Sim, ainda precisamos falar sobre combate ao ransomware nas empresas. Porque os criadores e operadores de ransomware foram os pioneiros em criar novas maneiras de evitar produtos de segurança de endpoint em 2020. E têm criatividade e versatilidade na concepção de novas táticas.
Apenas no último trimestre de 2020, o pagamento médio de resgate aumentou 21%, segundo relatórios internacionais. Chegou a U$233.817,30. Um ano atrás, o pagamento médio era de U$84.116. Claramente, os agentes de ransomware entendem como o tempo de inatividade pode ser caro e estão testando o limite do que podem extrair de empresas em um pedido de resgate.
Sempre que uma empresa sofre um ataque, as conclusões das análises são similares a da queda de um avião. Nunca é um fato isolado, são uma combinação de fatores. Em um incidente de ransomware, o hacker utiliza de diversas técnicas para obter o acesso ao ambiente. Porém, algo que todos os ataques têm em comum é a engenharia social, em que o atacante explora a vulnerabilidade humana. Isso, combinado a um ambiente sem recursos de segurança da informação, ou com ferramentas de proteção mal configuradas e sem gestão, abre as portas para o invasor.
Pode ser que o hacker mantenha os dados criptografados, sem possuir nenhuma cópia dos dados. Ou, que faça uma cópia dos dados (Exfiltration) e depois inicie a criptografia dos arquivos. Nesse segundo cenário, mesmo que a empresa possua um plano de continuidade de negócios e consiga restaurar o ambiente, evitando um impacto operacional maior, o atacante irá iniciar um processo de chantagem para não vazar nem vender os dados na darkweb. O que pode fazer com que a companhia acabe pagando o resgate.
Mesmo o ransomware representando tantos riscos, ainda há aspectos desse tipo de crime que as empresas continuam negligenciando e que, enquanto não houver um enfrentamento consistente, os ataques seguirão ocorrendo.
Engajamento é tão importante quanto ferramentas de proteção
A maioria das empresas não tem visibilidade transacional dos dados. Então, se os usuários estão movendo-os para nuvens não sancionadas pela corporação, ou enviando-os por e-mail ou em pendrives, por exemplo, os responsáveis pela segurança cibernética da empresa não conseguirão identificar, em caso de ataque, se houve vazamento de dados ou criptografia.
Por isso engajamento é tão importante. Como são vários fatores envolvidos em um incidente cibernético, as contramedidas devem ser trabalhadas no contexto de um programa de cibersegurança. O programa consiste em iniciar uma modelagem de proteção. E é fundamental que os colaboradores estejam engajados. Para que saibam identificar um phishing, que ao notar algo suspeito por e-mail ou até mesmo por uma ligação, possam alertar o time responsável da corporação.
Foco em detecção e resposta
Além de ter um foco em proteção, os times de segurança devem focar seus esforços em detecção, assumindo que, em algum momento, um ataque pode acontecer. Os danos vão ser minimizados se o tempo de detecção e resposta daquele incidente for reduzido.
Resposta a incidentes também é um tema que deve ser levado a sério pelo time de SI. Muitas empresas não possuem uma instrução dos passos a serem seguidos quando um ataque está em andamento. E desligar os equipamentos acaba sendo a primeira opção, o que pode prejudicar a investigação forense, as evidências de memória e a identificação do paciente zero. São informações importantes para correção do vetor de ataque e compreensão da ocorrência. Foi um ataque direcionado ou simplesmente a identificação e a exploração de uma vulnerabilidade?
Déficit de profissionais qualificados
Times de tecnologias reduzidos e alta demanda são fatores que elevam o desafio de se manter o ambiente corporativo e seus dados protegidos. A área de SI sofre com um déficit de profissionais qualificados ao mesmo tempo em que a necessidade por segurança não para de aumentar.
Não se esqueça
Não existe bala de prata. As empresas precisam adequar seu programa de cibersegurança para elevar a maturidade de proteção e alinhar a estratégia de segurança com o negócio. Além disso, devem apostar em um plano de continuidade de negócios bem desenvolvido com claras medidas em casos de desastres, e uma boa política de backup off-line, fora da rede corporativa. Medidas essenciais para organizações não fiquem à mercê de criminosos casos todas as medidas de segurança falhem e o inevitável aconteça no ambiente.
Por Thiago Gonçalves