.png)
3 etapas para impedir que o ransomware se espalhe
Em um post anterior, exploramos o conceito de visibilidade e como ele pode ajudá-lo a identificar possíveis caminhos para ransomware e outros malwares para se espalhar. Próximo, descrevemos como visualizar, quantificar e mitigar o risco de vulnerabilidades.
Com esses elementos no lugar, agora você está bem posicionado para parar ransomware em seu caminho, usando medidas proativas e reativas.
Por que o ransomware é tão eficaz?
UM Análise de 2020 mostra que as empresas perderam 21 bilhões de dólares devido ao tempo de inatividade causado por ataques de ransomware. Esse número por si só demonstra a eficácia das táticas de ransomware.
O que torna o ransomware tão lucrativo para os criminosos? A fraqueza humana é uma vulnerabilidade facilmente explorável que pode ser reforçada com a conscientização sobre ameaças à segurança. Hardware e software desatualizados são outra vulnerabilidade da qual os criminosos de ransomware se beneficiam.
Uma consideração importante que torna o ransomware tão eficaz é a falta de defesas tecnológicas enfrentadas por muitas empresas. Felizmente, com as estratégias e a tecnologia corretas, a disseminação do ransomware pode ser evitada.
Práticas recomendadas para impedir o ransomware
O ransomware causa estragos em empresas grandes e pequenas em todos os principais setores. Mas tem um calcanhar de Aquiles. Normalmente, ele se move em um padrão muito previsível.
Primeiro, o malware entra no ambiente de TI de uma organização por meio de um caminho vulnerável. Então, se não for controlada, ela se espalha, geralmente ao longo de semanas ou meses, espalhando-se por redes, dispositivos e servidores. Finalmente, alguém aperta o botão para ativá-lo quando ele estiver instalado, e o ransomware parece surgir do nada.
Esse processo pode acontecer porque é relativamente fácil mover-se lateralmente pela maioria dos ambientes, porque os firewalls geralmente ficam no topo dos data centers e não perto dos sistemas que eles protegem.
Impedir a propagação de ransomware, malware e outros ataques cibernéticos envolve um processo de três etapas:
1. Feche portas e vetores arriscados que o ransomware pode usar para obter essa entrada inicial em seus sistemas.
2. Estabeleça barreiras para impedir que o malware se mova lateralmente pelo seu ambiente se ele entrar.
3. Melhore sua resposta pós-intrusão configurando políticas secundárias a serem ativadas para resposta a incidentes.
1. Elimine conexões desnecessárias
Tudo começa com isolando ativos críticos, eliminando a comunicação desnecessária.
Considere a videoconferência, por exemplo. Normalmente, não há um bom motivo para o laptop do organizador da conferência falar diretamente com outro dispositivo conectado à conferência por meio de portas RDP ou SMB. Assim, os administradores podem ficar à vontade para fechar essas portas nos dois dispositivos sem afetar qualquer outra coisa no ambiente. Como outro exemplo, na maioria dos casos, você pode desativar os protocolos FTP e Telnet mais antigos e altamente vulneráveis em seu ambiente.
Permitir apenas a comunicação necessária e eliminar caminhos desnecessários entre dispositivos e redes permite reduzir os fluxos de trabalho e as máquinas para conter ransomware.
Você pode fazer isso bloqueando todas as comunicações em portas individuais, como nos exemplos acima, para um único aplicativo, em uma localização geográfica ou em uma rede inteira.
Para obter melhores resultados, você deve implementar esses controles de forma proativa e reativa:
- Agir de forma proativa significa fechar todas as portas não utilizadas em seu data center ou em outras áreas antes que um ataque ocorra, assim como trancar a porta da frente quando você vai para a cama à noite.
- Agir de forma reativa significa responder aos incidentes com políticas em vigor que você pode ativar quando souber ou até mesmo suspeitar da presença de malware em qualquer lugar do seu ambiente.
Comece colocando anéis de proteção em torno de seus aplicativos ou ativos de maior valor. Dessa forma, se o malware violar um dispositivo ou rede em seu ambiente, ele permanecerá confinado a uma pequena área, deixando o resto intocado.
Conforme exploramos em nosso post anterior, alguns portos apresentam mais riscos do que outros e devem ter a maior prioridade de fechamento. Isso inclui portas altamente conectadas que talvez apenas alguns servidores usem para se comunicar com outros sistemas em um data center.
Na maioria dos casos, os servidores que não são de gerenciamento nunca devem usar portas vulneráveis, como portas RDP e SMB, que permitem a comunicação ponto a ponto. A boa notícia é que esses portos compõem a maioria dos vetores de ataque de malware. Em outras palavras, se você restringir entradas como RDP, SMB e Win RM, poderá eliminar a maioria dos malwares que aparecem nas notícias.
Além disso, considere portas conhecidas usadas por bancos de dados e serviços principais. Essa lista inclui aplicativos e serviços normalmente agrupados em distribuições Linux. Muitos deles são muito antigos em sua essência e têm vulnerabilidades acumuladas ao longo de muitos anos.
Felizmente, simples, controles baseados em risco e as políticas que funcionam no lado de entrada de qualquer máquina em um data center podem ajudar você a lidar com essas vulnerabilidades conhecidas para impedir o malware.
Quanto às portas de saída, a maioria dos servidores no data center não precisa se comunicar com a Internet ou talvez apenas de maneiras específicas e claramente definidas.
Ao estreitar a comunicação para evitar que dados não autorizados saiam da organização, você pode impedir que a função de comando e controle do ransomware ligue para casa para acionar bombas de criptografia mortais.
Obviamente, você pode fazer o mesmo com sistemas em nuvem e permissões de acesso de usuário excessivamente amplas. Basta limitar o tráfego de saída, controlando quando e como aplicativos, dispositivos e usuários se comunicam com a Internet em geral. Dessa forma, você pode implementar rapidamente estratégias de contenção de ransomware.
Tudo se resume a isolar ativos infectados e proteger o resto do seu ambiente. E uma boa visibilidade do seu ambiente pode levá-lo ainda mais longe, revelando padrões ao longo do tempo.
2. Use a visibilidade para proteção contra ransomware
Em nosso post anterior, mostramos como a Illumio obtém dados de conexão e informações de fluxo de roteadores, switches e outras infraestruturas locais, além de nuvens e sistemas de usuário final.
A Illumio usa essas informações para criar mapas de dependência de aplicativos para profissionais de TI e interfaces de API para automação de segurança.
Essas informações permitem que os administradores tomem decisões de alta qualidade e pouco arrependimento sobre quais ativos devem se comunicar com quais outros ativos. Eles podem então desenvolver políticas proativas — essencialmente criando barreiras e contendo ativos e sistemas essenciais — que funcionam em todas as máquinas, firewalls nativos da nuvem, comutadores de rede e muito mais para se proteger contra ameaças.
Resumindo, uma violação entre dois usuários não deve afetar outros usuários ou ativos na nuvem ou no data center, e uma boa visibilidade pode destacar essa vulnerabilidade potencial antes de um ataque.
3. Melhore a resposta pós-intrusão
O Illumio também ajuda na resposta pós-intrusão.
Por exemplo, suponha que você identifique atividades suspeitas em seu ambiente. Nesse caso, talvez você queira colocar barreiras para proteger seus bancos de dados principais, PCI sistemas de pagamento, registros médicos, informações comerciais e outros ativos confidenciais.
O que é necessário nesse caso é um recurso de contenção que possa ser mais restritivo do que você deseja executar nas operações diárias. Seu objetivo é impedir a propagação do malware na origem.
Antes de qualquer ataque, os administradores de TI talvez queiram criar políticas secundárias para ativar como parte de seu runbook de resposta a incidentes. A ideia é isolar e proteger os sistemas eliminando a conectividade que pode resultar em comprometimento. Em vez disso, a política de contenção congela ainda mais a propagação de malware, por exemplo, restringindo as comunicações RDP não essenciais.
A Illumio suporta isso permitindo que os administradores identifiquem o tráfego fluindo de maneiras inesperadas e implementem rapidamente políticas que cortam conexões indesejáveis.
Indo além dos firewalls com a segmentação Illumio Zero Trust
Com o Illumio, você pode ver as cargas de trabalho em execução em seu ambiente, estejam elas em um data center, na nuvem ou entre esses ambientes — por exemplo, entre cargas de trabalho da Web e do banco de dados.
Usando esse mapa visual, você pode fechar rapidamente a porta para tráfego inseguro. Usando o RDP como exemplo de uma forma comum de o ransomware se mover entre cargas de trabalho, você pode criar uma regra que bloqueará apenas esse tráfego. Você também pode definir barreiras com base em metadados, como rótulos para diferentes tipos de cargas de trabalho e locais físicos.
Você pode pensar nessas barreiras como uma espécie de firewall reverso. Isso porque, em firewalls, você normalmente cria regras que definem o tráfego desejado, com todo o resto não permitido por padrão. O Illumio permite reverter esse fluxo de trabalho para definir primeiro o tráfego negado. Em seguida, você abre exceções para permitir comunicações para casos individuais.
E tudo é automatizado, permitindo que você crie políticas de emergência que podem ser lançadas a qualquer momento para proteger seu ambiente de qualquer ataque com apenas alguns cliques.
Resumindo, o Illumio fornece a visibilidade de que você precisa para identificar cargas de trabalho e máquinas vulneráveis, desligar portas desnecessárias antes de um ataque e isolar infecções por malware antes que elas se espalhem. Esses controles proativos e reativos ajudam você a impedir rapidamente que os ataques se tornem desastres cibernéticos.
Entre em contato conosco hoje para saber como conter ataques de ransomware com o Illumio.
.webp)
