Concentre-se novamente no ransomware: 3 verdades para construir uma rede pronta para ransomware

Com Mês Nacional de Conscientização sobre Cibersegurança começando, o único tópico sobre o qual você ouvirá com certeza é ransomware.

Isso não é surpreendente, já que o ransomware é o tipo mais comum de ataque cibernético as organizações enfrentam.

Você precisa estar preparado para o momento em que receber um telefonema informando que algo suspeito parece ter sido detectado em seu ambiente.

Este mês, coloque seu ransomware concentre-se em três “verdades” importantes que todas as organizações devem aceitar e adotar para estabelecer uma base sólida para proteger sua rede contra a propagação de um ataque de ransomware.

Ouça Nathanael Iversen, evangelista-chefe da Illumio, sobre como garantir que sua organização esteja pronta para ransomware:

Continue lendo para saber mais.

Verdade #1: proativamente projete sua rede na expectativa de um ataque de ransomware

Imagine que você receba a chamada. Nesse momento, qualquer rede de tecnologias de detecção e sensores que você tenha selecionado terá feito seu trabalho e os recursos de resposta a incidentes serão essenciais. Afinal, você só pode responder com o que já está implantado, ativo e cuidadosamente preparado.

Ninguém tem tempo para criar uma nova capacidade em tempo real quando um ataque está em andamento.

Quando os arquitetos projetam edifícios, eles precisam projetar portas corta-fogo em todos os andares, escritórios e entradas de escadas. Essas portas geralmente são deixadas abertas ou funcionam como portas normais na maioria das vezes.

Mas se um incêndio começar, essas portas contêm o fogo e a fumaça e fornecem uma saída segura para as pessoas saírem do prédio.

Três recursos fornecerão essas “portas corta-fogo” para responder com eficácia a um ataque de ransomware e minimizar seu impacto:

1. A capacidade de visualize fluxos de tráfego e o raio de ataque. Ter vários dados do NetFlow não será útil. No momento, é fundamental ter mapas de dependência de aplicativos completos e automatizados e a capacidade de consultar a atividade em qualquer porta de rede. Juntos, é possível ver exatamente onde um ataque está, esteve e está tentando ir.
2. O próximo é predefinido políticas de segurança que podem fechar partes da rede e criar zonas seguras em todos os lugares que o ataque ainda não tenha acessado. Isso impede que o ransomware se espalhe e cria as “zonas limpas” para as quais as máquinas infectadas serão movidas após serem desinfetadas.
3. Finalmente, justa fronteiras deve ser colocado ao redor de qualquer máquina comprometida para eliminar conexões com redes de comando e controle, disseminação ou até mesmo reconhecimento. É improvável que os firewalls de rede tenham granularidade suficiente para fazer isso. Uma solução de segmentação baseada em host pré-instalada garante que os recursos corretos estejam disponíveis quando necessário.

Quando um malware ativo é detectado, todos desejam ter esses três recursos, então faz sentido implementá-los antes que sejam necessários. A contenção efetiva ganhará tempo para que as atividades de remediação sejam concluídas.

Verdade #2: Eliminar riscos é melhor do que gerenciá-los

Quando um ataque está em andamento, existem muitas ferramentas que prometem identificá-lo e fazer algo a respeito.

Mas há uma verdade ainda mais profunda: um ataque só pode espalhar por meio de portas abertas. Se não há caminho, não há propagação.

Cada porta desnecessariamente aberta que é fechada reduz o risco. O tamanho da rede operacional diminui, eliminando riscos e reduzindo a superfície de ataque.

Como você consegue isso?

1. Feche portas de alto risco, alto valor e comumente abusadas. A maioria dos ransomwares comerciais usa vários protocolos conhecidos para se espalhar, como RDP e SMB, que geralmente não precisam ser abertos globalmente. A maioria dos especialistas em penetração usa kits de ferramentas padrão para tentar explorar um ambiente e procurar vulnerabilidades comuns em portas conhecidas. Em quase todos os casos, essas portas conhecidas não precisam ser abertas globalmente. Fechá-los não reduz o risco; na verdade, elimina todos esses vetores. Por que gerenciar o que você pode eliminar?
2. Aplicações de alto valor da Ringfence. No caso infeliz de algo ruim ser descoberto em seu ambiente, o primeiro pensamento será sobre os aplicativos e dados de maior valor. É provável que o comprometimento seja detectado na borda ou no terminal, mas a preocupação são as “coisas mais importantes”. Nesse momento, todos desejarão estar totalmente cercados e ter uma política rígida de segmentação Zero Trust anexada. Crie essa política agora — então ela estará em vigor e esses ativos críticos já terão eliminado a maior parte do risco de um ataque à rede.
3. Controle o acesso administrativo. A maioria das organizações usa Jump Hosts. Garanta que todas as formas de acesso administrativo sejam rigorosamente controladas pelos usuários e salte os hosts apropriados para o ambiente. Nenhum aplicativo ou porta deve responder ao acesso administrativo aleatório, especialmente do ambiente do usuário. Reduzir radicalmente todos os protocolos administrativos elimina muitas classes de ataques.

Riscos que não existem não precisam ser gerenciados. E embora nenhuma tecnologia elimine a necessidade de tecnologias complementares, ainda é verdade que uma base sólida de segmentação direcionada eliminará grandes quantidades de risco de disseminação de violações.

Verdade #3: Você precisa ambos Segmentação Zero Trust e EDR para impedir a propagação de ransomware

A melhor coisa que você pode fazer para eliminar a propagação de violações é implantar Segmentação Zero Trust além de um produto existente de detecção e resposta de terminais (EDR).

Bispo Fox conduziu recentemente uma série de emulados ataques de ransomware em que os atacantes tentaram comprometer uma rede protegida apenas com EDR e uma rede protegida com Segmentação de EDR e Zero Trust.

Eles descobriram que, embora o EDR tenha sido muito eficaz em detectar e, finalmente, remediar muitos ataques, as redes que também eram protegidas pela Segmentação Zero Trust continham ataques quatro vezes mais rápidos e com radicalmente menos hosts comprometidos.

Quanto melhor sua política de segmentação, mais eficaz seu EDR pode ser. Dê superpoderes ao seu EDR adicionando a Segmentação Zero Trust à sua implantação para máxima capacidade de resposta.

Esteja preparado para ataques inevitáveis de ransomware

O ransomware é um flagelo do ambiente moderno de usuários e computadores. Mas preparativos eficazes podem ser feitos para garantir que uma violação seja um evento, não uma catástrofe.

Investir em um conjunto de qualidade de políticas proativas e reativas de segmentação de resposta a incidentes proporcionará à sua equipe de segurança controles valiosos nos primeiros minutos críticos de uma resposta.

As equipes que eliminam riscos antes de um evento sempre terão menos a fazer do que aquelas que deixaram os aplicativos essenciais amplamente expostos e as portas e protocolos de gerenciamento de alto risco abertos. E quem não gostaria que seu EDR funcionasse quatro vezes mais rápido com quantidades menores de anfitriões comprometidos?

O Plataforma de segmentação Illumio Zero Trust fornece esses recursos fundamentais que eliminarão riscos e melhorarão as capacidades de resposta. Esse é exatamente o tipo de conscientização deste mês!

Junte-se a nós na próxima semana para trazer uma nova visão sobre por que você deve se concentrar na segmentação de confiança zero neste mês de conscientização sobre cibersegurança.