Diante do cenário atual, no qual os ataques ransomware representam uma das principais ameaças cibernéticas enfrentadas pelas empresas, é crucial adotar medidas preventivas e estratégias de resposta eficazes antes, durante e depois dos incidentes. Antes de qualquer ocorrência, a Redbelt Security enfatiza a necessidade de as empresas investirem de maneira significativa em soluções de Segurança da Informação, destinando cerca de 15% do orçamento da área de TI para este fim.
“Esse investimento deve ser direcionado aos três pilares fundamentais de cibersegurança: pessoas, processos e tecnologia”, afirma Marcos Almeida, gerente do Red Team e de inteligência de ameaças na Redbelt Security. Isto porque o principal vetor dos ataques, de entrada de um ransomware, em geral, é um phishing, então se companhia não investe em treinamentos adequados para seus colaboradores, eles acabam clicando em links maliciosos e abrindo as portas para que os sistemas sejam infectados.
Há também a possibilidade de um funcionário instalar esse artefato malicioso. Por esta razão, é relevante conscientizar todos sobre as políticas de segurança da informação e do quão importante é não abrir e-mails estranhos e não vazar informações da empresa. Além disso, a definição e documentação de processos de cibersegurança são essenciais, assegurando que todos os profissionais saibam como agir em caso de eventuais ocorrências, além de processos internos de back-ups em diferentes formas.
Segundo Almeida, a implementação de tecnologias de segurança, como soluções de SIEM, EDR e AFI, é destacada como uma medida eficaz para detectar e responder a ataques cibernéticos. “O ideal sempre é olhar os alertas já existentes nestas soluções e correlacionar com outros eventos que existem dentro do próprio ambiente, fazendo uma varredura do ambiente para encontrar suas vulnerabilidades. É fundamental sempre implementar e testar tudo”, ressalta o especialista da Redbelt Security.
Outra providência essencial é ter sempre um plano de resposta a incidentes cibernéticos, que deve ser testado regularmente. “Esse plano delineia as ações a serem adotadas durante um ataque, incluindo o isolamento da rede para evitar a propagação do ransomware. A investigação é crucial para identificar a causa do ataque, permitindo que medidas adequadas sejam tomadas”, explica Almeida.
O gerente da Redbelt Security explica ainda que inicialmente é feita toda uma análise do processo de invasão para isolamento da rede com o intuito de evitar o ransomware ou malware específico se transporte para outras partes, impactando outras máquinas. Tudo é sempre mais fácil e rápido se existe um processo eficiente de backup, que possibilita a restauração do ambiente pós-ataque.
Na fase pós-incidente, a empresa deve conduzir uma investigação aprofundada, identificando a causa do ataque e implementando medidas para mitigá-la. A restauração dos sistemas afetados e o retorno à operação normal também são prioridades. Comunicar o ataque de maneira transparente aos stakeholders relevantes é fundamental para minimizar os impactos negativos dentro e fora da empresa.
“Hoje, há uma migração muito forte da responsabilidade do backup para dentro da Cibersegurança, pois este processo deixou de ser assunto da área de infraestrutura justamente pela questão dos riscos de ransomware e dos vazamentos de dados. Agora, é vital haver planejamento de backup de múltiplas instâncias, pois no passado um backup podia demorar até 20 horas para voltar. Hoje em dia, isto não pode mais acontecer, o backup tem de ser feito de maneira granular em pelo menos 30 minutos, se demorar uma hora e duas horas já começam a ficar complicado”, conclui Almeida.
