O objetivo deste artigo é apresentar os principais pontos de análise para evitar/mitigar ransomware (sequestro de dados) no ambiente corporativo.
Atualmente, muitas empresas são impactadas drasticamente com a onda massiva e mundial de ataques ransomware, inclusive, pesquisas apontam que uma porcentagem significativa de empresas encerra suas atividades após um incidente deste.
É importante destacar que o ataque de ransomware, na sua grande maioria, não é um ataque de invasão direcionado a tal empresa, e sim, ataques massivos, normalmente com origem em phishing (e-mail falso) enviados a milhões de e-mails ao redor do mundo. Mais detalhes no artigo escrito em 2015, explicando esse cenário. Link: http://www.pdcati.com.br/parou-tudo-dados-criptografados/
A seguir, é apresentada uma visão macro de análise e gestão proativa no ambiente, visando auxiliar as empresas de todos os tamanhos e seguimentos a não serem mais uma vítima desta ameaça – ransomware.
Nota 1: É importante destacar que o conteúdo a seguir não reflete todo o gerenciamento (análise, planejamento, atividades e melhoria) necessário para mitigar os riscos de ransomware no ambiente. Este artigo é somente uma amostragem de tópicos e conteúdos envolvidos em uma análise de risco com este propósito.
Possuir sistema operacional (S.O) original e mantê-lo sempre atualizado, incluindo os servidores.
Ponto de análise: Qual a política de atualização para estações de trabalho e servidores? E para aplicações (Banco de Dados, ERP, servidores Web e outros)?
Será que a política tradicional de atualizar os servidores uma vez por mês continua efetiva ou precisamos redesenhar este processo?
S.O como Win XP, Vista e outros sem suporte do fabricante é seguro? Possuem correções contra o ransomware?
Implementar Política de Segurança da Informação (PSI) e campanhas de conscientização para todos os funcionários.
Estruturar as diretrizes de segurança da informação que atendam aos interesses da organização e estejam em compliance com as boas práticas de mercado e com auditorias externas
É fundamental realizar trabalhos de conscientização para todos os funcionários de forma contínua e eficaz
Gerar engajamento da alta administração
Desenvolver normas auxiliares e específicas para cada cenário relevante
Ponto de análise: Com a aprovação das novas regras da CLT, entre eles, o trabalho remoto, quais os novos riscos envolvidos? Como mitigar?
Reestruturar/revisar tecnicamente o ambiente tecnológico.
Instalar e manter configurado/atualizado antivírus corporativo em todos os equipamentos corporativos
Criar uma norma para uso de dispositivos móveis e USB no ambiente e realizar os devidos bloqueios/acessos tecnológicos
Estruturar o Active Directory (AD) e permissões de acesso na rede, file server, banco de dados, ERP e outras estruturas
Revisão dos perfis de acessos baseados no Perfil de Usuário (PU) vs Padrão de Atividade do Negócio (PANs)
Analisar perfis de usuários com privilégios administrativos
Revisão/auditoria das regras do firewall, IPS/IDS e VPN, incluindo perfis de navegação
Estruturar o sistema de backup e contingência que atenda ao Recovery Point Objective (RPO) e Recovery Time Objective (RTO) da empresa. Esta visão é levantada através de Business Impact Analysis (BIA)
Ponto de análise: Existem acessos externos ao ambiente, seja por RDP, VPN, aplicações Web e outros? Se sim, quais riscos envolvidos? Quem tem acesso? Como é feito o gerenciamento?
Analisar e redesenhar a estrutura de contingência tecnológica – Plano de Continuidade de Negócios (PCN).
Qual a estrutura atual: Cluster, Ambiente de Disaster Recovery (DR), Replicação, Contingência Manual?
A estrutura atual será impactada pelo ransomware?
Quais sistemas críticos estão contingenciados?
Qual o Objetivo Mínimo de Continuidade de Negócios (OMCN)?
Quais Planos de Mitigação de Risco (PMR) a empresa possui? Estão alinhados com o Sistema de Gestão de Continuidade de Negócio (SGCN) da empresa?
Caso ocorra um incidente de ransomware no ambiente:
Como analisar o impacto do incidente? Origem? Como corrigir?
Qual matriz de comunicação?
Quais ações de contingência?
Quais atividade de correção?
Acionar o ambiente de DR?
Qual o RPO e RTO neste cenário?
Nota 2: O tema apresentado neste artigo é complexo e exige uma análise de cada empresa/cenário, e também é necessário entender o apetite de risco da alta administração, já que, é quem irá direcionar o nível de maturidade das áreas de TI e Segurança da Informação.
Nota 3: É importante as empresas desenvolverem seus planos de mitigação e estruturas tecnológicas, em conformidade com boas práticas, não somente visando o ransomware, mas sim, todas as ameaças latentes no ambiente de cada empresa.
Para finalizar, o tema ransomware ainda é um tema muito novo dentro das empresas, sem precedentes, o que exige uma atenção especial não somente da TI, mas também da alta administração, incluindo o conselho de administração e fiscal.
As informações apresentadas neste artigo estão em conformidade com as boas práticas de gestão de TI e segurança da informação.
Pergunta: Porque o envolvimento da alta administração é necessário?
Deixe sua resposta nos comentários.
Obrigado.
Ransomware, como evitar? was last modified: agosto 24th, 2017 by Gustavo de Castro Rafael
Fundador da PDCA TI - Consultoria & Treinamentos.
Site: https://www.pdcati.com.br
Atuação em clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação.
Palestrante em diversos fóruns, empresas e universidades. Mais informações, acesse o site https://www.pdcati.com.br.
CV: Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação.
Certificações: ITIL v3; COBIT; ISO 20K; ISO 27K1; DPO
Contato: gustavo.castro@pdcati.com.br