Proteja e garanta a segurança dos seus dados contra ataques cibernéticos
Proteção de dados
Segurança dos dados
Insights de dados
Os 5 passos para a resiliência cibernética
Nuvem e SaaS
Empresa
Segmentos
FICHA DE DICAS
Embora sua organização possa ter um plano de recuperação de desastres em vigor, a recuperação de ataques cibernéticos destrutivos requer uma abordagem diferente. O motivo: sua organização precisa ser capaz de responder rapidamente, investigar com eficácia como o ataque ocorreu e mitigar as ameaças para se recuperar com segurança.
Sua primeira tarefa é estabelecer uma equipe multifuncional de resiliência contra ransomware com todas as partes interessadas. Os incidentes de ransomware afetam toda a organização, por isso é fundamental que todos saibam qual é o seu papel durante um ataque cibernético. Considere realizar um exercício prático realista com todas as partes interessadas, criando uma política de ransomware para toda a organização (e mantendo-a atualizada) e definindo suas estratégias de backup cibernético e resiliência operacional.
Compreenda os operadores de ransomware e suas ferramentas, técnicas e procedimentos (TTP) por meio da coleta de informações em seu setor ou região geográfica. Documente e mantenha as informações de contato de todos os membros da sua equipe de resposta, de preferência por meio de um canal de comunicação fora da banda. Crie um canal para denunciar comportamentos semelhantes aos do ransomware. Reúna uma equipe de resposta a crises cibernéticas e, se necessário, contrate os serviços de uma organização de resposta a incidentes.
Identifique e corrija vulnerabilidades críticas dos ativos. Fortaleça os sistemas, priorizando os sistemas críticos e os vetores de ataque usados pelos grupos de ransomware. Certifique-se de que as credenciais e os direitos de acesso em todos os sistemas sejam gerenciados de acordo com o princípio do privilégio mínimo. Implemente a segmentação da rede para limitar a propagação do ransomware e aumentar a probabilidade de detectar movimentos laterais. E identifique repositórios de dados mal protegidos que contenham dados confidenciais dentro da sua organização.
Certifique-se de que os sistemas de backup tenham isolamento físico suficiente, separação de funções e utilizem armazenamentos de dados imutáveis que impeçam que sejam corrompidos ou excluídos por adversários. Use autenticação multifatorial (MFA) em contas de administrador de backup e controle de acesso baseado em função (RBAC). Crie e mantenha Golden Masters de sistemas críticos para acelerar a reconstrução. E certifique-se de que seu sistema de backup seja compatível com as funções de segurança cibernética necessárias para responder a um incidente de ransomware.
Identifique lacunas na sua cobertura de controle preventivo e detectivo existente contra as técnicas ATT&CK utilizadas por grupos de ransomware. Implemente mecanismos de detecção de anomalias em sistemas de arquivos de endpoints, relacionadas a ataques de ransomware ou ataques de wipers, como criptografia ou exclusão de arquivos. Implemente filtros em gateways de e-mail para bloquear mensagens com indicadores conhecidos de conteúdo malicioso. Use aplicativos que permitam a criação de listas de permissão em ativos críticos para garantir que apenas softwares autorizados sejam executados.
Realize a caça proativa a ameaça usando dados históricos para identificar possíveis comprometimentos. Implemente um mecanismo para monitorar alterações incomuns no uso de CPU e disco. Identifique protocolos de rede incomuns, incluindo I2P ou TOR, que são conhecidos por serem usados por grupos de ransomware. E identifique conexões de rede utilizando portas ou destinos conhecidos por comandos e controle de ransomware ou wipers.
Identifique e agrupe alertas semelhantes relacionados a ativos afetados. Crie uma estimativa inicial de impacto (raio de explosão) do incidente. Encontre ambientes de teste usados para exfiltração de dados e isole os hosts infectados das redes com e sem fio. Ative a sala limpa, restaure o último backup dos sistemas afetados e reimplante ferramentas confiáveis de detecção/resposta nos sistemas dentro da sala limpa. Procure evidências de persistência e identifique vulnerabilidades em sistemas explorados no ataque.
Comunique-se com as partes interessadas internas, com a imprensa para ajudar a evitar especulações prejudiciais, com os titulares dos dados afetados, em conformidade com as obrigações regulatórias e legais, e com os próprios reguladores. Informe sua seguradora, as autoridades policiais e o CERT nacional/setorial.
Para obter mais detalhes sobre cada uma dessas etapas,
9100083-001-EN
