Sequestro de dados está entre as principais ameaças para instituições financeiras

0

por Ivan Soares

Muito a imprensa noticiou sobre ransomware ao longo de 2016. Sabe-se, no entanto, que a ameaça é bem mais antiga e como podia-se prever, aumentou significativamente desde seu surgimento. Nenhuma empresa ou segmento está imune a ela, que promete ser uma dor de cabeça por muito tempo, mas para o setor financeiro o prejuízo pode ser ainda mais doloroso.

No final de 2015 instituições financeiras americanas, como FFIEC e FSSCC, emitiram alertas sobre extorsão cibernética e malware destrutivo. Além disso, há dois anos uma corretora também nos Estados Unidos foi vítima do CryptoWall. Embora, na época, tais incidentes não ganhassem notoriedade, esse ransomware foi uma das três principais ameaças para instituições financeiras nos dois últimos anos, conforme aponta uma pesquisa da Palo Alto Networks.

Este malware é mais difícil de ser detectado e prevenido que outros tipos, uma vez que os atacantes mudam rapidamente o endereço de distribuição (normalmente em poucas horas), enganando as defesas da rede. Até é possível rastrear uma máquina infectada quando, em algum lugar na rede, ela criptografa o conteúdo de um drive compartilhado por um departamento inteiro. Mas aí já é tarde, os conteúdos já foram criptografados e mesmo os melhores processos de remediação não são suficientes para salvá-los.

Por isso é tão importante estar preparado. Para incidentes pontuais, o procedimento deve considerar o isolamento da máquina infectada e a restauração, a partir do backup, dos arquivos corrompidos (criptografados) no drive de compartilhamento pelo departamento.

É fundamental a realização de backups regulares de desktops e notebooks, drives compartilhados e quaisquer outros sistemas de armazenamento. Além disso, a integridade do sistema de backup precisa ser verificada para garantir que não ocorram surpresas quando restaurações forem necessárias. Aliás, essa já deve ser uma prática recorrente dos planos de continuidade de negócio, mas vale a pena ressaltar que ​​backups são essenciais em todas as ações de remediação de ransomware.

Como se prevenir para não ser vítima?

Não existe uma solução mágica para impedir o ransomware – trata-se de reduzir o risco da forma mais efetiva possível, prevenindo e detectando a ameaça. Dessa forma, recomenda-se a adoção de boas práticas e de uma segurança em camadas.

Pessoas e processos

· Treinamentos – atualizar o programa de conscientização da empresa para orientar os colaboradores sobre a ameaça, o que deve ser observado e para quem relatar qualquer suspeita. Quanto mais direto for o treinamento, melhor será o retorno.

· Teste a prática – vale fazer testes para checar a efetividade do treinamento. Exercícios ajudam a manter os colaboradores atentos aos e-mails de phishing e navegação na internet.

· Backups – algumas organizações não percebem que seus backups foram comprometidos ou configurados incorretamente até que seja necessário utilizá-los. Recomenda-se a execução diária do procedimento e uma periodicidade maior para sistemas críticos. Além disso, as funções de administrador de backup devem ser atribuídas de forma adequada e restrita, usadas com moderação e regularmente auditadas. Por fim, teste seus backups frequentemente para validar se eles podem ser restaurados.

· Atualização de patches em dia – lembre-se que muitos exploits podem danificar suas redes porque eles foram desenvolvidos para esse fim. Por isso, reduza o tempo de aplicação de patches no seu ambiente (software, programas e aplicações).

· Softwares e serviços desnecessários – desativar completamente, se for possível.

· Privilégios dos usuários – aplicar o princípio do menor privilégio para os usuários com permissões em discos compartilhados na rede da organização, a fim de minimizar os impactos de um incidente. Como este processo pode demandar um grande esforço, sugere-se começar nas unidades de rede usadas ​​por departamentos críticos.

Tecnologia

· Reforce o controle de acesso em seu data center – dado que este é um ambiente controlado, você pode ser mais restritivo, especialmente durante o ciclo de vida do ataque.

· Digitalize e bloqueie arquivos suspeitos, como executáveis ​​em todos os e-mails recebidos ou sessões de navegação na Internet.

· Evite a entrada de malwares por meio de sistemas de prevenção de intrusão (IPS e firewall) para ameaças conhecidas e análise de sandbox para ameaças de dia zero. Assim você pode parar ameaças desconhecidas (URLs e executáveis) antes de chegar ao ponto final. Sandboxing é a melhor maneira de detectar novas variantes de ransomware.

· Bloqueie o tráfego de saída para URLs ou sites maliciosos, pois este tipo de acesso normalmente faz parte do ciclo de ataque de ransomware. Vale também alertar os usuários com uma página de “continuar” a fim de barrar acessos e downloads automatizados.

· Contenha quaisquer ameaças através da segmentação da rede interna para limitar o movimento lateral.

· Reforce o conceito de proteção em camadas, estabelecendo controles de segurança em:

o Perímetros de rede

o Servidores Web

o Servidores de Banco de Dados

o Gateway de Email e Web

o Endpoints

o Dispositivos de conectividade

o Dispositivos móveis

Autoanálise

Verifique se as tecnologias atualmente implantadas na sua rede estão sendo utilizadas corretamente. Além disso, inteligência sobre ameaças e gerenciamento proativo também são fundamentais para extrair todos os benefícios do investimento em tais produtos. Encare a ameaça do ransomware como uma oportunidade para rever suas práticas de segurança, independentemente das normas que utiliza.

 

Ivan Soares é consultor de Segurança da Informação sênior da Arcon

 

Deixe uma Resposta