Ransomware: Como proteger as empresas de forma inteligente

Qual a importância?

Derrotar o ransomware requer segurança avançada e proativa com inteligência artificial, automatizada em toda a rede e endpoint sendo que as soluções legacy não conseguem impedir o ransomware avançado de maneira eficaz, pois a segurança tradicional de rede e endpoint simplesmente não acompanhou as ameaças que apresentam uma rápida evolução. 

Confiar em assinaturas de antivírus desatualizadas não ajudará a bloquear ransomware novo e evasivo. Os hackers usam a evasão para permanecer fora do radar. Hoje, os invasores aproveitam técnicas sofisticadas de evasão, como execução na memória e carregamento de malware de máquinas virtuais para contornar as defesas de endpoint. Portanto, precisamos ficar cautelosos, pois o ransomware pode se espalhar rapidamente pelas organizações. Ryuk, WastedLocker, REvil e outros ransomwares usam técnicas de ataque direcionadas e recursos semelhantes a worms para infetar hosts rapidamente. Por isso, as organizações devem preocupar-se em bloquear todas as etapas de um ataque, desde a entrega até ao movimento lateral difícil de detetar e, em seguida, restaurar rapidamente os hosts comprometidos, se for necessário.

Qual a abordagem correta?

A primeira coisa que precisamos ter em mente é tornar a infraestrutura inteligente e segura, pois a única maneira de derrotar o ransomware é usar técnicas de Machine-Learning. Para ficar à frente de ameaças em rápida evolução, precisamos de segurança com inteligência artificial que encerre ameaças desconhecidas antes que possam causar danos. A análise em linha interrompe as explorações que levam à infeção e os modelos de Machine-Learning sempre atualizados controlam o comportamento para impedir preventivamente ameaças desconhecidas e de dia zero, incluindo ransomware.

A segunda preocupação é que a infraestrutura precisa ser e permanecer consistente e automatizada para interromper as ameaças instantaneamente em todos os locais. Os ataques direcionados nunca param em uma única tentativa ou ponto de entrada. A prevenção de endpoints deve ser automática e instantaneamente coordenada com soluções de segurança de rede, análise de malware e controlo de ameaças para garantir que a organização permaneça protegida, fechando as lacunas de segurança, interrompendo variantes perigosas e movimentos laterais, acabando com a proliferação da ameaça.

Outro ponto a ser considerado é que as equipas de segurança precisam ter capacidade de resposta e recuperação em caso de ataque. Quando os invasores atacam, as equipas de segurança devem agir com rapidez e eficiência. Os playbooks automatizados garantem que as etapas de mitigação sejam adotadas, ganhando tempo para coordenar uma resposta. Quando necessário, as equipas de resposta a incidentes devem ser capazes de implantar mais rapidamente e de forma mais inteligente, investigar mais profundamente e conter completamente, para limitar eventuais danos e garantir a continuidade do negócio.

Além disso, a proteção de ativos contra ransomware deve estar na mente de qualquer equipa de segurança de forma a identificar o grau de exposição da organização antes que este se torne um vetor de ataque: descobrir portas de acesso remoto expostas, encontrar ativos e riscos desconhecidos, controlar continuamente a superfície de ataque da organização etc. para proteger as organizações desse tipo de malware. Precisamos estar cientes que atualmente, qualquer tipo de exposição deixa a porta aberta para os atacantes. 

O ransomware evolui constantemente. As organizações também o devem fazer

A defesa contra ataques de ransomware começa com um plano. Qualquer organização deve estar preparada para prevenir, detetar, responder e recuperar face a ataques de ransomware. Os grupos de ransomware estão a aumentar a pressão sobre as suas vítimas – exigindo resgates mais altos e garantindo que as organizações os paguem. Portanto, qualquer organização deve evitar o preço de estar despreparada com base nas lições que aprendemos com a negociação de resgates em ataques mediáticos recentes.

Os ataques de ransomware dominaram as notícias no ano passado e estão a crescer cada vez mais em número e gravidade. A ameaça da extorsão cibernética também está a aumentar rapidamente, pois os criminosos procuram lucrar com o uso de ransomware. Em pesquisas mais recentes, foram identificados quatro grupos de ransomware emergentes que atualmente afetam as organizações e mostram sinais de que podem se tornar mais prevalentes no futuro. Estes incluem AvosLocker, Hive Ransomware, HelloKitty e Lockbit 2.0. 

Infelizmente, os ataques de ransomware podem ser desafiadores do ponto de vista operacional, intensivos em recursos e caros. Assim, há duas questões que as organizações devem considerar: como saber quais as ferramentas devem adquirir de acordo com o ambiente organizacional? E como garantir que a estratégia de ransomware inclua um plano coeso de deteção e resposta para alcançar a resiliência do ransomware e limitar a exposição a ataques?

Conteúdo co-produzido pela MediaNext e pela Palo Alto Networks