Casa Branca recomenda às empresas adoção de boas práticas contra ataques de ransomware

MicrosoftTeams-image (22)

Em uma carta aberta enviada a executivos e líderes empresariais, a Casa Branca pede às empresas que tomem mais cuidado com ataques de ransomware. O documento menciona aumento desses ataques no mundo inteiro e alerta que nenhuma empresa está a salvo de sofrê-los.

Ainda segundo a carta, após os recentes episódios nos EUA, na Irlanda e na Alemanha, além de outros tantos ao redor do mundo, a constatação é que empresas que veem ransomware como uma ameaça às suas operações de negócios, em vez de apenas risco de “roubo” de dados, tendem a se recuperar de forma mais eficaz e rápida de um ataque.

Para isso, a Casa Branca recomenda que os executivos convoquem equipes de liderança para discutir ameaças de ransomware e analisar a postura de segurança corporativa, bem como os planos de continuidade do negócio, para garantir que possam restaurar rapidamente as operações.

O documento afirma, ainda, que o fortalecimento do país contra ameaças cibernéticas é uma das prioridades do presidente Joe Biden, enfatizando que o setor privado precisa somar esforços.

O que fazer para se proteger?

a) Manter backup off-line e protegido por encriptação;

b) Testar os backups com regularidade;

c) Ter plano de resposta a incidentes devidamente aprovado e treinado, que também contemple um plano de comunicação e notificação, especialmente envolvendo a ANPD (Autoridade Nacional de Proteção de Dados) e, quando cabível, o titular de dados;

d) Desenvolver um checklist de ações com medidas para correção de vulnerabilidades técnicas, treinamento e conscientização, bem como revisão dos riscos e das medidas mitigadoras junto a parceiros e prestadores de serviços. Incluir no checklist a implementação de boas práticas de segurança da informação, tais como regras para uso de senhas mais fortes; política e restrição de acesso; segmentação de rede para separar unidades de negócios; dentre outras.

A carta divulgada pela Casa Branca também enumera seis formas de uma empresa se precaver de ataques de ransomware:

Implementação das cinco melhores práticas da Ordem Executiva do Presidente. O documento, assinado em maio por Joe Biden, define um padrão a ser seguido por todas as empresas que oferecem soluções de segurança ao governo;

Realização de backup regular de dados. As empresas precisam se certificar de que os backups são testados regularmente e conectados à rede de negócios. Além disso, devem manter os backups off-line, como alternativa à restauração do sistema, em caso de ataque;

Atualização e correção imediatas. Isso vale para melhorar a segurança dos sistemas, aplicativos e firmware;

Simulação do plano de resposta a incidentes. Os testes servem para mostrar o nível de segurança, apontando, por exemplo, o tempo que a empresa é capaz de sustentar suas operações de negócios sem acesso a determinados sistemas;

Verificação do trabalho da equipe de segurança. É necessário fazer testes para saber se a empresa é capaz de se defender de um ataque sofisticado;

Segmentação das redes. É importante que as funções de negócios corporativos e operações de manufatura/produção sejam feitas em redes distintas, tendo ainda a opção de acesso filtrado e limitado à internet.

Vetores de infecção

Os ataques de ransomware acontecem, principalmente, por meio de “lacunas” no sistema das empresas, sendo necessária uma constante varredura para identificar e solucionar as vulnerabilidades. Outro ponto importante que deve ser observado é a configuração da área de trabalho remoto, uma vez que os criminosos obtêm geralmente acesso inicial por meio de uma rede exposta e mal protegida.

No caso do phishing, é recomendado à empresa, além de adotar filtros no gateway de e-mail, implementar, para os usuários, um programa de conscientização e treinamento voltado para segurança cibernética, a fim de mostrar como identificar e relatar atividades suspeitas ou incidentes.

Outro vetor de infecção de ransomware é o malware precursor, devendo a empresa se certificar de que a assinatura do software antivírus e antimalware esteja válida; usar a lista de permissões do diretório do aplicativo em todos os ativos para garantir que apenas o software autorizado possa ser executado; e considerar a implementação de um sistema de detecção de intrusão (IDS).

Por fim, é possível que os ataques de ransomware se efetivem a partir de terceiros e provedores de serviços gerenciados. Por isso, a orientação é que as empresas implementem uma gestão de risco para o controle do uso da rede por terceiros.

Detecção e análise

Após a certificação de que o sistema sofreu ataque de ransomware, são recomendadas as ações abaixo, de acordo com guia elaborado pela Agência de Segurança Cibernética e Infraestrutura (CISA), dos Estados Unidos.

● Determinar os sistemas afetados e isolar todos eles imediatamente;

● Desligar os dispositivos de rede somente nos casos em que não for possível desconectá-los;

● Fazer uma triagem de sistemas impactados para restauração e recuperação;

● Conversar com a equipe para desenvolver e documentar uma compreensão inicial do que ocorreu com base em análise inicial;

● Permitir que as equipes internas e externas, além das partes interessadas, tenham uma compreensão do que pode ser feito para mitigar, responder e se recuperar do incidente.

No entanto, se nada disso resolver o problema, a empresa deverá, ainda segundo a CISA, consultar as autoridades federais dos EUA, sobre possíveis decifradores disponíveis para casos norte-americanos.

Uma vez que o ambiente tenha sido totalmente limpo e reconstruído, é necessário que a empresa redefina suas senhas para todos os sistemas afetados, levando em consideração quaisquer vulnerabilidades existentes, o que pode incluir a aplicação de patches; atualização de software; e outras medidas de segurança e precaução não tomadas anteriormente.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp