Se há alguma ameaça de cibersegurança que precisamos ter em consideração, neste momento, deve ser ransomware. O que começou como uma pequena ameaça tornou-se numa indústria multibilionária para os hackers. Não podemos pensar que estes ataque só acontecem em outros países. Já tem havido alguns incidentes de ataques de ransomware em Angola, e a tendencia é aumentar.
O Departamento de Justiça dos EUA emitiu orientações internas para que os ataques de ransomware sejam tratados com a mesma prioridade que os ataques terroristas. Mas isso não dissuadiu os atacantes. Em vez disso, as organizações devem continuar a manter a vigilância para proteger os seus ambientes digitais e limitar as taxas de sucesso dos atacantes. Sem seguida elencamos 5 dicas que deve seguir para prevenir-se contra uma ataque de ransomware.
1. Ter um plano
Vamos começar com um plano. Se não sofreu um ataque de ransomware, parabéns! Agora tem o tempo do seu lado, ou assim o esperamos. Use isso para pôr um plano em prática, mesmo que não tenha uma equipa de segurança. Comece com esta simples pergunta: se fosse atingido por um ataque agora, como responderia?
Comece a preencher cada lacuna que identificar, seja como qual o forma que usaria para detetar o incidente, como iria contactar um advogado ou como devolveria os dados às operações normais. Quando fizer o planeamento, assuma a perda de dados e veja se isso tem impacto na forma como reage.
2. Trabalhar em equipa: Ransomware é mais do que Segurança.
O ransomware já não é apenas um “problema de segurança”. Um ataque de ransomware afeta utilizadores, departamento jurídico, RH, finanças e muitos outros, incluindo, claro, a equipa de segurança. Não se pode defender com sucesso contra um ataque se não houver cooperação entre os departamentos. Um exemplo é o trabalho que deve desenvolver com o departamento jurídico para perceberem qual a posição da sua sobre o ransomware e quais as contingências em vigor.
3. Auditoria e Limite, Contas Altamente Privilegiadas em Diretório Ativo
Um dos primeiros objetivos para os atacantes num ambiente de vítimas é encontrar e ganhar credenciais elevadas. Estas credenciais são necessárias para atingir os seus objetivos – precisam de privilégios para encontrar sistemas adicionais, deslocarem-se lateralmente em torno do ambiente, executarem certos comandos, estabelecerem persistência, etc.
Existem inúmeras ferramentas disponíveis para os atacantes que perfilam o Active Directory, alguns até mesmo encontrando o caminho “mais curto” para alcançar a conta final de administrador de domínio. Felizmente para as empresa, estas ferramentas funcionam nos dois sentidos: Podem ser usadas internamente para realizar o seu próprio “reconhecimento” e utilizar essa saída para limitar contas com demasiados privilégios.
4. Utilize proteções incorporadas para contas altamente privilegiadas
Seguindo a dica nº 3, depois de auditar e limitar suas contas altamente privilegiadas apenas às necessárias, a próxima etapa é utilizar proteções integradas que podem mitigar vários caminhos de roubo de credenciais.
Os sistemas operacionais Windows mais recentes, por exemplo, incluem proteções como Credential Guard e Remote Credential Guard para Windows 10 e Windows Sever 2016+. Utilize-os. Para endpoints mais antigos, utilize o Modo Admin restrito.
Coloque contas privilegiadas sem serviço no grupo de segurança Usuários protegidos – elas serão protegidas em todo o domínio. Desative os métodos que armazenam credenciais de texto não criptografado na memória. Se tiver agentes de detecção e resposta de endpoint (EDR), verifique se eles oferecem proteção de conta de usuário. A maioria das técnicas de invasores para roubar credenciais é conhecida e muitas organizações, infelizmente, não utilizam as proteções disponíveis para as soluções que possuem.
5. Implementar e Simular. Lavar, enxaguar e repetir.
Uma vez que tenha as proteções de conta no lugar, utilize ferramentas de código aberto ou um fornecedor de segurança para testar o seu ambiente. Não há necessidade de se resgatar, em vez disso, concentre-se em fases anteriores de um ataque como roubo de credencial ou movimento lateral. O que detectou, o que conseguiu alcançar? Os testes frequentes não só lhe darão mais informações sobre o seu ambiente, como também lhe mostrarão onde tem falhas de deteção e cobertura.
Não podemos simplesmente ligar ferramentas e esperar sermos defendidos com o “premir de um botão”. A segurança da informação adequada requer conhecimento do ambiente e testes e afinações frequentes. Se não sofreu um ataque, bom. Não espere pelo “se” – em vez disso, minimize o “quando”.
A sua decisão de agir cedo pode valer milhões de kwanzas.