Dmitry Dontov, CEO e arquiteto-chefe da Spin Technology, considera as melhores maneiras de abordar a prevenção de ransomware moderno no local de trabalho moderno
Os ataques de ransomware cresceram 435% em 2020 em comparação com 2019 e não se espera que esse aumento diminua tão cedo. Para colocar isso em perspectiva, os ataques de ransomware ultrapassaram a já enorme taxa de crescimento da prevalência geral de malware durante o mesmo período (358%). E de acordo com a Cybersecurity Ventures, os danos do ransomware custarão ao mundo US$ 20 bilhões em 2021 (quase 60 vezes o nível de repercussões financeiras visto em 2015).
Nos últimos 12 meses, o cenário de ameaças mudou drasticamente com o aumento de forças de trabalho remotas e a explosão dos serviços em nuvem. Então, como sua estratégia de segurança também pode evoluir? Quando se trata de ransomware, aqui estão cinco áreas a serem consideradas.
Não é nenhum segredo que o trabalho remoto mudou o cenário de ataques de ransomware. Agora, mais do que nunca, os funcionários estão operando fora do perímetro corporativo tradicional, além de onde a maior parte de seus controles de segurança são mais eficazes e concentrados. Como resultado, há novos vetores de ataque a serem resolvidos, como VPNs vulneráveis e áreas de trabalho virtuais, o que significa que os invasores são mais propensos a visar usuários individuais do que redes corporativas. Eles estão usando métodos de engenharia social para tornar os ataques mais personalizados e sofisticados. Esta é uma das razões pelas quais 73% dos ataques de ransomware tiveram sucesso em 2020.
O trabalho remoto também forçou as organizações a investirem mais pesadamente em serviços em nuvem para garantir que os funcionários possam acessar dados e recursos corporativos independentemente de sua localização, tornando os aplicativos SaaS e serviços em nuvem um alvo principal para invasores. Além disso, é muito mais difícil monitorar as atividades dos funcionários fora do escritório e, portanto, mais desafiador mitigar possíveis ataques. Por fim, o uso crescente de computadores domésticos desprotegidos e roteadores Wi-Fi com senhas padrão pelos funcionários fornece muitas novas oportunidades de ransomware para agentes mal-intencionados.
Mas qual é a diferença entre um ataque a uma rede corporativa e a nuvem? Um ataque de ransomware em uma rede corporativa geralmente ocorre na forma de um aplicativo malicioso que executa um script em um PC local ou servidor corporativo. Ele criptografa os dados e depois os espalha para outros PCs e servidores. Na nuvem, existem duas maneiras de criptografar dados SaaS. A primeira é por meio de um aplicativo de sincronização que conecta seu dispositivo local ao ambiente de nuvem. A segunda é por meio de um aplicativo OAuth ou extensão de navegador com acesso aos seus dados SaaS via API. Mais sobre as melhores práticas para detectar e prevenir ransomware na nuvem posteriormente.
Então, como as empresas podem limitar o impacto das infecções em dispositivos remotos da força de trabalho? Hoje, muitas ferramentas de gerenciamento de dispositivos permitem que você instale VPNs ou software antimalware remotamente, crie políticas de segurança, evite que funcionários visitem sites suspeitos e monitore e gerencie dispositivos de funcionários – geralmente a partir de um painel centralizado baseado em nuvem. Além disso, você precisa implementar uma solução de monitoramento de registro de atividades que usa IA para verificar e identificar anomalias de comportamento de forma inteligente, como login GeoIP anormal, ataques de força bruta, etc. Para organizações com crescente força de trabalho remota, isso é essencial abordagem para proteger dados corporativos confidenciais e evitar que funcionários que trabalham em casa causem desastres de segurança que podem afetar toda a organização.
Infelizmente, partes da educação e do treinamento em segurança simplesmente não estão funcionando. Muitas plataformas e programas de treinamento de segurança não cobrem adequadamente os riscos de trabalho remoto. No mundo em que vivemos hoje, esses programas devem educar os funcionários sobre como usar com segurança seus dispositivos em ambientes domésticos potencialmente vulneráveis.
Por exemplo, a maioria dos funcionários hoje precisa saber como atualizar as senhas de administrador do roteador, monitorar e gerenciar os dispositivos conectados e muito mais. E esses programas de treinamento não cobrem as práticas recomendadas para proteger os dispositivos da empresa de não funcionários que podem obter acesso facilmente. Em muitos casos, convidados e até mesmo membros da família podiam acessar um laptop corporativo ao longo do dia, criando mais uma preocupação para as equipes SecOps gerenciarem.
Então, qual é a melhor maneira de abordar a prevenção moderna de ransomware?
- Comece entendendo como os criminosos têm acesso a ativos essenciais. Os invasores geralmente introduzem ransomware por meio de e-mails de phishing, mídia removível, downloads de arquivos maliciosos da Internet, anexos de e-mail malicioso com links, software vulnerável ou porque as políticas e soluções de segurança de suas vítimas são inadequadas (ou ausentes). É importante entender que o ransomware afeta apenas os dados que o usuário em questão pode acessar. Portanto, limitar o acesso aos dados estrategicamente pode mitigar as consequências de um ataque de ransomware bem-sucedido.
- Use uma combinação de controles de segurança que abordam vetores de ataque comuns, incluindo soluções anti-malware e anti-phishing, teste de penetração e verificação de vulnerabilidade, filtragem de URL para evitar que usuários acessem sites maliciosos e treinamento de conscientização de segurança (que incorpora módulos de segurança de trabalho remoto), entre outros.
- Monitore os ambientes de nuvem e SaaS 24 horas por dia, 7 dias por semana, para identificar e corrigir proativamente os ataques de ransomware em tempo real.
- Monitore todo e qualquer aplicativo de terceiros que seus funcionários usam, incluindo extensões, complementos, soluções móveis e muito mais; qualquer coisa com acesso aos cibercriminosos de dados corporativos pode ser refém. Isso exigirá recursos de ML e IA para reduzir as realidades onerosas de erro humano e falsos positivos – duas coisas que você não pode pagar na prevenção de ransomware na nuvem.
- Por fim, faça backup de seus dados SaaS confidenciais para serviços de armazenamento em nuvem seguros e confiáveis, como AWS e Azure, diariamente para garantir que você possa se recuperar no caso de uma infecção de ransomware bem-sucedida.
Lembre-se de que o tempo de inatividade é um risco inevitável de qualquer ataque de ransomware que você não pode evitar. Hoje, um incidente com tempo de inatividade médio dura cerca de 16 dias e pode ser extremamente caro. Aqui estão os principais motivos de como vem o tempo de inatividade:
• Os dados estão crescendo exponencialmente
• Ainda existem muitos processos manuais quando se trata de recuperação de desastres
• Limitações de API de provedores SaaS
Quando você projeta uma estratégia de recuperação de desastres para sua organização, você deve levar em consideração o tempo de inatividade para reduzir o tempo de inatividade e o cronograma de recuperação, porque quando se trata de ataques de ransomware hoje não é mais “se”, e sim “quando”.
Clique abaixo para compartilhar este artigo
