Ransomware é uma preocupação mundial. O desenvolvimento de um programa de segurança que gira em torno dessa ameaça é um desafio que vale a pena o esforço.
Nos EUA uma pesquisa recente mostra que as pessoas estão extremamente preocupadas com os ataques de ransomware e concordam que ransomware estrangeiro e outros ataques cibernéticos à infraestrutura dos EUA devem ser tratados como atos de terrorismo (86%). As empresas privadas deveriam ser proibidas de pagar resgates a hackers (79%)
https://www.mitre.org/news/press-releases/mitre-harris-poll-77-percent-residents-concerned-about-ransomware-ip-theft.
Você não pode proteger aquilo que você não conhece, você deve começar o desenvolvimento de uma defesa contra ransomware identificando quais são seus ativos (dados) mais importantes para proteger.
Onde residem esses dados?
Quais aplicativos acessam esses dados?
Quais são os controles de acesso do usuário para esses dados?
Qual é o status da estratégia de backup para esses dados?
Agora perguntas que geram o maior desconforto!
As operações da sua empresa poderiam continuar se perdessem o acesso a esses dados?
De que forma uma violação desses dados pode afetar as relações comerciais ou prejudicar a reputação de sua marca?
Com base nessas e outros perguntas será possível racionalizar e investir em controles de segurança para defender dados e aplicações, e para otimizar processos.
Onde estão as lacunas e vulnerabilidades óbvias no seu ambiente?
A lição de casa básica de segurança, a implementação de controles de segurança, gerenciamento de identidade, varreduras constantes em busca de vulnerabilidades, configurações indevidas. Nunca esquecer a tríade CIA Confidencialidade, Integridade e Disponibilidade
Deve existe um plano de resposta a incidente consistente e bem controlado. Existe um processo de simplificado de quatro etapas.
- Preparação
- Detecção e análise
- Contenção, erradicação e recuperação
- Revisão pós-incidente
Teste seus controles de segurança continuamente para determinar a eficácia ao longo do tempo.
Busines Continuity Management (BCM)
Quando estamos falando de ransomware BCM é importantíssimo. faz parte do BCM a analise do impacto ao negocio onde se leva em consideração informações como:
- RPO – Recovery Point Objective (Maximo que vc pode perder de dados)
- RTO – Recovery Time Objective (Tempo determinado de recuperação)
- WRT – Working Recovery Time (Tempo máximo para verificar a integridade dos sistema e dados)
- MTD – Maximum Tolerable Downtime (Tempo maixmo total que o processo pode ficar parado)
Com base nessas informações definidas temos o BCP Business Continuity Planning e o DRP Disaster Recovery Planning.
Tactics, Techniques, and Procedures (TTPs)
Aplicar táticas, técnicas e procedimentos (TTPs) do adversário é um método eficaz para detectar atividades maliciosas. Essa abordagem é eficaz porque a tecnologia na qual os adversários operam (por exemplo, Microsoft Windows) restringe o número e os tipos de técnicas que eles podem usar para atingir seus objetivos após o comprometimento.
Você pode baixar o documento TTP-Based Hunting | The MITRE Corporation
Fator importante hoje, é ter profissionais competentes em diversas áreas atuando na defesa cibernetica fazendo a analise do ambiente usando a capacidade humana.
Recursos
101 Guide to Countering Ransomware with MITRE ATT&CK®
Etapas que você pode seguir para construir uma defesa proativa e informada sobre ameaças com a estrutura MITRE ATT&CK e validação de controle de segurança automatizada.
Ínicio | The No More Ransom Project
De momento, nem todos os tipos de ransomware têm uma solução. Continue a verificar este website já que novas chaves e aplicações vão sendo disponibilizadas.
No Ransom: Free ransomware file decryption tools by Kaspersky
Free Ransomware Decryptors
Seja o primeiro a comentar