O que seu formulário de solicitação de seguro cibernético pode informar sobre a prontidão para ransomware

É nessa hora que preencho o formulário anual de apólice de seguro cibernético. A cada ano, ele me dá uma visão sobre o que os fornecedores de seguros estão usando para avaliar os riscos e ameaças ao nosso negócio e o que eles estão enfatizando que eu deveria ter como melhores práticas. Não tê-los em vigor pode afetar as taxas de seguro e se eu me qualifico para o seguro cibernético.

Este ano foi interessante porque pediu técnicas e proteções específicas de prevenção de ransomware. Aqui estão as perguntas que se destacaram.

A autenticação de dois fatores está em vigor?

Meu fornecedor de seguros perguntou se eu tinha autenticação de dois fatores (2FA) protegendo o acesso remoto à rede. Eles estão reagindo à realidade de que as redes privadas virtuais (VPNs) e o Remote Desktop Protocol (RDP) fornecem acesso eficaz para invasores e usuários. Às vezes, deixamos para trás o acesso remoto para entrar em servidores físicos e virtuais, mas os invasores visam essas ferramentas de acesso remoto para obter acesso à rede.

Configure os Objetos de Diretiva de Grupo que se vinculam a todas as unidades organizacionais (OUs) do controlador de domínio em uma floresta para permitir conexões RDP somente de usuários e sistemas autorizados, como servidores de salto. O acesso remoto para servidores deve ser configurado especificamente da forma mais segura possível.

Hoje em dia, nossas credenciais são nossos limites. Ter ferramentas que validem credenciais e forneçam proteção adicional é fundamental para garantir que os invasores não tenham acesso. O acesso condicional permite configurar proteções com base no que o usuário está fazendo e exige ações adicionais caso o usuário faça login em uma função específica ou em um local incomum.

Eu obrigo o 2FA para funções administrativas, mas o deixo opcional para usos de login de dispositivos previamente verificados. Verificação adicional está em vigor caso o usuário faça login de um local incomum. Eu recomendo projetar o acesso condicional para que ele equilibre a necessidade de prompts de autenticação de uma maneira que solicite 2FA quando o usuário estiver se comportando de uma maneira que coloque a rede em risco.

O aplicativo de apólice de seguro cibernético também perguntou se eu obrigava a autenticação de dois fatores para proteger o e-mail. Está implícito nessa pergunta se eu bloqueei protocolos de e-mail mais antigos e menos seguros, como o POP. A melhor maneira de proteger o email é garantir que você tenha uma plataforma que suporte protocolos de autenticação modernos e a capacidade de adicionar 2FA.

Você implantou ferramentas de detecção e resposta de endpoint?

O aplicativo de seguro de segurança cibernética perguntou se eu havia implantado uma ferramenta de detecção e resposta de endpoint (EDR). Até recentemente, o EDR era um pouco evasivo para pequenas e médias empresas (PMEs). Agora, além de soluções EDR como Crowdstrike, Cylance e Carbon Black, o novo garoto no bloco de soluções EDR é o mais acessível para PMEs: Microsoft Defender for Business.

Se você tiver o Microsoft 365 Business Premium, o Defender for Business já está incluído no custo mensal do produto. Se você quiser comprá-lo separadamente, ele custa US$ 3 por usuário para empresas com menos de 300 usuários. As PMEs geralmente não têm recursos para investigar um incidente de segurança. No entanto, somos cada vez mais encarregados por reguladores e indústrias de identificar quando tivemos uma violação.

Os produtos EDR automatizam muitas das técnicas de investigação e permitem que uma empresa determine se tem problemas de movimento lateral ou se um script mal-intencionado do PowerShell foi usado para assumir o controle dos sistemas. Eles também respondem à pergunta de como o invasor entrou na rede e o que eles costumavam fazer. Com essas ferramentas, você pode entender melhor como os invasores acessaram seu sistema e, assim, pode se proteger do próximo ataque.

Quais soluções de filtragem de e-mail você usa?

O aplicativo de seguro cibernético perguntou se eu usava uma solução de filtragem de e-mail para evitar ataques de phishing ou ransomware. Muitos ataques vêm por e-mail e usam macros do Office para obter acesso a um sistema ou usam zero dias em suítes do Office para obter mais acesso a uma estação de trabalho. Na minha empresa, acho que a proteção contra phishing “aprende” e, embora possa deixar um e-mail de ataque inicial na porta, no momento em que os invasores começam a enviar e-mails de ataque para todos os outros usuários no escritório, ele já aprendeu o que é e não é malicioso e começa a bloqueá-lo logo após os e-mails de ataque começarem a ser enviados.

Você usa uma solução de backup de dados para todos os dados críticos?

O backup foi enfatizado no aplicativo de seguro cibernético, mas não em qualquer backup. Ele queria saber se eu preparava um backup diário, semanal ou mensal e depois se preparava o backup localmente, pela rede ou por meio de um backup em fita. Ele também perguntou se eu tinha um backup externo, um backup na nuvem ou qualquer outro tipo de backup.

Ele perguntou se minha solução de backup de dados era segregada ou desconectada da rede de forma a reduzir ou eliminar o risco de o backup ser comprometido em um ataque de malware ou ransomware que se espalha por toda a rede. Ter um processo de backup que possa resistir a um ataque de ransomware é fundamental para garantir que sua empresa e os ativos de sua empresa possam se recuperar rapidamente de um ataque. Já vi muitas vezes situações em que empresas não podem se recuperar facilmente porque o processo de backup e restauração pode levar semanas para se recuperar e não apenas dias.

Resumindo, revise sua apólice de seguro cibernético e seu questionário relacionado. Pergunte se você está fazendo tudo o que pode para proteger sua empresa e adaptando suas ações para se alinhar com o que sua seguradora considerou como uma prática recomendada.