*Por Rick Vanover
A guerra contra o ransomware é real. Nos últimos anos, esse tipo de ataque se tornou uma ameaça constante para as empresas. Vimos grandes ataques que tornaram multinacionais, e até mesmo governos, vulneráveis e incapazes de continuar suas operações de missão crítica. Em 2017, o WannaCry paralisou os departamentos de TI de hospitais em toda a Europa, tendo mais de 200 mil computadores afetados, demonstrando o potencial destrutivo do ransomware.
Embora WannaCry e Petya ainda sejam os ataques de ransomware mais conhecidos, essa modalidade de ciberataque ainda está aumentando, de acordo com o Relatório de Ameaças do Crime Organizado pela Internet de 2019 da Europol (IOCTA). As organizações precisam reconhecer essa ameaça e tomar medidas para se preparar, defender e remediar. Isso é fundamental para evitar uma resposta não planejada e provavelmente ineficaz em caso de um incidente de ransomware. Uma defesa forte com estratégia em multicamadas para lidar com o ransomware é composta de três elementos principais: educação, implementação e remediação. Além disso, ter uma abordagem resiliente para backup, recuperação e restauração de dados é vital para proteger a continuidade dos negócios no caso de um evento desse tipo.
Educando o negócio
Existem dois públicos principais que devem ser visados do ponto de vista educacional: a equipe de TI e os usuários das organizações. É importante atingir os dois grupos, pois as ameaças podem ser introduzidas para ambos.
Os principais pontos de entrada de um ransomware são por meio do Remote Desktop Protocol (RDP) ou outros mecanismos de acesso remoto, phishing e atualizações de software. Na maioria dos casos, os ciberataques não são feitos para trabalhar tão arduamente quanto deveriam para buscar grandes prêmios. Saber que esses são os três mecanismos principais é uma grande ajuda para focar no escopo de onde se deve investir mais esforço para ser resiliente em determinado vetor de ataque.
A maioria dos gestores de TI usa RDP para seu trabalho no dia a dia, com muitos servidores RDP conectados diretamente à Internet. A realidade é que isso precisa parar. Os gestores de TI podem ser criativos elaborando endereços IP especiais, redirecionando portas RDP, senhas complexas e muito mais; mas os dados não mentem que mais da metade do ransomware chega via RDP. Isso nos diz que expor servidores RDP à Internet não se alinha com uma estratégia de resiliência de ransomware com visão de futuro.
O outro modo frequente de entrada é por e-mail de phishing. Todos nós já vimos e-mails que não parecem certos. A coisa correta a fazer é excluir esse item. No entanto, nem todo usuário lida com essas situações da mesma maneira. Existem ferramentas populares para avaliar o risco de ameaça do phishing para uma organização como Gophish e KnowBe4. Combinado com um treinamento para ajudar os funcionários a identificar e-mails ou links de phishing, as ferramentas de autoavaliação podem ser um modo eficaz de defesa de primeira linha.
A terceira área que entra em jogo é o risco de explorar vulnerabilidades. Manter os sistemas atualizados é uma responsabilidade da TI e mais importante do que nunca. Embora não seja uma tarefa glamurosa, pode ser um bom investimento, caso um incidente de ransomware explore uma vulnerabilidade conhecida e corrigida. Esteja atento para se manter em dia com as atualizações de categorias críticas dos ativos de TI: sistemas operacionais, aplicativos, bancos de dados e firmware dos dispositivos. Diversos tipos de ransomware, incluindo WannaCry e Petya, foram baseados em vulnerabilidades descobertas e que já foram corrigidas.
Implementar e corrigir
Mesmo as organizações que seguem as práticas recomendadas para evitar a exposição ao ransomware estão em risco. Embora a educação seja uma etapa crucial, as organizações devem se preparar para o pior cenário possível. Se há algo para levar aos líderes de negócios e de TI, é ter uma forma de armazenamento de backup ultra resiliente.
A regra 3-2-1 deve ser a estratégia geral do Gerenciamento de Dados. Ela recomenda que deve haver pelo menos três cópias de dados importantes, em pelo menos dois tipos diferentes de mídia, com pelo menos uma dessas cópias em um ambiente externo. A melhor parte é que essa regra não exige nenhum tipo específico de hardware e é versátil o suficiente para lidar com quase qualquer cenário de falha.
A cópia ‘única’ na estratégia 3-2-1 deve ser ultra resiliente. Com isso, queremos dizer imutável. Existem diferentes formas de mídia em que esta cópia de dados pode ser armazenada de maneira ultra resiliente. Isso inclui mídia de fita, backups imutáveis em armazenamento de objeto compatível com S3, air-gapped and offline media ou software como serviço para backup e Recuperação de Desastres (DR).
Apesar dessas técnicas de educação e implementação, as organizações ainda devem se preparar para remediar uma ameaça, se introduzida. Não pague o resgate. A única opção é restaurar os dados. Além disso, as organizações precisam planejar sua resposta quando uma ameaça for descoberta. A primeira ação é entrar em contato com o suporte.
É preciso ter acesso a uma equipe especial com operações específicas para orientá-lo no processo de restauração de dados em incidentes de ransomware. Não coloque seus backups em risco, pois eles são essenciais para sua capacidade de recuperação.
Em desastres de qualquer tipo, a comunicação torna-se um dos primeiros desafios a serem superados. Tenha um plano de como se comunicar com as pessoas certas. Isso incluiria contatos em grupo, números de telefone ou outros mecanismos normalmente usados para alinhar as comunicações em uma equipe ampliada. Você também precisa de especialistas em segurança, resposta a incidentes e gerenciamento de identidade – internos ou externos.
Também é preciso saber quem deve tomar as decisões. As empresas precisam decidir quem assumirá a responsabilidade para restaurar ou fazer um failover antes que ocorra um incidente. Assim que a decisão de restaurar for tomada, as organizações precisam implementar verificações de segurança adicionais antes de colocar os sistemas novamente online. É necessário ainda decidir se a recuperação de uma máquina virtual (VM) inteira é a melhor opção ou se uma recuperação em nível de arquivo faz mais sentido. Finalmente, o próprio processo de restauração deve ser seguro, executando varreduras completas de antivírus e antimalware em todos os sistemas, forçando os usuários a alterar suas senhas após a recuperação.
Embora a ameaça do ransomware seja real, com a preparação certa as organizações podem aumentar a resiliência contra um incidente para minimizar o risco de perda de dados, prejuízo financeiro e danos à reputação da marca. Uma abordagem em várias camadas é a chave. Eduque suas equipes de TI e os colaboradores para minimizar os riscos e maximizar a prevenção. No entanto, implemente soluções para garantir que os dados estejam seguros e com backup. Por fim, esteja preparado para corrigir os sistemas de dados por meio de backup completo e recursos de DR, caso suas linhas de defesa anteriores falhem.
*Por Rick Vanover e Diretor Sênior de Estratégia de Produto da Veeam