NOT├ŹCIAS

As 10 melhores práticas para superar ataques de ransomware

As 10 melhores práticas para superar ataques de ransomware

by 14 de junho de 2018 0 comments

por Derek Manky*

Nos ├║ltimos meses, os cibercriminosos tornaram-se muito mais ativos, visando uma ampla variedade de organiza├ž├Áes, de institui├ž├Áes de sa├║de e ensino a governos locais

Imagem: Divulga├ž├úo

Quase um ano depois das manchetes sobre os ataques do WannaCry em todo o mundo, v├írias organiza├ž├Áes de alto n├şvel e relev├óncia no mercado continuam na mira desse ransomware, algumas delas sofrendo ataques recentes. Isso faz parte de uma tend├¬ncia crescente que pode atingir um grande n├║mero de pessoas e com consequ├¬ncias que podem ser devastadoras.

Tradicionalmente, um ataque de ransomware geralmente come├ža quando um usu├írio final clica em um link ou abre um arquivo anexado a um e-mail malicioso que faz parte de uma campanha de phishing (aleat├│ria) ou spearphishing (direcionada). Ou ent├úo o usu├írio final visita um site comprometido e recebe um bug com o que estiver visualizando ou baixando.

Recentemente, o ransomworm WannaCry e o malware SamSam são carregados em um dispositivo vulnerável de usuário que está conectado a uma rede aberta, e se espalham, localizando outros sistemas vulneráveis e criptografando seus dados.

Nos ├║ltimos meses, os cibercriminosos tornaram-se muito mais ativos, visando uma ampla variedade de organiza├ž├Áes, de institui├ž├Áes de sa├║de e ensino a governos locais. Tamb├ęm vimos os servi├žos de hospedagem na web baseados na nuvem atingidos com sucesso, em que c├│digos foram injetados em v├írios dom├şnios da web de alto tr├ífego, em vez de atac├í-los um por vez.

Os ataques futuros provavelmente utilizar├úo tecnologias como intelig├¬ncia swarm (enxame) para tirar os humanos da cena por completo e acelerar os ataques em velocidades digitais. As comunica├ž├Áes em tempo real permitem que os agentes de ataques individuais ÔÇô ou swarmbots ÔÇô agrupem-se em enxames coordenados capazes de avaliar com mais efici├¬ncia e visar uma ampla variedade de vulnerabilidades potenciais.

Para defender sua rede contra esses ataques de v├írios tipos, ├ę necess├írio desenvolver um processo met├│dico de volta ao b├ísico para reduzir o n├║mero de ataques aos quais a sua organiza├ž├úo est├í exposta. A Fortinet recomenda 10 melhores pr├íticas.

Fa├ža invent├írio de todos os dispositivos
Fa├ža e depois mantenha um invent├írio ativo de quais dispositivos est├úo em sua rede em todos os momentos. ├ë claro que isso ├ę dif├şcil de fazer se os seus dispositivos de seguran├ža, pontos de acesso e dispositivos de rede n├úo puderem se comunicar entre si. Como os recursos de TI continuam se expandindo, uma solu├ž├úo NOC-SOC integrada ├ę uma abordagem valiosa, que garante a identifica├ž├úo e o monitoramento de todos os dispositivos da rede.

Automatize as corre├ž├Áes
A recente invas├úo do WannaCry deixou claro que os sistemas n├úo corrigidos continuam sendo a principal v├ştima de ataques e malwares. ├ë por isso que voc├¬ deve desenvolver um processo para automatizar seu processo de corre├ž├úo (patch).

Fa├ža a segmenta├ž├úo da rede
O que voc├¬ vai fazer quando sua rede for violada? Esta ├ę uma pergunta que todo profissional de seguran├ža precisa fazer. Porque quando isso ocorrer, voc├¬ quer limitar o impacto do evento o m├íximo poss├şvel. A melhor linha de defesa ├ę segmentar a rede. Sem a segmenta├ž├úo adequada, os ransomworms podem se propagar facilmente pela rede, at├ę mesmo em backups, tornando a recupera├ž├úo do seu plano de resposta a incidentes (IR) muito mais dif├şcil de implementar.

Acompanhe as amea├žas
Assine os feeds de amea├žas em tempo real para que seus sistemas de seguran├ža possam estar atentos aos ataques mais recentes. Quando combinados ├á intelig├¬ncia de amea├žas locais por meio de uma ferramenta centralizada de integra├ž├úo e correla├ž├úo, como SIEM ou servi├žo de intelig├¬ncia de amea├žas, os feeds de amea├žas n├úo apenas ajudam as organiza├ž├Áes a ver e responder melhor ├ás amea├žas assim que surgirem e n├úo depois de voc├¬ ter sido o alvo do ataque, como tamb├ęm ajudam a antecip├í-las.

Observe os indicadores de comprometimento (IoCs – indicators of compromise)
Quando voc├¬ correlacionar o seu invent├írio ├ás amea├žas atuais, poder├í ver rapidamente quais dispositivos correm risco, e assim poder├í priorizar prote├ž├Áes, corre├ž├Áes, isolamento ou a substitui├ž├úo.

Proteja dispositivos de usuários e pontos de acesso
Crie a regra exigindo que os dispositivos que chegam ├á sua rede atendam aos requisitos b├ísicos de seguran├ža e a busca ativa por dispositivos e tr├ífego sem corre├ž├Áes ou infectados.

Implemente controles de seguran├ža
Use solu├ž├Áes baseadas em comportamento e assinatura em toda a sua rede para detectar e impedir ataques tanto na borda da rede quanto depois de passarem pelas defesas de per├şmetro.
Use automa├ž├úo de seguran├ža: Depois de ter bloqueado as ├íreas sobre as quais voc├¬ tem controle, aplique a automa├ž├úo ao n├║mero m├íximo poss├şvel de processos b├ísicos de seguran├ža. Desta forma, voc├¬ libera seus recursos de TI para que se concentrem em tarefas de an├ílise e resposta de amea├žas de ordem superior que podem proteger das amea├žas mais avan├žadas que visam a sua organiza├ž├úo.

Fa├ža backup dos sistemas cr├şticos: A coisa mais importante em rela├ž├úo ao ransomware ├ę fazer uma c├│pia dos dados e recursos cr├şticos armazenados fora da rede para que voc├¬ possa restaurar e retomar as opera├ž├Áes o quanto antes.┬áCrie um ambiente de seguran├ža integrado: Para garantir que todas essas pr├íticas de seguran├ža sejam estendidas a cada novo ecossistema de rede online, voc├¬ precisa implementar solu├ž├Áes de seguran├ža totalmente integradas como uma fabrica de seguran├ža, para permitir coordena├ž├úo e an├ílise centralizadas.

Esfor├žo em equipe
Como as redes se tornam mais complexas, o trabalho de defend├¬-las tamb├ęm se torna cada vez mais complicado, pois deixou de ser uma tarefa de apenas uma solu├ž├úo ou uma equipe. A automa├ž├úo pode ajudar a equipe de TI e em outras pr├íticas recomendadas de seguran├ža, fechando as portas para o ransomware. Al├ęm disso, com a evolu├ž├úo do malware, a intelig├¬ncia do grupo fornecida por um feed de amea├žas compartilhado ajudar├í voc├¬ a entender melhor e escolher a melhor solu├ž├úo.

*Derek Manky ├ę estrategista de seguran├ža global da Fortinet

Nenhum Comentário

Seja o Primeiro a Comentar Este Post

Nenhum Comentário Ainda!

Seja o Primeiro a fazer um comentário.

Deixe uma resposta

<

O seu endere├žo de e-mail n├úo ser├í publicado. Campos obrigat├│rios s├úo marcados com *