Quando se trata de ransomware, mais vale enganar do que curar

No entanto, um relatório publicado pela US Financial Crimes Enforcement Network revela que, só no setor bancário, o número e o custo dos ataques é cada vez mais preocupante. De facto, os bancos americanos processaram 1,2 mil milhões de dólares em pagamentos suspeitos de ransomware durante 2021, um aumento de 188% em relação ao ano anterior.

A nível organizacional, estas questões manifestam-se de várias formas. Por exemplo, 88% dos inquiridos num inquérito recente disseram que a prevenção de danos nos dados é uma das suas principais preocupações quando se trata de proteger dados e reagir a ameaças e ataques. Além disso, 72% dos profissionais de TI estão preocupados em recuperar de um ataque e em minimizar o tempo de inatividade.

Uma grande preocupação é que muitas equipas de TI não dispõem atualmente de ferramentas que possam detetar adequadamente os ataques de ransomware suficientemente cedo no processo para os impedir de serem bem-sucedidos. No mesmo estudo, apenas 12% das organizações relataram que as suas ferramentas de deteção de ransomware eram adequadas e podiam também cobrir o crescente património de dados, independentemente do local onde residem.

O ransomware e o ciber-risco, em geral, estão a redefinir a forma como as organizações devem melhorar a sua capacidade de proteger as suas infraestruturas e ativos de dados e, ao fazê-lo, reduzir o risco empresarial. Os profissionais de TI devem manter-se na vanguarda e investir em tecnologia proativa que aumente a sua resiliência. Como resultado, combinar a proteção de dados e a cibersegurança é o novo normal.

Neste ambiente extremamente desafiante, a prioridade atual para a maioria das empresas é fortificar as suas defesas de perímetro para prevenir completamente as intrusões. Em particular, é necessária uma abordagem em várias camadas para proteger os dados de forma abrangente, até porque o backup por si só não é suficiente. Evitar um cenário de recuperação é, afinal de contas, muito mais desejável para mitigar a perturbação dos negócios.

A necessidade da tecnologia de decoy

A fim de alcançar uma postura de segurança mais forte para proteger os dados contra ataques de ransomware, as organizações precisam de ferramentas multifacetadas que funcionem em todas as fases da cadeia de ataque. Embora geralmente subutilizadas, as modernas tecnologias de decoy estão a desempenhar um papel cada vez mais importante na deteção precoce de ameaças invisíveis e de zero-day, que contornam com sucesso os instrumentos de segurança convencionais. Mas o que são estas tecnologias e como funcionam?

O cyber-decoy é uma estratégia de segurança proativa que funciona enganando os cibercriminosos e ataques maliciosos. As soluções de cyber-decoy mais avançadas de hoje em dia começam onde as ferramentas de segurança convencionais terminam, utilizando um processo em duas etapas para abrandar e emergir ameaças desconhecidas e de zero-day. Por exemplo, com a utilização de chamarizes e sensores de ameaça, os cibercriminosos ou malware intrusivo podem ser desviados para ativos convincentes, mas falsos. Nesse momento, são imediatamente enviados alertas de elevada confiança aos principais intervenientes e sistemas de segurança, notificando-os da presença de ameaças em curso antes que estas possam comprometer os sistemas ou dados reais.

Ao contrário dos honeypots, que são concebidos para examinar e aprender com os atacantes e as suas tentativas, os sensores de ameaça são concebidos para envolver ativamente os cibercriminosos assim que um ataque é iniciado. Utilizando uma arquitetura eficiente, semelhante à dos serviços web, estes sensores de ameaça são concebidos para imitar qualquer ativo do utilizador, inundando os seus ambientes com ativos digitais falsificados que são indistinguíveis para os atacantes. Sem afetar as operações normais da rede, atraem os atacantes com chamarizes que os desviam e enganam durante o reconhecimento, descoberta, movimento lateral e muito mais.

E como os sensores de ameaça só são visíveis para o atacante, as empresas beneficiam de notificações extremamente precisas de falsos positivos, dando-lhes uma visão da atividade, das rotas de ataque e das técnicas utilizadas.

Esta abordagem permite que as organizações forneçam uma defesa multicamadas contra ameaças como os ataques de ransomware, capacitando os utilizadores a identificar e desviar imediatamente as ameaças maliciosas antes que os dados sejam roubados, danificados ou comprometidos. Na situação atual, em que o ransomware evoluiu rapidamente para se tornar um motor maciço do cibercrime a nível mundial, é evidente que as tecnologias existentes por si só não podem impedir a ocorrência de todos os ataques ou assegurar que as vítimas possam recuperar rapidamente.

Em vez disso, as organizações devem concentrar-se na criação de soluções mais eficazes concebidas para abordar os riscos específicos colocados pelo ransomware e outras táticas sofisticadas de cibercriminalidade. Utilizando o decoy como estratégia de proteção proativa, podem colocar-se numa posição muito mais forte para impedir os cibercriminosos da oportunidade de exigirem um resgate.