Sabemos que as Cyber ameaças vêm crescendo em todo o mundo e que profissionais, empresas e instituições vêm buscando a cada minuto formas de conte-las, todavia o que vemos na prática é que os prejuízos têm aumentado de forma consistente, demonstrando um planejamento bem estruturado do lado negro da força.
Como assim?
Para se ter uma ideia do tamanho de tudo isso, uma pesquisa conduzida de forma independente pelo Ponemon Institute, patrocinada, analisada e publicada pela IBM Security®, , analisou 550 empresas impactadas por violações de dados ocorridas entre março de 2021 e março de 2022 e constatou que 83% das empresas já tiveram uma violação de dados e que 11% das violações foram ataques de Ransomware, com um custo médio de US$ 4,54 milhões por ataque em 2022. Agora pasmem: este custo foi um pouco superior ao custo total geral das violações de dados, que foram de US$ 4,35 milhões. Sinistro!
Lendo uma outra publicação da Hacker Sec, uma empresa brasileira, que vem formando milhares de profissionais para este promissor mercado de Cyber, aborda um tema que força a todos uma reflexão profunda: os grupos de Cyber criminosos estão realmente influenciando diretamente a economia e estruturas sociais, através de estratégias complexas direcionadas para alvos críticos. Para abrir mais uma fonte de receita, criaram a RaaS (Ransomware as a Service): Ransomware como serviço, onde dependendo do objetivo, os preços podem variar de US$ 40,00 até milhares de dólares. Esses kits possuem tutorias, vídeos explicativos e suporte 24×7. A publicação cita, ainda, que em 2020 as receitas totais geradas por este tipo de ameaça geraram mais de US$ 20 bilhões e com uma demanda média de regaste de US$ 6 milhões.
O que fazer?
Com esse cenário caótico, qual o caminho a seguir? Combater Ransomware? Não acredito que combater seja o caminho, defendemos sim a prevenção, pois o custo para prevenir sempre será menor que o de reação. O alvo sempre serão as pessoas, as quais são o elo mais fraco de uma organização. Considero como fator crítico para o sucesso desta atividade de prevenção a conscientização de todos os colaboradores e fornecedores sobre as consequências de ameaças como essa serem executadas dentro do ambiente de qualquer organização.
NIST
Para fortalecer a prevenção, o NIST publicou um documento muito importante sobre este assunto, Ransomware Risk Management: NIST.IR.8374, onde destaco alguns pontos relevantes (contudo sugiro ler todo o documento):
- Educar os colaboradores para evitar infecções por Ransomware
.. Não abra arquivos ou click em links de origens desconhecidas
.. Evitar usar sites e apps pessoais e apps
.. Não conecte dispositivos pessoais a redes de trabalho sem autorização
- Evite ter vulnerabilidades em sistemas que o ransomware possa explorar
.. Mantenha sistemas totalmente atualizados
.. Empregue os princípios de “confiança zero” em todos os sistemas da rede
.. Permitir instalações e execuções de apenas apps autorizados
- Detectar rapidamente e parar o ataque e/ou infecção de Ransomware
.. Use um software de detecção de malware como antivírus todo o tempo
.. Monitoração contínua
.. Bloquear acesso de recursos Web não confiáveis
- Dificulte a propagação do ransomware
.. Use contas padrão, sem privilégios administrativos
.. Configure atrasos na autenticação e bloqueio automático de contas
.. Permitir acesso externo a recursos da rede interna somente por meio de VPN
- Facilite a recuperação de informações armazenadas, mediante a um evento futuro evento de ransomware
.. Tenha um plano de recuperação de incidentes (desastres)
.. Efetue backup, backups seguros e testes de restauração (obrigatório)
.. Tenha uma matriz de escalonamento atualizada
CONCLUSÃO
Ficou evidente que não se trata mais de ter dúvidas se existe a real possibilidade de sofrer um ataque destes, mas sim quando o sofrerá. Também ficou claro que a monitoração contínua através de um SOC 24×7 com SIEM, por exemplo, é um caminho a ser seguido. Além de ter uma solução de antivírus, onde o tipo EDR ou XDR serem os mais indicados para se ter ações imediatas automatizadas, inclusive de isolamento do ativo da rede, onde o tempo de reação será o fiel da balança para frustrar o objetivo dessas ameaças.
Caso não saiba como lidar com este tipo de ameaça ou se sente inseguro para discutir esse assunto, recomendo clicar no link: https://vortexsecurity.com.br/ .