Por Esteban Hernandez (*)
O ransomware pode afetar empresas de todas as dimensões. Os criminosos utilizam uma série de táticas para ter acesso não autorizado aos dados e sistemas das suas vítimas, exploram vulnerabilidades não corrigidas, tiram partido de credenciais fracas ou roubadas e recorrem a à engenharia social. Em seguida, restringem o acesso aos dados e sistemas e fazem um pedido de resgate para a "devolução segura" desses ativos digitais.
Os governos internacionais emitiram orientações a apelar medidas de segurança da informação mais rigorosas contra o ransomware. No Reino Unido, por exemplo, o National Cyber Security Center tem as suas próprias orientações para apoiar as empresas sobre como devem proceder, se devem pagar o resgate, como prevenir e proteger-se contra o ransomware.
Não existe uma solução única ou rápida para impedir o ransomware. No entanto, podem ser aplicadas algumas medidas e controlos para promover as melhores práticas gerais de segurança, tais como:
- Utilizar uma estrutura de segurança: as organizações que estão a transitar para a cloud devem considerar a utilização de uma estrutura de segurança, como a Gestão de Riscos de Ransomware do National Institute of Standards and Technology (NIST). Seguir esta estrutura permite que as organizações verifiquem se todas as áreas do seu programa de segurança têm controlos, responsabilidades e mecanismos definidos. Organizada em cinco etapas - identificar, proteger, detetar, responder e recuperar - a estrutura do NIST pode ajudar a melhorar a segurança geral, a gestão de riscos e a resiliência de uma organização.
- Corrigir e reforçar os sistemas: as vulnerabilidades do software que ainda não foram atualizadas com uma correção de segurança são normalmente atingidas pelos atacantes para obterem acesso à rede de uma organização. Identificar e corrigir as vulnerabilidades do software e do hardware é fundamental para limitar a exposição a ataques de ransomware.
- Eliminar as credenciais de longa duração: as chaves de acesso e as credenciais, que são necessárias para aceder e manipular os recursos da cloud, são normalmente visadas pelos criminosos. Se as chaves de acesso não forem regularmente alteradas e devidamente protegidas, existe o risco de serem expostas por engano e deixarem os dados vulneráveis. Tente eliminar as chaves de acesso antigas e altere-as regularmente.
- Usar várias contas: organize a sua infraestrutura de modo que os recursos sejam segmentados e isolados tanto quanto possível. Isto limitará o tráfego e reduzirá a capacidade do ransomware para se propagar e infetar mais sistemas. A utilização de várias contas para implementar esta estratégia também oferece controlos adicionais e pode reduzir o impacto de uma situação de ransomware.
- Recorrer a infraestruturas imutáveis sem acesso humano: quando as atualizações de configuração, incluindo o fortalecimento e a instalação de software de segurança, são efetuadas antes do lançamento de um sistema, é mais fácil detetar as alterações do sistema efetuadas pelo ransomware. Mesmo que não seja possível implementar uma infraestrutura totalmente constante, qualquer redução no acesso humano ajudará a diminuir o risco de os sistemas serem expostos devido a erro humano ou a um agente criminoso.
- Implementar registo e monitorização centralizados: as equipas de segurança podem monitorizar os registos do sistema para descobrir atividades suspeitas nas suas redes. Se não se aperceberem de que algo está errado até aparecer o pedido de resgate, provavelmente é demasiado tarde. Os sistemas de gestão de informações e eventos de segurança (SIEM) podem centralizar os eventos para análise, a fim de detetar atividades suspeitas dos utilizadores, eventos de rede e alterações na infraestrutura, simplificando a resposta.
- Criar cópias de segurança regulares e protegê-las: as cópias de segurança regulares dos dados reduzem o impacto de um ataque de ransomware e melhoram a capacidade de recuperação rápida. Algumas formas de ransomware procuram ativamente as cópias de segurança e tentam eliminá-las ou encriptá-las, pelo que é vital que estas cópias estejam devidamente protegidas. As organizações devem também definir uma estratégia de recuperação e testar regularmente os seus procedimentos de restauro, para garantir que o processo é eficaz.
- Preparar e treinar o plano de resposta a incidentes: planeie um incidente antes deste acontecer e realize simulações de resposta para testar o grau de preparação da sua organização. Isto ajudará a desenvolver políticas e procedimentos eficazes para responder a incidentes de segurança.
- Efetuar autoavaliações do volume de trabalho: avalie regularmente o volume de trabalho em termos de riscos e registe melhorias, para garantir que seguem as melhores práticas de segurança e poderem identificar potenciais vulnerabilidades.
- Automatizar as barreiras de segurança e as ações de resposta: utilizar a automatização para verificar regularmente se existem configurações de recursos pouco seguras e atualizá-las. Por exemplo, os utilizadores da AWS dispõem de ferramentas como o Amazon EventBridge e o AWS Lambda para programar correções e ajudar os analistas de segurança a concentrarem-se em desafios maiores.
O modelo de responsabilidade partilhada utilizado na AWS Cloud oferece às empresas uma base sólida para implementar estas práticas. Este modelo ajuda o cliente a concentrar os seus esforços de segurança e a garantir que está preparado para qualquer eventualidade.
(*) Senior Security Solutions Architect na AWS
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários