6 medidas eficazes para evitar ataques do tipo ransomware
Consultoria PwC faz recomendações para que as companhias evitem o sequestro de dados por parte de hackers
08/12/2021O ano de 2021 foi marcado por grandes ataques cibernéticos do tipo ransomware, tanto contra empresas quanto a governos de todo o mundo.
Alguns dos casos mais relevantes foram o ataque a um dos principais oleodutos dos Estados Unidos e a ação criminosa que afetou as operações da gigante brasileira de proteína animal JBS, também nos EUA.
Aplicado por hackers, o ransomware consiste em um sequestro dos dados de uma empresa ou indivíduo. As informações são acessadas e criptografadas sem consentimento e só são liberadas mediante pagamento.
Saiba mais:
- O que é e como se proteger do ransomware
- Porto Seguro sofre ataque hacker e fica sem sistema e canais de atendimento
- CVC comunica a CVM que continua com sistemas afetados por ataque hacker
Relatório recente da Avast, empresa de software antivírus, mostra que os brasileiros têm 27% de chance de terem seus computadores e smartphones invadidos, todos os meses.
Agora a consultoria PwC divulgou uma lista de seis recomendações principais para organizações que queiram se prevenir contra ataques do tipo.
As boas práticas envolvem desde a detecção rápida de incidentes até a proteção de contas privilegiadas dentro da empresa. Abaixo, um resumo das orientações. A íntegra pode ser conferida por este link.
Como evitar ataques de ransomware na organização | PwC
- Impedir que estações de trabalho sejam comprometidas por ataques de phishing
O phishing consiste em uma mensagem de e-mail que leva a vítima a clicar em algum link malicioso, que abre a porta para os criminosos acessarem sistemas. Sendo assim, a PwC recomenda às empresas:- Confirmar se as ferramentas de filtragem de e-mail estão configuradas adequadamente para bloquear e-mails de phishing;
- Implantar e configurar ferramentas de filtragem da web para evitar que os usuários baixem arquivos maliciosos;
- Restringir macros do Microsoft Office a equipes e departamentos que não tenham uma justificativa adequada;
- restringir a execução de scripts (roteiro de ações que automatiza a execução de tarefas por um computador) em estações de trabalho.
- Corrigir vulnerabilidades na interface com a internet e reduzir a superfície de ataque
Muitos criminosos se aproveitam de vulnerabilidades presentes em serviços disponíveis pela internet. Por isso, as organizações devem:- Realizar verificação e monitoramento de vulnerabilidades para garantir que elas sejam corrigidas rapidamente;
- Desativar os restringir acesso a serviços expostos à internet para reduzir a superfície de ataque;
- Aplicar a autenticação multifator para identificar logins de locais suspeitos e reduzir o impacto de credenciais comprometidas.
- Proteger contas privilegiadas para evitar que sejam comprometidas
Segundo a PwC, a principal forma de dificultar essa ação é proteger as credenciais de contas privilegiadas para evitar que sejam expostas aos sistemas com maior risco de comprometimento:- Restringir o uso de contas de administrador de domínio em estações de trabalho e servidores e apenas usar contas com privilégios de administrador quando estritamente necessário;
- Identificar e corrigir percursos de ataque para contas privilegiadas no Active Directory, diretório de informações de uma rede de PCs (recomenda-se o uso da ferramenta de segurança ofensiva BloodHound);
- Restringir contas em grupos de administradores locais para reduzir a superfície de ataque de identidades para os endpoints (pontos finais);
- Monitorar o Active Directory para detectar o uso inseguro, o comprometimento e o abuso de contas privilegiadas.
- Corrigir vulnerabilidades comuns usadas por invasores para escalar privilégios
Vulnerabilidades predominam em redes corporativas internas extensas e pouco conhecidas, que evoluíram com o tempo sem governança de segurança nem investimentos adequados. Com isso, a PwC orienta a:- Impor senhas fortes nas contas de serviço para evitar que sejam quebradas;
- Remover as credenciais armazenadas em compartilhamentos de rede para evitar que invasores façam uso delas para violar contas;
- Usar testes de segurança o Microsoft Secure Score para identificar problemas de Tecnologia da Informação e fragilidades do Active Directory.
- Restringir a capacidade de um invasor de comprometer outros sistemas
Dificultar o tráfego lateral de um invasor aumenta a chance de detectá-lo antes que ele possa implantar o ransomware:- Corrigir vulnerabilidades exploráveis em sistemas internos para remover rotas triviais que comprometam outros sistemas;
- Prevenir e detectar técnicas comuns para implantação em massa do ransomware;
- Segmentar unidades de negócios e redes de alto risco para limitar o raio de ação dos ataques ransomware.
- Detectar e conter incidentes rapidamente antes que eles se ampliem
Ao detectar e conter efetivamente infecções de “malware comum”, as organizações também podem evitar oportunidades de acesso para os invasores que usam recursos de ransomware. Eis as ações listadas para essa recomendação:- Implantar um agente de segurança ednpoint capaz de detectar e impedir a atividade do invasor;
- Incorporar um serviço de detecção e resposta gerenciadas (MDR) para automatizar a resposta a ameaças comuns e garantir a detecção e correção de "malware comum";
- Certificar-se de que ferramentas comuns de invasão sejam detectadas e os alertas sejam corrigidos com eficácia.