8 práticas comprovadas para se proteger contra o ransomware

Atualmente, ransomware é a ameaça mais prevalente enfrentada por organizações de diferentes tamanhos e em todas as indústrias. De fato, estima-se que os danos causados por ataques de ransomware custaram mais de $20 bilhões globalmente em 2021 e esse número deverá atingir $265 bilhões até 2031.

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

Esta postagem lista e explica as 8 melhores práticas comprovadas que ajudam a garantir proteção contra infecções por ransomware e reduzem o risco de violações cibernéticas.

O que é Proteção contra Ransomware?

A proteção contra ransomware geralmente abrange todos os passos que as organizações tomam para evitar que ransomware cause danos duradouros às suas infraestruturas de TI e ao resultado final. Um plano abrangente de antiransomware deve incluir medidas de proteção, atividades de monitoramento e estratégias de recuperação.

• Medidas de prevenção contra ransomware

Defender-se contra ransomware deve ser o foco principal de uma organização. É melhor dissuadir um ataque de ransomware em vez de tentar mitigar seu impacto ou tentar recuperar seus dados infectados. Ao implementar as práticas necessárias e usar as ferramentas corretas, é possível minimizar as chances de ransomware infiltrar seus sistemas e as consequências de tal violação.

• Medidas de detecção de ransomware

Monitorar seu ambiente contra malware e ransomware é essencial para descoberta precoce. Quanto mais cedo você identificar uma violação, maior será sua chance de detê-la. Existem várias ferramentas de detecção e melhores práticas que você pode implementar para se proteger contra ransomware.

• Medidas de recuperação de ransomware

No caso de um ataque de ransomware violar suas defesas, ele pode criptografar ou bloquear seus dados e subsequentemente interromper as operações comerciais normais. Numerosas medidas de recuperação de ransomware permitem que você minimize a perda de dados e o tempo de inatividade com uma rápida recuperação de suas cargas de trabalho. Tenha em mente que esse processo pode ser difícil e demorado, portanto, você deve aplicar as práticas preventivas listadas abaixo.

Melhores Práticas de Proteção contra Ransomware

A abordagem ideal para proteção contra ransomware envolve uma estratégia de várias camadas. Esse modelo inclui treinar seu pessoal, proteger endpoints, implementar as tecnologias necessárias, desenvolver um plano de resposta a incidentes completo e muito mais.

1. Capacite seus funcionários

Atualmente, 95% dos problemas de segurança cibernética podem ser rastreados até erro humano e 43% de todas as violações são ameaças de dentro de uma organização, sejam maliciosas ou acidentais. Um único dispositivo pode ser o ponto de partida de um ataque em toda a empresa.

Dito isso, é recomendado que você eduque os funcionários sobre a ciber-higiene assim que os contratar. Além disso, você deve realizar sessões de treinamento periódicas para garantir que os usuários estejam continuamente cientes das últimas ameaças e estejam implementando as diretrizes necessárias.

As seguintes práticas são essenciais para fornecer proteção contra ransomware e reduzir incidentes causados por erros humanos:

• Não abra e-mails de fontes suspeitas ou clique em anexos duvidosos.
• Não clique em banners de anúncios ou links inseguros encontrados em sites desconhecidos.
• Use senhas fortes, altere-as com frequência e não use a mesma senha para diferentes contas.
• Ative a autenticação de dois fatores.
• Não compartilhe suas informações pessoais ou as armazene em um local facilmente acessível.
• Não conecte um pen drive desconhecido.
• Evite usar redes Wi-Fi públicas.
• Siga a política de segurança da sua organização e denuncie rapidamente atividades maliciosas.
• Fornecer mais informações aos seus funcionários sobre soluções manuais e software que podem ajudar a se livrar do malware.

2. Implementar segmentação de rede

A melhor maneira de proteger sua rede e se defender contra ransomware é implementando segmentação de rede. Isso é especialmente importante em ambientes de nuvem e híbridos. Conectar corretamente várias sub-redes e roteadores pode limitar a propagação de uma infecção por malware em toda a organização se um dispositivo for comprometido.

Considere usar o padrão IEEE 802.1X com métodos de autenticação suportados e configurar controle de acesso a uma rede. Dessa forma, um certificado assinado e credenciais válidas são necessários para se conectar a uma rede para passar pela autenticação e estabelecer uma conexão criptografada. Existem três componentes principais na arquitetura: um cliente, um autenticador e um servidor de autenticação. Um servidor RADIUS e um switch compatível com 802.1X são necessários para reconhecer um usuário para uma conexão Ethernet com fio. O 802.1X pode ser usado para redes com fio e Wi-Fi.

Além disso, você deve realizar testes de penetração de rede, se possível, pois isso ajuda a detectar vulnerabilidades que podem ser usadas para acessar sua rede. Corrija os problemas encontrados para se proteger contra ransomware e prevenir ataques potenciais.

3. Configure roteadores e configurações de porta

Roteadores configurados incorretamente podem ser usados como vetor de ataque, pois os criminosos cibernéticos escaneiam continuamente redes em busca de uma porta aberta que possam explorar. Bloquear o acesso a portas não utilizadas e alterar números de porta padrão para números personalizados pode ajudá-lo a se proteger contra ransomware.

Você também pode configurar filtragem de URL e bloqueio de anúncios em roteadores que fornecem acesso à internet para usuários em sua organização. O software moderno pode adicionar automaticamente sites maliciosos conhecidos aos filtros de conteúdo para manter o sistema de filtragem de URL atualizado.

4. Utilize tecnologias de proteção básicas e avançadas

A maioria das variantes de ransomware são conhecidas e podem ser detectadas usando ferramentas de segurança básicas. No entanto, novos tipos de malware são descobertos regularmente e as variantes existentes estão se tornando cada vez mais sofisticadas, por isso você também deve utilizar software de segurança avançada.

A lista abaixo inclui várias tecnologias de proteção que você pode utilizar para se defender contra ataques de ransomware.

• Proteção de firewall.Essa é a sua primeira linha de defesa contra violações cibernéticas. O firewall de aplicativos da web monitora e filtra o tráfego HTTP de e para os serviços da web. Você também pode configurar o firewall em roteadores para reduzir o risco de infiltração de ransomware.
• Software antivírus.No caso de comportamento malicioso ser detectado no Windows ou macOS, o antivírus bloqueia imediatamente arquivos suspeitos e o notifica. Lembre-se de manter seu software antivírus atualizado para que ele possa identificar novas versões de ransomware. Algumas soluções antivírus podem integrar-se ao vShield e ao vSphere para proteger máquinas virtuais (VMs) VMware em execução em hosts ESXi.
• Descoberta e Resposta de Ponto de Extremidade (EDR). As soluções modernas de EDR realizam inteligência e análise de ameaças em tempo real para fornecer proteção contra ataques de ransomware antes e durante uma violação. Você pode automatizar os processos de resposta e mitigação para minimizar os danos o máximo possível.
• Segurança de email. A configuração adequada de filtros anti-spam e anti-malware em servidores de email impede que os usuários recebam mensagens de email com links prejudiciais ou anexos de arquivos (ou pelo menos reduz significativamente essa probabilidade). Os atacantes geralmente compartilham links para sites maliciosos ou anexam documentos do Word e do Excel com macros para espalhar uma infecção por ransomware.

As configurações dos filtros devem ser atualizadas regularmente usando bancos de dados de fornecedores confiáveis como Google e Microsoft. Dependendo da sua política de segurança, você pode configurar filtros anti-malware e anti-spam para exibir uma mensagem de aviso ou excluir uma mensagem antes que ela chegue a um usuário.

• Ambiente de Teste. O Ambiente de Teste oferece uma camada adicional de segurança, pois permite analisar um código ou link em um ambiente isolado em uma rede paralela. Se uma mensagem suspeita passar pelos filtros de email, ela pode ser inspecionada e testada antes de chegar à sua rede.
• Sistema de Detecção de Intrusão (IDS). O IDS é uma ferramenta avançada que monitora sua rede e sistemas em busca de atividades maliciosas ou violações de política. Uma vez que uma ameaça é detectada, o Sistema de Detecção de Intrusão envia automaticamente um relatório aos administradores de segurança para que possam tomar as medidas necessárias e se defender contra ransomware.
• Tecnologia de engano. Quando tudo mais falha, a tecnologia de engano pode ajudar a salvar seus dados de serem roubados ou criptografados. Usando essa tecnologia, você pode criar um engodo que imita seus dados reais e servidores para enganar os criminosos cibernéticos, fazendo-os pensar que o ataque deles foi bem-sucedido. Isso também permite que você detecte rapidamente uma ameaça antes que cause qualquer dano ou perda de dados.
• Ferramenta de monitoramento de TI. O monitoramento em tempo real da infraestrutura de TI permite identificar rapidamente uma violação com base no desempenho da rede. Carga de processador suspeita, atividade de disco anormal e grande consumo de armazenamento são indicadores claros de uma infecção por ransomware.

Considere configurar um honey pot (ou armadilha) caso detecte comportamento estranho em sua rede. Um honey pot (ou armadilha) é uma tecnologia usada para capturar atividades anômalas. É um conjunto de arquivos especiais armazenados em locais não padrão em um servidor. Caso esses arquivos sejam acessados, o administrador do sistema é notificado, pois isso não deveria acontecer em operações normais de produção.

5. Restrinja permissões com segurança de confiança zero

Como o nome sugere, o modelo de confiança zero significa que você deve presumir que qualquer usuário, interno ou externo, tentando se conectar à rede não pode ser confiável e é uma ameaça potencial. O acesso é concedido somente após passar por um processo de verificação e autenticação minucioso. Essa abordagem protege contra ransomware e violações, eliminando o acesso não autorizado.

Para fortalecer ainda mais sua política de segurança, você deve dar aos usuários apenas as permissões específicas de que eles precisam para concluir seu trabalho com base no princípio do menor privilégio. Por exemplo, um usuário regular não deve ter as credenciais de um administrador. É importante observar que você deve criar uma conta dedicada para acessar o repositório de backup que contém dados sensíveis.

6. Instale patches de segurança e mantenha os sistemas atualizados

A instalação de patches de segurança para sistemas operacionais e aplicativos em tempo hábil reduz lacunas de segurança e vulnerabilidades que podem ser exploradas por atacantes. É recomendável que você implemente um programa de gerenciamento de patches e ative as atualizações automáticas sempre que possível.

7. Desenvolva um plano de resposta

É essencial que toda organização tenha um plano de resposta pronto caso o ataque de ransomware seja bem-sucedido. Um plano de continuidade de negócios e recuperação de desastres (BCDR) não defende contra ransomware, mas ajuda a reduzir o tempo de inatividade e recuperar rapidamente seus dados perdidos.

Certifique-se de delinear um conjunto de ações que devem ser executadas por sua equipe após uma violação. Essas tarefas podem incluir:

• Desconectar dispositivos infectados da rede
• Excluir ransomware e arquivos infectados
• Recuperar dados usando backups
• Usar uma ferramenta de descriptografia, se possível

É importante observar que, seja qual for a situação, não pague o resgate! Cada pagamento incentiva os criminosos a lançarem ataques adicionais e não há garantia de que você recuperará seus dados.

8. Faça backups regularmente

Se um ataque de ransomware infectar sua rede, ainda é possível se recuperar com danos e tempo de inatividade mínimos usando backups. A recuperação a partir dos backups é o método mais eficaz para restaurar dados e cargas de trabalho corrompidos ou criptografados.

Abaixo estão algumas das melhores práticas que você pode seguir para garantir uma recuperação tranquila:

• Siga a regra de backup 3-2-1 para eliminar um único ponto de falha e garantir a recuperabilidade dos dados.
• Armazene backups em armazenamento imutável para proteger contra criptografia e modificação de ransomware.
• Mantenha cópias de backup offline em fita e outros dispositivos que estão desconectados da rede.
• Realize verificação de backups para garantir que todos os dados sejam recuperáveis.
• Use uma conta de administrador dedicada para acessar e gerenciar backups.

Conclusão

O ransomware é uma das ameaças mais perigosas para organizações em todo o mundo. Felizmente, as melhores práticas mencionadas neste post permitem reduzir o risco de infecção, limitar a perda de dados e fornecer proteção ideal contra ransomware.

Proteção abrangente de ransomware aos mais diversos ambientes. A solução inclui uma ampla gama de ferramentas avançadas, como backups incrementais, recuperação granular e orquestração de recuperação de desastres. Lembre-se de que, em caso de infecção em sua rede, você pode contar com seus backups para restaurar os dados criptografados. O NAKIVO Backup & Replication oferece uma proteção abrangente contra ransomware a diversos ambientes. A solução inclui uma gama de ferramentas avançadas, como backups incrementais, recuperação granular e orquestração de recuperação de desastres.