Prepare-se para um ataque de ransomware
Adotar um quadro de cibersegurança
Um bom lugar para começar é adotar o Microsoft cloud security benchmark (MCSB) para proteger o ambiente do Azure. O benchmark de segurança na nuvem da Microsoft é a estrutura de controle de segurança do Azure, baseada em estruturas de controle de segurança baseadas no setor, como NIST SP800-53, CIS Controls v7.1.
O benchmark de segurança na nuvem da Microsoft fornece orientações às organizações sobre como configurar o Azure e os Serviços do Azure e implementar os controles de segurança. As organizações podem usar o Microsoft Defender for Cloud para monitorar o status do ambiente do Azure ao vivo com todos os controles MCSB.
Em última análise, o quadro visa reduzir e gerir melhor os riscos de cibersegurança.
Priorize a mitigação
Com base em nossa experiência com ataques de ransomware, descobrimos que a priorização deve se concentrar em: 1) preparar, 2) limitar, 3) prevenir. Isso pode parecer contraintuitivo, já que a maioria das pessoas quer evitar um ataque e seguir em frente. Infelizmente, devemos assumir a violação (um princípio fundamental do Zero Trust) e nos concentrar em mitigar de forma confiável o maior dano primeiro. Essa priorização é crítica devido à alta probabilidade de um pior cenário com ransomware. Embora não seja uma verdade agradável de aceitar, estamos enfrentando atacantes humanos criativos e motivados que são hábeis em encontrar uma maneira de controlar os complexos ambientes do mundo real em que operamos. Contra essa realidade, é importante se preparar para o pior e estabelecer estruturas para conter e impedir a capacidade dos atacantes de obter o que procuram.
Embora essas prioridades devam reger o que fazer primeiro, incentivamos as organizações a executar o maior número possível de etapas em paralelo (incluindo obter ganhos rápidos da etapa 1 sempre que puder).
Dificultar a entrada
Impeça que um invasor de ransomware entre em seu ambiente e responda rapidamente a incidentes para remover o acesso do invasor antes que ele possa roubar e criptografar dados. Isso fará com que os atacantes falhem mais cedo e com mais frequência, prejudicando o lucro de seus ataques. Embora a prevenção seja o resultado preferido, é uma jornada contínua e pode não ser possível alcançar 100% de prevenção e resposta rápida em organizações do mundo real (propriedade complexa multiplataforma e multinuvem com responsabilidades de TI distribuídas).
Para conseguir isso, as organizações devem identificar e executar ganhos rápidos para fortalecer os controles de segurança para evitar a entrada e rapidamente detetar/expulsar invasores enquanto implementam um programa sustentado que os ajuda a permanecer seguros. A Microsoft recomenda que as organizações sigam os princípios descritos na estratégia Zero Trust aqui. Especificamente, contra o Ransomware, as organizações devem priorizar:
- Melhorar a higiene de segurança, concentrando esforços na redução da superfície de ataque e no gerenciamento de ameaças e vulnerabilidades para ativos em seu patrimônio.
- Implementando controles de proteção, deteção e resposta para seus ativos digitais que podem proteger contra ameaças avançadas e de mercadoria, fornecer visibilidade e alertas sobre a atividade de invasores e responder a ameaças ativas.
Limitar o âmbito dos danos
Certifique-se de ter controles fortes (prevenir, detetar, responder) para contas privilegiadas, como administradores de TI e outras funções com controle de sistemas críticos para os negócios. Isso retarda e/ou impede que os invasores obtenham acesso completo aos seus recursos para roubá-los e criptografá-los. Tirar a capacidade dos atacantes de usar contas de administrador de TI como um atalho para recursos reduzirá drasticamente as chances de eles serem bem-sucedidos em atacá-lo e exigir pagamento / lucro.
As organizações devem ter segurança elevada para contas privilegiadas (proteger rigorosamente, monitorar de perto e responder rapidamente a incidentes relacionados a essas funções). Consulte o plano de modernização rápida de segurança da Microsoft, que abrange:
- Segurança de sessão de ponta a ponta (incluindo autenticação multifator (MFA) para administradores)
- Proteja e monitore sistemas de identidade
- Mitigar a travessia lateral
- Resposta rápida a ameaças
Preparar-se para o pior
Planeje para o pior cenário e espere que isso aconteça (em todos os níveis da organização). Isso ajudará sua organização e outras pessoas no mundo do qual você depende:
- Limita os danos no pior cenário – Embora a restauração de todos os sistemas a partir de backups seja altamente perturbadora para os negócios, isso é mais eficaz e eficiente do que tentar recuperar usando ferramentas de descriptografia fornecidas por invasores (de baixa qualidade) depois de pagar para obter a chave. Nota: Pagar é um caminho incerto – Você não tem nenhuma garantia formal ou legal de que a chave funciona em todos os arquivos, as ferramentas funcionarão de forma eficaz ou que o invasor (que pode ser um afiliado amador usando o kit de ferramentas de um profissional) agirá de boa fé.
- Limitar o retorno financeiro para os atacantes – Se uma organização pode restaurar as operações de negócios sem pagar aos invasores, o ataque falhou efetivamente e resultou em retorno zero sobre o investimento (ROI) para os invasores. Isso torna menos provável que eles tenham como alvo a organização no futuro (e os priva de financiamento adicional para atacar outros).
Os atacantes ainda podem tentar extorquir a organização através da divulgação de dados ou abusar/vender os dados roubados, mas isso lhes dá menos alavancagem do que se eles tivessem o único caminho de acesso aos seus dados e sistemas.
Para perceber isso, as organizações devem garantir que:
- Registrar Risco - Adicione ransomware ao registro de risco como cenário de alta probabilidade e alto impacto. Acompanhe o status da mitigação por meio do ciclo de avaliação do Enterprise Risk Management (ERM).
- Definir e fazer backup de ativos críticos de negócios – Defina os sistemas necessários para operações de negócios críticas e faça backup automático deles em um cronograma regular (incluindo backup correto de dependências críticas, como o Ative Directory) Proteja os backups contra eliminação deliberada e criptografia com armazenamento offline, armazenamento imutável e/ou etapas fora de banda (MFA ou PIN) antes de modificar/apagar backups online.
- Teste o cenário "Recover from Zero" – teste para garantir que sua continuidade de negócios / recuperação de desastres (BC/DR) possa colocar rapidamente operações de negócios críticas on-line a partir de zero funcionalidade (todos os sistemas inativos). Realizar exercício(s) prático(s) para validar processos e procedimentos técnicos entre equipes, incluindo comunicações fora de banda com funcionários e clientes (suponha que todos os e-mails/chat/etc. estejam inativos).
É fundamental proteger (ou imprimir) documentos de suporte e sistemas necessários para a recuperação, incluindo documentos de procedimento de restauração, CMDBs, diagramas de rede, instâncias da SolarWinds, etc. Os atacantes destroem-nos regularmente. - Reduza a exposição local – movendo dados para serviços em nuvem com backup automático ou reversão de autoatendimento.
Promover a sensibilização e garantir que não existe uma lacuna de conhecimento
Há uma série de atividades que podem ser realizadas para se preparar para possíveis incidentes de ransomware.
Educar os utilizadores finais sobre os perigos do ransomware
Como a maioria das variantes de ransomware dependem dos usuários finais para instalar o ransomware ou se conectar a sites comprometidos, todos os usuários finais devem ser educados sobre os perigos. Isso normalmente faria parte do treinamento anual de conscientização sobre segurança, bem como do treinamento ad hoc disponível através dos sistemas de gerenciamento de aprendizagem da empresa. A formação de sensibilização deve também estender-se aos clientes da empresa através dos portais da empresa ou de outros canais adequados.
Instruir analistas do centro de operações de segurança (SOC) e outros sobre como responder a incidentes de ransomware
Os analistas SOC e outros envolvidos em incidentes de ransomware devem conhecer os fundamentos de software malicioso e ransomware especificamente. Devem estar cientes das principais variantes/famílias de ransomware, juntamente com algumas das suas características típicas. A equipe do call center do cliente também deve estar ciente de como lidar com relatórios de ransomware dos usuários finais e clientes da empresa.
Certifique-se de ter os controles técnicos apropriados em vigor
Há uma grande variedade de controlos técnicos que devem estar em vigor para proteger, detetar e responder a incidentes de ransomware, com uma forte ênfase na prevenção. No mínimo, os analistas SOC devem ter acesso à telemetria gerada pelos sistemas antimalware na empresa, entender quais medidas preventivas estão em vigor, entender a infraestrutura alvo do ransomware e ser capazes de ajudar as equipes da empresa a tomar as medidas adequadas.
Isto deve incluir algumas ou todas as seguintes ferramentas essenciais:
Ferramentas de detetive e prevenção
- Pacotes de produtos antimalware para servidor corporativo (como o Microsoft Defender for Cloud)
- Soluções antimalware de rede (como o Azure Anti-malware)
- Plataformas de análise de dados de segurança (como Azure Monitor, Sentinel)
- Sistemas de deteção e prevenção de intrusões da próxima geração
- Firewall de próxima geração (NGFW)
Kits de ferramentas de análise e resposta a malware
- Sistemas automatizados de análise de malware com suporte para a maioria dos principais sistemas operacionais de servidor e usuário final da organização
- Ferramentas de análise de malware estáticas e dinâmicas
- Software e hardware forense digital
- Acesso não organizacional à Internet (por exemplo, dongle 4G)
- Para obter a máxima eficácia, os analistas SOC devem ter amplo acesso a quase todas as plataformas antimalware por meio de suas interfaces nativas, além da telemetria unificada dentro das plataformas de análise de dados de segurança. A plataforma do Antimalware nativo do Azure para Serviços de Nuvem e Máquinas Virtuais do Azure fornece guias passo a passo sobre como fazer isso.
- Fontes de enriquecimento e de informação
- Fontes de inteligência de ameaças e malware online e offline (como sentinela, Azure Network Watcher)
- Ative Directory e outros sistemas de autenticação (e logs relacionados)
Bancos de dados internos de gerenciamento de configuração (CMDBs) contendo informações do dispositivo de ponto de extremidade
Proteção de dados
- Implementar proteção de dados para garantir uma recuperação rápida e confiável de um ataque de ransomware + bloquear algumas técnicas.
- Designar pastas protegidas – para tornar mais difícil para aplicativos não autorizados modificar os dados nessas pastas.
- Rever permissões – para reduzir o risco de acesso amplo permitindo ransomware
- Descubra amplas permissões de gravação/exclusão em compartilhamentos de arquivos, SharePoint e outras soluções
- Reduza as permissões amplas e, ao mesmo tempo, atenda aos requisitos de colaboração de negócios
- Audite e monitore para garantir que permissões amplas não reapareçam
- Backups seguros
- Certifique-se de que os sistemas críticos são copiados e os backups estão protegidos contra eliminação/criptografia deliberada de invasores.
- Faça backup de todos os sistemas críticos automaticamente em um cronograma regular
- Garanta a rápida recuperação das operações de negócios exercendo regularmente o plano de continuidade de negócios/recuperação de desastres (BC/DR)
- Proteja backups contra eliminação deliberada e criptografia
- Proteção forte – Requer etapas fora de banda (como MUA/MFA) antes de modificar backups online, como o Backup do Azure
- Proteção mais forte – isole backups de cargas de trabalho on-line/de produção para melhorar a proteção dos dados de backup.
- Proteja os documentos de suporte necessários para a recuperação, como documentos de procedimento de restauração, CMDB e diagramas de rede
Estabelecer um processo de tratamento de incidentes
Certifique-se de que sua organização realize uma série de atividades seguindo aproximadamente as etapas e orientações de resposta a incidentes descritas no Guia de Tratamento de Incidentes de Segurança Informática do Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA (Publicação Especial 800-61r2) para se preparar para possíveis incidentes de ransomware. Estes passos incluem:
- Preparação: Esta fase descreve as várias medidas que devem ser postas em prática antes de um incidente. Tal pode incluir tanto preparativos técnicos (como a realização de controlos de segurança adequados e outras tecnologias) como preparativos não técnicos (como a preparação de processos e procedimentos).
- Triggers / Deteção: Esta etapa descreve como este tipo de incidente pode ser detetado e quais gatilhos podem estar disponíveis que devem ser usados para iniciar uma investigação adicional ou a declaração de um incidente. Estes são geralmente separados em gatilhos de alta confiança e baixa confiança.
- Investigação / Análise: Esta etapa descreve as atividades que devem ser realizadas para investigar e analisar os dados disponíveis quando não está claro que um incidente ocorreu, com o objetivo de confirmar que um incidente deve ser declarado ou concluir que um incidente não ocorreu.
- Declaração de Incidente: Esta etapa abrange as etapas que devem ser tomadas para declarar um incidente, geralmente com o levantamento de um ticket dentro do sistema de gerenciamento de incidentes empresariais (ticketing) e direcionando o ticket para o pessoal apropriado para avaliação e ação adicionais.
- Contenção/Mitigação: Esta etapa abrange as medidas que podem ser tomadas pelo Centro de Operações de Segurança (SOC), ou por outros, para conter ou mitigar (impedir) que o incidente continue a ocorrer ou limitar o efeito do incidente usando ferramentas, técnicas e procedimentos disponíveis.
- Remediação / Recuperação: Esta etapa abrange as medidas que podem ser tomadas para remediar ou recuperar de danos causados pelo incidente antes de ser contido e mitigado.
- Atividade Pós-Incidente: Esta etapa abrange as atividades que devem ser realizadas após o encerramento do incidente. Isso pode incluir capturar a narrativa final associada ao incidente, bem como identificar as lições aprendidas.
Prepare-se para uma recuperação rápida
Certifique-se de que tem os processos e procedimentos adequados em vigor. Quase todos os incidentes de ransomware resultam na necessidade de restaurar os sistemas comprometidos. Portanto, processos e procedimentos de backup e restauração apropriados e testados devem estar em vigor para a maioria dos sistemas. Devem também existir estratégias de contenção adequadas, com procedimentos adequados para impedir a propagação de ransomware e a recuperação de ataques de ransomware.
Certifique-se de ter procedimentos bem documentados para contratar qualquer suporte de terceiros, particularmente suporte de provedores de inteligência de ameaças, provedores de soluções antimalware e do provedor de análise de malware. Esses contatos podem ser úteis se a variante de ransomware pode ter fraquezas conhecidas ou ferramentas de desencriptação podem estar disponíveis.
A plataforma Azure fornece opções de backup e recuperação por meio do Backup do Azure, bem como incorporadas em vários serviços de dados e cargas de trabalho.
Backups isolados com o Backup do Azure
- Máquinas Virtuais do Azure
- Bancos de dados em VMs do Azure: SQL, SAP HANA
- Base de Dados do Azure para PostgreSQL
- Servidores Windows locais (backup na nuvem usando o agente MARS)
Backups locais (operacionais) com o Backup do Azure
- Ficheiros do Azure
- Blobs do Azure
- Discos do Azure
Backups internos dos serviços do Azure
- Serviços de dados como Bancos de Dados do Azure (SQL, MySQL, MariaDB, PostgreSQL), Azure Cosmos DB e ANF oferecem recursos de backup internos
O que se segue
Consulte o white paper: Azure defenses for ransomware attack whitepaper.
Outros artigos desta série: