Veja o que você precisa saber sobre os ataques de “sequestro” de dados
A pandemia de Covid-19 se dissemina mundo afora, obrigando as empresas a reformularem seus sistemas da noite para o dia de modo a permitir o trabalho remoto. Isso muda dramaticamente suas redes, e, até pela pressa, tornando-as mais vulneráveis. Do outro lado os hackers já vinham refinando métodos de transferência não autorizada (exfiltração) de dados pelo menos desde o famoso Shammom, ataque iraniano contra a Saudi Aramco, em 2012.
O alvo dos ataques de ransomware, que inicialmente eram inúmeras empresas pagando resgates relativamente pequenos, passam a ser grandes empresas, escolhidas a dedo e ameaçadas de dupla extorsão: os invasores agora não apenas violam a organização, criptografam os arquivos e os mantêm como reféns, mas começam a extrair dados relativos a clientes, ou informações sensíveis de qualquer natureza, ameaçando torná-las públicas se não for pago resgate.
“Como a empresa consegue se manter a salvo dessa ameaça? Eu brinco dizendo que para evitar a pandemia, a solução é acabar com a pandemia. Ou seja, impedir a circulação do vírus. Analogamente, acontece com os ataques de ransomware. Se eles forem parados, se forem impedidos de circular no ambiente de TI das empresas, será impossível que recolham dados. Simplesmente não prosperam”, diz Fernando Ceolin, diretor regional da Guardicore para a América do Sul.
“Simples assim? Só que fazer isso, na prática, não é tão simples. Exige a capacidade de isolar aplicações permitindo que “falem” apenas com quem devem falar dentro de todo o ambiente de TI, ultrapassando as fronteiras da empresa para se disseminar em múltiplas nuvens. E isso requer, por sua vez, um amplo conhecimento e aplicação de Inteligência Artificial e Aprendizado de Máquina para identificação imediata de “comportamentos estranhos” que devam ser, no ato, bloqueados”, complementa.
Veja como prevenir os ataques de ransomware
1. Visibilidade – para não ser pega de surpresa, a empresa deve saber tudo o que trafega em sua rede, visualizando e impedindo movimentos não autorizados por sua política de segurança;
2. Políticas de microssegmentação – que é a microssegmentação de toda a TI com base nos fluxos normais de comunicação dos aplicativos da empresa;
3. Detecção de malware – para deter as tentativas de propagação dos operadores de ransomware;
4. Armadilhas para os invasores – configurar iscas para os invasores, de modo a deixar que pensem que estão prosperando e possam ser identificados.
Digamos, porém, que as defesas da empresa não foram devidamente estabelecidas, que o invasor conseguiu se apoderar dos dados e já está pedindo resgate. O que fazer?
Na realidade, explica o especialista, não difere muito do que deveria ter sido feito antes. Todos os ataques de ransomware operam utilizando vulnerabilidades de dia zero para se mover lateralmente entre computadores na rede, infectando as máquinas que encontram – a partir daí acessando e criptografando dados.
“O que podemos fazer é instalar sistemas de software capazes de visualizar muito rapidamente os “diálogos” indevidos na rede, o que há de errado em movimentações não previstas. Esse é o ponto-chave, e posso afirmar que é possível parar um grande ataque de ransomware em menos de duas horas com a utilização dos métodos adequados de visualização”, afirma.
Depois, trata-se de uma revisão das políticas de segurança no sentido de autorizar com precisão as comunicações leste-oeste (entre dois pontos na rede, por oposição à comunicação norte-sul, de fora para dentro da rede ou vice-versa). “Essa é a maneira que tem sido usada com eficácia, e aqui mesmo no Brasil também, para responder aos ataques de ransomware”, finaliza.