Os ataques Ransomware evoluem constantemente em sofisticação e complexidade, obrigando as organizações repensarem suas estratégias de proteção e recuperação de ambientes. Não à toa, este tipo de incidente é responsável pela alta rotatividade entre líderes de segurança no mercado devido às perdas financeiras e impactos operacionais. Segundo relatório "State of the Internet: Ransomware on the Move", a exploração de ataques do "dia-zero" e "dia-um" aumentaram cerca de 143% comparado ao mesmo período em 2022 e 2023(Q1).
O "Data Breach Investigation Report 2024", aponta ainda que ransomware continua sendo uma ameaça significativa para 92% das indústrias, e é o segundo tipo de incidente mais comum, tendo como principal ator de ameaças o grupo LockBit, responsável por 39% dos ataques identificados pelo estudo da Akamai, seguido pelos ransomwares ALPHV e CL0P. Dos dez tipos de incidentes, o uso de credenciais roubadas é a ameaça que está no topo da lista do relatório e a média do preço de resgate é de USD 46 mil, representando até 1,34% do faturamento das organizações afetadas.
Nesta perspectiva, como uma estratégia de preparação contra a ameaça de ransomware deve ser planejada? Compartilho a seguir um guia que leva em consideração as portas de entrada de um ransomware e uma estratégia em três fases para mitigar esta ameaça:
Construindo um plano em três fases
Dado o elevado nível de efetividade dos ataques de ransomware, é imprescindível que toda organização desenvolva uma estratégia robusta, dividida em três fases fundamentais: antecipação do incidente (Fase 1), ampliação da visibilidade (Fase 2) e resposta e recuperação do ambiente (Fase 3).
A implementação de um plano estruturado pode transformar significativamente o impacto de um ransomware em sua organização, reduzindo vulnerabilidades e promovendo um ambiente mais resiliente. A missão é clara: minimizar os impactos e fortalecer a resiliência organizacional contra ameaças cibernéticas.
Fase 1 – Antecipar o incidente
O papel de um líder de segurança é buscar uma forma de antecipar o incidente. Neste caso, a estratégia deve ter um plano de cobertura/proteção das principais formas de entrada do ransomware (E-mail, Endpoint, Redes, Web e Processos) considerando os seguintes pontos de atenção:
- Garanta que seu programa de gestão de vulnerabilidade e de hardenização compreenda todos os dispositivos de sua organização;
- Faça backups de seus dados e máquinas virtuais utilizando soluções que ofertem armazenamento imutável para evitar deleção e/ou alteração dos dados (criptografia);
- Descubra se existe algum processo de tratamento de credenciais de aplicações, considerando que para cada credencial humana existem quarenta e cinco credenciais não humanas. Isso facilita o entendimento da necessidade de controle sobre a credenciais de aplicações como porta de entrada para Ransomware;
- Faça um inventário de hardware, software e componentes de IaaS, uma vez que ainda é muito que gestores de TI afirmem não ter certeza de todos ativos e software existentes em sua organização.
- Conduza treinamentos contínuos para não somente educar os funcionários sobre ataques de phishing, mas introduzir métricas de tolerância de clique baseado no perfil do usuário, uma vez que a credencial roubada pode ter mais ou menos impacto dependendo de a quem ela pertence.
- Consolide sua base de usuários considerando métodos de autenticação adaptativos, incluindo MFA e controle de acesso privilegiado que entregue autorização e privilégios somente no momento que são necessários (just-in-time). Para casos mais avançados, considere evoluir para o conceito de privilégio zero (zero standing privilege).
Fase 2 – Detecção do que não sabemos
Mesmo com um plano contemplando todos os itens citados aqui, nada no âmbito digital pode ser 100% protegido. Por isso, a segunda fase implementa recursos que nos permite detectar o que ainda não sabemos (Zero Day) por meio de sistemas de análise comportamental, que oferecem a possibilidade de identificar desvios no uso dos sistemas corporativos e trazer foco a uma investigação que pode reduzir o tempo de detecção de técnicas sofisticadas.
Os sistemas de detecção mais atuais fazem combinação de identificação por meio de assinatura (tradicional) e análise comportamental. Assim, a análise comportamental que utiliza inteligência artificial amplia significativamente a capacidade do centro de operações de segurança (SOC), reduzindo sua métrica de tempo de detecção (MTTR – Mean-Time-to-Detect) e tempo de resposta (MTTR – Mean-time-to-respond).
A combinação de ferramentas de deteção no nível de endpoint, redes e identidades buscam fechar os pontos cegos no âmbito da detecção, um trabalho realizado pelo SOC, mas que necessita de outros recursos na validação e antecipação de incidentes, como serviços de Inteligência de ameaças (Threat Intel) e Análise de Risco Digital (DRPS – Digital Risk Protection Services), que buscam antecipar riscos no monitoramento de redes sociais, laboratórios de teste e monitoramento da darkweb.
Dependendo da indústria, é importante ainda avaliar o nível de risco sobre as máquinas fixas (ATM, ICS, sistemas SCADA) dentro da infraestrutura. A possibilidade de inoperabilidade destas máquinas são uma ameaça ao negócio no ponto de vista financeiro (perda de produtividade) e, principalmente, à vida humana, o que vai além da quebra de reputação da organização. Ou seja, simplesmente fazer uma lista de máquinas previamente autorizadas no sistema já não é mais suficiente. É preciso uma avaliação contínua do comportamento destas máquinas e de suas respectivas sessões de credenciais no sistema de produção.
Faze 3 – Resposta e Recuperação do ambiente
A terceira fase pode ser considerada determinante na manutenção do trabalho do CISO. Parece sensacionalista, mas, o fato é que o impacto do ataque pode determinar a percepção da alta gestão da organização sobre a competência da área de segurança da organização. Ou seja, alguém precisa assumir a culpa.
Esta fase pode demonstrar para stakeholders e usuários que o plano é resiliente e considera que problemas vão acontecer, mas que ter um plano de ação é a diferença entre estar completamente rendido ao ataque ou simplesmente ser mais um incidente que foi contido de forma suficientemente rápida a ponto de não interromper as operações da organização.
Para isso, desenvolva um plano de resposta e realize simulações constantemente, considerando as atividades a seguir como prioritárias:
- Crie um plano detalhado que inclua uma distribuição de responsabilidade (RACI) e que tenha playbooks claros na sua execução.
- Assim como as simulações de incêndio, o plano deve ser testado frequentemente com o objetivo de reduzir impactos devido à falta de conhecimento de usuários no seu papel no combate a incidentes de segurança e o plano deve ser aprimorado considerando os pontos de atenção identificados.
- Utilize soluções que possam oferecer capacidade de imutabilidade e proteção contra criptografia com o intuito de proteção da integridade dos dados nos seus backups. As organizações mais impactadas são aquelas que não possuem um meio de recuperação seguro do seu ambiente e são obrigadas a pagar pelo resgate ou levam semanas na reconstrução do ambiente, ainda com a possibilidade de uma perda substancial de dados.
- Busque métodos de automação no processo de restauração dos backups. A automação não somente reduz o tempo de recuperação, mas também a possibilidade de erros humanos no processo.
- Isole o ambiente de recuperação para garantir que o ataque não tenha de forma alguma, acesso aos backups.
Na prática, dizer que nunca vai acontecer um incidente de ransomware é agir de forma imprudente. Por isso, é melhor ter um plano em desenvolvimento do que não ter plano nenhum. Ao adotar estas três fases da estratégia de combate ao ransomware, organizações amplificam sua capacidade de mitigação e podem garantir uma continuidade das atividades do negócio no menor tempo e impacto possível. A luta é constante, mas tendo as técnicas e ferramentas adequadas, podemos combater um bom combate no processo de proteção de nossas organizações.
Cláudio Neiva, CTO de segurança para a América Latina.
