Organizações ainda estão vulneráveis ao ransomware

De acordo com o recente relatório 1H Global Threat Landscape Report da FortiGuard Labs, verificou-se um crescimento de quase 1100% nos ataques de ransomware no último ano. No mais recente global ransomware survey conduzido pela Fortinet, 67% das organizações inquiridas reportam terem sido alvo de ransomware – destas, quase metade reportam mais que um ataque, e uma em cada seis afirmam ter sofrido pelo menos três ataques.

Visto isto, 94% dos inquiridos relatam preocupação face à ameaça do ransomware, e 76% afirmam estar muito preocupados. No total, 85% afirmam recear um ataque de ransomware mais do que qualquer outra ciberameaça.

A preocupação predominante (62%) é o risco de perda de dados, seguida de perda de produtividade (38%) e a interrupção de operações (36%).

Defesas insuficientes.

Torna-se então evidente que as empresas estão perfeitamente conscientes das ciberameaças – e tiveram tempo para se preparar. De facto, 96% dos inquiridos consideram que a sua empresa está suficientemente preparada para se proteger de um ataque.

Contudo, parece haver uma contradição entre este sentimento de segurança e as ferramentas e medidas de facto implementadas pelas organizações.

Por exemplo, menos de metade (48%) dispõem de uma estratégia que inclua segmentação de rede, apenas um terço (34%) dispõe de capacidades forenses, apenas 28% testam métodos de recuperação de ramsomware e apenas 13% levam a cabo exercícios de red team/blue team para testar vulnerabilidades nos seus sistemas de segurança.

Adicionalmente, entre as ferramentas que as organizações consideram essenciais para se protegerem de ransomware, é dada baixa prioridade a tecnologias críticas como gateways de email seguras (33%), segmentação da rede (31%), analítica de comportamento (30%), SD-WAN (13%) e sandboxing (7%).

A maior prioridade é dada ao treino dos colaboradores (61%), backups offline (58%) e seguros contra ciberataques (57%). Estas medidas, apesar de um bom começo, são insuficientes por si só.

Curiosamente, enquanto 72% dos inquiridos afirmam ter estabelecido uma política de resgate, para 42% o procedimento é pagar o resgate, e para 25% a decisão de pagar depende de quão dispendioso o resgate é.

Boas práticas para a defesa contra ransomware

Conhecer os riscos e planear de acordo com os mesmos: Existe uma variedade de estratégias de ransomware conhecidas contra as quais as empresas precisam de estar preparadas. Ataques pela web que comprometem sistemas vulneráveis são um vetor comum de ataque, contra o qual as empresas se podem proteger através de Secure Web Gateways. E, felizmente, 52% das empresas incluem esta tecnologia na sua estratégia. Por outro lado, o método de entrada mais reportado pelos inquiridos são os ataques de phishing. Aqui, apesar do treino dos colaboradores contribuir para a mitigação deste risco, esta é apenas uma solução parcial. Uma gateway de email segura permite identificar links e anexos maliciosos, analisá-los numa sandbox e, idealmente, neutralizá-los antes que sequer cheguem ao utilizador.

Neutralizar ameaças conhecidas: As organizações devem também adotar plataformas de cibersegurança que bloqueiem ameaças de ransomware conhecidas em todos os vetores de ataque. Isto requer um modelo por camadas que englobe a rede, endpoints e data centers. Juntamente com soluções de cibersegurança tradicionais, isto deve incluir também analítica de comportamento para identificar e bloquear imediatamente quebras de segurança.

Detetar novas ameaças: E visto que o ransomware está em constante evolução, é também essencial implementar técnicas avançadas de deteção de ameaças, como sandboxing e analítica comportamental nos endpoints, de forma a identificar novas variantes.

Proteger os Endpoints: Enquanto novas tecnologias avançadas de endpoint como EDR (endpoint detection and response) podem identificar ransomware malicioso com base em comportamentos e ameaças conhecidas, as organizações precisam também de implementar tecnologias críticas como Secure Web Gateways, SASE, e ZTNA para securizar o acesso às aplicações e expandir as defesas até aos trabalhadores remotos e móveis.

Esperar o inesperado: Independentemente das medidas de segurança implementadas, existe sempre a possibilidade de um ataque penetrar as defesas, e as organizações devem estar preparadas para o mesmo. Com uma estratégia de segmentação dinâmica da rede, um ataque pode ser restrito a uma pequena porção da rede. Semelhantemente, o backup dos dados com armazenamento e recuperação offline é essencial. E caso um ataque seja bem sucedido, a encriptação dos dados previne que estes sejam expostos ou vendidos na dark web se o resgate não for pago.

Manter segura toda a infraestrutura de rede: As redes WAN tradicionais estão rapidamente a ser substituídas por redes SD-WAN, mais inteligentes e ágeis – mas não necessariamente mais seguras. Por este motivo, as empresas devem procurar uma solução de SD-WAN com base numa plataforma segura ao substituir a sua rede legacy no acesso à cloud e data center a partir dos escritórios e certos super-utilizadores.

Conteúdo co-produzido pela MediaNext e pela Fortinet