10 coisas para proteção e reforço contra ransomware

10 coisas para proteção e reforço contra ransomware

17 de outubro de 2019 0 Por Suporte Rede Digital

Aqui estão as 10 coisas que você pode fazer agora para reforçar suas defesas e ajudar sua recuperação quando for atingido.

Apenas o pensamento de ransomware é suficiente para manter os CISOs e as equipes de segurança à noite. As vítimas são apanhadas em uma terrível escolha entre pagar um resgate a um criminoso que pode ou não liberar sua rede e dados capturados, ou potencialmente gastar milhões de dólares para remover o ransomware por conta própria.

De acordo com um relatório recente , o custo de um único incidente de ransomware é de cerca de US $ 713.000 quando você calcula os custos de pagamento do resgate juntamente com as perdas relacionadas, como tempo de inatividade, valor de qualquer dado ou hardware perdido, a despesa de melhorar seu infraestrutura e tempo e dinheiro necessários para reparar a imagem da sua marca. Esse número também pode aumentar exponencialmente quanto mais tempo os sistemas críticos permanecerem offline.

E esses custos provavelmente aumentarão. Em um ataque recente este ano, por exemplo, os invasores exigiram um pagamento de 13 Bitcoin (mais de US $ 75.000) por cada computador afetado pelo ataque, para que os usuários pudessem recuperar o acesso aos seus arquivos – muito acima da demanda normal de resgate, que antes era pouco menos de US $ 13.000 .

Você não precisa ser uma vítima

Devido ao sucesso financeiro do ransomware, ele continua a atrair criminosos cibernéticos, que lançam ataques em larga escala que buscam sugar vítimas descuidadas ou que planejam cuidadosamente ataques altamente focados, visando alvos específicos com maior probabilidade de pagamento. Criminosos ainda menos técnicos estão entrando na onda através de um número crescente de portais de ransomware como serviço disponíveis na Dark Web.

Independentemente da abordagem, no mundo digital de hoje, um ataque de ransomware é mais uma questão de quando do que se .

Independentemente de quão sombria essa notícia possa parecer, as organizações realmente têm uma maneira de se defender efetivamente contra o ransomware. Começa usando algumas práticas recomendadas para evitar o maior número possível de ataques e, em seguida, tomando as precauções apropriadas para minimizar o impacto de qualquer ataque bem-sucedido.

Dez coisas que você pode fazer agora

Aqui estão 10 etapas críticas que toda organização precisa considerar como parte de sua estratégia anti-ransomware:

  1. Mapeie sua superfície de ataque. Você não pode proteger o que não sabe que precisa ser protegido. Comece identificando todos os sistemas, dispositivos e serviços em seu ambiente em que você confia para realizar negócios e mantenha um inventário ativo. Esse processo não apenas ajuda a identificar seus destinos mais vulneráveis, mas também ajuda a mapear a linha de base do sistema para recuperação.
  2. Corrija e atualize seus dispositivos vulneráveis . Estabelecer e manter um protocolo regular de correção e atualização é apenas uma prática recomendada básica. Infelizmente, muitas organizações simplesmente não o fazem. Obviamente, nem todo sistema pode ser colocado offline para correção de atualização. Nesse caso, eles precisam ser substituídos (quando possível) ou protegidos usando rígidos controles de proximidade e algum tipo de estratégia de isolamento ou confiança zero.
  3. Atualize seus sistemas de segurança . Além de atualizar seus dispositivos em rede, você também precisa garantir que todas as suas soluções de segurança estejam executando as atualizações mais recentes. Isso é especialmente crucial para a sua solução de gateway de email seguro (SEG). A maioria dos ransomware entra em uma organização por email, e uma solução SEG deve ser capaz de identificar e remover anexos e links maliciosos antes de serem entregues ao destinatário. Da mesma forma, uma solução eficaz de filtragem da Web que aproveita o aprendizado de máquina deve ser capaz de efetivamente parar os ataques de phishing. Além disso, sua estratégia de segurança precisa incluir itens como listas de permissões de aplicativos, mapeamento e limitação de privilégios, implementação de confiança zero entre sistemas críticos, aplicação de políticas de senha fortes e exigência do uso de autenticação multifator.
  4. Segmente sua rede . A segmentação de rede garante que os sistemas e malware comprometidos sejam contidos em um segmento específico da rede. Isso inclui isolar sua propriedade intelectual e seqüestrar as informações de identificação pessoal de funcionários e clientes. Da mesma forma, mantenha os serviços críticos (como serviços de emergência ou recursos físicos, como sistemas de HVAC) em uma rede separada e segregada.
  5. Proteja sua rede estendida . Garanta que as soluções de segurança implantadas em sua rede principal sejam replicadas em sua rede estendida – incluindo redes de tecnologia operacional (OT), ambientes em nuvem e filiais – para evitar falhas de segurança. Também reserve um tempo para revisar as conexões de outras organizações (clientes, parceiros, fornecedores) que tocam na sua rede. Verifique se essas conexões estão reforçadas e se a segurança e a filtragem apropriadas estão em vigor. Em seguida, alerte esses parceiros sobre quaisquer problemas que você possa descobrir, especialmente relacionados à possibilidade de conteúdo malicioso ser compartilhado ou espalhado por essas conexões.
  6. Isole seus sistemas de recuperação e faça backup de seus dados . Você precisa executar backups regulares de dados e do sistema e, da mesma forma crítica, armazenar esses backups fora da rede para que não sejam comprometidos no caso de uma violação. As organizações também devem verificar esses backups em busca de evidências de malware. Você também precisa garantir que todos os sistemas, dispositivos e software necessários para uma recuperação completa do sistema estejam isolados da rede, para que estejam totalmente disponíveis, caso você precise se recuperar de um ataque bem-sucedido.
  7. Execute exercícios de recuperação . Exercícios de recuperação regulares garantem que seus dados de backup estejam prontamente disponíveis, que todos os recursos necessários possam ser restaurados e que todos os sistemas operem conforme o esperado. Também garante que as cadeias de comando estejam em vigor e que todos os indivíduos e equipes entendam suas responsabilidades. Quaisquer questões levantadas durante uma pesquisa precisam ser abordadas e documentadas.
  8. Alavancar especialistas externos . Estabeleça uma lista de especialistas e consultores confiáveis ​​que podem ser contatados em caso de comprometimento para ajudá-lo no processo de recuperação. Quando possível, você também deve envolvê-los em seus exercícios de recuperação. NOTA : As organizações também devem relatar imediatamente qualquer evento de ransomware à CISA , a um escritório de campo local do FBI ou a um escritório de campo do Serviço Secreto .
  9. Preste atenção aos eventos de ransomware . Fique a par das últimas notícias sobre ransomware, inscrevendo-se em inteligência de ameaças e feeds de notícias, crie o hábito de sua equipe aprender como e por que os sistemas foram comprometidos e aplique essas lições ao seu próprio ambiente.
  10. Eduque os funcionários . Em vez de ser o elo mais fraco da sua cadeia de segurança, seus funcionários precisam ser sua primeira linha de defesa cibernética. Como o ransomware geralmente começa com uma campanha de phishing, é imperativo que você os instrua nas táticas mais recentes que os cibercriminosos estão usando para enganá-los – sejam eles direcionados a dispositivos corporativos, pessoais ou móveis. Além do tipo de revisão anual regular da segurança da qual a maioria dos funcionários deve participar, considere uma cadência regular de campanhas de conscientização. Atualizações rápidas de vídeo de 30 a 60 segundos, jogos de simulação de phishing, mensagens de email da equipe executiva e pôsteres informativos ajudam a manter o conhecimento. Além disso, a execução de suas próprias campanhas internas de phishing pode ajudar a identificar funcionários que precisam de treinamento adicional.

Pass This Along

Quando se trata de crime cibernético, estamos todos juntos nisso. Garanta que você tenha reuniões regulares com colegas da indústria, consultores e parceiros de negócios – especialmente aqueles essenciais para suas operações de negócios – para compartilhar essas estratégias e incentivar sua adoção. Isso não apenas garantirá que eles não espalhem a infecção por ransomware para cima ou para baixo, criando responsabilidade para si e para você, mas também ajudará a proteger sua organização, pois qualquer interrupção na rede provavelmente terá um impacto em cascata nos seus negócios.

Fonte: https://threatpost.com