração, gerenciamento de vulnerabilidades e programas de gerenciamento de patches.
Além das práticas de higiene de dados comuns a um programa de gerenciamento de segurança centrado nos negócios, essas explorações mostram a necessidade de proteção adicional, por exemplo, gerenciamento de superfície de ataque, caça a ameaças, gerenciamento de patches, segmentação de rede e comportamento de linha de base (rede e usuário).
O uso de inteligência artificial para criar ransomware está surgindo — a acessibilidade e a facilidade da inteligência artificial (IA) permitem que ela seja armada, diminuindo ainda mais a barreira de entrada para ransomware. Embora a IA atual possa criar recursos básicos e rudimentares de ransomware que podem não ser sofisticados o suficiente para ignorar as plataformas disponíveis de detecção e resposta de endpoint (EDR), detecção e resposta estendidas (XDR) ou detecção e resposta gerenciadas (MDR), a taxa global de adoção de tais plataformas nos alerta que muitas empresas podem se ver vítimas desse tipo de ataque.
À medida que os recursos de IA aumentam, mais agentes mal-intencionados irão aproveitá-la, exigindo que todos os profissionais da empresa mantenham um nível mais alto de vigilância.
Extorsão dupla – Uma tática empregada por agentes de ameaças que, depois de criptografar os arquivos de um alvo, exfiltram e ameaçam liberar esses arquivos. Isso foi empregado pela primeira vez em 2019 e, desde então, aumentou a eficácia das campanhas de ransomware. Enquanto a maioria dos atacantes de ransomware investe em organizações de violação (grandes caçadores de jogos), alguns agentes de ameaças estão usando Ransomware-as-a-Services que ainda vazam dados, mesmo após o resgate pelos dados ter sido pago.
Extorsão tripla — Uma tática usada na qual ataques adicionais (ou seja, negação de serviço distribuída) são empregados para aplicar pressão adicional às organizações visadas.
Preparação e Prontidão
O ransomware, assim como qualquer outra ameaça que enfrentamos nos negócios, requer uma abordagem preventiva formalizada e uma postura protetora. Assim como as organizações definem e estabelecem políticas para garantir o gerenciamento adequado de outros assuntos de negócios, os protocolos de segurança cibernética precisam ser claros e concisos, articulando a resposta apropriada e esperada caso sua organização seja atacada com Ransomware.
A política de ransomware fornece a justificativa e justificativa sobre por que os investimentos são feitos em um área sobre outra ou por que certas mudanças no negócio as operações são feitas.
A boa notícia é que, ao voltar ao básico de sistemas e higiene de rede, as empresas podem lidar e mitigar muitos ataques. A implementação da filtragem de saída aumenta a probabilidade de ser capaz de interromper a comunicação com nós de comando e controle (C2). Feita corretamente (e imposta), a segmentação de rede reduz ativamente as contas superprovisionadas. Por fim, os backups devem atender às necessidades dos negócios e ser testados quanto à usabilidade.
Governança
Quando ocorre um incidente de ransomware, o temporizador de resposta está em contagem regressiva. Portanto, as empresas devem ter um plano para sua abordagem à ameaça. Uma política oficial de ransomware informa e direciona as práticas e operações corporativas e sua resposta a um incidente de ransomware.
A alta administração precisa definir sua posição oficial sobre os ataques de extorsão. A política de ransomware fornece a justificativa e a justificativa sobre por que os investimentos são feitos em uma área em detrimento de outra ou por que certas alterações nas operações de negócios são feitas.
Ransomware/extorsão não precisa necessariamente ser sua própria política. O que mais importa é que os ataques de ransomware são adequadamente cobertos no gerenciamento de crises, continuidade de negócios, detecção de incidentes e playbooks de resposta, etc.
A Figura 5 mostra os níveis de política de ransomware/extorsão empresarial e as consequências de não ter uma política.
FIGURA 5: Níveis de política de ransomware/extorsão
Níveis de Política de Ransomware/Extorsão | ||
---|---|---|
Não pagaremos | Base Limitada | Nenhuma política definida |
Em hipótese alguma iremos pagar um resgate.Isso exigirá que o Conselho e a alta administração se reúnam. Isso também informará as decisões e deve ser usado para justificar a aquisição de recursos e investimentos.Isso requer um profundo conhecimento e compreensão do ambiente operacional e justificativa e rastreabilidade para os investimentos em pessoas, processos e tecnologia em programas de negócios relacionados à TI. A infraestrutura necessária para satisfazer esse requisito deve atingir a totalidade da organização.Isso inclui investimentos significativos e dedicação de recursos em programas de negócios relacionados à TI. | Somente sistemas ou processos críticos de negócios garantirão a consideração pelo pagamento de um resgate.Sistemas e processos não críticos em que dados regulamentados ou confidenciais não tenham sido expostos não justificarão nenhuma ação adicional.Isso exigirá o apoio da alta administração para priorizar e identificar unilateralmente sistemas e processos críticos para os negócios (e seus subsistemas de suporte) em toda a empresa; Isso reduzirá o escopo do que precisa ser protegido, permitindo que a organização concentre recursos e investimentos financeiros para fins de otimização de riscos.Embora os investimentos ainda precisem ser feitos para os programas e a infraestrutura de negócios comuns relacionados à TI, o escopo pode ser reduzido para se concentrar apenas nos sistemas e processos críticos para os negócios, permitindo que a organização tome uma decisão informada. | A empresa será pega de surpresa; reagir, não responder; e perder produtividade, tempo valioso, confiança das partes interessadas e confiança do público.Os custos de resposta a incidentes da empresa aumentarão.Os funcionários da empresa experimentarão burnout.A seguradora empresarial provavelmente atrasará, negará e diferirá o sinistro porque a empresa não estava adequadamente preparada.A empresa aceitou 100% da responsabilidade e responsabilidade por algo que não entendeu totalmente ou erroneamente assumiu que nunca aconteceria com ela. |
Gestão
A gerência tem a responsabilidade de definir a estratégia e dedicar os recursos necessários para desenvolver uma defesa eficaz contra ransomware. As Figuras 6–9 mostram a multiplicidade de funções, programas, processos e tecnologias necessários para implementar e manter a estratégia.
FIGURA 6: Funções corporativas necessárias para dar suporte a operações e estratégias
Povo | ||
---|---|---|
Arquiteto de Aplicações | Arquiteto Corporativo | Negociador de Ransomware |
Equipe de desenvolvimento de aplicativos | Analistas Forenses | Engenharia Reversa |
Diretor Financeiro | Recursos humanos | Analista de Riscos |
Diretor de Informações | Segurador | Arquiteto de Segurança |
Diretor de Segurança da Informação | Auditoria Interna | Equipe SOC |
Diretor de Operações | Arquiteto de TI | Administrador de Sistemas |
Diretor de Privacidade | Assessoria Jurídica | Analista de Inteligência de Ameaças |
Diretor de Tecnologia | Linha de Negócios | |
Diretor de Privacidade de Dados | Engenheiro de Redes |
FIGURA 7: Processos necessários para apoiar as operações e a estratégia
Programas de Gestão | ||
---|---|---|
Asset Management | Human Resources Security | Risk Management |
Business Continuity & Disaster Recovery Management | Identification & Authentication Management | Secure Engineering & Architecture |
Capacity & Performance Planning | Incident Management | Security & Privacy Governance |
Change Management | Information Assurance | Security & Privacy Management |
Cloud Security Management | Information/Cybersecurity Standards | Security Awareness & Training Management |
Compliance Management | Maintenance | Security Operations |
Gerenciamento de Configuração | Gerenciamento de dispositivos móveis | Gestão de Competências de Pessoal |
Monitoramento Contínuo | Gerenciamento de Segurança de Redes | Desenvolvimento de Tecnologia e Aquisição |
Gerenciamento de criptografia | Gerenciamento de patches | Gestão de Terceiros |
Classificação de Dados e Gerenciamento de Manipulação | Segurança Física e Ambiental Gestão | Gerenciamento de ameaças |
Tecnologia incorporada/inteligente/IoT Gestão | Engenharia de Privacidade e Arquitetura | Gerenciamento de Vulnerabilidades |
Gerenciamento de segurança de endpoint | Projeto & Gerenciamento de Recursos | Segurança Web |
FIGURA 8: Processos necessários para apoiar as operações e a estratégia
Processos | ||
---|---|---|
Controle de acesso | Chave Eletrônica/Criptográfica | Avaliação de Risco (específica para Ransomware) |
Inventário de Ativos (inclusive de):Contas (Humanas e Não Humanas)AplicativosNuvemDados, Informação e ConhecimentoHardwareSupply Chain/Terceiros | Arquitetura Corporativa | Gestão de Riscos |
Controle de acesso a aplicativos | Revisão de identidade e acesso | Ciclo de Vida de Desenvolvimento de Software Seguro |
Engenharia de Aplicação | Gestão de Incidentes | Conscientização de Segurança e Gerenciamento de Treinamento |
Gestão de Ativos | Resposta a incidentes | Engenharia de Segurança |
Análise de Impacto nos Negócios | Desenvolvimento de políticas de informação/cibersegurança | Desenvolvimento de Estratégia de Segurança e Alinhamento |
Engenharia de Processos de Negócios | Procedimentos de informação/cibersegurança | Sistema de Controle de Acesso |
Registro em log centralizado | Gestão de Processos de Informação/Segurança Cibernética | Gerenciamento de inteligência de ameaças |
Gestão de Mudanças | Padrões de informação/segurança cibernética | Modelagem de ameaças |
Gerenciamento de Configuração | Gerenciamento de patches | Revisão de Acesso do Usuário |
Monitoramento Contínuo | Avaliação de impacto à privacidade | Gerenciamento de Vulnerabilidades |
Comunicação de Crise | Revisão de Conta Privilegiada | |
Backup de dados e teste de recuperação | Negociações de Ransomware | |
Classificação de dados, manipulação e inventário | Ransomware Playbooks |
FIGURA 9: Tecnologia necessária para apoiar as operações e a estratégia
Tecnologia | ||
---|---|---|
Controles de Acesso | Detecção de ponto final e resposta | Mecanismo de varredura de descoberta de rede |
Antivírus/Antimalware | Controles de usuário final | Ferramentas forenses de rede |
Sistema de Inventário de Ativos | Gerenciamento de integridade de arquivos | Sistema de Monitoramento de Rede |
Sistema de linha de base (usuário e rede) | Captura completa de pacotes | Segmentação de Rede |
Registro em log centralizado | Potes de Mel/Tokens | Gerenciador de Senhas |
Gerenciamento de Configuração | Ferramentas forenses do host | Gerenciamento de patches |
Análise de dados, mineração e visualização | Plataforma de Compartilhamento de Informações | Caixa de areia |
Criptografia de dados | Sistema de Detecção/Prevenção de Intrusões | Incidente de Segurança e Sistema de Gerenciamento de Eventos |
Prevenção de perda de dados | Ferramentas forenses de memória | Fortalecimento do sistema |
Detecção & Resposta | Gerenciamento de Middleware | Plataforma de Inteligência de Ameaças |
Serviços de diretório | Autenticação multifator | Mecanismo de varredura de vulnerabilidades |
Criptografia em repouso | Captura do NetFlow | Firewall de Aplicação Web |
Criptografia em trânsito | Controles de acesso à rede | Web Proxies |
Funções-chave
Antes de um ataque de ransomware bem-sucedido, é importante identificar os principais papéis nos negócios, processos e tecnologias da empresa (figuras 6 a 9) que normalmente podem estar envolvidos. Essas funções precisam ser claramente documentadas, compreendidas e comunicadas, e a equipe adequadamente treinada para garantir uma resposta eficaz e eficiente. A seguir estão as funções principais típicas:
- Equipe de resposta a incidentes — A equipe é encarregada de investigar o incidente, determinar a extensão do comprometimento, coletar evidências e liderar os esforços de contenção e erradicação. Essa equipe pode incluir a equipe interna ou externa responsável pela resposta a incidentes e perícia digital. É altamente recomendável que todo o trabalho seja realizado em consulta com o advogado para anexar o privilégio advogado-cliente a comunicações potencialmente sensíveis.
- Assessoria Jurídica — Assessoria Interna e Externa tem o papel fundamental de coordenar com todas as equipes a fim de entender os detalhes do incidente e fornecer aconselhamento jurídico sobre todos os aspectos da resolução.
- Comunicação de crise — Bem versado em lidar com eventos de crise, esse indivíduo ou equipe trabalha com advogados para desenvolver e, em seguida, comunicar informações autorizadas sobre o incidente às partes interessadas internas e externas, conforme apropriado.
- Negociador de resgate – Alinhado à política oficial de ransomware empresarial, esse indivíduo é o principal ponto de contato na comunicação e negociação do resgate. Esse indivíduo pode ser interno à empresa ou um negociador contratado.
- Seguradora — Após a notificação, uma seguradora solicitará informações e avaliará os detalhes do incidente para determinar a aplicabilidade da apólice.
Processos e Objetivos
A capacidade de uma empresa de navegar e gerenciar com sucesso um ataque de ransomware depende de sua capacidade de identificar e responder rapidamente. Quanto mais rápido ele consegue identificar um ataque, mais rápido ele pode responder, reduzindo os impactos de longo prazo para as operações de negócios e o tempo de permanência do adversário. Processos e procedimentos bem definidos ajudam uma empresa a conter e remover ameaças mais cedo.
Embora os processos e objetivos de recuperação de um ataque de ransomware sejam geralmente semelhantes aos dos programas de gerenciamento de incidentes, atenção específica deve ser dada aos detalhes exclusivos de um ataque de ransomware. As principais fases do gerenciamento de ransomware são as seguintes:
- Planejamento e Preparação
- Detecção/Identificação
- Contenção
- Erradicação
- Recuperação
- Post-mortem/Avaliação
Cada fase deve ser definida e adaptada à organização, tendo em conta as seguintes considerações:
- Visibilidade – A capacidade de detectar indicadores que podem levar a incidentes de ransomware, visibilidade refere-se à instrumentação, processos definidos, procedimentos documentados e pessoal adequadamente qualificado e competente necessário para reconhecer os indicadores de ataques de ransomware e identificar se o ataque é uma variante de ransomware de commodities conhecido ou de um grande caçador de jogos que se move dentro do ambiente.
O tipo de ataque determina quais indicadores podem estar presentes e se são hashes associados a conta-gotas de arquivos de primeiro estágio e scants/sondas de sistemas críticos para os negócios voltados para a Internet, tentativas de phishing contra pessoal privilegiado ou atividades ilícitas contra sistemas críticos de negócios internos.
O tipo de ataque determina quais indicadores podem estar presente.
A visibilidade permite que as empresas respondam rapidamente em vez de reagir a uma ameaça e, portanto, normalmente requer uma compreensão íntima dos aspectos comerciais e técnicos de uma organização. Ter estabelecido linhas de base para determinar o bem do mal é essencial e requer que as organizações tenham identificado e estejam monitorando ativamente seus ambientes. - Investigação e análise iniciais — O objetivo dos processos iniciais de investigação e análise é duplo: detecção precoce e resposta mais rápida a ameaças ativas e presentes à organização e medidas defensivas preventivas para reduzir e gerenciar a superfície de ataque geral da empresa.
- Prevenção de movimentos laterais — Isso dá suporte às atividades da fase de contenção e à capacidade de reduzir e limitar o acesso do agente da ameaça no ambiente, isolando dispositivos infectados e reduzindo a capacidade do ator da ameaça de se mover lateralmente dentro da rede. A segmentação de rede e a adoção de confiança zero podem reduzir a superfície de ataque, mas as empresas devem estar cientes de que, na maioria dos incidentes de ransomware corporativo, as relações de confiança entre usuários, dispositivos e redes são aproveitadas pelos operadores de ransomware e, em muitos casos, controladores de domínios internos, servidores DNS ou servidores DHCP foram usados para implantar ransomware, ignorando a maioria das medidas de segmentação de rede.
- Análise de impacto — Na situação em que as medidas de detecção e resposta falharam em detectar uma implantação de ransomware, avaliar o impacto nos dados e sistemas é uma atividade que precisa ser equilibrada com o impulso de restaurar dados e sistemas a partir de backups (se os backups não foram destruídos no ataque). As empresas devem priorizar as atividades de recuperação e investigação com base em seus planos de resiliência e requisitos regulatórios. As organizações devem estar cientes de que restaurar sistemas e dados antes de coletar artefatos forenses para análise levará à destruição de evidências valiosas para a investigação do incidente e reduzirá a capacidade dos investigadores forenses de entender como o ataque se desenrolou. As organizações que operam em setores regulamentados devem considerar quaisquer requisitos de relatório (por exemplo, divulgação de violações de dados que afetam informações pessoais, etc.) e determinar como equilibrar as atividades de recuperação e resposta/investigação.
- Determinando quais dados foram acessados — O conhecimento dos sistemas que processam, armazenam, transmitem ou têm acesso a dados confidenciais e regulamentados é fundamental. Isso requer ter diagramas de fluxo de dados atuais, inventário preciso de ativos e uma arquitetura de rede que demonstre como os dados fluem dentro da organização e conheça os proprietários de dados e os proprietários de processos de negócios que são afetados.
Para determinar quais dados foram acessados é necessário ter diagramas de fluxo de dados atuais, inventário preciso de ativos e uma arquitetura de rede que demonstra como os dados fluxos dentro da organização e conhecendo os proprietários dos dados e proprietários de processos de negócios que são afetados.
Controles e instrumentação, como prevenção de perda de dados, sistemas de descoberta de dados, sistemas de gerenciamento de identidade e acesso, registro centralizado e análise de comportamento de rede e usuário são frequentemente aproveitados para determinar quais dados podem ter sido acessados ou expostos e quais contas foram usadas para determinar a amplitude e a profundidade do tempo do adversário na rede.
Os recursos empregados incluem resposta a incidentes e esforços forenses digitais; Estes precisam ser adaptados ao ambiente e integrados às operações de negócios. Devem ser documentados processos, procedimentos e formação definidos do pessoal associado. Além disso, a gerência sênior (por exemplo, COO, CIO, CISO, CRO, CFO) deve ser incluída para tomar decisões-chave, remover obstáculos e priorizar esforços de resposta para a resposta a incidentes e solicitações da equipe forense (CIO e CISO), avaliar o impacto potencial nos negócios (CRO) e aprovar desembolsos financeiros (CFO).
O pessoal envolvido deve incluir os membros apropriados da alta administração, aconselhamento jurídico, resposta a incidentes e membros da equipe forense, e os proprietários de dados afetados e proprietários de processos de negócios; pessoal adicional pode ser incluído em uma base conforme necessário. - Os dados foram exfiltrados?—Ser capaz de saber se os dados foram exfiltrados do ambiente muitas vezes significa a diferença entre declarar uma violação de dados e notificação obrigatória e não ter que relatar. Essa determinação é uma distinção importante, pois o acesso não autorizado por si só (sistema ou dados, interativo ou programático) não implica que os dados foram exfiltrados. Para determinar se a exfiltração ocorreu é necessário ser capaz de recriar as etapas que um agente de ameaça executou enquanto eles estavam na rede corporativa, o que requer soluções de log suficientemente detalhadas e adequadamente arquitetadas para estarem em vigor. Além disso, artefatos de rastreamento comuns podem existir no sistema e na rede que indicam exfiltração de dados (por exemplo, arquivos compactados criados e excluídos recentemente, transferências de arquivos para destinos desconhecidos e aplicativos residentes na memória). Garantir que a resposta a incidentes e os processos e procedimentos forenses digitais, bem como os recursos da equipe, atendam aos requisitos organizacionais é essencial. Têm de ser capazes de demonstrar que a informação está a ser fornecida e transmitida aos principais decisores.
Ser capaz de saber se os dados foram exfiltrados do ambiente muitas vezes significa a diferença entre declaração de violação de dados e notificação obrigatória, e não ter que denunciar.
Controles e instrumentação, como NetFlow, serviços de diretório, sistemas do IAM, plataformas completas de captura de pacotes, SIEMs e configurações de log configuradas corretamente, são frequentemente usados para recriar as atividades de um adversário na rede. As ferramentas forenses do sistema podem ser usadas para identificar a criação e exclusão de arquivos que foram preparados para exfiltração.
Os recursos empregados incluem resposta a incidentes e esforços forenses digitais que são construídos com base em processos, procedimentos e treinamento definidos da equipe associada.
A equipe envolvida deve incluir os membros apropriados da gerência sênior, membros da equipe forense e de resposta a incidentes, arquitetos e engenheiros de rede, mantenedores de sistemas e os proprietários de dados e processos de negócios afetados. Pessoal adicional pode ser incluído em uma base conforme necessário. - Retomada dos negócios — Os esforços de recuperação dos negócios devem começar após a contenção do ransomware. Esse processo é exclusivo para cada ataque e para a política oficial da empresa sobre ransomware.
- Recuperação de dados — Se a política oficial da empresa sobre ransomware for não pagar resgate, depois que o agente da ameaça for contido E erradicado do ambiente (e todos os métodos de acesso fechados para o invasor), a empresa poderá recuperar com confiança os dados de backups imutáveis e retomar as operações.
- Recuperação negociada — As empresas precisam garantir que estão prontas para negociar a recuperação potencial de seus dados (se sua política oficial de ransomware for pagar). Esteja ciente de que o pagamento não é garantia de que quaisquer dados serão recuperados.
- Negociações – Com base na habilidade, nos recursos e no nível de sofisticação de um agente de ameaças, a empresa pode ser capaz de negociar um valor menor do que o solicitado. Um negociador identificado, treinado e qualificado pode significar a diferença entre perda e recuperação de dados. Algumas considerações básicas antes de tentar negociações incluem:
- Não abra o e-mail do ransomware ou clique em links; Normalmente, o relógio só pode começar depois que a primeira troca ocorre entre a empresa e o agente de ameaça.
- Contemplar possíveis resultados; determinar os melhores e piores resultados. Em seguida, planeje como a empresa responderia a cada resultado.
- Estabeleça um canal de comunicação aberto (de preferência fora do canal principal, pois a rede corporativa agora está comprometida). Essa equipe de comunicação deve incluir a alta administração e o aconselhamento jurídico.
- Verifique se o agente da ameaça está listado na lista de sanções mantida pelo Escritório de Controle de Ativos Estrangeiros6 para evitar a introdução de riscos adicionais para a empresa. Isso deve ser feito por um advogado.
- Aproveite o programa de inteligência de ameaças corporativas, incluindo dados de inteligência de ameaças de canais de comunicação estabelecidos com as autoridades policiais. Por exemplo, para entender o agente da ameaça, obtenha respostas para as seguintes perguntas:
- Como eles lidaram com resgates no passado?
- Eles são confiáveis na entrega de chaves de descriptografia que recuperarão os dados ou são mais parecidos com criminosos de esmagamento e captura?
- Comunicações de Atores de Ameaças – Os caçadores de grandes jogos tendem a ser motivados financeiramente. Eles geralmente fazem investimentos significativos para obter acesso e passam semanas entendendo as redes e as operações de negócios de uma empresa antes de lançar um ataque. Eles investem em infraestrutura de suporte (ou seja, call centers) para guiar uma empresa pelo processo de criação de contas de criptografia para fazer pagamentos. As negociações podem ser rapidamente resolvidas. Eles também podem ser prolongados, levando tempo para que ofertas e contraofertas sejam feitas antes de chegar a um acordo. É altamente recomendável que as empresas não subestimem um agente de ameaça que está mantendo seus dados para resgate e não tentem intimidá-los ou ameaçá-los. Lembre-se, cada hora que a empresa fica sem seus dados é uma hora de interrupção dos negócios.
- Ofuscação de transferência de pagamento cripto – As empresas não devem fazer pagamentos de resgate diretamente de sua(s) conta(s) corporativa(s). Há a chance de que o agente da ameaça não reconheça a empresa durante a transação (mesmo que eles tenham passado algum tempo em seu ambiente). Isso pode funcionar a seu favor, porque eles podem não correlacionar que a empresa está disposta a pagar e pode não tentar retornar no futuro. Um estudo recente7 relata que 80% das empresas que pagaram um resgate foram atacadas com ransomware pela segunda vez, com 40% pagando novamente. Setenta por cento deles pagaram um valor maior pelo segundo incidente.
Comunicação Pública e Divulgação
Fundamental para navegar com sucesso pelo processo de resposta a incidentes após um ataque de ransomware é perguntar se e como se comunicar com as partes interessadas internas e externas. Isso requer mensagens claras e intencionais adaptadas aos diferentes públicos. Isso deve ser feito por indivíduos (cuidadosamente selecionados e treinados antes do evento) trabalhando em consulta com um advogado para ajudar a garantir que as mensagens sejam entregues de maneira oportuna e apropriada ao contexto que não ofusque, deturpe ou engane.
Aplicação da lei — Trabalhe com um advogado para estabelecer essas relações antes de um incidente. Saiba quem trabalhará com a empresa, quando a empresa está autorizada a contatá-los, quais são suas capacidades para dar suporte à empresa e qual o nível de detalhes que a empresa tem permissão para compartilhar. Isso deve ser documentado e mantido atualizado.
Órgãos reguladores — trabalhe com advogados para identificar quaisquer requisitos de divulgação sob a lei aplicável, incluindo o momento, a substância e os destinatários de quaisquer divulgações. Embora a notificação dependa da aplicação das leis aos fatos, esse gráfico de notificação deve ser documentado e mantido para se alinhar com a evolução legal e regulatória.
Seguradora — Trabalhe com assessoria jurídica para identificar os pontos de contato da empresa, incluindo quais informações devem ser divulgadas de acordo com a apólice (e quando).
Consultas públicas e mídia pública — Trabalhe com assessoria jurídica, gerenciamento de crises, comunicações corporativas, empresa de relações públicas, serviços de suporte ao cliente e departamento de mídia social para garantir que apenas mensagens aprovadas que reflitam com precisão o incidente sejam compartilhadas. O advogado deve rever a mensagem para evitar o fornecimento de demasiadas informações e para garantir que as informações que precisam de ser salvaguardadas não sejam divulgadas.
As relações com a mídia devem ser sempre tratadas com delicadeza. Nunca assuma que as informações divulgadas estão fora do registro. Certifique-se de que apenas as pessoas que foram treinadas e estão autorizadas a falar com o público estão compartilhando as mensagens. Essa salvaguarda reduz a chance de revelar acidentalmente muitas informações, especialmente se a investigação envolver a aplicação da lei e estiver em andamento. Certifique-se de que seu departamento de mídia social e serviços de suporte ao cliente estejam preparados e treinados sobre como responder e lidar com consultas públicas ou declarações feitas em plataformas de mídia social. Playbooks, processos e procedimentos devem ser documentados e mantidos. O treinamento precisa ser realizado periodicamente para atualizar os conhecimentos e as respostas testadas para garantir que estejam devidamente alinhados.
Uma estratégia de comunicação/divulgação é importante para o impacto de curto e longo prazo, e a liderança deve:
- Demonstrar sua determinação e comprometimento com ações corretivas.
- Anuncie o incidente.
- Seja honesto e aja com responsabilidade.
Estudo de caso: Ataque do Colonial Pipeline Ransomware Em maio de 2021, a Colonial Pipeline sofreu um ataque de ransomware. O acesso inicial foi obtido à rede Colonial Pipeline quando os criminosos exploraram uma rede privada virtual (VPN) legada que não deveria estar em uso.Além de impactar as operações internas de negócios, esse incidente teve um alcance muito maior, impactando outros setores (ou seja, viagens aéreas comerciais) e iniciando compras de pânico com pelo menos 17 estados em um período de quatro dias.Embora haja dúvidas sobre como um sistema VPN legado sem autenticação multifator (MFA) ainda estava em uso, a liderança da Colonial Pipeline não tentou se esquivar da responsabilidade ou desviar a culpa pelo incidente resultante. Eles identificaram a causa e trabalharam para abordar o assunto de uma maneira que sentissem na época ser do melhor interesse de seus stakeholders.8 | Estudo de caso: Ataque à Rackspace Em 2 de dezembro de 2022, os clientes da gigante de computação em nuvem Rackspace começaram a enfrentar interrupções relacionadas ao seu Hosted Exchange Server. Muito pouca informação foi compartilhada sobre a interrupção que afetou milhares de clientes, além de afirmar que foi “um incidente de segurança” depois de decidir “desligar e desconectar” o serviço.11Em seu documento regulatório, a Rackspace afirma: “O negócio de e-mail do Hosted Exchange representa aproximadamente 1% da receita anual total da Rackspace e é composto principalmente por pequenas e médias empresas que usam exclusivamente este produto. Nenhum outro produto, plataforma, solução ou negócio da Rackspace foi afetado ou está passando por tempo de inatividade devido a esse incidente.”12 Embora isso possa ser visto como uma boa notícia para a Rackspace e talvez para sua clientela maior, ela faz pouco para empresas menores que dependem de provedores de soluções em primeiro lugar. As declarações públicas da Rackspace sobre a preparação corporativa conflitam com o que supostamente permitiu que o ataque ocorresse – falha no patch para CVE-2022-41080 e CVE-2022-41082.13, 14, 15 Pior, a Rackspace aparentemente culpou sua decisão de não corrigir com base na caracterização da Microsoft.16, 17 Independentemente do motivo, os clientes ficaram insatisfeitos, resultando em pelo menos dois processos judiciais.18O incidente de ransomware da Rackspace ilustra como a má gestão de um incidente pode influenciar o sentimento público. Além disso, destaca a importância de uma boa comunicação de crise e empatia. |
Estudo de caso: Ataque do The Guardian Ransomware Em 20 de dezembro de 2022, o The Guardian foi atingido por um incidente de ataque cibernético que se acredita ser um ataque de ransomware. Em janeiro de 2023, o The Guardian confirmou que o ataque foi ransomware e que dados pessoais de funcionários do Reino Unido foram acessados. A equipe de notícias pôde continuar produzindo um jornal diário enquanto trabalhava em casa até que a equipe de TI concluísse a restauração do sistema. O The Guardian contratou “especialistas externos para avaliar a extensão do ataque e recuperar seus sistemas”.9 A administração informou o público e o pessoal sobre a interrupção associada às operações.10 |
Garantia
Avaliação de prontidão para ransomware
Esta seção visa ajudar as organizações a garantir a preparação adequada para um ataque de ransomware. As orientações e etapas a seguir podem ajudar as organizações a aprimorar seus recursos de prontidão e resposta.
- Governança — Para se preparar para um ataque de ransomware, o corpo diretivo da organização (por exemplo, conselho de administração ou conselho de regentes) precisa garantir que medidas proativas estejam em vigor para determinar não apenas a capacidade da empresa de responder ao incidente, mas também seu nível de prontidão.
Historicamente, isso significou o aumento do seguro cibernético. No entanto, mais provedores de seguros estão retirando cobertura de incidentes de ransomware19 ou instituir requisitos de subscrição muito mais rigorosos20 (ou seja, prova objetivamente demonstrável de gestão programática suficiente, e não meramente adequada, dos esforços de segurança da informação e privacidade dentro da organização). A prontidão para resposta exige que a empresa priorize e potencialmente revise o gerenciamento de pessoal, processos e tecnologias usados para defendê-la.
Para obter o nível desejado de garantia, as empresas podem considerar aproveitar o Programa de Auditoria de Prontidão para Ransomware,21 Uma abordagem independente do fornecedor para determinar a prontidão geral de uma empresa para lidar com ataques de ransomware. Esse programa ajuda as equipes de gerenciamento e gerenciamento sênior a aumentar suas eficiências operacionais e reduz a chance de solicitações de seguro serem negadas porque sabem onde a empresa deve concentrar seus recursos de proteção contra ransomware. - Gerenciamento — o gerenciamento deve entender quais ativos de dados a empresa mais precisa e valoriza (tanto no local quanto com provedores terceirizados) e levar claramente em conta o risco que o ransomware representa para esses dados. Gerenciar a capacidade de uma organização de responder de forma eficaz e eficiente a um ataque de ransomware requer visualizar o risco em todo o espectro de categorias de ataque, reavaliar sua postura operacional e garantir a higiene dos sistemas e da rede.
- Processos e procedimentos de proteção de informações — as organizações que priorizam e planejam um ataque de ransomware precisam garantir que tenham os processos e procedimentos apropriados em vigor.
Operacionalmente, as empresas têm dependido fortemente de conhecimento não documentado para sustentar os negócios. Os processos e procedimentos precisam ser anotados e esses registros mantidos atualizados para garantir que, no caso de um incidente, a resposta e a recuperação sejam feitas da maneira mais eficaz e eficiente possível.
As empresas devem analisar objetivamente suas arquiteturas de TI e segurança e identificar lacunas para garantir que os esforços de continuidade de negócios e recuperação de desastres considerem e contabilizem os ataques de ransomware. - Controles de tecnologia — O problema com a aquisição e implementação de controles de tecnologia decorre da falta de integração total desses controles nas operações de negócios da empresa.
Embora alguns controles de tecnologia possam ser fáceis de adquirir, como uma nova solução de detecção e resposta de endpoint (EDR) ou prevenção de perda de dados (DLP), outros controles de tecnologia exigem reflexão significativa, consideração da execução e reengenharia de fluxos de trabalho de tecnologia e negócios (por exemplo, introdução da segmentação de um ambiente de rede existente).
Os ataques de ransomware alavancam os controles de uma empresa e as lacunas de controle contra ela. Os atacantes são bem-sucedidos porque existe uma lacuna. Não só as ferramentas devem estar devidamente sintonizadas com o ambiente, mas a equipe deve ser devidamente treinada sobre as capacidades das ferramentas e como operá-las. - Controles humanos — O aspecto mais difícil da prontidão para ransomware provavelmente será o elemento humano, porque a cultura organizacional impulsiona o sucesso ou o fracasso dos planos e esforços de prontidão para ransomware.
Para que os controles humanos tenham sucesso, uma empresa deve garantir que a equipe esteja ciente das várias táticas, técnicas e procedimentos (TTPs) dos atacantes, do impacto potencial de um ataque e de quem contatar. As empresas também devem garantir que todos os contatos estejam cientes das ações e medidas aprovadas a serem tomadas e como escalar tais incidentes.
A alta administração precisa fazer dos controles humanos uma prioridade e lembrar e treinar todos sobre as partes que desempenham na proteção da organização.
Teste de Prontidão para Ransomware
- Exercícios de mesa – Os exercícios de mesa são uma parte essencial do programa de preparação de segurança cibernética de uma organização, especialmente devido às capacidades em rápida mudança dos invasores. Esses exercícios simulam incidentes de segurança cibernética do mundo real e permitem que diferentes partes da empresa testem suas capacidades de resposta e refinem seus procedimentos de resposta a incidentes. A chave para um engajamento bem-sucedido na mesa é envolver as partes interessadas certas. É importante garantir que as lacunas sejam identificadas e tratadas com base em uma escala interna de priorização de risco-impacto. Recomenda-se que estes métodos de teste sejam realizados periodicamente durante todo o ano. Esses exercícios podem ajudar as organizações a entender o cenário de ameaças em evolução, praticar procedimentos de resposta a incidentes, promover uma cultura de conscientização sobre segurança cibernética e demonstrar sua preparação para as partes interessadas.
- Simulação — Esses métodos de teste são um pouco mais invasivos por natureza e destinam-se a testar a eficácia do controle e ajudar a identificar os pontos fortes de prontidão geral e as lacunas potenciais que podem existir no ambiente.
As simulações devem ser aproveitadas para verificar e validar as afirmações de gerenciamento de resiliência de negócios, continuidade, resposta a incidentes e recursos de recuperação de desastres. Para proporcionar o nível de garantia exigido pelo órgão de administração e pela alta administração, as simulações devem ser realizadas no contexto de operações técnicas. Recomenda-se que as simulações sejam realizadas no contexto das operações técnicas de negócios e análise de impacto no negócio, identificando os sistemas impactados envolvidos com a simulação. Durante a simulação, a equipe de negócios e TI deve ser capaz de identificar rapidamente os impactos.
As simulações podem ser planejadas ou encobertas. As simulações planejadas devem ser bem coordenadas para minimizar o impacto ao negócio e ao mesmo tempo cumprir a meta de identificar, documentar e avaliar de forma controlada. Feitas corretamente, as simulações permitirão que as empresas desenvolvam ações corretivas apropriadas e etapas de mitigação não conhecidas ou identificadas anteriormente. O objetivo da simulação secreta é testar a resposta da organização a ataques reais.
Treinamento de prontidão para ransomware
- Usuários finais — é importante garantir que todos na equipe saibam quais são suas responsabilidades, quando e como executá-las. Os ataques de ransomware podem não ser relatados simplesmente porque o usuário final não sabe com quem contatar, acha que a TI está cuidando do problema ou não confia que a equipe do Help Desk irá ajudá-los.
Os ataques de ransomware geralmente começam tendo como alvo os usuários finais. Os atacantes sabem que os usuários finais são a última linha de defesa. A alta administração precisa garantir que os usuários finais estejam cientes das ameaças, conheçam as etapas a serem tomadas se suspeitarem de atividades ilícitas e as relatem em tempo hábil para reduzir o impacto e os efeitos de um ataque de ransomware. A educação e a conscientização do usuário final devem ser de frequência suficiente para atender às necessidades organizacionais. - Tecnologia da informação — dado o aumento de privilégios, acesso e alcance dentro do ambiente, a equipe de TI deve ser conscientizada e lembrada de que são alvos frequentes de invasores. Eles precisam ser treinados sobre como se envolver com as respectivas equipes de resposta a incidentes e segurança cibernética e da informação se houver um evento suspeito de ransomware.
A equipe de TI preenche várias funções ao lidar com a ameaça de ransomware. Eles devem ter uma sólida compreensão dos playbooks/procedimentos operacionais padrão de suporte que definem as atividades e etapas que a gerência já considerou permitidas, as ações que exigem aprovação do gerenciamento e os caminhos de escalonamento e cronogramas associados para reduzir o tempo de permanência do adversário em um sistema ou dentro da rede e diminuir a propagação e o impacto de um ataque. Eles precisam estar intimamente familiarizados com o ambiente operacional para melhor apoiar as capacidades de resposta a incidentes, especificamente aquelas relacionadas aos esforços de contenção, erradicação e recuperação. - Respostas a incidentes de ransomware — Respostas eficazes e eficientes ao ransomware exigem treinamento, habilidades e competências específicas. Também requer planejamento e preparação suficientes, com base na política de ransomware empresarial (ou seja, a posição oficial sobre o pagamento de resgate).
Existem vários atacantes e uma ampla gama de cepas de ransomware, e os respondentes podem não saber o que estão enfrentando até que estejam ativamente envolvidos. Os respondentes precisam manter suas habilidades e competências relevantes para o ransomware atual.
A Figura 10 mostra habilidades e competências comuns associadas aos esforços de resposta a incidentes de ransomware.
FIGURA 10: Habilidades Comuns de Resposta a Incidentes de Ransomware
Habilidades Pessoais | Competências Técnicas |
---|---|
Capacidade de seguir instruções, políticas e procedimentos | Táticas adversárias |
Colaboração | Identificando artefatos forenses |
Comunicação (escrita e oral) | Análise de incidentes |
Diplomacia | Habilidades de tratamento de incidentes |
Documentação | Arquitetura de TI e segurança |
Integridade | Engenharia de TI e segurança |
Investigação | Software malicioso |
Ciclo de vida do IR | Monitorização |
Conhecendo os próprios limites | Aplicativos e serviços de rede |
Liderança | Sistemas operacionais de rede |
Manutenção de registros de incidentes | Protocolos de rede |
Apresentação | Sistemas operacionais |
Resolução de problemas e persistência | Programação |
Autoconsciência | Problemas de segurança (rede e host) |
Gestão do stress | Princípios de segurança |
Gestão do tempo | Vulnerabilidades/fraquezas de segurança |
Conclusão
Ter uma estratégia e um roteiro definidos para reduzir a probabilidade de um ataque em grande escala é o primeiro passo para expor um ataque de ransomware pelo que ele realmente é: um desastre evitável. Isso exige preparação. Quando as empresas estabelecem uma estratégia definida para ransomware que é gerenciada dentro do nível de risco que estão preparadas para aceitar, decisões bem informadas podem ser tomadas. Se ocorrer um incidente de ransomware, ele será gerenciado dentro do apetite de risco do negócio e decisões bem informadas serão tomadas.
No passado, as empresas tentaram transferir o risco de ransomware para as operadoras de seguros, mas hoje os provedores estão instituindo requisitos de subscrição muito mais rigorosos ou retirando a cobertura completamente. Um ataque de ransomware é apenas mais um risco que uma empresa precisa considerar e resolver.
Uma estratégia de ransomware garante que a empresa esteja pronta para um ataque de ransomware e define metas e objetivos desejados no contexto de um ataque potencial. Se um objetivo é garantir uma recuperação rápida, ele precisa investir e validar (ou seja, testar, testar, testar) a capacidade de recuperar ativos críticos para os negócios. Se uma empresa está aberta a negociar com um extorsionário para recuperar seus dados, então ela precisa ter a criptomoeda pronta para não perder um tempo precioso.
Verificação de conhecimento: CPE Quiz Teste seu conhecimento sobre defesa contra ransomware fazendo este teste: Blueprint for Ransomware Defense CPE Quiz. Os membros da ISACA ganham 1 crédito CPE ao passar com uma pontuação de 75%.Valorizamos a sua contribuição: Forneça comentários sobre este artigo. |
Notas
1 Dorfman, Márcia; “Cyberattacks Growing in Frequency, Severity, and Complexity”, The Triple-I Blog, Insurance Information Institute, 29 de abril de 2022, http://www.iii.org/insuranceindustryblog/cyberattacks-growingin-frequency-severity-and-complexity/
2 Verizon Business Resources, “Relatório de Investigações de Violação de Dados de 2022”, 2022, http://www.verizon.com/business/resources/reports/dbir/
3 theNET By CLOUDFLARE, “Atacantes de ransomware aumentam táticas de extorsão”, http://www.cloudflare.com/learning/insights-ransomware-extortion/
4 Cybersecurity & Infrastructure Security Agency (CISA), “Ameaças cibernéticas criminosas e patrocinadas pelo Estado russo à infraestrutura crítica”. Consultado em 2 de março de 2023. http://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a
5 Execução remota de código do MS Office Graphics (CVE 2022-47213), Elevação de privilégios do MS Edge (CVE 2022-44708), Execução de código de remoção do MS SharePoint Server (CVE 2022-44690).
6 Departamento do Tesouro dos EUA, “Office of Foreign Assets Control — Sanctions Programs and Information”, https://ofac.treasury.gov/
7 ContinuityCentral.com; “80% das organizações que pagaram um pedido de resgate foram atingidas novamente”, 9 de junho de 2022, http://www.continuitycentral.com/index.php/news/technology/7383-80-percent-of-organizations-that-paid-a-ransom-demand-were-hit-again
8 David Sanger; Krauss, Clifford; Perlroth, Nicole; “Ataque cibernético força desligamento de um oleoduto dos EUA”, New York Times, 8 de maio de 2021, https://www.nytimes.com/2021/05/08/us/politics/cyberattack-colonial-pipeline.html
9 Oliveira, Edson Fernando; “Guardian confirma que foi atingido por ataque de ransomware”, The Guardian, 11 de janeiro de 2023, http://www.theguardian.com/media/2023/jan/11/guardian-confirms-it-was-hit-by-ransomware-attack
10 Ribeiro, Roberto; “Guardian atingido por grave incidente de TI que se acredita ser ataque de ransomware”, The Guardian, 21 de dezembro de 2022, http://www.theguardian.com/media/2022/dec/21/guardian-hit-by-serious-it-incident-believed-to-be-ransomware-attack
11 Ribeiro, Márcia; “O Rackspace Cloud Office sofre uma violação de segurança destrutiva”, DoublePulsar, 2 de dezembro de 2022, https://doublepulsar.com/rackspace-cloud-office-suffers-security-breach-958e6c755d7f
12 MarketScreener, Comissão de Valores Mobiliários dos EUA, “Rackspace Technology: Regulation FD Disclosure – Form 8-K”, 9 de dezembro de 2022, http://www.marketscreener.com/quote/stock/RACKSPACE-TECHNOLOGY-INC-110370321/news/Rackspace-Technology-Regulation-FDDisclosure-Form-8-K-42514786/
13 Kovacs, Eduardo; “Rackspace conclui investigação sobre ataque de ransomware”, Security Week, 6 de janeiro de 2023, http://www.securityweek.com/rackspace-completes-investigation-ransomware-attack/
14 Culafi, Alexandre; “Rackspace: Ataque de ransomware causado por exploração de dia zero”, TechTarget, 4 de janeiro de 2023, http://www.techtarget.com/searchsecurity/news/252528884/Rackspace-Ransomware-attack-caused-by-zero-day-exploit
15 Robichaux, Paulo; “What We Can Learn from the Rackspace Breach,” Practical 365, 19 de janeiro de 2023, https://practical365.com/what-we-can-learn-from-the-rackspace-breach/#:~:text=Rackspace%20didn’t%20install%20the,2022%2D41082%20was%20remotely%20exploitable
16 Op cit Kovacs
17 “Rackspace culpa Microsoft por ataque de ransomware”, The Stack, 6 de janeiro de 2023, https://thestack.technology/rackspace-blames-microsoft-exchange-zero-day/
18 Kovacs, Eduardo; “Rackspace é atingida por ações judiciais por ataque de ransomware”, Security Week, 12 de dezembro de 2022, http://www.securityweek.com/rackspace-hit-lawsuits-over-ransomware-attack/
19 Ribeiro, Adriana; “Seguradoras correm da cobertura de ransomware à medida que as perdas aumentam”, Reuters, 19 de novembro de 2021, www.reuters.com/markets/europe/insurers-run-ransomware-cover-losses-mount-2021-11-19/
20 Violino, Bob; “Prêmios crescentes, cobertura de seguro cibernético mais restrita representa grande risco para as empresas”, CNBC, Conselho Executivo de Tecnologia, 11 de outubro de 2022, www.cnbc.com/2022/10/11/companies-are-finding-it-harder-to-get-cyber-insurance-.html
21 ISACA, Programa de Auditoria de Prontidão para Ransomware, 2022, https://store.isaca.org/s/store#/store/browse/detail/a2S4w000005uz6vEAA
FONTE: ISACA