Como mitigar ataques de ransomware?
Frederic Rivain, CTO da Dashlane
Os ataques de ransomware (ataques com pedido de resgate) são um tipo de cibercrime em que os hackers utilizam malware para encriptar ficheiros informáticos (ou de rede), bloqueando os utilizadores fora do sistema até que um resgate seja pago a um cibercriminoso. Os ataques de ransomware existem desde meados de 2000, mas recentemente têm tido destaque mediático, como os ataques contra o Colonial Pipeline e contra a indústria de carne dos EUA, que demonstraram que estes são mais do que apenas um desafio tecnológico e que podem também perturbar significativamente a vida quotidiana.
Entre resgates pagos e perda de produtividade, os ataques de ransomware custaram às empresas americanas, só em 2020, cerca de 2,3 mil milhões de dólares. As consequências relacionadas com a pandemia da Covid-19, a popularização da criptomoeda como pagamento de resgate, e o apoio (ou a ausência de ação penal) por parte dos governos estrangeiros criaram o ambiente ideal para o crescimento deste tipo de ataques.
No ano passado, houve mais de 15 mil ataques de ransomware a empresas americanas. O número real é provavelmente muito mais elevado, uma vez que muitos destes ataques não são comunicados pelas empresas que veem o resgate como um pequeno preço a pagar pela má publicidade que possa surgir como consequência. Este tipo de cibercrime também é perigoso porque pode acontecer a qualquer empresa, organização e até mesmo a qualquer indivíduo. O tempo médio de inatividade após um ataque de ransomware é de aproximadamente 23 dias, e o custo médio é de quase 2 milhões de dólares, não incluindo os danos causados à marca.
Prevenir ataques de ransomware
Nestes casos, aplica-se a mesma máxima que é aplicada à maior parte das coisas perigosas da vida: mais vale prevenir que remediar. Uma vez que estes ataques necessitam de algum ponto de entrada no sistema, muitos deles podem ser evitados mudando a forma como os colaboradores pensam e agem diariamente quando se trata de cibersegurança. Nesse sentido, aqui estão seis medidas que se podem tomar, nas empresas, para ajudar a mitigar o risco e o impacto de ataques de ransomware.
1. Dar formação aos colaboradores para evitar esquemas de phishing e engenharia social
Se um ataque de ransomware for comparado a um incêndio florestal, podemos dizer que os colaboradores são o rastilho. Os hackers analisam os perfis das redes sociais e utilizam esquemas de phishing e de engenharia social (por vezes designados vishing ou voice-phishing) com o intuito de obter informações pessoais, números de conta e credenciais de login de utilizadores que não causem suspeitas, fazendo-se passar por entidades reais, quer através do email quer do telefone.
Existe uma entrevista a Rachel Tobac sobre engenharia social e esquemas de phishing e um guia detalhado – “Como Realizar um Teste de Phishing Eficaz no Trabalho” – para ajudar empresas e colaboradores a compreender melhor este tipo de ameaças.
2. Fornecer ferramentas e criar políticas que promovam uma boa segurança
Os cibercriminosos obtêm uma lista de passwords roubadas durante uma violação de dados e, depois, tentam utilizá-las para comprometer os servidores e os dispositivos endpoint. Uma vez que muitos utilizadores utilizam passwords fracas, comuns e facilmente adivinháveis e/ou reutilizam passwords em várias contas, estes ataques são muito bem-sucedidos.
A utilização de um gestor de passwords facilita a vida aos colaboradores e pode reduzir drasticamente a causa da maioria dos incidentes informáticos. Diversas empresas confiam no single sign-on (SSO) para as ajudar a gerir o acesso a muitos dos logins de trabalho dos seus colaboradores. No entanto, as soluções de SSO são apenas compatíveis com aplicações empresariais específicas, e não cobrem necessidades essenciais como a partilha segura de passwords, a encriptação do cofre de passwords ou um dashboard para monitorizar os riscos. Os SSO também não podem contribuir para a segurança dos colaboradores quando estes utilizam ferramentas de produtividade pessoal que a empresa não paga, como Notion, Evernote ou Asana.
Além disso, os peritos em segurança recomendam uma segunda linha de defesa caso a password seja exposta e sugerem a implementação da autenticação de dois fatores (2FA) em todas as contas. A 2FA complementa a password com um código adicional sempre que um novo dispositivo seja autorizado a aceder à conta, ou então cada vez que é iniciada sessão. Recomenda-se a utilização de ferramentas 2FA para todos os logins da empresa.
3. Instalar e manter ferramentas de segurança e monitorização da rede
Existem muitas soluções viáveis para a segurança dos endpoints que podem mitigar o risco de ser vítima de um ataque de ransomware. As firewalls e VPNs comercialmente disponíveis podem ser instaladas em computadores portáteis, desktops e mesmo em dispositivos móveis para salvaguardar a rede. A parte mais importante de qualquer uma destas ferramentas é mantê-las e atualizá-las regularmente. Se estas não forem atualizadas automaticamente, é importante salientar aos colaboradores a importância das atualizações e ajudá-los a compreender como o fazer da forma mais simples possível. Um dispositivo sem patch funciona como um sinal de boas-vindas para os hackers.
Da mesma forma, ao nível da rede, é fundamental não esquecer de manter os servidores e sistemas atualizados. Podem ser utilizados scanners de vulnerabilidade e software de deteção de intrusão na rede para ajudar a identificar atividades maliciosas ou violações de políticas, antecipando um problema maior.
4. Monitorizar a dark web
No fundo, todas as passwords podem ser pirateadas. Até 2020, mais de 11,6 mil milhões de contas de empresas foram violadas. Estas contas acabam frequentemente à venda na dark web, onde são utilizadas para obter acesso não autorizado a organizações e websites. No entanto, certamente que ninguém quer que os seus colaboradores explorem a dark web à procura das suas credenciais, já que esta pode ser uma tarefa assustadora, até para profissionais experientes em segurança de rede.
Para gestão de passwords a nível empresarial, existem soluções para monitorizar ativamente a dark web e alertar quando as credenciais ou as passwords de um colaborador tiverem sido comprometidas.
5. Manter as cópias de segurança de dados isoladas da rede principal
Manter uma cópia de segurança de dados atualizada é uma parte importante de qualquer plano de cibersegurança. Em caso de ataque de ransomware, as cópias de segurança são fundamentais para executar o plano de recuperação e ultrapassar mais rapidamente o incidente e/ou ignorar o resgate. No entanto, as cópias de segurança de dados só são úteis se não estiverem bloqueadas como parte do mesmo ataque. É crucial manter uma forte divisão entre os sistemas ativos e as cópias de segurança, como parte da defesa contra estes ataques.
6. Solucionar o problema da segurança humana
Todas as ferramentas, tecnologia e processos do mundo não são suficientes por si só. Também é necessário criar uma cultura onde os colaboradores se preocupem com a cibersegurança e a vejam como uma responsabilidade partilhada. Num recente estudo da Harris Poll, mais de dois terços (70%) dos inquiridos declararam acreditar que é da responsabilidade da empresa garantir que as suas contas de trabalho não são pirateadas ou violadas. Isto não é suficiente. Os colaboradores necessitam de perceber que o seu comportamento individual tem impacto em toda a empresa. Algo tão simples como clicar no link errado ou utilizar uma folha de cálculo Excel para gerir as passwords pode ter resultados catastróficos para a empresa.
Outro fator importante para se ter uma cultura centrada na segurança passa pelo facto de os colaboradores precisarem de se sentir à vontade para falar com o departamento de informática acerca de potenciais ameaças que encontram ou talvez até mesmo com as quais estão envolvidos. Ser capaz de reagir rapidamente pode ajudar a mitigar qualquer potencial dano. Quando se deixa claro que todos são responsáveis pela cibersegurança, podem ser quebradas as barreiras que existem entre o departamento de informática e o resto da empresa e criar uma relação de confiança em que todos fazem parte da mesma equipa.
Conclusão
A implementação destas seis etapas pode reduzir drasticamente o risco de um ataque de ransomware e melhorar a segurança global de uma empresa. Mas não vai ser fácil para todos. Irá exigir uma mudança de mentalidade em muitos casos e o compromisso de investir em formação, educação e ferramentas que facilitem a vida dos colaboradores, em vez de a complicar.
Publicado em:
OpiniãoPartilhe nas Redes Sociais