Proteção contra ransomware para pequenas e médias empresas

segureança

O Instituto de Segurança e Tecnologia (IST) lançou recentemente um “Blueprint for Ransomware Defense”. O guia inclui recomendações de ações defensivas para pequenas e médias empresas (PMEs) para proteção e resposta a ransomware e outros ataques cibernéticos comuns. Ele se concentra no formato de identificação, proteção, resposta e recuperação que se alinha com a estrutura de segurança cibernética do Instituto Nacional de Padrões e Tecnologia (NIST). As diretrizes do IST não incluem um item da estrutura do NIST: a função de detecção. Os autores recomendam que as PMEs trabalhem com um provedor de serviços de segurança cibernética para essa função.

As recomendações são construídas em torno de salvaguardas, incluindo 14 salvaguardas fundamentais e 26 acionáveis.

Salvaguardas para identificar o que está na sua rede

O IST recomenda as seguintes salvaguardas fundamentais para ajudar a identificar o que em sua rede precisa ser protegido:

Estabelecer e manter um inventário detalhado de ativos corporativos.
Estabelecer e manter um inventário de software.
Estabelecer e manter um processo de gerenciamento de dados.
Estabelecer e manter um inventário de contas.

As PMEs podem precisar de mais orientação para entender o risco que acompanha seus computadores e softwares. Muitos usam tecnologia mais antiga porque é necessária para aplicativos críticos de linha de negócios. Não basta inventariar meus bens; Preciso avaliar os riscos que tenho porque ainda estou usando ativos e softwares mais antigos.

A proteção acionável é garantir que o software autorizado seja suportado.

Salvaguardas para proteger a infraestrutura de rede

As próximas recomendações cobrem como proteger esses ativos:

Estabeleça e mantenha um processo de configuração seguro.
Estabeleça e mantenha um processo de configuração seguro para a infraestrutura de rede.
Estabeleça um processo de concessão de acesso.
Estabeleça um processo de revogação de acesso.
Estabeleça e mantenha um processo de gerenciamento de vulnerabilidades.
Estabeleça e mantenha um processo de remediação.
Estabeleça e mantenha um programa de conscientização de segurança.

As estações de trabalho em PMEs usam senhas inseguras ou não fornecem proteção adequada para acesso local e acesso remoto. Os invasores geralmente entram por meio de acesso remoto à área de trabalho ou quebrando senhas de administrador local que são as mesmas em toda a rede. Pior ainda é quando os usuários não usam o acesso apropriado à rede. As PMEs geralmente são configuradas com direitos de administrador de domínio. Revise como você implantou as senhas e, independentemente de ter uma configuração tradicional de domínio e estação de trabalho ou aplicativos de nuvem e web, revise suas opções de autenticação multifator (MFA).

Em seguida, revise como você gerencia e corrige seus recursos de computação. Não é suficiente confiar no Windows Update para gerenciar as atualizações em seus sistemas de computador. Revise suas opções para manter e implantar atualizações.

Treinar seus funcionários para não clicarem é uma das melhores coisas que você pode fazer para proteger sua rede. Não importa quais proteções você implemente, a melhor defesa é um usuário final instruído que não clica e pergunta se o item é legítimo. Mesmo que você não tenha um programa formal de treinamento de phishing, certifique-se de que os usuários estejam cientes dos golpes e ataques normais.

Como observa o white paper:

“Embora o ransomware tenha uma variedade de vetores de infecção inicial, três vetores constituem a maior parte das tentativas de invasão: uso do Remote Desktop Protocol (RDP) – um protocolo usado para gerenciar remotamente dispositivos Windows, phishing (e-mails geralmente maliciosos que parecem vir de fontes confiáveis mas visam roubar credenciais ou informações confidenciais) e exploração de vulnerabilidades de software. Ativos de proteção, software e dispositivos de rede protegem contra esses principais vetores de ataque e fecham as lacunas de segurança que podem permanecer em configurações padrão inseguras. A falha em desabilitar/remover contas padrão, alterar senhas padrão e/ou alterar outras configurações vulneráveis aumenta o risco de exploração por um adversário. As salvaguardas nesta seção exigem que as PMEs implementem e gerenciem um firewall em servidores e gerenciem contas padrão em redes e sistemas corporativos”.

As proteções acionáveis recomendadas são:

Gerenciar contas padrão em ativos e software corporativos.
Usar senhas exclusivas.
Desativar contas inativas.
Restringir os privilégios de administrador a contas de administrador dedicadas.
Exigir MFA para aplicativos expostos externamente.
Exigir MFA para acesso remoto à rede.
Exigir MFA para acesso administrativo.
Executar o gerenciamento automatizado de patches do sistema operacional.
Executar o gerenciamento automatizado de patches de aplicativos.
Usar apenas navegadores e clientes de e-mail totalmente compatíveis.
Usar serviços de filtragem de DNS.
Certificar de que a infraestrutura de rede esteja atualizada.
Implantar e manter software antimalware.
Configurar atualizações automáticas de assinaturas antimalware.
Desativar a execução automática e a reprodução automática para mídia removível.
Treinar os membros da força de trabalho para reconhecer ataques de engenharia social.
Treinar os membros da força de trabalho sobre como reconhecer e relatar incidentes de segurança.

Salvaguardas para resposta a incidentes

As PMEs muitas vezes ignoram o próximo conjunto de recomendações sobre a resposta a incidentes:

Estabeleça e mantenha um processo corporativo para relatar incidentes.
Estabeleça e mantenha um processo de gerenciamento de log de auditoria.

As empresas geralmente querem que seus sistemas voltem aos níveis funcionais o mais rápido possível após um evento de segurança, por isso é incerto se algumas PMEs estabelecerão um processo para relatar incidentes. Também tenho dúvidas de que a PME típica tenha o armazenamento ou os recursos para realmente habilitar um processo de gerenciamento de log. Minha recomendação seria investigar um serviço de nuvem que acumula e alerta você sobre eventos incomuns em uma rede. O registro por si só não é suficiente se você não entender o que o registro está tentando lhe dizer. É preferível um serviço que permita correlacionar esses eventos e alertá-lo sobre possíveis problemas.

As proteções acionáveis para resposta a incidentes são:

Designar pessoal para gerenciar o tratamento de incidentes.
Estabelecer e manter informações de contato para relatar incidentes de segurança.
Coletar logs de auditoria.
Garantir o armazenamento adequado do log de auditoria.

Salvaguardas para recuperação após um ataque cibernético

O ransomware pode ser facilmente superado com um processo muito chato: um backup. A proteção fundamental que a estrutura recomenda é estabelecer e manter um processo de recuperação de dados. Estas são as proteções de recuperação recomendadas:

Fazer backups automatizados.
Proteger os dados de recuperação.
Estabelecer e mantém uma instância isolada de dados de recuperação.

As PMEs podem não ter pensado ou testado seus processos de recuperação. Os backups podem não funcionar como esperado ou, no caso de ransomware, não testados a partir da posição de que a rede será reconstruída.

O documento blueprint inclui um link para ferramentas e recursos recomendados. A lista de ferramentas pode ser assustadora para qualquer empresa que não tenha experiência em TI, então eu também recomendo usar o kit de ferramentas para revisar as ferramentas usadas por seus consultores. Discuta quais processos eles usam e veja se eles têm recursos comparáveis.

As salvaguardas acionáveis para a recuperação são:

Fazer backups automatizados.
Proteger os dados de recuperação.
Estabelecer e manter uma instância isolada de dados de recuperação.