Introdução
As empresas cada vez mais entendem que as ameaças virtuais, principalmente os ataques de ransomware, estão bem mais frequentes e focados. Muitas empresas de todos os setores já tiveram experiências dolorosas com este tipo de ataque, pois tiveram seus dados sequestrados e, em alguns casos, precisaram pagar o resgate para ter de volta seus dados e sistemas importantes.
Diante desse cenário, é de extrema importância estar preparado para enfrentar um ataque de ransomware tomando medidas protetivas, mas também possuir um processo que permita o retorno de dados limpos de ameaças sem necessitar pagar o resgate.
Nessa postagem, serão apresentadas algumas das principais medidas que as empresas deveriam tomar para se prevenir e estarem preparadas para, de forma ágil, recuperarem suas informações importantes e até mesmo todo seu negócio, sem maiores impactos.
O que fazer ao sofrer um ataque de ransomware?
Especialistas de segurança do mundo todo, inclusive os do NIST (National Institute of Standards and Technology), recomendam em seu framework de resposta a incidentes (IRF Incident Response Framework), que um plano de resposta seja criado previamente com medidas específicas para lidar com ataques, inclusive os de ransomware.. É importante lembrar que também é preciso ter políticas e procedimentos para proteger os dados, aplicações e redes do ambiente. Existem outros frameworks de resposta a incidentes como o Ransomware Playbook do SANS Institute, que também ressaltam a importância de se preocupar em criar um plano de resposta bem estruturado e simples, um plano muito complexo e cheio de passos desconexos pode dificultar a atuação e atrapalhar alongando a resolução do problema. Lembrando que em caso de o ataque ter sido bem-sucedido, o momento de seguir o plano será tenso e a simplicidade será crucial para o sucesso.
Se sua empresa foi atacada e teve dados comprometidos, a primeira medida a ser tomada é informar às autoridades competentes como a polícia, o provedor de serviços e o departamento de TI e segurança da empresa. Em seguida é importante trabalhar com os times de resposta a incidentes para identificar corretamente o vetor do ataque, passo que além de ajudar na identificação dos dispositivos para o isolamento deles, vai ajudar a planejar formas de evitar futuras infecções. Sempre que um incidente é identificado deve-se coletar evidências para determinar a extensão do ataque.
Após o processo de identificação, o isolamento deve ser feito prioritariamente para interromper a propagação do ataque para outros sistemas e redes. Isolamento também é conhecido como “LOCKDOWN” ou bloqueio total, ou parcial dos acessos. Para um ambiente que foi planejado com uma segmentação de serviços bem definida, não será necessário um bloqueio total se na fase de identificação foram apontados alguns sistemas e serviços específicos. Nesse caso, esses sistemas/serviços/redes devem ser isolados. Lockdown não significa desligar todo o ambiente, mas sim isolar o problema, e pode ser feito por exemplo, através de políticas de firewall que controlem o segmento de rede afetado. Desligar tudo, pode além de ser um alerta para o atacante, eliminar a possibilidade de se conhecer o malware que está afetando o ambiente.
Nesse processo de contenção e isolamento, pode ser necessário a desativação do(s) sistema(s) afetado(s), bloqueio de credenciais de acesso e implementação de outras medidas de isolamento como o uso de firewalls. Sempre que uma medida como essa for necessária, é importante analisar o impacto que ela pode trazer.
O próximo passo deve focar em erradicar e remover o ransomware dos sistemas afetados para que se possa restaurar os dados a partir dos backups.
Feito o isolamento ou lockdown dos sistemas afetados vem um passo de suma importância que é encontrar e acessar os backups do ambiente para se iniciar a restauração. A discussão sobre arquiteturas e boas práticas de proteção de dados é ampla e deve ser feita em um fórum separado, mas muitas empresas já seguem boas práticas como a regra 3-2-1-1-0(Três cópias dos dados, em duas mídias diferentes, uma fora do site produtivo, uma cópia imutável e testes de restauração para garantir zero erros) e seguir regras como essa vai ajudar a garantir os três pilares básicos da segurança da informação(Disponibilidade, Integridade e Confidencialidade) nos sistemas afetados após a restauração.
Apesar da pressão que os responsáveis podem estar sofrendo para restaurar rapidamente os dados e sistemas, não é recomendado pagar o resgate aos criminosos virtuais, pois isso pode incentivar futuros ataques, além disso, não há garantias de que o resgate será pago e que os dados serão realmente recuperados.
Nessas situações, é melhor focar em manter backups confiáveis e eficazes dos seus dados, implementar medidas adequadas de segurança virtual, como atualizações de software e treinamento de conscientização de segurança para os funcionários. Essas medidas ajudarão a minimizar os danos causados pelo ataque e permitirão uma recuperação mais rápida e eficiente dos dados, quanto mais rápido se descobrir o ataque menos chance de o atacante conseguir durante o processo de descoberta e lateralização informações cruciais do ambiente como a rede e o aplicativo de backup.
Realizada a restauração dos sistemas, serviços e dados afetados é de suma importância verificar se ainda há infecção no ambiente; e após o incidente ter sido resolvido, revisar as informações coletadas e identificar as lições aprendidas. Essas ações irão ajudar a avaliar o desempenho do plano de resposta a incidentes de segurança, identificar áreas de melhoria e atualizar as políticas e procedimentos de segurança, conforme necessário.
Vale lembrar que cada incidente de ransomware é único. Ele pode exigir diferentes ações, dependendo do tipo de ataque e dos sistemas e dados afetados. Portanto, é fundamental manter o plano de resposta a incidentes atualizado e os colaboradores treinados regularmente para que eles saibam como agir sempre que um ataque for bem-sucedido.
Conclusão
Diante de tudo isso, podemos concluir que devido à sofisticação dos métodos empregados pelos criminosos cibernéticos, visando o pagamento do resgate, as empresas precisam constantemente adotar novas medidas protetivas, a fim de protegerem seus dados e operações contra ataques de ransomware e outras formas de ataques. Não podemos esquecer que treinamento e conscientização dos colaboradores é fundamental para que as empresas ganhem robustez e confiabilidade em seus processos, evitando e respondendo de forma rápida e eficiente caso um ataque seja bem-sucedido.
Backups confiáveis e processos de restauração ágeis, não podem ser negligenciados, pois, na eventualidade de um ataque bem sucedido, os dados importantes podem ser restaurados rapidamente sem a necessidade de um pagamento de resgate ao atacante, mas é importante garantir que os backups estejam armazenados em um local seguro e protegido contra acesso e manipulação.
Finalmente, é importante ter os processos documentados e testados regularmente, garantindo que todos os membros da equipe de resposta saibam que ações tomar no momento de crise e possam agir com eficácia, minimizando os danos causados.
Medidas protetivas são essenciais para proteger as empresas contra ataques cibernéticos. Além de backups confiáveis e tecnologias de segurança avançadas, é fundamental ter um plano de resposta a incidentes bem estruturado e colaboradores capacitados. Investir em medidas protetivas adequadas, pode minimizar o impacto de um ataque e garantir a continuidade das operações da empresa.
