Muitas empresas trabalham duro para reduzir os custos operacionais e melhorar a eficiência geral de suas redes. Mas, muitas vezes, existem riscos e custos imprevistos associados a infraestrutura conectada a servidores e hosts interna e externamente com outras empresas e outros dispositivos. Sem uma “visibilidade agnóstica” da atividade de tráfego e rede, os hackers sempre irão engendrar métodos para entrar em sua rede.
A falta de visibilidade na rede pode permitir que os autores de ransomware redirecionem efetivamente sua rede e monetizem seus dados contra você. Em seguida, sua empresa ficará exposta a toda uma série de riscos e custos imprevistos, muitos dos quais excederão o pedido original de resgate.
O ransomware costumava ser mais um problema de consumidor ou usuário final. Agora, os grupos criminosos estão se infiltrando em sua rede e todos os hosts, base de dados, compartilhamento de arquivos e sistemas de backup correrão o risco de se tornar um mecanismo de extorsão. Embora seja difícil estimar com precisão o impacto da epidemia global de ransomware empresarial, a Trend Micro bloqueou 99 milhões de ameaças entre outubro do ano passado e abril de 2016. Outra indicação da seriedade do problema chegou no fim de março de 2016, quando o US-CERT do Departamento de Segurança Nacional dos EUA e o Centro de Resposta a Incidentes Cibernéticos do Canadá (CCIRC) emitiram um grande alerta para empresas sobre os perigos do ransomware.
O aviso listou algumas das possíveis repercussões para as empresas:
- perda temporária ou permanente de informações sensíveis ou exclusivas, e de propriedade intelectual
- interrupção de operações regulares
- perdas financeiras para recuperar sistemas e arquivos
- potencial dano à reputação da empresa.
Criptografando seus dados e/ou impedindo o acesso ao host, sistema, servidor ou aplicação, seu adversário solicitará um pagamento em troca da promessa de retornar seus dados ao uso normal. Do ponto de vista de uma rede, há mais coisas em jogo além de pagar ou não pagar. As empresas devem pensar no seguinte:
- O pedido inicial de resgate pode ser apenas a ponta do iceberg. Parte de sua estratégia, incluindo a decisão de pagar ou não, deve envolver uma visão clara da extensão do problema dentro de sua rede. Sem isso, você pode estar, sem querer, facilitando os estágios adicionais de um ataque
- Saber a fonte, os meios e o método de infiltração é fundamental para garantir que você não está sendo preparado para estágios adicionais de um ataque de ransomware: isso também ajuda a fechar quaisquer brechas que podem ter permitido que o ransomware andasse por sua rede.
- Estabeleça a visibilidade em toda atividade maliciosa em sua rede para que você possa efetivamente dimensionar o problema e solucionar o nível do risco atual e futuro. Você pode identificar não apenas o ponto de entrada, mas também as tentativas de se mover dentro de sua rede, quais hosts foram impactados e, no final, qual o plano dos black hats.
- Identifique rapidamente indicadores de comprometimento e os publique em outros recursos da rede como um modo de impedir um surto e frustrar ataques subsequentes
- Use todos esses insights para melhorar sempre sua postura de segurança humana e de dispositivos. A causa foram dispositivos não protegidos? Quais funcionários foram atingidos? Nós confiamos nas credenciais usadas por outras empresas?
Você não pode defender sua rede contra o que não consegue ver
O ransomware pode se infiltrar em sua rede através de qualquer cantinho que não monitorado ou que pareça normal a olho nu. Para remediar a “catarata de ransomware” dentro de sua rede, você precisa de uma linha de visão clara do tráfego da rede, portas e protocolos em segmentos físicos e virtuais de sua rede. Combinado ao poder de técnicas extensivas de detecção como verificação avançada de ameaças, análise em sandbox personalizada e visualização de ameaças correlacionadas, você terá o equivalente a uma cirurgia ocular à laser: Você terá uma visibilidade irrestrita de tentativas de sequestro de sua rede juntamente com os sistemas, dados de aplicações e propriedade intelectual.
A importância de ter essa visibilidade é extensa:
- Detecte tentativas de uso de credenciais de confiança de outras empresas ou dispositivos como um “island hop” de ransomware em sua rede. É realmente o seu fornecedor tentando fazer uma autenticação em uma aplicação às 3 horas da manhã?
- Identifique sistemas não gerenciados, aplicações e dispositivos associados a indicadores de infiltração de ransomware. A aplicação TOR de um host de funcionário ligado a um endereço IP conhecido como comando e controle/malware avançado?
- Correlacione todos os aspectos de uma tentativa de semear ransomware em sua rede em todo o ciclo de vida do ataque. Os IoCs que você viu chegando pela web ou email apareceram em qualquer outro lugar de sua rede? Quais outros protocolos e segmentos de sua rede foram afetados por esse ataque?
Você precisa da estratégia do Network Defense para impedir que o ransoware se infiltre e se propague dentro de sua rede. O Trend Micro Deep Discovery Inspector é um único appliance feito para detectar cargas maliciosas, tráfego malicioso, comunicações C&C, comportamento de agressor, exploits e outros indicativos de atividades de um ataque de ransomware em todo seu tráfego e segmentos de rede. A visibilidade que o Deep Discovery Inspector fornece pode ser compartilhada com ferramentas da Trend Micro e de outros fornecedores para impedir a propagação do ransomware para outros endpoints e servidores.
O Deep Discovery Inspector fornece:
- Detecção avançada em todo o tráfego de rede, portas e mais de 100 protocolos de rede para identificar ransomware e comportamento malicioso na rede em todo o ciclo do ataque.
- Análise em sandbox projetada para replicar seu ambiente de TI para detectar modificações de arquivos, criptografia e indicador de comportamento malicioso de um ataque de ransomware.
- Integração com soluções de gateway de email e web, proteção de endpoint e de servidor da Trend Micro e soluções de outros fornecedores oferecendo uma defesa de ameaças conectada para que novas informações sobre ameaças sejam compartilhadas em todas as várias camadas.
Resumindo, tudo se trata de tomar passos proativos para limitar e reduzir o risco de um ataque de ransomware repetido. Isso significa uma abordagem de defesa em profundidade: uma arquitetura de segurança em camadas que estabelece uma visibilidade agnóstica de toda a atividade da rede em sua essência. Combinado com a proteção de email e web, endpoint e servidor, ele o ajudará a minimizar o risco e custos associados à moderna epidemia de ransomware.
Na parte final da série falaremos sobre como as empresas podem proteger seus servidores para reduzir mais os riscos.