As diferenças entre um ransomware e um típico malware estão nos seus efeitos, diz o Gartner. Em um ataque ransomware, os dados são criptografados e a chave de descodificação não é fornecida até que um resgate seja pago. Já o malware tenta danificar ou desativar computadores e sistemas.
Ian McShane, Diretor de Pesquisas do Gartner, explica que todos correm o risco, mas a boa notícia é que os dois ataques funcionam fundamentalmente da mesma forma, o que significa que o ransomware, que se tornou um problema recente para muitas empresas em todo o mundo, pode ser prevenido da mesma maneira. Ainda assim, os mitos sobre este tipo de malware continuam a atormentar a comunidade.
Mito: Ransomware são ataques no Dia Zero
Fato: Os invasores podem escolher entre centenas de vulnerabilidades conhecidas que permanecem intactas. Como o desenvolvimento de um ataque novo ou de Dia Zero é difícil e caro, eles geralmente focarão naquelas fragilidades conhecidas. Com isso, a correção do sistema precisa ser uma prioridade máxima. “Pare de pensar no Dia Zero e comece a focar em coisas que estão sendo atacadas hoje”, alerta McShane.
Mito: Não é porque o EPP mais recente foi comprado que essa versão é utilizada
Fato: O primeiro problema é que muitas organizações não possuem a Plataforma de Proteção de Endpoint (EPP) mais recente rodando. Não é necessário que seja a última versão lançada, mas ela não deveria ter três anos. Quando ela é implementada, muitos grupos apenas têm uma parte atualizada porque não percebem que os novos recursos incluídos nas versões precisam ser testados e habilitados. Também é comum que as diretrizes recomendadas não sejam adotadas e é importante conversar com o fornecedor e realizar uma avaliação contínua. Para que um EPP seja mais eficaz, deve haver um conjunto de tecnologias totalmente configurado, em vez de duas soluções parcialmente configuradas. É essencial fazer pequenas atualizações a cada três meses, atualizações maiores a cada seis meses e obter uma verificação de configuração do fornecedor.
Mito: O EPP protegerá a empresa de todas as ameaças
Fato: As versões antigas do EPP dependem da prevenção baseada em assinaturas que só funciona com ameaças conhecidas. No entanto, grande parte dos sistemas de ransomware pode ser reformulada. É importante garantir que a organização implante e possibilite o uso de tecnologias não assinadas.
Mito: O EPP fornecerá toda a visão necessária à companhia
Fato: Muitas organizações ainda dependem do usuário final para relatar problemas de segurança e falta de visibilidade no processamento do endpoint. Diversas empresas não exploram de onde um problema vem ou o porquê de estar acontecendo. É uma falha de educação do usuário ou baseada em tecnologia? É necessário buscar uma maior visibilidade, ser capaz de responder a incidentes de endpoint e verificar se a companhia está em busca da raiz do problema.
Mito: Firewalls e outras soluções periféricas são tudo o que a organização precisa
Fato: Grande parte da carga útil vem da Internet e a maioria das empresas não está usando as melhores práticas. Os ataques são bem-sucedidos por causa da segurança periférica fraca ou desatualizada. Portanto, é preciso que a organização garanta que as últimas correções e configurações estejam sendo usadas.
Mito: Os administradores seguem as melhores práticas, o tempo todo, sempre
Fato: A verdade é que nem todas as contas de administrador são monitoradas e eles estão ocupados e fazendo muitas coisas ao mesmo tempo. Essas contas e os endpoints de “admin” são alvos de alto valor para os hackers. Dessa forma, devem ser monitorados para evitar o uso não autorizado. É necessário tratar o acesso de administrador como uma fonte de dados e protegê-lo da mesma maneira.
Mito: Tudo ficará bem se você tiver um backup
Fato: Os backups são ótimos, mas devem ser a última linha de defesa e não uma técnica de mitigação. Muitas vezes, as organizações não monitoram essas cópias de segurança e atualmente o ransomware tenta ativamente obter acesso aos backups também. Agora é hora de documentar procedimentos de Recuperação de Desastres (DR) e testar regularmente. A empresa deve se certificar de que há acesso limitado de leitura/edição em locais de backup e monitorar quaisquer alterações. É interessante até mesmo considerar uma cópia de segurança off-line.
As tendências serão debatidas nesta terça e quarta-feira em conferência sobre segurança promovida pelo Gartner em São Paulo.
