Gustavo Leite (*)
Para a maioria dos profissionais de TI, a ameaça de um ataque de ransomware é motivo para passar noites em claro. Organizações de todos os setores, públicas ou privadas, são vítimas em potencial, se não já vitimadas.
Na verdade, uma pesquisa recente da Veritas Technologies sugere que as organizações tiveram 2,57 ataques de ransomware que levaram a um tempo de inatividade significativo nos últimos 12 meses, com 10% enfrentando um tempo de inatividade que impactou os negócios mais de cinco vezes.
Embora o ransomware possa causar sérios danos ao negócio e reputação das empresas, ele não é invencível. Na verdade, é tão forte quanto o elo mais fraco das organizações. A boa notícia é que há alguns passos que as empresas podem tomar para evitar serem alvos de crimes cibernéticos e diminuir a probabilidade de um ataque derrubar seus negócios.
Abaixo as 10 melhores práticas que podem ser implementadas para proteger dados e garantir a resiliência dos negócios.
1. Atualizações imediatas de sistemas e atualizações de software – O uso de software desatualizado pode permitir que invasores explorem vulnerabilidades de segurança absolutas. Para reduzir sua superfície de ataque, certifique-se de corrigir e atualizar com frequência toda a infraestrutura, sistemas operacionais e aplicativos de software. Também é importante atualizar seu aplicativo de backup. Não lute contra o ransomware de hoje com a tecnologia de ontem.
2. Faça backup com frequência e evite um único ponto de falha com a regra de backup 3-2-1-1 – Se você fizer backup de seus dados, imagens do sistema e configurações com frequência, sempre terá um local atualizado para retomar as operações se o ransomware ocorrer.
Melhor ainda, vá um passo adiante dispersando seus dados com a regra de backup 3-2-1 — mantendo três ou mais cópias em locais diferentes, usando duas mídias de armazenamento distintas e armazenando uma cópia fora do local. Isso reduzirá as chances de um invasor obter acesso a tudo. Essa abordagem 3-2-1 também garante que uma vulnerabilidade em um não comprometa todas as suas cópias e oferece opções se um ataque destruir um data center inteiro.
Muitas organizações estão agora dando mais um passo para o 3-2-1-1, mantendo pelo menos uma cópia no armazenamento imutável (não pode ser alterado) e indelével (não pode ser excluído).
3. Implemente o modelo e as políticas de confiança zero (zero trust) – O modelo de confiança zero é uma mentalidade que se concentra em não confiar em nenhum dispositivo — ou usuário — mesmo que estejam dentro da rede corporativa, por padrão. Em vez de apenas uma senha (sim, mesmo que seja longa e complicada), também exija autenticação multifator (MFA) e controle de acesso baseado em função (RBAC), monitore e mitigue atividades maliciosas e criptografe dados em trânsito e em repouso, o que torna os dados exfiltrados inutilizáveis.
Garante o compartilhamento alto e aberto que você nunca deve usar senhas de fábrica em nenhum lugar. Além disso, se você limitar o acesso a backups, acabará com o método de entrada mais comum para ransomware. Muitas organizações estão adotando uma prática de segurança just-in-time (JIT), em que o acesso é concedido conforme a necessidade ou por um período predeterminado, o que é algo a ser considerado para dados cruciais e críticos de negócios.
4. Segmentação de rede – Os invasores adoram uma única rede contínua. Isso significa que eles podem se espalhar por toda a sua infraestrutura com facilidade. Uma maneira eficaz de parar os invasores e reduzir significativamente sua superfície de ataque é com segmentação de rede e microssegmentação. Com este modelo, as redes são divididas em várias zonas de redes menores e o acesso é gerenciado e limitado, especialmente aos seus dados mais importantes.
Também é uma prática recomendada comum manter as funções de infraestrutura mais vitais fora da web. Além disso, como parte do modelo de confiança zero de sua empresa, considere segmentar fornecedores terceirizados, pois houve muitos ataques notáveis às cadeias de suprimentos resultantes da má gestão do fornecedor.
5. Visibilidade do endpoint – A maioria das organizações tem uma grave falta de visibilidade em endpoints remotos. Agora, tornou-se uma prática comum os maus atores passarem pela segurança da linha de frente e saírem, permanecendo inativos o tempo suficiente para localizar pontos fracos e encontrar o momento oportuno para atacar.
É vital que você implemente ferramentas que forneçam visibilidade completa em todo o seu ambiente, detectem anomalias e procurem e alertem você sobre atividades maliciosas em sua rede, não dando ao ransomware nenhum lugar para se esconder. Isso ajudará você a mitigar ameaças e vulnerabilidades antes que os maus atores tenham a oportunidade de agir.
6. Armazenamento imutável e indelével – Uma das melhores maneiras de proteger seus dados contra ransomware é implementar um armazenamento imutável e indelével, que garante que os dados não possam ser alterados — criptografados ou excluídos — por um determinado período.
No entanto, o termo armazenamento imutável tornou-se uma palavra da moda entre os fornecedores de backup nos dias de hoje. Procure por imutabilidade que não seja apenas lógica, mas também inclua imutabilidade física, e é importante incluir camadas de segurança integradas. A indústria está se movendo em direção a dois tipos de imutabilidade.
Na Veritas, nós os chamamos de Modo Empresarial e Modo de Conformidade. O Modo Empresarial é conhecido como uma abordagem de “quatro olhos”, o que significa que você precisa de dois pares de olhos para validar qualquer alteração. Por exemplo, o primeiro par de olhos é do administrador de backup e o segundo par de olhos é do administrador de segurança. Sem a aprovação de ambos, nenhuma alteração é possível.
O Modo de Conformidade refere-se à imutabilidade inalterável, que são dados que não podem ser alterados em nenhuma circunstância. Ambos os modos incluem um Relógio de Conformidade que é completamente independente do SO para que, se o relógio do SO for falsificado, não afete a liberação dos dados.
7. Recuperação rápida – A maioria dos invasores de ransomware espera duas coisas: tempo para o ataque se espalhar e dinheiro (de você) para fazê-lo parar. Historicamente, a recuperação pode levar semanas ou até meses, pois era um processo extremamente manual e trabalhoso que se estendia por várias partes interessadas em uma organização.
Agora, a recuperação pode ser orquestrada e automatizada com opções flexíveis e alternativas, como instalar rapidamente um data center em um provedor de nuvem pública, que pode reduzir o tempo de inatividade e fornecer alternativas ao pagamento de resgate. Com os sistemas corretos, os tempos de recuperação podem ser reduzidos para segundos, se necessário.
8. Teste e validação regulares – Criar um plano abrangente de proteção de dados não significa que seu trabalho está concluído. O teste garante que seu plano funcione quando você precisar. E embora o teste inicial possa confirmar que todos os aspectos do plano realmente funcionam, é fundamental testar regularmente porque os ambientes de TI estão constantemente em fluxo.
É importante ressaltar que qualquer plano é tão bom quanto a última vez que foi testado e, se você não testar, não há garantia de que você possa se recuperar rapidamente! Também é vital implementar soluções que testem um ambiente de recuperação ou sandbox isolado e sem interrupções.
9. Funcionários treinados – É do conhecimento geral que os funcionários geralmente são a porta de entrada para um ataque. Não culpe seus funcionários — erros acontecem. Ataques de phishing modernos e engenharia social agora são tão avançados que muitas vezes enganam os profissionais de segurança.
Em vez disso, concentre-se em treinar funcionários para identificar táticas de phishing e engenharia social; construir senhas fortes; navegue com segurança; utilizar MFA; e sempre use VPNs seguras, nunca Wi-Fi público. Certifique-se também de que os funcionários saibam o que fazer e a quem alertar se forem vítimas.
10. Manuais de ataque cibernético – Imagine se todos em sua organização soubessem exatamente o que fazer e quando enfrentar um ataque de ransomware. Isso não é impossível se você criar um manual de ataque cibernético padrão que esclareça as funções e alinhe e capacite equipes multifuncionais com caminhos de comunicação claros e protocolos de resposta em caso de emergências.
Um ótimo conselho é configurar um canal de comunicação de emergência em um aplicativo de mensagens de texto seguro para que a liderança sênior de sua organização se comunique no caso de um ataque cibernético, pois os sistemas de e-mail ou bate-papo da empresa também podem ser desativados como resultado do ataque. Também é uma ótima ideia contratar uma agência terceirizada para auditar a estratégia de sua equipe e verificar seu trabalho.
Você tem o poder de tomar medidas importantes para combater o ransomware e virar a mesa contra os cibercriminosos. Ao reunir uma estratégia de resiliência de ransomware em várias camadas que inclui as melhores práticas acima e uma higiene de segurança cibernética impecável, você pode impedir os invasores antes que eles ganhem uma posição.
(*) – É country manager para o Brasil da Veritas Technologies (https://www.veritas.com/pt/br).