8 Práticas Comprovadas para Proteção Contra Ransomware

Atualmente, ransomware é a ameaça mais prevalente enfrentada por organizações de diferentes tamanhos e em todas as indústrias. De fato, estima-se que os danos causados por ataques de ransomware custaram mais de $20 bilhões globalmente em 2021 e esse número é esperado chegar a $265 bilhões até 2031.

A ransomware infection can lead to data loss, financial and reputational damage or even the complete shutdown of an organization. However, all is not as grim as it seems. There are ways to minimize the chances of a successful attack and, more importantly, to recover smoothly after ransomware when a ransomware infection does hit your systems.

Esta postagem lista e explica as 8 melhores práticas comprovadas que ajudam a garantir proteção contra infecções por ransomware e reduzir o risco de violações cibernéticas.

O que é Proteção contra Ransomware?

A proteção contra ransomware geralmente abrange todas as etapas que as organizações tomam para evitar que o ransomware cause danos duradouros às suas infraestruturas de TI e linha de fundo. Um plano abrangente anti-ransomware deve incluir medidas de proteção, atividades de monitoramento e estratégias de recuperação.

• Medidas de prevenção contra ransomware

Defender-se contra ransomware deve ser o foco principal de uma organização. É melhor evitar um ataque de ransomware em vez de tentar mitigar seu impacto ou tentar recuperar seus dados infectados. Ao implementar as práticas necessárias e usar as ferramentas certas, você pode minimizar as chances de ransomware infiltrar seus sistemas e as consequências de tal violação.

• Medidas de detecção de ransomware

Monitorar seu ambiente contra malware e ransomware é essencial para descoberta precoce. Quanto mais cedo você identificar uma violação, maior será sua chance de detê-la. Existem várias ferramentas de detecção e melhores práticas que você pode implementar para se proteger contra ransomware.

• Medidas de recuperação de ransomware

No caso de um ataque de ransomware violar suas defesas, ele pode criptografar ou bloquear seus dados e posteriormente interromper as operações comerciais normais. Numerosas medidas de recuperação de ransomware permitem minimizar a perda de dados e o tempo de inatividade com uma recuperação rápida de suas cargas de trabalho. Tenha em mente que esse processo pode ser difícil e demorado, então você deve aplicar as práticas preventivas listadas abaixo.

Práticas recomendadas de proteção contra ransomware

A abordagem ideal para proteção contra ransomware envolve uma estratégia em várias camadas. Esse modelo inclui treinamento de pessoal, proteção de endpoints, implementação das tecnologias necessárias, desenvolvimento de um plano de resposta a incidentes completo e muito mais.

1. Treine seus funcionários

Hoje, 95% dos problemas de segurança cibernética podem ser atribuídos a erros humanos e 43% de todas as violações são ameaças de dentro de uma organização, sejam maliciosas ou acidentais. Um único dispositivo pode ser o ponto de partida de um ataque em toda a empresa.

Dito isso, é recomendável que você eduque os funcionários sobre ciber-higiene assim que os contratar. Além disso, você deve realizar sessões de treinamento periódicas para garantir que os usuários estejam continuamente cientes das últimas ameaças e estejam implementando as diretrizes necessárias.

As seguintes práticas são essenciais para fornecer proteção contra ransomware e reduzir incidentes causados por erro humano:

• Não abra e-mails de fontes suspeitas ou clique em anexos duvidosos.
• Não clique em banners de anúncios ou links inseguros encontrados em sites desconhecidos.
• Use senhas fortes, altere-as com frequência e não use a mesma senha para diferentes contas.
• Ative a autenticação de dois fatores.
• Não compartilhe suas informações pessoais ou as armazene em um local facilmente acessível.
• Não conecte um pen drive desconhecido.
• Evite usar redes públicas de Wi-Fi.
• Siga a política de segurança da sua organização e relate rapidamente atividades maliciosas.
• Fornecer  mais informações aos seus funcionários sobre soluções manuais e software que podem ajudar a se livrar do malware.

2. Implementar segmentação de rede

A melhor maneira de proteger sua rede e defender-se contra ransomware é implementando segmentação de rede. Isso é especialmente importante em ambientes de nuvem e híbridos. Conectar adequadamente várias sub-redes e roteadores pode limitar a propagação de uma infecção por malware em toda a organização se um dispositivo for comprometido.

Considere usar o padrão IEEE 802.1X com métodos de autenticação suportados e configurar o controle de acesso a uma rede. Dessa forma, um certificado assinado e credenciais válidas são necessários para se conectar a uma rede para passar pela autenticação e estabelecer uma conexão criptografada. Existem três componentes principais na arquitetura: um cliente, um autenticador e um servidor de autenticação. Um servidor RADIUS e um switch compatível com 802.1X são necessários para reconhecer um usuário para uma conexão Ethernet com fio. O 802.1X pode ser usado para redes com fio e Wi-Fi.

Além disso, você deve realizar testes de penetração de rede, se possível, pois isso ajuda a detectar vulnerabilidades que podem ser usadas para acessar sua rede. Corrija os problemas encontrados para proteger contra ransomware e prevenir ataques potenciais.

3. Configure roteadores e configurações de porta

Roteadores configurados incorretamente podem ser usados como um vetor de ataque, já que criminosos cibernéticos continuamente escaneiam redes em busca de uma porta aberta que possam explorar. Bloquear o acesso a portas não utilizadas e alterar números de porta padrão para números personalizados pode ajudá-lo a se proteger contra ransomware.

Você também pode configurar filtragem de URL e bloqueio de anúncios em roteadores que fornecem acesso à internet para usuários em sua organização. O software moderno pode adicionar automaticamente sites maliciosos conhecidos aos filtros de conteúdo para manter o sistema de filtragem de URL atualizado.

4. Utilize tecnologias de proteção básicas e avançadas

A maioria das variantes de ransomware é bem conhecida e pode ser detectada usando ferramentas básicas de segurança. No entanto, novos tipos de malware são descobertos regularmente e as variantes existentes estão se tornando cada vez mais sofisticadas, por isso você também deve utilizar software de segurança avançado.

A lista abaixo inclui diversas tecnologias de proteção que você pode usar para se defender contra ataques de ransomware.

• Proteção de firewall. Essa é sua primeira linha de defesa contra violações cibernéticas. O firewall de aplicação web monitora e filtra o tráfego HTTP de e para serviços web. Você também pode configurar o firewall em roteadores para reduzir o risco de infiltração de ransomware.
• Software antivírus. Caso seja detectado comportamento malicioso no Windows ou macOS, o antivírus bloqueia imediatamente arquivos suspeitos e o notifica. Lembre-se de manter seu software antivírus atualizado para que ele possa identificar novas versões de ransomware. Algumas soluções antivírus podem se integrar ao vShield e ao vSphere para proteger máquinas virtuais (VMs) VMware em execução em hosts ESXi.
• Descoberta e Resposta de Ponto Final (EDR). As soluções modernas de EDR realizam inteligência de ameaças em tempo real e análises para fornecer proteção contra ataques de ransomware antes e durante uma violação. Você pode automatizar os processos de resposta e mitigação para minimizar os danos o máximo possível.
• Segurança de email. A configuração adequada de filtros anti-spam e anti-malware em servidores de email impede que os usuários recebam mensagens de email com links prejudiciais ou anexos de arquivo (ou pelo menos reduz significativamente essa probabilidade). Os atacantes geralmente compartilham links para sites maliciosos ou anexam documentos do Word e Excel com macros para espalhar uma infecção por ransomware.

As configurações de filtro devem ser atualizadas regularmente usando bancos de dados de fornecedores confiáveis como Google e Microsoft. Dependendo da sua política de segurança, você pode configurar filtros anti-malware e anti-spam para exibir uma mensagem de aviso ou excluir uma mensagem antes que ela alcance um usuário.

• Ambiente de Testes (Sandboxing).O Sandboxing oferece uma camada adicional de segurança, pois permite que você analise um código ou link em um ambiente isolado em uma rede paralela. Se uma mensagem suspeita passar pelos filtros de email, ela pode ser inspecionada e testada antes de chegar à sua rede.
• Sistema de Detecção de Intrusão (IDS). O IDS é uma ferramenta avançada que monitora sua rede e sistemas em busca de atividades maliciosas ou violações de política. Uma vez detectada uma ameaça, o Sistema de Detecção de Intrusão envia automaticamente um relatório aos administradores de segurança para que possam tomar as medidas necessárias e se defender contra ransomware.
• Tecnologia de engano. Quando tudo mais falha, a tecnologia de engano pode ajudar a salvar seus dados de serem roubados ou criptografados. Usando essa tecnologia, você pode criar um engodo que imita seus dados reais e servidores para enganar os criminosos cibernéticos, fazendo-os pensar que o ataque deles foi bem-sucedido. Isso também permite que você detecte rapidamente uma ameaça antes que cause qualquer dano ou perda de dados.
• Ferramenta de monitoramento de TI. O monitoramento em tempo real da infraestrutura de TI permite identificar rapidamente uma violação com base no desempenho da rede. Carga de processador suspeita, atividade de disco anormal e grande consumo de armazenamento são indicadores claros de uma infecção por ransomware.

Considere configurar um honey pot (ou armadilha) caso detecte comportamento estranho em sua rede. Um honey pot (ou armadilha) é uma tecnologia usada para capturar atividades anômalas. É um conjunto de arquivos especiais armazenados em locais não padrão em um servidor. Caso esses arquivos sejam acessados, o administrador do sistema é notificado, pois isso não deveria acontecer em operações normais de produção.

5. Restrinja permissões com segurança de confiança zero

Como o nome sugere, o modelo de confiança zero significa que você deve presumir que qualquer usuário, interno ou externo, tentando se conectar à rede não pode ser confiável e é uma ameaça potencial. O acesso é concedido somente após passar por um processo de verificação e autenticação minucioso. Essa abordagem protege contra ransomware e violações, eliminando o acesso não autorizado.

Para fortalecer ainda mais sua política de segurança, você deve dar aos usuários apenas as permissões que eles especificamente precisam para concluir seu trabalho com base no princípio do mínimo de privilégios. Por exemplo, um usuário regular não deve ter as credenciais de um administrador. É importante observar que você precisa criar uma conta dedicada para acessar o repositório de backup que contém dados sensíveis.

6. Instale patches de segurança e mantenha os sistemas atualizados

A instalação de patches de segurança para sistemas operacionais e aplicativos de maneira oportuna reduz lacunas de segurança e vulnerabilidades que podem ser exploradas por atacantes. Recomenda-se que você implemente um programa de gerenciamento de patches e ative as atualizações automáticas sempre que possível.

7. Desenvolva um plano de resposta

É essencial para toda organização ter um plano de resposta pronto no caso de um ataque de ransomware bem-sucedido. Um plano de continuidade de negócios e recuperação de desastres (BCDR) não defende contra ransomware, mas ajuda a reduzir o tempo de inatividade e recuperar rapidamente seus dados perdidos.

Certifique-se de delinear um conjunto de ações que devem ser executadas por sua equipe após uma violação. Essas tarefas podem incluir:

• Desconectar dispositivos infectados da rede
• Excluir ransomware e arquivos infectados
• Recuperar dados usando backups
• Usar uma ferramenta de descriptografia, se possível

É importante notar que, faça o que fizer, não pague o resgate! Cada pagamento incentiva os criminosos a lançar ataques adicionais e não há garantia de que você recuperará seus dados.

8. Faça backups regularmente

Se um ataque de ransomware infectar sua rede, você ainda pode se recuperar com danos mínimos e tempo de inatividade usando backups. A recuperação a partir de backups é o método mais eficaz para restaurar dados e cargas de trabalho corrompidos ou criptografados.

Abaixo estão algumas das melhores práticas que você pode seguir para garantir uma recuperação tranquila:

• Siga a regra de backup 3-2-1 para eliminar um único ponto de falha e garantir a recuperabilidade dos dados.
• Armazene backups em armazenamento imutável para se proteger contra criptografia e modificação de ransomware.
• Mantenha cópias de backup fora de linha em fita e outros dispositivos que estão desconectados da rede.
• Realize verificação de backup para garantir que todos os dados sejam recuperáveis.
• Use uma conta de administrador dedicada para acessar e gerenciar backups.

Conclusão

O ransomware é uma das ameaças mais perigosas para organizações ao redor do mundo. Felizmente, as melhores práticas mencionadas neste post do blog permitem que você reduza o risco de infecção, limite a perda de dados e forneça proteção ótima contra ransomware.

Tenha em mente que, caso sua rede seja infectada, você pode contar com seus backups para restaurar os dados criptografados. O NAKIVO Backup & Replication oferece uma proteção abrangente contra ataques de ransomware em vários ambientes. A solução inclui uma ampla gama de ferramentas avançadas, como backups incrementais, recuperação granular e orquestração de recuperação de desastres.