Plano de recuperação de ataques de ransomware
Sempre prepare um plano de recuperação de ataque de ransomware, começando com uma alternativa para pagamento de resgate a fim de ajudar a evitar a perda do acesso aos seus dados.
Importante
Leia toda a série sobre prevenção de ransomware e torne sua organização difícil de atacar ataques de ransomware.
Os atores de ransomware no controle da sua organização têm muitas maneiras de pressioná-lo a pagar. As demandas se concentram principalmente em duas categorias:
Pagar um resgate para recuperar o acesso
Os atores de ameaça exigem pagamento sob a ameaça de que eles não lhe devolverão acesso aos seus sistemas e dados. Geralmente, isso é feito criptografando os sistemas e os dados e exigindo pagamento para a chave de descriptografia.
Importante
Pagar o resgate não garantirá o acesso restaurado aos seus dados.
Os criminosos cibernéticos com motivação financeira (e geralmente operadores relativamente amadores que estão usando um kit de ferramentas fornecido por outra pessoa) podem manter ambos os arquivos de pagamento bloqueados. Não há nenhuma garantia legal de que eles entregarão uma chave que descriptografe 100% dos sistemas e dados ou mesmo que entregarão qualquer chave. O processo para descriptografar esses sistemas usa ferramentas de ataque internas, um processo muitas vezes desajeitado e manual.
Pagar para evitar a divulgação
Os atores de ameaças exigem pagamento em troca de não liberarem dados confidenciais ou embaraçosos para a Dark Web (outros criminosos) ou para o público em geral.
Para evitar ser forçado a pagar (a situação lucrativa para os agentes de ameaças), a ação mais imediata e eficaz que você pode tomar é garantir que sua organização possa restaurar toda a empresa a partir de um armazenamento imutável, que nem o criminoso cibernético nem você podem modificar.
Identificar os ativos mais confidenciais e protegê-los em um nível mais alto de garantia também é extremamente importante, mas é um processo mais longo e desafiador. Não queremos que você mantenha outras áreas nas fases 1 ou 2, mas recomendamos iniciar o processo reunindo os stakeholders de negócios, TI e segurança para responder a perguntas como:
- Quais ativos de negócios seriam mais prejudiciais se comprometidos? Por exemplo, por quais ativos nossa liderança empresarial estaria disposta a pagar um pedido de extorsão se os criminosos cibernéticos os controlassem?
- Como esses ativos de negócios se traduzem em ativos de TI (como arquivos, aplicativos, bancos de dados, servidores e sistemas de controle)?
- Como podemos proteger ou isolar esses ativos para que os atores de ameaças com acesso ao ambiente geral de TI não possam acessá-los?
Proteger backups
Você deve garantir que os sistemas críticos e seus dados tenham backup e que os backups sejam protegidos contra o apagamento deliberado ou a criptografia por um ator de ameaça.
Os ataques contra backups visam paralisar a capacidade de sua organização de responder sem pagar, com frequência atacando backups e documentação necessários para a recuperação para forçá-lo a pagar o resgate.
A maioria das organizações não protege os procedimentos de backup e restauração contra esse nível de ataque intencional.
O artigo Plano de backup e restauração para proteger contra ransomware aborda o que fazer antes de um ataque, para proteger seus sistemas comercialmente críticos, e durante um ataque, para garantir uma recuperação rápida das operações de negócios.
Saiba como restaurar seus arquivos do OneDrive no caso de um ataque de ransomware.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral de seus dados contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CIO ou Operações Centrais de TI | Patrocínio executivo | |
| Líder do programa de infraestrutura da central de TI | Impulsionar resultados e colaboração entre equipes | |
| Infraestrutura/backup da central de TI | Habilitar o backup da infraestrutura | |
| Produtividade/usuário final da central de TI | Habilitar backup do OneDrive | |
| Arquitetura de segurança | Orientação sobre a configuração e os padrões | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
Lista de verificação de implementação
Aplique essas melhores práticas para proteger sua infraestrutura de backup.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Faça backup de todos os dados críticos automaticamente em um agendamento regular. | Permite que você recupere dados até o último backup. | |
| Exerça regularmente seu plano de BC/DR (Continuidade dos Negócios/Recuperação de Desastre). | Garante a recuperação rápida de operações de negócios tratando um ataque de ransomware ou de extorsão com a mesma importância que um desastre natural. | |
| Proteja backups contra eliminação deliberada e criptografia: – Proteção forte – exigir etapas fora da banda (MFA ou PIN) para modificar backups online (como Backup do Azure). – Proteção mais forte – armazenar backups no armazenamento imutável online (como o Blob do Azure) e/ou totalmente offline ou fora do local. |
Os backups acessíveis por criminosos cibernéticos podem ser inutilizados para a recuperação de negócios. Implemente uma segurança mais forte para acessar backups e a impossibilidade de alterar os dados armazenados em backups. | |
| Proteja os documentos de suporte necessários para recuperação, como documentos de procedimento de restauração, o CMDB (banco de dados de gerenciamento de configuração) e diagramas de rede. | Os atores de ameaça atacam deliberadamente esses recursos porque isso afeta sua capacidade de recuperação. Certifique-se de que eles sobrevivam a um ataque de ransomware. |
Resultados e linhas do tempo da implementação
Em até 30 dias, o MTTR (Tempo Médio de Recuperação) precisa estar dentro da meta de BC/DR, segundo a medição durante simulações e operações reais.
Proteção de dados
Você deve implementar a proteção de dados para garantir uma recuperação rápida e confiável de um ataque de ransomware e para bloquear algumas técnicas de ataque.
Os ataques destrutivos e de ransomware só funcionam quando todo o acesso legítimo a dados e sistemas é perdido. Ao garantir que os atores de ameaça não possam impedir a retomada das operações sem o pagamento, você protege sua empresa e reduz o incentivo financeiro dos ataques contra sua organização.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral dos dados de sua organização contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CIO ou Operações Centrais de TI | Patrocínio executivo | |
| Líder do programa da segurança de dados | Impulsionar resultados e colaboração entre equipes | |
| Produtividade/usuário final da central de TI | Implementar alterações no locatário do Microsoft 365 para OneDrive e pastas protegidas | |
| Infraestrutura/backup da central de TI | Habilitar o backup da infraestrutura | |
| Negócios / aplicativo | Identificar ativos de negócios críticos | |
| Arquitetura de segurança | Orientação sobre a configuração e os padrões | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
| Equipe de Formação do Usuário | Garantir que as diretrizes para os usuários reflitam as atualizações de política | |
Lista de verificação de implementação
Aplique essas melhores práticas para proteger os dados de sua organização.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Migre sua organização para a nuvem: – Mover os dados do usuário para soluções de nuvem como o OneDrive/SharePoint para aproveitar as funcionalidades de controle de versão e lixeira. – Instruir os usuários a recuperar arquivos por conta própria para reduzir os atrasos e o custo da recuperação. |
Os dados do usuário na nuvem da Microsoft podem ser protegidos por recursos de segurança e gerenciamento de dados integrados. | |
| Designe pastas protegidas. | Torna mais difícil para aplicativos não autorizados modificar os dados nessas pastas. | |
| Examine as permissões: – Descobrir permissões amplas de gravação/exclusão em compartilhamentos de arquivos, SharePoint e outras soluções. "Amplo" significa que muitos usuários têm permissões de gravação/exclusão para dados comercialmente críticos. – Reduzir permissões amplas em locais de dados críticos sem deixar de atender aos requisitos de colaboração de negócios. – Auditar e monitorar em locais de dados críticos para garantir que as permissões amplas não reapareçam. |
Reduz o risco de atividades de ransomware que dependem de amplo acesso. | |
Próxima etapa
Continue com a Fase 2 para limitar o escopo de danos de um ataque protegendo as funções com privilégios.
Recursos adicionais de ransomware
Informações importantes da Microsoft:
- [Relatório de Defesa Digital da Microsoft 2023] (https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report- 2023) (consulte as páginas 17-26)
- Microsoft Blog – Ransomware, Ameaças mais recentes - Ransomware
- Ransomware operado por humanos
- Proteger-se rapidamente contra ransomware e ameaças
- Ransomware: um relatório de análise de ameaças contínua e generalizada no portal do Microsoft Defender
- A abordagem e estudo de caso de ransomware da equipe de Resposta a Incidentes da Microsoft (anteriormente DART/CRSP)
Microsoft 365:
- Implantar proteção contra ransomware no seu locatário do Microsoft 365
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Como se recuperar de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteger seu computador Windows 10 de ransomware
- Lidando com o ransomware no SharePoint Online
- Relatórios de análise de ameaças para ransomware no portal do Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defesas do Azure contra ataque de ransomware
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperar-se do comprometimento de identidades sistêmico
- Detecção avançada de ataques multiestágio no Microsoft Sentinel
- Detecção de fusão para ransomware no Microsoft Sentinel
Microsoft Defender para Aplicativos de Nuvem:
Postagens no blog da equipe de Segurança da Microsoft:
Um guia para combater o ransomware operado por humanos: parte 1 (setembro de 2021)
Um guia para combater o ransomware operado por humanos: parte 2 (setembro de 2021)
Recomendações e melhores práticas.
Três etapas para evitar e recuperar-se de ransomware (setembro de 2021)
-
Confira a seção Ransomware.
Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)
Inclui uma análise de cadeia de ataques reais.
Resposta de ransomware: pagar ou não pagar? (Dezembro de 2019)
A Norsk Hydro responde a um ataque de ransomware com transparência (dezembro de 2019)