#Cibersegurança #Segurança de TI

Estratégia de combate contra Ransomwares e outras ameaças

Na história recente da cibersegurança, definitivamente uma das ameaças que mais afeta o cotidiano das empresas é o Ransomware. E, a razão para isso acontecer é que esse tipo de ataque é extremamente rentável.

Com a pandemia de Covid-19 houve um grande aumento na utilização de plataformas de e-commerce, e, com essa ampliação, os responsáveis pelos ataques de Ransomwares começaram a focar no mercado varejista que utiliza esta estratégia.

 O cenário atual foi compartilhado pela CIO Adviser: 77% das 422 empresas de varejo entrevistadas admitiram terem sido vítimas de ataques de Ransomware em 2021, um aumento de 75% em relação ao ano anterior. Segundo relatado de 88 varejistas, o valor médio do resgate foi de US$226.044, constatando um aumento de 53% acima da média de US$147.811. Ao converter para o Real, o custo médio de um ataque de Ransomware custa em torno de R$1.152.824,40.

Fora deste valor as empresas ainda devem se preocupar com  o custo de horas extras de colaboradores, contratação de empresas especializadas para apoio na resposta ao incidente, custos de ações jurídicas, custos com multas contratuais pela parada de serviços, consultorias de análises forenses para coleta de evidências e também para reconstruir a imagem da corporação, um desafio lento e trabalhoso.

Quando o assunto é Ransomware, uma das melhores estratégias é trabalhar na camada de prevenção e, do ponto de vista financeiro, um dos melhores efeitos colaterais é a redução da superfície de ataques para outras ameaças também. Em uma publicação recente, de fevereiro de 2022, o NIST (National Institute of Standards and Technology) lançou a publicação NISTIR 8374 (Ransomware Risk Management).

Essa publicação compartilha uma arquitetura para a prevenção aos Ransomwares baseada em cinco pilares: pilar 1 – educação e conscientização dos colaboradores, pilar 2 – gestão de vulnerabilidades, pilar 3 – detecção rápida e bloqueio do ataque de Ransomware e outras infecções, pilar 4 – dificultar (muito) a propagação do Ransomware, pilar 5 – facilitar (muito) o processo de recuperação de dados.

A partir da definição destes pilares, é necessário desenvolver ações para serem executadas em cada uma delas.

Pilar 1 – Conscientização:

Essa é uma ferramenta das menos prestigiadas, ou pelo menos cotadas, porém o fator H (humano) é chave fundamental para a proteção contra qualquer ameaça cibernética. É possível instruir os colaboradores para evitar o início do ataque do Ransomware. As recomendações também auxiliam na prevenção de muitas outras ameaças, já que o phishing e as técnicas de engenharia social são massivamente utilizadas pelos agentes de ameaça para comprometer a segurança da sua corporação. Basicamente, este primeiro pilar é uma campanha de conscientização e treinamento multidisciplinar.

Pilar 2 – Gestão de Vulnerabilidades:

O combate às vulnerabilidades é conhecido pela maioria dos gestores de tecnologia. Essa vulnerabilidade pode estar presente tanto nos recursos e ativos tecnológicos quanto na esteira de desenvolvimento.

Gerir vulnerabilidades é um trabalho constante. Não é possível fazer de maneira pontual, é necessário monitorar e tratar as vulnerabilidades semanalmente. E, ainda é preciso conhecer profundamente os seus principais ativos tecnológicos estratégicos, uma vez que é neles que se faz necessário focar os esforços de correção. Os demais também precisam ter suas vulnerabilidades tratadas, é preciso desenvolver um senso de urgência, como é feito com os demais temas relevantes da empresa. Implementar um programa de gestão e controle de vulnerabilidades fará com que outras ameaças sejam naturalmente impedidas.

Pilar 3 – Detecção rápida e bloqueio do ataque Ransomware:

Este tema é mais complexo, uma vez que a constante evolução dos malwares (que inclui os Ransomwares) e o desenvolvimento de técnicas de evasão para não serem detectados são alguns dos principais objetivos dos produtores de cyber ameaças

Quando o assunto é Ransomware esse tipo de ataque é organizado em campanhas, onde vários códigos podem ser “dropados” no seu ambiente com objetivos distintos, como por exemplo permitir a exploração de vulnerabilidades, buscar a movimentação lateral dentro do ambiente (seja ele local ou na nuvem) coletar credenciais de acesso e muito mais, assim investir em ferramentas modernas, com capacidade de detecção com base em inteligência artificial e detecção de eventos suspeitos, não é um capricho, é uma necessidade.

Além disso, investir em tecnologias de  (Security Information and Event Management) para a captação de eventos anômalos é muito útil para o combate aos Ransomwares e outras ameaças de seu ambiente. O SIEM é uma ferramenta que auxiliará muito no combate de diversas ameaças. Porém, até este produto tem suas limitações. Sua eficiência está ligada a forma como é operado, então ter profissionais capacitados para isso também é parte da proposta para implantação do SIEM.

Pilar 4 – Dificultar a Propagação do Ransomware

Esse pilar também é composto por múltiplas ações, tais como habilitar o MFA (Múltiplo Fator de Autenticação) assim credenciais vazadas precisam de uma segunda etapa para de fato se autenticarem. Implementar e gerenciar a autorização de credenciais para ativos estratégicos e softwares, com base no princípio do menos privilegiado.

O NIST possui algumas recomendações interessantes, porém, quando a empresa investe em ações desse tipo a compartimentalização estratégica de acessos, credenciais, tarefas (SOD – Segregation of Duties), entre outras ações certamente tornarão bem complexa a exploração lateral de outras ameaças e isso também auxiliará bastante na estratégia geral para redução de incidentes digitais.

Pilar 5 – Facilitar o processo para Recuperação de informações

Criação de planos para resposta a incidentes e investimentos em Backups e testes de Backups são recomendações constantes quando o assunto é Ransomware. Planos de respostas a incidentes tomam grandes proporções e o importante é iniciar mesmo que de maneira pontual, com a criação de um MVP de resposta a incidentes, por exemplo.

É necessário avaliar sua solução de Backup e entender os recursos existentes para a proteção contra  Ransomwares e assim por diante. Entretanto, é importante ressaltar que essas ações também são muito úteis para o combate a incidentes, não apenas relacionados às cyber ameaças. Os backups praticamente nasceram junto com a tecnologia e são práticas que auxiliam em uma infinidade de situações. Os planos de resposta a incidentes não precisam ser apenas para situações de ataques de Ransomware, eles podem prever enchentes, incêndios, entre muitas outras situações de desastre.

O Combate aos Ransomwares e muitas outras ameaças aos seu negócio passam por uma série de ações, que precisam ser orquestradas de forma a estarem dentro do orçamento, ter a capacidade técnica para executá-las, criar um comitê de segurança para debater esses e outros temas que são de relevância para sua empresa, enfim, o que não é possível, é, não se fazer nada, pois o custo de um incidente como esse tem grandes consequências.

Como última recomendação, o NIST trabalha com recomendações baseadas em 5 pilares:

  • Identificar – Identificar e entender os riscos e o modelo de governança da cibersegurança;
  • Proteger – Implantando as salvaguardas necessárias para proteção de seus recursos críticos (incluindo as pessoas);
  • Detectar – Desenvolver e implantar métodos e formas para detectar o mais rápido possível os incidentes de segurança;
  • Responder – Desenvolver e implantar ações e atividades para que seja possível responder aos incidentes;
  • Recuperar – Desenvolver e implantar planos para garantir a resiliência do seu negócio;

Sem dúvidas, com uma arquitetura planejada de acordo com uma estratégia de defesa com profundidade, os incidentes de Segurança e riscos operacionais serão drasticamente reduzidos e seu ambiente estará muito mais bem preparado para responder aos incidentes quando eles ocorrerem.

 

Referências

NISTIR 8374, Cybersecurity Framework Profile for Ransomware Risk Management

https://www.cisoadvisor.com.br/ataques-de-ransomware-a-varejistas-aumentaram-75-em-um-ano/