Prepare um plano de recuperação de ataque de ransomware
Uma coisa que você deve fazer antes de um ataque de ransomware é preparar sua organização para que ela tenha uma alternativa ao pagamento de um resgate.
Importante
Leia toda a série sobre prevenção de ransomware e torne sua organização difícil de atacar ataques de ransomware.
Os invasores de ransomware cibercriminosos que controlam sua organização têm muitas maneiras de pressioná-lo a pagar. As demandas se concentram principalmente em duas categorias:
Pagar um resgate para recuperar o acesso
Os invasores exigem o pagamento sob a ameaça de que eles não lhe darão acesso novamente a seus sistemas e dados. Geralmente, isso é feito criptografando os sistemas e os dados e exigindo pagamento para a chave de descriptografia.
Importante
Pagar o resgate não é uma solução tão simples quanto parece.
Como você está lidando com agentes que só são motivados pelo pagamento (e muitas vezes amadores que usam um kit de ferramentas fornecido por outra pessoa), você não sabe se o pagamento do resgate funcionará de fato. Não há nenhuma garantia legal de que eles entregarão uma chave que descriptografe 100% dos sistemas e dados ou mesmo que entregarão qualquer chave. O processo para descriptografar esses sistemas usa ferramentas de invasor amadoras, que geralmente é um processo manual e desastrado.
Pagar para evitar a divulgação
Os invasores exigem um pagamento para não liberar dados confidenciais ou embaraçosos para a Dark Web (outros invasores) ou para o público em geral.
Para evitar ser forçado a pagar (a situação lucrativa para os invasores), a ação mais imediata e eficaz que você pode tomar é garantir que sua organização possa restaurar toda a sua empresa a partir do armazenamento imutável, que nem o invasor nem você podem modificar.
Identificar os ativos mais confidenciais e protegê-los em um nível mais alto de garantia também é extremamente importante, mas é um processo mais longo e desafiador. Não queremos que você mantenha outras áreas nas fases 1 ou 2, mas recomendamos iniciar o processo reunindo os stakeholders de negócios, TI e segurança para responder a perguntas como:
- Quais ativos de negócios seriam mais prejudiciais se comprometidos? Por exemplo, por quais ativos a nossa liderança empresarial estaria disposta a pagar em caso de controle pelos invasores?
- Como esses ativos de negócios se traduzem em ativos de TI (como arquivos, aplicativos, bancos de dados, servidores e sistemas de controle)?
- Como podemos proteger ou isolar esses ativos para que os invasores com acesso ao ambiente de TI geral não possam acessá-los?
Proteger backups
Você deve fazer backup dos sistemas críticos e dos respectivos dados e proteger os backups contra apagamento deliberado ou criptografia por parte de um invasor.
Os ataques contra backups visam paralisar a capacidade de sua organização de responder sem pagar, com frequência atacando backups e documentação necessários para a recuperação para forçá-lo a pagar o resgate.
A maioria das organizações não protege os procedimentos de backup e restauração contra esse nível de ataque intencional.
Observação
Essa preparação também melhora a resiliência a desastres naturais e ataques rápidos, como WannaCry e (Not)Petya.
O artigo Plano de backup e restauração para proteger contra ransomware aborda o que fazer antes de um ataque, para proteger seus sistemas comercialmente críticos, e durante um ataque, para garantir uma recuperação rápida das operações de negócios.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral de seus dados contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CIO ou Operações Centrais de TI | Patrocínio executivo | |
| Líder do programa de infraestrutura da central de TI | Impulsionar resultados e colaboração entre equipes | |
| Infraestrutura/backup da central de TI | Habilitar o backup da infraestrutura | |
| Produtividade/usuário final da central de TI | Habilitar backup do OneDrive | |
| Arquitetura de segurança | Orientação sobre a configuração e os padrões | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
Lista de verificação de implementação
Aplique essas melhores práticas para proteger sua infraestrutura de backup.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Faça backup de todos os dados críticos automaticamente em um agendamento regular. | Permite que você recupere dados até o último backup. | |
| Exerça regularmente seu plano de BC/DR (Continuidade dos Negócios/Recuperação de Desastre). | Garante a recuperação rápida de operações de negócios tratando um ataque de ransomware ou de extorsão com a mesma importância que um desastre natural. | |
| Proteja backups contra eliminação deliberada e criptografia: – Proteção forte – exigir etapas fora da banda (MFA ou PIN) para modificar backups online (como Backup do Azure). – Proteção mais forte – armazenar backups no armazenamento imutável online (como o Blob do Azure) e/ou totalmente offline ou fora do local. |
Os backups que os invasores conseguirem acessar poderão estar indisponíveis para a recuperação dos negócios. Implemente uma segurança mais forte para acessar backups e a impossibilidade de alterar os dados armazenados em backups. | |
| Proteja os documentos de suporte necessários para recuperação, como documentos de procedimento de restauração, o CMDB (banco de dados de gerenciamento de configuração) e diagramas de rede. | Os invasores atacam deliberadamente esses recursos porque isso afeta sua capacidade de recuperação. Certifique-se de que eles sobrevivam a um ataque de ransomware. |
Resultados e linhas do tempo da implementação
Em até 30 dias, o MTTR (Tempo Médio de Recuperação) precisa estar dentro da meta de BC/DR, segundo a medição durante simulações e operações reais.
Proteção de dados
Você deve implementar a proteção de dados para garantir a recuperação rápida e confiável de um ataque de ransomware e bloquear algumas técnicas de invasores.
Os ataques destrutivos e de ransomware só funcionam quando todo o acesso legítimo a dados e sistemas é perdido. Ao garantir que os invasores não possam impedir a retomada das operações sem o pagamento, você protege sua empresa e reduz o incentivo financeiro para ataques contra sua organização.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral dos dados de sua organização contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CIO ou Operações Centrais de TI | Patrocínio executivo | |
| Líder do programa da segurança de dados | Impulsionar resultados e colaboração entre equipes | |
| Produtividade/usuário final da central de TI | Implementar alterações no locatário do Microsoft 365 para OneDrive e pastas protegidas | |
| Infraestrutura/backup da central de TI | Habilitar o backup da infraestrutura | |
| Negócios / aplicativo | Identificar ativos de negócios críticos | |
| Arquitetura de segurança | Orientação sobre a configuração e os padrões | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
| Equipe de Formação do Usuário | Garantir que as diretrizes para os usuários reflitam as atualizações de política | |
Lista de verificação de implementação
Aplique essas melhores práticas para proteger os dados de sua organização.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Migre sua organização para a nuvem: – Mover os dados do usuário para soluções de nuvem como o OneDrive/SharePoint para aproveitar as funcionalidades de controle de versão e lixeira. – Instruir os usuários a recuperar arquivos por conta própria para reduzir os atrasos e o custo da recuperação. |
Os dados do usuário na nuvem da Microsoft podem ser protegidos por recursos de segurança e gerenciamento de dados integrados. | |
| Designe pastas protegidas. | Torna mais difícil para aplicativos não autorizados modificar os dados nessas pastas. | |
| Examine as permissões: – Descobrir permissões amplas de gravação/exclusão em compartilhamentos de arquivos, SharePoint e outras soluções. "Amplo" significa que muitos usuários têm permissões de gravação/exclusão para dados comercialmente críticos. – Reduzir permissões amplas em locais de dados críticos sem deixar de atender aos requisitos de colaboração de negócios. – Auditar e monitorar em locais de dados críticos para garantir que as permissões amplas não reapareçam. |
Reduz o risco de atividades de ransomware que dependem de amplo acesso. | |
Próxima etapa
Continue com a Fase 2 para limitar o escopo de danos de um ataque protegendo as funções com privilégios.
Recursos adicionais de ransomware
Informações importantes da Microsoft:
- A crescente ameaça de ransomware, postagem no blog Microsoft On the Issues em 20 de julho de 2021
- Ransomware operado por humanos
- Proteger-se rapidamente contra ransomware e ameaças
- Relatório de Defesa Digital da Microsoft de 2021 (confira as páginas 10 a 19)
- Ransomware: um relatório de análise de ameaças contínua e generalizada no portal do Microsoft Defender
- Abordagem e estudo de caso relacionados a ransomware da Equipe de detecção e resposta da Microsoft (DART)
Microsoft 365:
- Implantar proteção contra ransomware no seu locatário do Microsoft 365
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Como se recuperar de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteger seu computador Windows 10 de ransomware
- Lidando com o ransomware no SharePoint Online
- Relatórios de análise de ameaças para ransomware no portal do Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defesas do Azure contra ataque de ransomware
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperar-se do comprometimento de identidades sistêmico
- Detecção avançada de ataques multiestágio no Microsoft Sentinel
- Detecção de fusão para ransomware no Microsoft Sentinel
Microsoft Defender para Aplicativos de Nuvem:
Postagens no blog da equipe de Segurança da Microsoft:
Um guia para combater o ransomware operado por humanos: parte 1 (setembro de 2021)
Principais etapas sobre como a Equipe de Detecção e Resposta (DART) da Microsoft conduz investigações de incidentes de ransomware.
Um guia para combater o ransomware operado por humanos: parte 2 (setembro de 2021)
Recomendações e melhores práticas.
Três etapas para evitar e recuperar-se de ransomware (setembro de 2021)
-
Confira a seção Ransomware.
Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)
Inclui uma análise de cadeia de ataques reais.
Resposta de ransomware: pagar ou não pagar? (Dezembro de 2019)
A Norsk Hydro responde a um ataque de ransomware com transparência (dezembro de 2019)
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de