.png)
4 princípios fundamentais para se proteger contra ransomware
Proteger-se contra ransomware é mais desafiador do que nunca.
Nos últimos anos, sua infraestrutura evoluiu, seu perímetro de segurança tradicional se dissolveu e seu pessoal trabalha em um ambiente híbrido.
Ao mesmo tempo, o ransomware evoluiu para aproveitar essas mudanças e aprendeu a comprometer rapidamente um grande volume de ativos em uma pequena janela de tempo.
Não é de admirar, então, que o ransomware tenha se tornado a maior ameaça atual:
- Mais de 4.000 ataques de ransomware acontecem todos os dias
- O tamanho médio do resgate aumentou 40x em apenas dois anos
- O maior resgate de todos os tempos — $40 milhões — foi pago em 2021
- O maior dano total de um ataque foi $300 milhões
Claramente, a segurança tradicional não está protegendo contra ransomware. As organizações precisam uma nova abordagem. E esta postagem do blog descreve essa abordagem.
Detalharemos quatro princípios fundamentais que ajudarão você a proteger sua organização contra ransomware.
- Certifique-se de que você pode ver seus fluxos de comunicação interna
- Concentre-se primeiro em bloquear os caminhos favoritos do ransomware
- Proteja seus ativos de alto valor, não importa o que aconteça
- Use as ferramentas de segurança certas
Vamos examinar cada um com mais profundidade.
Princípio 1: Certifique-se de que você possa ver seus fluxos de comunicação interna
A maioria dos ransomwares se esconde e não é detectada por meses, e só é detectada depois de bloquear sistemas, ameaçar despejar dados e exigir um resgate.
Antes desse momento, a maioria dos ataques de ransomware passa o maior tempo possível comprometendo o maior número possível de sistemas. Para fazer isso, os ataques geralmente comprometem sistemas que a organização não sabe que têm, percorrendo caminhos entre sistemas que a organização não sabe que estão abertos e deixando um rastro de dados que é difícil de detectar, correlacionar e “somar” para perceber que um ataque está ocorrendo.
Resumindo: Muitos ataques de ransomware são bem-sucedidas porque as organizações nem conseguem ver o que estão acontecendo ou o que estão fazendo até que seja tarde demais.
Para se proteger contra o ransomware, as organizações devem desenvolver visibilidade nos fluxos de comunicação entre os sistemas dentro de sua rede. Isso aumentará a chance de detectar ataques quando eles violarem o ambiente pela primeira vez ou com antecedência suficiente para detê-los antes que se espalhem o suficiente para causar danos reais.
Especificamente, as organizações devem ser capazes de:
- Veja como seus sistemas se comunicam entre si (em tempo real).
- Identifique quais caminhos entre os sistemas estão abertos e quais podem ser fechados.
- Centralize várias fontes de dados de risco para identificar ataques complexos e sutis.
Princípio 2: Concentre-se primeiro em bloquear os caminhos favoritos do ransomware
A maioria dos ataques de ransomware tem como alvo os mesmos caminhos e vulnerabilidades comuns, com mais de 80% dos ataques obtendo sucesso usando um pequeno conjunto de explorações simples e conhecidas.
Especificamente, a maioria dos ataques de ransomware tem como alvo um pequeno conjunto de caminhos de alto risco, como Remote Desktop Protocol (RDP) e Server Message Block (SMB). Esses serviços são usados em muitos sistemas da rede, geralmente são deixados abertos quando não precisam e oferecem aos invasores uma rota fácil para entrar e atravessar a rede.
Para explorar esses caminhos, os atacantes geralmente são oportunistas. Eles geralmente examinam a Internet em busca de sistemas exploráveis com portas abertas que se comunicam fora da rede. Quando um invasor encontra uma, ele a viola e usa outras portas abertas comuns na rede para se espalhar de um sistema para outro, comprometendo todas elas.
Resumindo: muitos ataques de ransomware são bem-sucedidos porque as organizações deixam muitos caminhos comumente explorados abertos em sua rede, geralmente sem perceber.
Para se proteger contra o ransomware, as organizações devem primeiro se concentrar em bloqueio esses caminhos comumente explorados. Isso limitará a capacidade de um malfeitor violar sua rede e se espalhar entre os sistemas após uma violação bem-sucedida.
Especificamente, as organizações devem ser capazes de:
- Identifique quais caminhos de alto risco devem permanecer abertos e quais podem ser fechados.
- Feche o maior número possível de vias de alto risco e monitore as demais.
- Bloqueie o ambiente para impedir ataques em andamento.
Princípio 3: Proteja seus ativos de alto valor, não importa o que aconteça
A maioria dos ransomwares começa aos poucos — primeiro infecta ativos de menor valor que são menos protegidos e, gradualmente, percorre a rede até ativos de alto valor.
Normalmente, os ataques de ransomware precisam concluir vários estágios para passar dos ativos de baixo valor de uma organização para seus ativos de alto valor. Eles devem se mover lentamente pela rede e evitar a detecção. Eles devem se conectar à Internet para obter ferramentas para promover seu ataque (e fazer upload de dados confidenciais para aumentar a vantagem). E eles devem ser pacientes e esperar até encontrarem ativos vulneráveis de alto valor antes de atacarem, criptografarem sistemas e exigirem o pagamento de um resgate.
Resumindo: muitos ataques de ransomware só são bem-sucedidos quando comprometem ativos de alto valor. Dependendo da segurança interna do alvo, isso pode levar anos, meses, semanas, dias, horas ou até mesmo apenas alguns minutos.
Para se proteger contra o ransomware, as organizações devem limitar a capacidade do invasor de se espalhar rapidamente de um sistema para outro em sua rede. Ao fazer isso, as organizações retardarão os atacantes, aumentarão as chances de detectar o ataque antes que ele seja bem-sucedido e evitarão que seus ativos de alto valor sejam comprometidos — e evitarão que o invasor desenvolva alavancagem suficiente para fazer uma demanda confiável.
Normalmente, as organizações podem proteger seus ativos de alto valor segmentando seu ambiente, cercando esses ativos com anéis e cercas para isolá-los e, em geral, separando o ambiente para que os invasores não tenham um caminho claro para passar de ativos desprotegidos de baixo valor para ativos de alto valor bem defendidos.
Princípio 4: Use as ferramentas de segurança certas
Tradicionalmente, a maioria das organizações tentou se proteger contra ransomware usando firewalls manuais e similares. segmentação de rede ferramentas. Mas essas ferramentas foram criadas décadas atrás para uma arquitetura de rede e um paradigma de segurança diferentes. Como resultado, eles normalmente não protegem as organizações contra o ransomware e não podem ser usados para dar vida a esses novos princípios.
Especificamente, ferramentas de segurança tradicionais, como firewalls e dispositivos de rede:
- Falha na visualização dos fluxos de comunicação: Eles não coletam dados utilizáveis nas comunicações internas leste-oeste ou nas comunicações norte-sul. Eles coletam apenas uma telemetria limitada que não identifica o risco e que geralmente está dispersa e isolada entre uma pilha de soluções pontuais de propósito único.
- Falha ao bloquear os caminhos favoritos do ransomware: Eles não criam uma visão centralizada de quais caminhos e explorações comuns estão abertos na rede da organização, eles lutam para manter esses caminhos fechados em ambientes modernos e são muito lentos para responder aos ataques em andamento.
- Falha na proteção de ativos de alto valor: Normalmente, eles gerenciam configurações e políticas de segmentação por meio de fluxos de trabalho manuais que não podem ser escalados para ambientes modernos com milhões de pontos de conexão entre sistemas. A segmentação que eles impõem é eliminada no segundo em que a rede muda.
Resumindo: as organizações não podem usar ferramentas de segurança tradicionais para se proteger contra ransomware. Eles precisam de novas ferramentas projetadas para proteger os ambientes modernos das ameaças modernas de ransomware.
Conheça o Illumio: uma abordagem moderna para proteção contra ransomware
O Illumio oferece gerenciamento de políticas simplificado e escalável, facilitando a criação de uma nova arquitetura de segurança para proteção contra ransomware, independentemente do tamanho e da escala do seu ambiente.
A Illumio facilita a concretização desses princípios.
Obtenha visibilidade abrangente dos fluxos de comunicação
Na primeira hora de instalação, o Illumio cria um mapa em tempo real de todas as comunicações entre todos os sistemas em seu ambiente. O Illumio ajuda você a ver quais dessas comunicações são necessárias e quais podem ser desligadas, além de criar uma fonte única de verdade para muitas equipes e ferramentas, como SIEMs.
Bloqueie rapidamente os caminhos que o ransomware gosta de explorar
O Illumio mostra os caminhos comuns de ransomware abertos em seu ambiente e facilita o fechamento desses caminhos automatizando cada etapa importante no gerenciamento de políticas de segurança. Finalmente, o Illumio permite criar uma “chave de contenção” para bloquear sua rede e sistemas em segundos durante um incidente.
Execute uma segmentação escalável de Zero Trust para proteger ativos de alto valor
Illumio oferece a você um solução abrangente de segmentação que impõe políticas em ambientes modernos de grande escala e facilita a limitação da distribuição lateral e o isolamento de ativos de alto valor. A Illumio aplica essas políticas dinamicamente e as mantém em todos os momentos, mesmo quando sua rede evolui.
Resumindo: o Illumio resolve muitos dos problemas com ferramentas e arquiteturas de segurança tradicionais e permite que você implante uma nova abordagem para se proteger contra ransomware.
Proteja-se contra ransomware hoje: traga o Illumio para sua defesa
O Illumio é usado por muitas das maiores e mais inovadoras organizações do mundo para se proteger contra ransomware. Com o Illumio, eles obtêm visibilidade de seus fluxos de comunicação e uma compreensão clara de seus caminhos mais arriscados, com controle total de segmentação até o nível do aplicativo.
Atualmente, a Illumio protege ativos para:
- Mais de 10% das empresas da Fortune 100
- 6 dos 10 maiores bancos globais
- 5 das principais seguradoras
- 3 das 5 maiores empresas corporativas de SaaS
Nosso clientes também use o Illumio para criar posturas de segurança fundamentalmente mais fortes que se defendam contra uma ampla variedade de ataques.
É hora de trazer Illumio em sua defesa. Dê o próximo passo certo.
- Vá mais fundo: E-book Como impedir ataques de ransomware
- Experimente você mesmo: Os laboratórios práticos do Illumio Experience
- Agende um bate-papo: Consulta e demonstração gratuitas
.webp)
