Especialista diz que é necessário desenvolver um processo metódico de volta ao básico para reduzir o número de ataques aos quais a organização está exposta
O ransomware, conhecido como malware sequestrador, ganhou as manchetes no último ano com ataques como WannaCry.
Derek Manky, estrategista de segurança global da Fortinet, explica que, tradicionalmente, um ataque de ransomware geralmente começa quando um usuário final clica em um link ou abre um arquivo anexado a um e-mail malicioso que faz parte de uma campanha de phishing (aleatória) ou spearphishing (direcionada). Ou então o usuário final visita um site comprometido e recebe um bug com o que estiver visualizando ou baixando.
O executivo acredita que os ataques futuros provavelmente utilizarão tecnologias como inteligência swarm (enxame) para tirar os humanos da cena por completo e acelerar os ataques em velocidades digitais. As comunicações em tempo real permitem que os agentes de ataques individuais – ou swarmbots – agrupem-se em enxames coordenados capazes de avaliar com mais eficiência e visar uma ampla variedade de vulnerabilidades potenciais.
Para defender redes contra esses ataques de vários tipos, Manky diz que é necessário desenvolver um processo metódico de volta ao básico para reduzir o número de ataques aos quais a sua organização está exposta. A Fortinet recomenda 10 melhores práticas. São elas:
Faça inventário de todos os dispositivos
Faça e depois mantenha um inventário ativo de quais dispositivos estão em sua rede em todos os momentos. É claro que isso é difícil de fazer se os seus dispositivos de segurança, pontos de acesso e dispositivos de rede não puderem se comunicar entre si. Como os recursos de TI continuam se expandindo, uma solução NOC-SOC integrada é uma abordagem valiosa, que garante a identificação e o monitoramento de todos os dispositivos da rede.
Automatize as correções
A recente invasão do WannaCry deixou claro que os sistemas não corrigidos continuam sendo a principal vítima de ataques e malwares. É por isso que você deve desenvolver um processo para automatizar seu processo de correção (patch).
Faça a segmentação da rede
O que você vai fazer quando sua rede for violada? Esta é uma pergunta que todo profissional de segurança precisa fazer. Porque quando isso ocorrer, você quer limitar o impacto do evento o máximo possível. A melhor linha de defesa é segmentar a rede. Sem a segmentação adequada, os ransomworms podem se propagar facilmente pela rede, até mesmo em backups, tornando a recuperação do seu plano de resposta a incidentes (IR) muito mais difícil de implementar.
Acompanhe as ameaças
Assine os feeds de ameaças em tempo real para que seus sistemas de segurança possam estar atentos aos ataques mais recentes. Quando combinados à inteligência de ameaças locais por meio de uma ferramenta centralizada de integração e correlação, como SIEM ou serviço de inteligência de ameaças, os feeds de ameaças não apenas ajudam as organizações a ver e responder melhor às ameaças assim que surgirem e não depois de você ter sido o alvo do ataque, como também ajudam a antecipá-las.
Observe os indicadores de comprometimento (IoCs – indicators of compromise)
Quando você correlacionar o seu inventário às ameaças atuais, poderá ver rapidamente quais dispositivos correm risco, e assim poderá priorizar proteções, correções, isolamento ou a substituição.
Proteja dispositivos de usuários e pontos de acesso
Crie a regra exigindo que os dispositivos que chegam à sua rede atendam aos requisitos básicos de segurança e a busca ativa por dispositivos e tráfego sem correções ou infectados.
Implemente controles de segurança
Use soluções baseadas em comportamento e assinatura em toda a sua rede para detectar e impedir ataques tanto na borda da rede quanto depois de passarem pelas defesas de perímetro.
Use automação de segurança
Depois de ter bloqueado as áreas sobre as quais você tem controle, aplique a automação ao número máximo possível de processos básicos de segurança. Desta forma, você libera seus recursos de TI para que se concentrem em tarefas de análise e resposta de ameaças de ordem superior que podem proteger das ameaças mais avançadas que visam a sua organização.
Faça backup dos sistemas críticos
A coisa mais importante em relação ao ransomware é fazer uma cópia dos dados e recursos críticos armazenados fora da rede para que você possa restaurar e retomar as operações o quanto antes.
Crie um ambiente de segurança integrado
Para garantir que todas essas práticas de segurança sejam estendidas a cada novo ecossistema de rede online, você precisa implementar soluções de segurança totalmente integradas como um fabric de segurança, para permitir coordenação e análise centralizadas.
