Respondendo ao aumento do risco de ataque cibernético: concentre-se no básico

Um webcast do Instituto SANS sobre a escalada de ataques cibernéticos russos na Ucrânia apresentou algumas conclusões. A primeira: não entre em pânico. Muitas vezes, com problemas de segurança, pensamos no pior; podemos exagerar e piorar a situação. Em vez disso, concentre-se no básico. A segunda é que precisamos prestar mais atenção ao tráfego de rede.

Cuide primeiro dos princípios básicos de segurança

Ao revisar sua rede em busca de possíveis ameaças cibernéticas, não piore as coisas fazendo configurações incorretas que criarão mais problemas. Passe algum tempo no básico e em outros projetos nos quais você provavelmente deveria ter trabalhado antes.

Documentação e planejamento é o que você precisa fazer agora, não fazer alterações e ajustes de configuração. Desacelere e revise os planos em vez de fazer mudanças dramáticas. As alterações de configuração geralmente apresentam efeitos colaterais que fazem você pensar que um ataque de fontes externas está em andamento. Um site está off-line. Imediatamente pensamos em um ataque cibernético, mas a causa raiz geralmente são configurações incorretas do Serviço de Nome de Domínio (DNS) ou problemas de infraestrutura principal.

Aproveite o tempo para revisar e considerar os pontos de entrada direcionados. Aprenda as lições dos ataques de ransomware Maersk que começaram na Ucrânia. Revise quais pontos de entrada business-to-business vêm de links fracos. Revise todas as conexões de rede privada virtual (VPN) à sua rede e de onde elas vêm. Lembre-se, a segurança deles afeta a sua segurança. Adicione autenticação de dois fatores a essas conexões quando apropriado e considere se você precisa fazer ajustes temporários em quem se conecta à sua rede durante esse período.

Eu geralmente recomendo adiar a aplicação de patches até que saibamos quaisquer efeitos colaterais, mas dependendo do seu nível de risco, você pode testar as atualizações de forma acelerada e implantar mais cedo que o normal. Também recomendo revisar as vulnerabilidades comumente atacadas e garantir que você corrigiu sua rede para elas.

Por último, mas não menos importante, não se torne uma fonte de financiamento para os invasores. Certifique-se de que você pode se recuperar de um ataque de ransomware e não pague resgate aos invasores. Ter um backup off-line deve ser uma prioridade para garantir que você possa se recuperar em qualquer situação.

Monitore o tráfego de rede em busca de anomalias

A SANS recomendou que você revise quais recursos você possui para monitorar o tráfego de rede para ver quem pode estar dentro de sua rede. Especificamente, analise o NetFlow, um protocolo de rede comumente usado criado pela Cisco que coleta o tráfego de rede IP ativo conforme ele entra ou sai de uma interface. Ele rastreia o ponto de origem, destino, volume e caminhos na rede.

Primeiro, observe seus dispositivos de borda, seus firewalls e outros dispositivos que controlam o fluxo de tráfego de rede que entra e sai de sua rede. Mesmo o firewall de uma pequena empresa provavelmente pode suportar esse nível de investigação. Comece retirando o manual do seu firewall e revise se você pode habilitar o registro do tráfego NetFlow. Não é suficiente habilitá-lo; você precisa registrá-lo para poder voltar e investigar o tráfego malicioso após o fato.

O NetFlow não é apenas tráfego malicioso. É também um meio de reduzir gargalos e otimizar a utilização da largura de banda. O tráfego NetFlow não pode ser usado apenas para uma única sessão; ele fornece mais informações quando é acumulado. Ativar a análise do NetFlow e armazená-la para que você possa revisar os padrões posteriormente é fundamental. Use recursos como o Splunk para armazenar e analisar melhor as informações que você recebe de sua rede. Você também pode usar o armazenamento em nuvem, como o Azure Sentinel, para armazenar e revisar as informações do NetFlow.

Outras opções para monitorar o tráfego de rede

Outras plataformas executam funções semelhantes e podem fornecer tanta ou mais informações do que o NetFlow. Para aqueles com uma licença do Microsoft 365 E5 ou um Microsoft Defender for Business (atualmente em visualização pública), o console da Advanced Threat Protection fornece informações semelhantes sobre a interação de eventos em suas estações de trabalho e servidores.

A aplicação de camadas no Defender for Cloud Applications também pode rastrear os fluxos por meio de SaaS e outras plataformas de nuvem. O Defender for Endpoint pode permitir que você revise o IP de origem, o IP de destino e a porta de origem e a porta de destino. Ele também expõe as informações do processo, bem como a URL da web envolvida na interação. Coloque recursos para entender qual é o seu tráfego de rede normal e os endereços IP externos nos quais você precisa confiar para fazer negócios.