Ransomware: o vilão de faroeste da cibersegurança

A maioria das pessoas conhece
histórias de faroeste, e uma delas é a do Butch Cassidy, que ficou conhecido
por atacar bancos e trens no final do século XIX. Em seu assalto mais icônico,
ele identificou a vulnerabilidade de um trem e usou sinalização falsa
para pará-lo no meio do deserto. Isso deu a ele e sua gangue muito tempo para
embarcar e roubar os objetos de valor. Hoje, a tecnologia mudou completamente,
mas a mentalidade dos ladrões cibernéticos não.

Assim como Cassidy, os cibercriminosos
tentam identificar fraquezas e vulnerabilidades nos processos de segurança das
empresas para que possam roubar seus ativos mais valiosos. Ainda querem
garantir a recompensa máxima, correndo o mínimo risco de serem pegos.

Caçadores de recompensas

De acordo com um relatório da Emsisoft divulgado em abril, o ransomware gerou um prejuízo global de centenas de bilhões de dólares em 2020. Com a pandemia e a adoção em massa do trabalho remoto houve aumento tanto dos ataques quanto na média do valor de resgate, que cresceu mais de 80% em uma estimativa de 18 bilhões de dólares pagos neste período. E com muitas empresas ainda tentando se organizar para se adequar a um novo normal nos últimos 12 meses, os cibercriminosos se aproveitaram da situação para colocar em prática intensas caças por recompensas.

As empresas precisam encarar que o
aumento desses ataques é a nova realidade e é inevitável que, cedo ou tarde,
todas se tornem alvos. As equipes precisam garantir uma estratégia confiável e
robusta de proteção de dados para que possam se recuperar de um ataque, caso o
pior aconteça.

Backups na mira

Os cibercriminosos sabem muito bem
que os backups estão na última linha de defesa, e se a vítima conseguir
recuperar os dados, não pagará o resgate. Na verdade, um hacker passa em média
mais de 200 dias na rede antes de criptografar qualquer coisa, planejando
cuidadosamente o roubo e tentando obter acesso ao maior número possível de
sistemas antes de começar a agir, inclusive aos backups.

O ataque inicial é usado para
conseguir entrar na rede sem ser detectado. Uma vez lá dentro, os
cibercriminosos passam muito tempo tentando acessar credenciais comprometidas.
Esta é a chave para o ataque, existem até ferramentas projetadas
especificamente para atacar serviços de diretório e obter credenciais. E, assim
que conseguem, podem fazer praticamente qualquer coisa.

A tripla barricada

As empresas precisam de três
passos estratégicos para se preparar, minimizar o impacto e se recuperar de um
ataque:

1. Analisar as melhores práticas de forma holística para observar cada detalhe da segurança corporativa. Isso ajuda na proteção e agiliza a detecção. As melhores práticas básicas incluem atualização de software e sistemas operacionais com os patches mais recentes, treinamento de equipe para reforçar o cuidado com links ou anexos em e-mails, principalmente os não solicitados, e fazer backup de dados regularmente, mantendo-os em um dispositivo isolado, o famoso air gap. Os backups precisam estar protegidos e imutáveis para limitar as ações do hacker, caso ele tenha acesso;
2. Saber como agir durante um ataque. É preciso conhecer a própria infraestrutura para conseguir identificar o que é “normal” na operação. Caso contrário, pode levar semanas para perceber algo “anormal” e constatar que os dados ou sistemas estão comprometidos.
3. Se garantir com recuperação rápida após um ataque. As empresas precisam de cópias válidas e imutáveis de backup dos dados, protegidas para que não possam ser destruídas, modificadas ou criptografadas. Isso é fundamental, junto com a capacidade de restaurar os dados rapidamente.

Air gap: cuidado com o vão

O objetivo do air gap é isolar os
dados críticos das redes locais e de áreas mais vulneráveis aos ataques, mas é
preciso ter cuidado com essa estratégia. O air gap não resolve completamente
dois fatores essenciais para uma recuperação bem-sucedida – confiabilidade e
velocidade – e não é 100% imune aos ciberataques.

A implementação e a operação podem
ser caras e difíceis de gerenciar, e o air gap não é super escalonável. Isso
significa risco de lentidão para recuperar grandes volumes de dados, ainda mais
com restrição de RPOs (a quantidade de dados que a empresa toleraria perder).
Além disso, não protegem contra ameaças internas, comprometimento de
credenciais de storage ou de adms de backup.

Um novo xerife na cidade

Mesmo com snapshots imutáveis e air gaps, ainda assim a velocidade de restauração de dados é limitada. Se uma grande empresa ficar inativa por pelo menos uma hora, isso pode custar milhões e causar danos irreparáveis em relação a confiança do cliente.

Além disso, se recuperar de um ransomware não é simples e geralmente requer a restauração de todos os arquivos ou vários bancos de dados. O processo para restaurar apenas um banco de dados pode levar muitas horas ou até dias. Ou seja, se for necessário restaurar 50 ou 100 bancos de dados, dá para ter uma ideia da importância da velocidade da recuperação após um ataque.

Ao buscar por fornecedores de
armazenamento e de backup, é fundamental que as empresas estabeleçam SLAs e
escolham uma solução capaz de restaurar dados a uma velocidade de centenas de
terabytes por hora.

Resumindo, as empresas precisam de uma estratégia de proteção que combine medidas preventivas adequadas, snapshots imutáveis dos dados e de uma solução de restauração rápida para garantir tempo mínimo de inatividade. Caso contrário, elas ficam expostas aos riscos de grande impacto financeiro, organizacional e de reputação, e todo o esforço investido para proteger os dados se torna inútil.

Independentemente da plataforma ou tecnologia, é fundamental garantir a velocidade de restauração dos dados para que a empresa não fique esperando enquanto o mercado segue adiante. É a única maneira de manter os cowboys fora da rede e evitar que os dados sejam sequestrados.

* Paulo de Godoy é country manager da Pure Storage no Brasil