Zero Gravity: Chris Childerhose fala sobre tecnologia com o Ootbi VSA | Participe >>
Como comprarSolicite uma demonstração

Plano de Resposta a Ransomware: Como se Recuperar Após o

Anthony CusimanoAC

Ransomware não poupa ninguém. Organizações de médio porte, escolas, bibliotecas e até hospitais — todos sofrem ataques de ransomware com frequência de uma vez a cada onze segundos.

As chances de ser atingido por ransomware nunca são zero, independentemente da postura de segurança de uma empresa. Em outras palavras, não se trata de uma questão de se, mas de quando o ataque ocorrerá.

A prevalência de ransomware torna vital que cada negócio tenha um plano de resposta robusto. Sem ele, uma infiltração bem-sucedida causará inevitavelmente estragos em toda a organização.

O seguinte artigo descreve um plano de resposta a ransomware que toda organização pode seguir após um ataque de ransomware. Ele foi preparado e revisado por especialistas da Object First, uma empresa singularmente dedicada a interromper o ransomware em seu caminho.

O que é um Plano de Resposta a Ransomware?

Um plano de resposta a ransomware é um conjunto de etapas que atenua o impacto do ransomware. Ele instrui e lembra os administradores sobre o que podem e devem fazer para minimizar as consequências do ataque.

Por que os administradores devem ter um plano de resposta a ransomware em primeiro lugar? Porque o ransomware é sempre repentino e devastador, deixando até os mais experientes em estado de pânico. Um bom plano fornece um modelo para a emergência e conforto em tempos de necessidade.

Ransomware não é uma sentença de morte — apesar de todas as aparências em contrário. É mais útil pensar nele como uma inundação. A inação apenas permitirá que ele se espalhe, enquanto contramedidas adequadas podem conter e, às vezes, até reverter a situação.

Razões para Criar um Plano de Resposta a Ransomware

O guia assume o pior cenário, no qual o ransomware criptografa backups. Isso não é improvável. Os perpetradores perceberam há muito tempo que os backups tornam seus esforços criminosos fúteis, então eles os visam cada vez mais também.

Este plano de resposta a incidentes de ransomware ajudará a recuperar até mesmo aqueles sem um backup imutável. Ao marcar os itens deste plano, uma organização será capaz de:

  • proteger recursos;
  • identificar a ameaça;
  • preservar reputação;
  • prevenir reentrada.

Plano de Resposta a Incidentes de Ransomware em Cinco Etapas

1. Resposta

A primeira regra da resposta a emergências: não entre em pânico. O medo é natural, mas, se não controlado, leva a decisões precipitadas e julgamentos apressados. Uma breve meditação ou uma caminhada no parque ajudará a acalmar a mente. Depois disso, não hesite em entrar em ação.

  • Comunique-se de forma segura. Mantenha o intruso no escuro e comunique-se exclusivamente por meio de chamadas telefônicas. Os serviços celulares operam fora das redes corporativas e passam despercebidos pelo ransomware.
  • Capture a nuvem. Faça uma cópia dos recursos de nuvem da empresa e coloque-a em quarentena para investigação forense.
  • Identifique e isole. Descubra quais sistemas estão impactados e sequestre-os do restante. Se cortá-los no nível do switch falhar, separe-os fisicamente da rede desconectando cabos ou desligando o Wi-Fi.
  • Desligue dispositivos. Se um sistema resistir à desconexão, desligue-o. Note, no entanto, que isso é um meio de último recurso. Desligar o hardware apaga evidências potenciais da memória de acesso aleatório.
  • Classifique sistemas por ordem de importância. A priorização guiará a recuperação eventual. Se disponível, consulte a lista pré-definida de serviços críticos da organização.
  • Inspecione sistemas de prevenção. Verifique o antivírus, EDR e logs do sistema em busca de vestígios de ameaças precursoras — o tipo de malware que precede e possibilita o ransomware. Exemplos incluem Bumblebee, Dridex e Anchor. Remova-os para evitar maior exposição ao ransomware.
  • Mapeie a intrusão. Investigue possíveis rotas de ataque. O conhecimento sobre pontos de entrada e caminhos de infiltração informará táticas de prevenção futuras e melhorará a postura de segurança.
  • Detecte a ameaça. Preste atenção especial às contas do Active Directory, novos logins, modificações em endpoints, software de monitoramento e gerenciamento remoto (RRM), PowerShell e PsTools, comunicação de endpoint para endpoint e qualquer atividade em torno de ferramentas do sistema Windows e Administradores de Domínio. Qualquer coisa fora do comum deve levar a uma inspeção mais detalhada, levando ao malware por trás da criptografia.

2. Relato

Soar o alarme imediatamente segue a resposta inicial. Esta etapa é indispensável, apesar de ser desagradável. Compartilhar informações sobre o ataque permite que as partes afetadas permaneçam vigilantes e ofereçam ajuda, se puderem.

  • Informe internamente. Neste ponto, todas as partes impactadas, incluindo as partes interessadas, devem saber sobre a violação e as ações tomadas contra ela. Elas também devem receber atualizações regulares à medida que a situação se desenrola.
  • Contate o Conselheiro de Violação. Um conselheiro de violação é um corpo externo de especialistas que auxilia empresas atingidas por ransomware. As seguradoras geralmente incluem uma lista de conselheiros de violação em suas apólices ou sites.
  • Alerta as autoridades. O ransomware constitui uma ofensa criminal em muitas jurisdições, portanto, as organizações podem ter a obrigação de informar as autoridades policiais e agências governamentais sobre isso.

Nos EUA, considere contatar:

Na Europa, consulte esta lista da Europol.

Independentemente dos requisitos legais, organizações estatais podem fornecer recursos adicionais contra a ameaça — por exemplo, mecanismos de descriptografia ou análise forense de amostras de dados.

  • Notifique os clientes. As empresas preferem manter incidentes de ransomware em segredo por medo de danos à reputação. Mas a notícia do ataque surgirá mais cedo ou mais tarde, e os clientes é melhor que aprendam sobre isso pela empresa do que por outra pessoa. A comunicação externa sobre o incidente deve mencionar seu escopo e riscos associados, como vazamentos de dados.

3. Contenção

Concentre-se no culpado com esforços investigativos severos. Mobilize a equipe de cibersegurança da empresa e una forças com profissionais externos para intensificar a pressão sobre o atacante.

  • Isolar dados para análise.

AVISO: Esta é uma operação delicada que deve ser realizada por ou com o apoio de especialistas em segurança, como o Conselheiro de Violação ou CISA. Prossiga com cautela.

Extraia amostras de dados dos sistemas impactados. Concentre-se em itens relevantes e que levantem suspeitas, como logs, binários específicos, entradas de registro e endereços IP. Colete dados temporários antes que desapareçam — por exemplo, logs de segurança do Windows ou buffers de log de firewall.

  • Encontre a origem. Revise todos os sistemas e contas, incluindo e-mails, para identificar o ponto inicial de entrada.
  • Proteja endpoints. Feche todos os endpoints e interfaces voltadas para fora, como VPNs, servidores de acesso remoto, recursos de login único, etc. Caso contrário, eles permanecem como uma potencial via de acesso aos seus sistemas.
  • Elimine mecanismos de persistência. Encontre e neutralize quaisquer processos de longo prazo que os atacantes possam ter deixado para trás, como autenticações prolongadas, backdoors, explorações de vulnerabilidades, etc.

4. Erradicação

O perímetro está seguro. Agora, traga os sistemas de volta à capacidade operacional, limpando e redefinindo tudo que poderia ter entrado em contato com malware. Esta é a única maneira de expurgar resíduos maliciosos da infraestrutura.

  • Apague sistemas afetados. Pode ser tentador cortar apenas os dados infectados para que o sistema inteiro não seja sacrificado, mas não vale o risco de omissão. Para máxima segurança, limpe tudo que foi infectado.
  • Recarregue a partir de imagens. Substitua serviços comprometidos por suas imagens novas de acordo com a lista de prioridades. Com a nuvem, confie na infraestrutura como código para o mesmo processo.
  • Redefina senhas. Os atacantes não poderão reinfectar se não puderem usar as credenciais que podem ter roubado.

5. Prevenção

Agora que a ameaça acabou, diminua as chances de que isso aconteça novamente. Existem algumas coisas que uma organização pode fazer para fortalecer sua resiliência contra ransomware:

  • Eduque. Organize treinamentos sobre melhores práticas em segurança de dados para todos os funcionários, para que saibam como evitar as armadilhas da engenharia social e reconhecer sinais precoces de ameaças.
  • Audite. Examine os sistemas em termos de resiliência a software malicioso.
  • Proteja. Configure as Portas de Área de Trabalho Remota (RDPs) para aceitar apenas hosts confiáveis e sempre desligue os inativos. Aplique configurações de segurança rigorosas a todos os endpoints.
  • Segmente. Compartimentalize a rede fisicamente e com VPN — separe elementos da rede voltados para dentro dos voltados para fora. Aplique princípios de Zero Trust à gestão de controle de acesso.
  • Atualize. Mantenha tudo sempre atualizado. Mesmo um pequeno atraso na atualização pode dar aos hackers uma janela para entrar.
  • Imponha. Prepare e siga uma estratégia de backup robusta com imutabilidade no centro.

Recursos úteis

Uma robusta estratégia de defesa contra ransomware diminui as chances de ataques futuros, mas sempre vale a pena ter recursos concretos prontos. Considere criar, manter e atualizar regularmente as seguintes informações:

  • Equipe de resposta a incidentes. Liste as pessoas responsáveis por remediar um ataque.
  • Inventário de ativos. Especifique ativos de hardware e software, idealmente em um gráfico. Isso proporcionará uma visão instantânea da infraestrutura da empresa.
  • Lista de serviços críticos. Defina uma lista hierárquica de recursos digitais, como aplicativos, conjuntos de dados e backups.
  • Lista de contatos. Anote as informações de contato de afiliados e membros da organização que podem sofrer as consequências de um ataque de ransomware.
  • Oportunidades de treinamento. Detalhe os exercícios teóricos e práticos, como cursos, workshops e simulações de incidentes, disponíveis para os funcionários e, de preferência, categorizados por dificuldade para combinar com o nível certo de especialização.
  • Lições aprendidas. Colete insights de ataques passados e simulações de segurança para apoiar a mitigação futura.
  • Plano de Resposta a Incidentes de Ransomware. Elabore um plano de ação detalhado de resposta a ransomware para agilizar o controle de danos.

Backup imutável contra ransomware

Um backup é imutável quando ninguém — incluindo administradores e root — pode modificá-lo ou excluí-lo. Esses backups dependem do mecanismo de gravação uma vez, leitura muitas vezes (WORM), implementado no nível de software ou hardware.

A imutabilidade baseada em software é mais flexível e econômica porque pode ser definida por tempo e substituída por novos dados quando seu tempo de proteção expira.

Backups imutáveis resistem à criptografia, o que os torna o seguro perfeito contra ransomware. Se atacado, siga nosso plano de resposta a incidentes de ransomware para se livrar do malware e, em seguida, prossiga para a recuperação a partir de backups imutáveis.

Ootbi—imutabilidade pronta para uso para Veeam

Ootbi da Object First é um dispositivo de backup baseado em propósito adaptado para Veeam. Ele vem com imutabilidade pronta para uso, funciona com S3 Object Lock e utiliza armazenamento de objetos para melhor acomodar grandes pools de dados. Montado, empilhado e alimentado em menos de quinze minutos, Ootbi se integra perfeitamente a qualquer instância do Veeam, suporta todos os protocolos do Veeam e não requer expertise técnica para configurá-lo.

Conclusão

O ransomware se prova uma das maiores ameaças à segurança na atual década. Empresas que desejam permanecer seguras e relevantes devem elaborar um plano de resposta a ransomware ou enfrentar um tempo de inatividade significativo e perda de dados que geralmente resulta de um ataque.

Dispositivos de backup imutáveis e com isolamento de ar como Ootbi emergem como a última linha de defesa e uma rara garantia contra ransomware. O plano e o backup fornecem a melhor proteção contra ransomware que uma empresa pode esperar.

FAQ

O que é um Plano de Resposta a Ransomware?

Um plano de resposta a ransomware enumera as etapas a serem seguidas em caso de um incidente de ransomware. Ele permite que as organizações reagem rapidamente e contenham o ataque, mantendo os danos ao mínimo.

Qual é a melhor prática em resposta a ransomware?

Os especialistas são unânimes em afirmar que a melhor maneira de prevenir e frustrar o ransomware é por meio de backups regulares. No entanto, apenas backups imutáveis garantem tranquilidade, pois ninguém pode alterá-los.

Qual é a regra 3-2-1 do ransomware?

A regra 3-2-1 do ransomware recomenda que cada organização confie em três backups. Dois devem estar em diferentes tipos de mídia, e um deve estar fora do local.

Uma variação da regra a estende para 3-2-1-1-0 — o adicional 1 e 0 representam uma cópia isolada e imutável e zero erros nos testes de backup.

Notícias do produto

Ao enviar este formulário, confirmo que li e concordo com o Política de Privacidade