As coisas mudam bem rápido no ambiente da cibersegurança. Um ano atrás, muitos CISOs e gerentes de segurança nunca tinham ouvido falar de ransomware. Com certeza, isso não é verdade agora. Ele se tornou rapidamente uma das maiores preocupações para quem trabalha com segurança de TI, e com razão. Os chantagistas cibernéticos, por trás dessa epidemia online que está se espalhando rapidamente, estão constantemente adaptando suas táticas.
É por isso que para reduzir o risco de infecção o melhor possível, a Trend Micro recomenda que as empresas adotem uma abordagem de segurança em camadas – desde o gateway até a rede, servidor e endpoint.
O que é ransomware?
É um tipo de malware que deixa seus dados e sistemas corporativos inacessíveis. Ele faz isso bloqueando seus PCs ou, mais comumente, criptografando os dados de uma maneira que os deixam praticamente irrecuperáveis – forçando a empresa a pagar o “resgate” para recuperar o acesso. A escala do problema é simplesmente enorme. Entre outubro de 2015 e abril deste ano, a Trend Micro bloqueou 99 milhões de ameaças de ransomware. E está protegendo apenas nossos clientes – o volume real das infecções de ransomware pode ser um número muito maior.
As pessoas podem estar acostumadas com o ransomware sendo um problema do usuário pessoal, mas agora não são só eles que estão sendo afetados O ransomware mudou para as empresas. Uma infecção de ransomware é especialmente prejudicial para uma empresa porque literalmente inutiliza alguns ou todos os dados corporativos. As implicações são óbvias: interrupção dos negócios, produtividade perdida e dano à marca e reputação em uma grande escala. Em fevereiro foi relatado que o Hollywood Presbyterian Medical Center declarou uma “emergência interna” logo após um desses ataques – obrigando a equipe a voltar a usar máquinas de fax, caneta e papel, e a cancelar tratamentos de pacientes.
Defesa em profundidade
Existem ferramentas para desbloquear certos tipos de ransomware, mas os gerentes de TI não podem supor que elas irão funcionar. E não há garantias de que mesmo pagando o resgate seus arquivos serão liberados. A chave é bloquear o malware antes que ele chegue à empresa – com uma segurança em camadas.
Porque a segurança precisa ser em camadas? Porque os criadores de malware estão sempre adaptando seu código para evitar filtros e visar diferentes partes do ambiente de TI. Você pode, por exemplo, ter proteção de gateway de email, mas o que acontece quando seus funcionários acessam uma página da web infectada? Do mesmo modo, os black hats estão começando a direcionar seu malware para a infraestrutura do servidor através de variantes como o SAMSAM. Em resumo, não há uma solução mágica para impedir essa ameaça cibernética – tudo se trata de reduzir o risco o mais efetivamente possível, colocando mais verificações e bloqueios no caminho.
A Trend Micro recomenda a proteção nos seguintes pontos:
1) Gateway de Email e Web:
Isso dará a você uma boa chance de impedir que a maioria dos ransomware cheguem a seus usuários – ou por meio de email de phishing ou de um site malicioso. Lembre-se de que mesmo usando uma plataforma de email em nuvem como o Microsoft 365, com sua própria segurança incorporada, é uma boa ideia reforçá-la com proteções adicionais de outro fornecedor.
Procure por soluções que oferecem pelo menos:
- Verificação de malware e avaliação de arquivo de risco
- Análise de malware de sandbox
- Detecção de exploração de documentos
- Reputação web
No gateway da web, você precisará de uma reputação web, análise de sandbox e verificação de explorações de dia-zero e no navegador.
2) Endpoint
Uma pequena porcentagem de ameaças de ransomware pode conseguir entrar através da proteção de gateway de email e web. É por isso que é importante incluir a segurança de endpoint, que monitora em busca de comportamento malicioso, impõe whitelists de aplicações e apresenta blindagem de vulnerabilidades para proteger contra vulnerabilidades não corrigidas das quais o ransomware frequentemente se aproveita.
3) Rede
O ransomware também pode entrar em uma empresa e se propagar por meio de outros protocolos de rede. Portanto tenha uma segurança de rede com recursos avançados de detecção em todo o tráfego, portas e protocolos para impedir sua infiltração e propagação.
4) Servidor
É onde a maioria de seus dados mais críticos se encontram, portanto é fundamental garantir que quaisquer vulnerabilidades não corrigidas sejam protegidas contra o ransomware através do virtual patching. Escolha uma solução de segurança que possa monitorar movimento lateral e integridade de arquivo.
Lembre-se também que as soluções de segurança são apenas uma parte da resposta para reduzir o risco. Pense em melhorar a educação dos usuários para que os funcionários evitem abrir emails suspeitos; segmentação de rede para reduzir a propagação do malware dentro da empresa; e backup automatizado – com uma mídia off-line para que, se o pior acontecer, ela não seja afetada.
Fique protegido com a proteção contra ransomware da Trend Micro. Para saber mais acesse: http://www.trendmicro.com/enterprise-ransomware.