O objetivo deste artigo é apresentar os principais pontos de análise para evitar/mitigar ransomware (sequestro de dados) no ambiente corporativo.
Atualmente, muitas empresas são impactadas drasticamente com a onda massiva e mundial de ataques ransomware, inclusive, pesquisas apontam que uma porcentagem significativa de empresas encerra suas atividades após um incidente deste.
É importante destacar que o ataque de ransomware, na sua grande maioria, não é um ataque de invasão direcionado a tal empresa, e sim, ataques massivos, normalmente com origem em phishing (e-mail falso) enviados a milhões de e-mails ao redor do mundo. Mais detalhes no artigo escrito em 2015, explicando esse cenário. Link: http://www.pdcati.com.br/parou-tudo-dados-criptografados/
A seguir, é apresentada uma visão macro de análise e gestão proativa no ambiente, visando auxiliar as empresas de todos os tamanhos e seguimentos a não serem mais uma vítima desta ameaça – ransomware.
Nota 1: É importante destacar que o conteúdo a seguir não reflete todo o gerenciamento (análise, planejamento, atividades e melhoria) necessário para mitigar os riscos de ransomware no ambiente. Este artigo é somente uma amostragem de tópicos e conteúdos envolvidos em uma análise de risco com este propósito.
- Possuir sistema operacional (S.O) original e mantê-lo sempre atualizado, incluindo os servidores.
- Ponto de análise: Qual a política de atualização para estações de trabalho e servidores? E para aplicações (Banco de Dados, ERP, servidores Web e outros)?
- Será que a política tradicional de atualizar os servidores uma vez por mês continua efetiva ou precisamos redesenhar este processo?
- S.O como Win XP, Vista e outros sem suporte do fabricante é seguro? Possuem correções contra o ransomware?
- Ponto de análise: Qual a política de atualização para estações de trabalho e servidores? E para aplicações (Banco de Dados, ERP, servidores Web e outros)?
- Implementar Política de Segurança da Informação (PSI) e campanhas de conscientização para todos os funcionários.
- Estruturar as diretrizes de segurança da informação que atendam aos interesses da organização e estejam em compliance com as boas práticas de mercado e com auditorias externas
- É fundamental realizar trabalhos de conscientização para todos os funcionários de forma contínua e eficaz
- Gerar engajamento da alta administração
- Desenvolver normas auxiliares e específicas para cada cenário relevante
- Ponto de análise: Com a aprovação das novas regras da CLT, entre eles, o trabalho remoto, quais os novos riscos envolvidos? Como mitigar?
- Reestruturar/revisar tecnicamente o ambiente tecnológico.
- Instalar e manter configurado/atualizado antivírus corporativo em todos os equipamentos corporativos
- Criar uma norma para uso de dispositivos móveis e USB no ambiente e realizar os devidos bloqueios/acessos tecnológicos
- Estruturar o Active Directory (AD) e permissões de acesso na rede, file server, banco de dados, ERP e outras estruturas
- Revisão dos perfis de acessos baseados no Perfil de Usuário (PU) vs Padrão de Atividade do Negócio (PANs)
- Analisar perfis de usuários com privilégios administrativos
- Revisão/auditoria das regras do firewall, IPS/IDS e VPN, incluindo perfis de navegação
- Estruturar o sistema de backup e contingência que atenda ao Recovery Point Objective (RPO) e Recovery Time Objective (RTO) da empresa. Esta visão é levantada através de Business Impact Analysis (BIA)
- Ponto de análise: Existem acessos externos ao ambiente, seja por RDP, VPN, aplicações Web e outros? Se sim, quais riscos envolvidos? Quem tem acesso? Como é feito o gerenciamento?
- Analisar e redesenhar a estrutura de contingência tecnológica – Plano de Continuidade de Negócios (PCN).
- Qual a estrutura atual: Cluster, Ambiente de Disaster Recovery (DR), Replicação, Contingência Manual?
- A estrutura atual será impactada pelo ransomware?
- Quais sistemas críticos estão contingenciados?
- Qual o Objetivo Mínimo de Continuidade de Negócios (OMCN)?
- Qual a estrutura atual: Cluster, Ambiente de Disaster Recovery (DR), Replicação, Contingência Manual?
- Quais Planos de Mitigação de Risco (PMR) a empresa possui? Estão alinhados com o Sistema de Gestão de Continuidade de Negócio (SGCN) da empresa?
- Caso ocorra um incidente de ransomware no ambiente:
- Como analisar o impacto do incidente? Origem? Como corrigir?
- Qual matriz de comunicação?
- Quais ações de contingência?
- Quais atividade de correção?
- Acionar o ambiente de DR?
- Qual o RPO e RTO neste cenário?
- Caso ocorra um incidente de ransomware no ambiente:
Nota 2: O tema apresentado neste artigo é complexo e exige uma análise de cada empresa/cenário, e também é necessário entender o apetite de risco da alta administração, já que, é quem irá direcionar o nível de maturidade das áreas de TI e Segurança da Informação.
Nota 3: É importante as empresas desenvolverem seus planos de mitigação e estruturas tecnológicas, em conformidade com boas práticas, não somente visando o ransomware, mas sim, todas as ameaças latentes no ambiente de cada empresa.
Dica: A National Institute of Standards and Technology (NIST) lançou o Cybersecurity Workforce Framework. O framework poderá auxiliar em atividades que irão mitigar ameaças virtuais. Link para acesso: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf
Para finalizar, o tema ransomware ainda é um tema muito novo dentro das empresas, sem precedentes, o que exige uma atenção especial não somente da TI, mas também da alta administração, incluindo o conselho de administração e fiscal.
As informações apresentadas neste artigo estão em conformidade com as boas práticas de gestão de TI e segurança da informação.
Pergunta: Porque o envolvimento da alta administração é necessário?
Deixe sua resposta nos comentários.
Obrigado.