O cenário de ameaças continua evoluindo com ataques mais sofisticados e técnicas evasivas. O ransomware pode obter acesso a um sistema de várias maneiras, geralmente com um simples clique ou até mesmo sem clique nenhum, por isso se tornou uma das formas mais assustadoras de crime cibernético que times de TI enfrentam e não dá sinais de que vai desaparecer.
Invasores estão intencionalmente levando algum tempo para fazer o reconhecimento a fim de atingir vítimas específicas e podem permanecer no ambiente por semanas, mapeando e contornando os controles de segurança. Quanto mais tempo os invasores estiverem à espreita, mais danos eles podem causar. As organizações precisam de estratégias abrangentes de prevenção, detecção, resposta e remediação para que os sistemas críticos possam ser restaurados o mais rápido possível.
Estratégia pré-incidente
Organizações geralmente precisam fazer mudanças fundamentais na frequência, localização e segurança de seus backups de dados. Quando combinado com o comprometimento da cadeia de suprimentos digital e uma força de trabalho atuando à distância para a rede, existe um risco real de que os ataques possam vir de qualquer lugar. Soluções de segurança baseadas na nuvem como serviço de acesso seguro de borda (SASE) para proteger dispositivos fora da rede, segurança de endpoints avançada que incluem detecção e resposta de endpoint (EDR) e podem interromper ataques malware, além do acesso Zero Trust com estratégias de segmentação de rede que restringem o acesso a aplicações e recursos com base na política e no contexto. Essas soluções/ estratégias devem ser consideradas para minimizar o risco e reduzir o impacto de um ataque de ransomware bem-sucedido.
Por fim, o elemento humano continua tão importante quanto a tecnologia. É importante fornecer aos funcionários atualizações contínuas sobre novas formas de ataque de engenharia social para que eles saibam o que devem e o que não devem fazer. Como os endpoints são o destino final do ransomware, você precisa se concentrar em uma segurança sólida. Este processo começa com a redução da superfície de ataque de cada endpoint ao fechar portas e periféricos desnecessários, controlar as aplicações instaladas no sistema, proteger vulnerabilidades de exploração e manter essa configuração segura. A partir daí, é fundamental usar uma análise estática robusta que combine threat intelligence com machine learning. A análise deve ser realizada em todo o código que está sendo adicionado aos dispositivos e complementada pela inspeção baseada em comportamento dinâmico de todas as atividades de tempo de execução para detectar ameaças. É essencial ter a capacidade de agir em tempo real e conter ataques em andamento sem esperar a triagem manual de alerta e a resposta.
Estratégia de monitoramento contínuo
Para todas as medidas de prevenção, é importante contar com um centro de operações de segurança (SOC) com cobertura 8×5 ou preferencialmente 24×7, drja ele do fornecedor de segurança de endpoints ou parceiro de serviços de segurança gerenciados para cobertura após o expediente da empresa e suporte de escalonamento.
Esses serviços se concentram no monitoramento de alertas e ameaças suspeitas, fornecendo orientação e as próximas etapas aos responsáveis pela resposta a incidentes, o que pode incluir a busca proativa de ameaças, abrangendo a busca por Indicadores de compromisso (IOCs), identificação de possíveis programas vulneráveis e não autorizados, e recuperação e análise de artefatos forenses. Depois que o evento é analisado, uma notificação de incidente explica a ameaça e as recomendações para as etapas de revisão e/ou remediação.
Estratégia de resposta
Quando um incidente de segurança é descoberto, é primordial responder de imediato para minimizar danos potenciais, mesmo com contenção no local. Habilidades especializadas, ferramentas e processos repetitivos são necessários para a mitigação eficaz de ameaças. Eles podem ser usados para avaliar a situação e determinar como conter a ameaça e recuperar as operações. Mesmo com as ferramentas e processos implantados, a preparação e a prática adicionais continuam sendo essenciais para suavizar as ações de resposta em meio a um incidente cibernético. Essas atividades incluem:
- Avaliação da prontidão de resposta a incidentes para confirmar a postura de segurança atual da organização por meio da revisão da arquitetura de rede, controles de segurança e funções e responsabilidades da equipe. O objetivo é identificar tecnologia, pessoas e processos.
- Revisão do manual de resposta a incidentes para determinar a suficiência e áreas de melhoria no processo passo a passo, caso de um grande incidente de segurança cibernética, como um ataque de ransomware.
- Exercícios de simulação de resposta a incidentes para avaliar os tipos de incidentes, testar o plano de resposta e execução reais com o objetivo de praticar e melhorar os processos de resposta.
Quando uma organização está no meio de um ataque de ransomware, é tarde demais para implementar as estratégias, processos e tecnologia para impedir o dano. O planejamento e a preparação antes que ocorra um ataque são essenciais. Para ajudar as equipes de segurança a mitigar os danos das ameaças e minimizar o tempo de resposta, é preciso investir em soluções que cubram todos os estágios de redução da superfície de ataque, prevenção e detecção de ameaças, contenção e resposta.
Quer saber mais como a Pinpoint e a Fortinet podem ajudar sua empresa a garantir que sua rede está bem protegida contra ataques ransomware? Fale com um de nossos especialistas preenchendo o formulário ou através do WhatsApp.