Criando resiliência cibernética contra ataques de ransomware

Em 2020, os ataques de ransomware aumentaram exponencialmente. Em alguns relatórios, o número é relatado como um aumento de 700% desde março de 2020.

Somando-se à complexidade colocada por ataques de ransomware, em 1º de outubro de 2020, o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC) emitiu um aviso sobre possíveis sanções por facilitar o pagamento do resgate. No mesmo dia, a Financial Crimes Enforcement Network (FinCEN) emitiu um comunicado sobre ransomware e o uso de sistemas financeiros para facilitar o pagamento do resgate, aumentando ainda mais a preocupação de empresas, que num primeiro momento podem olhar o pagamento do resgate como mais vantajoso e rápido para “solucionar” o problema, assim como as seguradoras que operam na linha, onde o New York Department of Financial Services (NYDFS) emitiu uma circular às seguradoras de Ramos Elementares recomendando não oferecer a cobertura de “Pagamento de Resgates” nas apólices de Riscos Cibernéticos.

Visto que o pagamento do resgate pode não ser mais uma opção viável ou, no mínimo, pagar o resgate aos criminosos pode se tornar mais difícil, as organizações precisam estabelecer uma base sólida para aumentar sua resiliência contra ataques de ransomware. Um foco intenso na prevenção, identificação, resposta e recuperação é crucial.

O QUE AS ORGANIZAÇÕES PODEM FAZER PARA MINIMIZAR OS RISCOS DE ATAQUES DE RANSOMWARE?

Em 23 de setembro de 2020, o Instituto Nacional de Padrões e Tecnologia (NIST) divulgou a Publicação Especial 800-53, 5ª Revisão, intitulada “Segurança e Controles de Privacidade para Sistemas de Informação e Organizações”. A publicação contém 20 tópicos de controles de segurança e privacidade. Embora não abordaremos todos os 20 tópicos de controle neste artigo, destacamos vários controles priorizados e focados que devem ser considerados e potencialmente implementados pelas organizações a partir de uma perspectiva de controle de perda de ransomware.

OS CONTROLES ABAIXO TAMBÉM MAPEARÃO POSSÍVEIS PERGUNTAS QUE AS SEGURADORAS ESTÃO COMEÇANDO A FAZER EM SEUS QUESTIONÁRIOS DE SEGUROS CIBERNÉTICOS.

Essas perguntas têm como objetivo entender melhor quais controles proativos foram implementados em sua organização, o que pode torná-la um risco de menor impacto na perspectiva de análise das seguradoras. Com mais pessoas trabalhando remotamente, o aumento dos dispositivos de endpoint para as organizações gerenciarem e protegerem continua a crescer. Seguindo o “Modelo de cadeia de eliminação cibernética” (Cyber kill chain model), aqui estão algumas maneiras de ajudar sua organização a se proteger. Identificar e conter o incidente é fundamental. De acordo com o Relatório de custo de violação de dados de 2020 do Ponemon Institute, o tempo médio para identificar e conter um incidente foi de 280 dias. Esse número aumentou devido ao Home Office com os colaboradores atuando remotamente e não necessariamente identificando ou relatando um incidente à sua organização.

A implementação de ferramentas e processos que protegem sua força de trabalho e seus dispositivos de acesso à rede será nosso ponto de partida. Algumas destas ferramentas e processos incluem: • Sistemas de detecção e prevenção de intrusão • Ferramentas de detecção e resposta de endpoint • Autenticação multifator (MFA) • Desativação de protocolos e gateways de desktop remoto

Existem várias soluções proativas a serem implementadas para ajudar a criar resiliência na infraestrutura e nos processos operacionais da sua organização.

TREINAMENTO E EDUCAÇÃO

Uma das formas mais comuns pelas quais o ransomware é lançado dentro das organizações é por meio de um ataque de phishing. Treine e incentive sua força de trabalho a relatar qualquer coisa suspeita em tempo real. Suas equipes de resposta a incidentes precisam dessas informações assim que possível para confirmar a integridade de seus sistemas e iniciar sua investigação sobre como e onde uma tentativa de infiltração se originou, para que possam responder imediatamente e potencialmente erradicar a possibilidade de novas tentativas. As organizações devem considerar treinamentos de segurança recorrentes em toda a sua força de trabalho, apresentados em seus principais meios de comunicação, ou seja, desktops, laptops, dispositivos móveis ou smartphones. O treinamento direcionado fornecido nesses dispositivos facilmente acessíveis ajudará sua força de trabalho a identificar tentativas de phishing em suas principais ferramentas de comunicação.

CONTROLES TÉCNICOS

Proteção de endpoint

Controles técnicos para diferentes proteções de endpoint que removem a probabilidade de sua organização ser vítima de um ataque direcionado. Isso inclui: • Implementar links de visualização em e-mails • Verificação de arquivos com exploits (Malware) • Verificação e eliminação de anexos em e-mails Essas medidas protegem sua organização se o malware contornar seus controles atuais, identificando os arquivos infectados, anexos, etc... Agilizar sua resposta a essas ameaças permite que você contenha incidentes mais cedo, diminuindo a probabilidade de arquivos infectados se espalharem e se propagarem por sua rede, tanto internamente, quanto externamente.

Segmentação de rede

A segmentação de rede restringe indiretamente o malware de se espalhar por toda a organização, reduzindo o possível impacto de uma interrupção dos negócios. Um exemplo de segmentação de rede é o de uma grande organização com vários escritórios em todo o mundo. A política de segurança da organização restringe os funcionários do escritório de acessar seu sistema de relatórios financeiros, tanto local, quanto globalmente. A segmentação da rede pode reforçar a política de segurança, evitando que todo o tráfego do escritório chegue ao sistema financeiro. Com a prevenção desse tráfego que também proporciona uma redução no tráfego geral da rede, o sistema financeiro funcionará melhor para os analistas financeiros que o utilizam.

Gerenciamento de vulnerabilidade

A implementação de gerenciamento de configuração, um programa de gerenciamento de patch e sistemas de detecção e prevenção de intrusão, alertando seu Centro de Operações de Segurança (SOC), fornece uma força reacionária rápida para detectar e conter atividades anormais antes que se tornem um problema maior.

Detecção de pegada digital

Vulnerabilidades exploradas pelo ator da ameaça deixam uma pegada digital (Digital footprint) em suas redes e devem ser capturadas, investigadas e trabalhadas, quando necessário. Esses esforços são aprimorados com a implementação de soluções de registro de eventos de segurança, aplicação de inteligência de ameaças a esses eventos e análise de comportamentos capturados.

Inventários de dados e mapas de dados

Inventários de dados e mapas de dados de caminhos de fluxo de informações ajudam sua organização na classificação de dados críticos, enquanto sobrepõem os controles adequados para proteger esses dados com base em sua classificação de dados. Os dados são classificados por importância para as operações de negócios, metas e objetivos organizacionais. Ele fornece à sua organização uma lista priorizada de sistemas e ativos críticos para proteger a maioria dos dados que têm backup e proteção proativos enquanto os dados estão em repouso. Lembrando também que o inventário de dados pessoais é de suma importância para a Lei Geral de Proteção de Dados (LGPD).

Um inventário de dados também considera os sistemas em fim de vida útil (EOL), sistemas operacionais, etc., que atualmente não contam com atualizações de segurança adicionais ou patches disponíveis. O uso de sistemas ultrapassados e/ ou descontinuados pelo desenvolvedor expõe sua organização a uma taxa muito mais alta de novas ameaças. Essa vulnerabilidade pode fazer com que sua organização não esteja em conformidade com os requisitos regulamentares que declaram explicitamente que você deve proteger sua rede e dados. Um exemplo disso é a Regra de Segurança HIPAA dos EUA, 45 C.F.R. § 164.308 (a) (5) (ii) (B), a qual afirma que a entidade deve ter proteção contra software malicioso, especialmente importante para empresas de Capital Aberto com exposição no mercado americano, mesmo que somente em valores mobiliários. Isso implica na necessidade de patches em todos os sistemas. Outro exemplo são os padrões globais PCI DSS que exigem que cada entidade desenvolva e mantenha sistemas e aplicativos seguros, instalando patches de segurança fornecidos pelo desenvolvedor. O Artigo 50 da Lei Geral de Proteção de Dados (LGPD) afirma que o controlador e o operador devem implementar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco.

CONTROLES DE AUTENTICAÇÃO

Autenticação multifator

A implementação da autenticação multifator (MFA) é crítica para confirmar a identidade daqueles acessando seus sistemas e/ou dispositivos. Por exemplo, se a sua organização utiliza o MS Office 365 (O365), a implementação do MFA é gratuita e está disponível hoje para implementação. Se sua organização realmente utiliza o O365, certifique-se de que o complemento Proteção Avançada contra Ameaças está sendo utilizado. O MFA deve ser aplicado para proteger todas as contas, incluindo contas privilegiadas. Se você permitir que e-mails de trabalho sejam encaminhados para contas de e-mail pessoais, certifique-se de que sua força de trabalho habilitou o MFA em suas contas pessoais, especialmente no atual momento de Home Office. Embora o MFA não impeça que e-mails de phishing sejam clicados ou executados, ele pode reduzir em mais de 90% o número de tentativas de phishing que exploram com sucesso as credenciais de login.