por Derek Manky* –
Quase um ano depois das manchetes sobre os ataques do WannaCry em todo o mundo, várias organizações de alto nível e relevância no mercado continuam na mira desse ransomware, algumas delas sofrendo ataques recentes. Isso faz parte de uma tendência crescente que pode atingir um grande número de pessoas e com consequências que podem ser devastadoras.
Tradicionalmente, um ataque de ransomware geralmente começa quando um usuário final clica em um link ou abre um arquivo anexado a um e-mail malicioso que faz parte de uma campanha de phishing (aleatória) ou spearphishing (direcionada). Ou então o usuário final visita um site comprometido e recebe um bug com o que estiver visualizando ou baixando.
Recentemente, o ransomworm WannaCry e o malware SamSam são carregados em um dispositivo vulnerável de usuário que está conectado a uma rede aberta, e se espalham, localizando outros sistemas vulneráveis e criptografando seus dados.
Nos últimos meses, os cibercriminosos tornaram-se muito mais ativos, visando uma ampla variedade de organizações, de instituições de saúde e ensino a governos locais. Também vimos os serviços de hospedagem na web baseados na nuvem atingidos com sucesso, em que códigos foram injetados em vários domínios da web de alto tráfego, em vez de atacá-los um por vez.
Os ataques futuros provavelmente utilizarão tecnologias como inteligência swarm (enxame) para tirar os humanos da cena por completo e acelerar os ataques em velocidades digitais. As comunicações em tempo real permitem que os agentes de ataques individuais – ou swarmbots – agrupem-se em enxames coordenados capazes de avaliar com mais eficiência e visar uma ampla variedade de vulnerabilidades potenciais.
Para defender sua rede contra esses ataques de vários tipos, é necessário desenvolver um processo metódico de volta ao básico para reduzir o número de ataques aos quais a sua organização está exposta. A Fortinet recomenda 10 melhores práticas.
Faça inventário de todos os dispositivos
Faça e depois mantenha um inventário ativo de quais dispositivos estão em sua rede em todos os momentos. É claro que isso é difícil de fazer se os seus dispositivos de segurança, pontos de acesso e dispositivos de rede não puderem se comunicar entre si. Como os recursos de TI continuam se expandindo, uma solução NOC-SOC integrada é uma abordagem valiosa, que garante a identificação e o monitoramento de todos os dispositivos da rede.
Automatize as correções
A recente invasão do WannaCry deixou claro que os sistemas não corrigidos continuam sendo a principal vítima de ataques e malwares. É por isso que você deve desenvolver um processo para automatizar seu processo de correção (patch).
Faça a segmentação da rede
O que você vai fazer quando sua rede for violada? Esta é uma pergunta que todo profissional de segurança precisa fazer. Porque quando isso ocorrer, você quer limitar o impacto do evento o máximo possível. A melhor linha de defesa é segmentar a rede. Sem a segmentação adequada, os ransomworms podem se propagar facilmente pela rede, até mesmo em backups, tornando a recuperação do seu plano de resposta a incidentes (IR) muito mais difícil de implementar.
Acompanhe as ameaças
Assine os feeds de ameaças em tempo real para que seus sistemas de segurança possam estar atentos aos ataques mais recentes. Quando combinados à inteligência de ameaças locais por meio de uma ferramenta centralizada de integração e correlação, como SIEM ou serviço de inteligência de ameaças, os feeds de ameaças não apenas ajudam as organizações a ver e responder melhor às ameaças assim que surgirem e não depois de você ter sido o alvo do ataque, como também ajudam a antecipá-las.
Observe os indicadores de comprometimento (IoCs – indicators of compromise)
Quando você correlacionar o seu inventário às ameaças atuais, poderá ver rapidamente quais dispositivos correm risco, e assim poderá priorizar proteções, correções, isolamento ou a substituição.
Proteja dispositivos de usuários e pontos de acesso
Crie a regra exigindo que os dispositivos que chegam à sua rede atendam aos requisitos básicos de segurança e a busca ativa por dispositivos e tráfego sem correções ou infectados.
Implemente controles de segurança
Use soluções baseadas em comportamento e assinatura em toda a sua rede para detectar e impedir ataques tanto na borda da rede quanto depois de passarem pelas defesas de perímetro.
Use automação de segurança: Depois de ter bloqueado as áreas sobre as quais você tem controle, aplique a automação ao número máximo possível de processos básicos de segurança. Desta forma, você libera seus recursos de TI para que se concentrem em tarefas de análise e resposta de ameaças de ordem superior que podem proteger das ameaças mais avançadas que visam a sua organização.
Faça backup dos sistemas críticos: A coisa mais importante em relação ao ransomware é fazer uma cópia dos dados e recursos críticos armazenados fora da rede para que você possa restaurar e retomar as operações o quanto antes. Crie um ambiente de segurança integrado: Para garantir que todas essas práticas de segurança sejam estendidas a cada novo ecossistema de rede online, você precisa implementar soluções de segurança totalmente integradas como uma fabrica de segurança, para permitir coordenação e análise centralizadas.
Esforço em equipe
Como as redes se tornam mais complexas, o trabalho de defendê-las também se torna cada vez mais complicado, pois deixou de ser uma tarefa de apenas uma solução ou uma equipe. A automação pode ajudar a equipe de TI e em outras práticas recomendadas de segurança, fechando as portas para o ransomware. Além disso, com a evolução do malware, a inteligência do grupo fornecida por um feed de ameaças compartilhado ajudará você a entender melhor e escolher a melhor solução.
*Derek Manky é estrategista de segurança global da Fortinet