Focar nos fundamentos: 6 etapas de defesa contra ransomware
por Nathan Dyer
Página inicial do blog / Notícias e pontos de vista
O ransomware é a capitalização da má higiene cibernética. Veja a seguir seis etapas a serem seguidas para melhorar sua defesa contra ransomware.
Os ataques de ransomware se tornaram um problema da diretoria de quase todas as organizações. Somente em 2020, houve mais de 300 milhões de ataques de ransomware registrados, um aumento de mais de 60% em relação a 2019. Muitos fatores contribuem para essa tendência, como o aumento constante da criptomoeda, uma rede sofisticada de cadeia de valor de ransomware e um modelo de negócios comprovado com dupla extorsão. No entanto, um dos motivadores mais importantes do ransomware hoje é o vasto número de vulnerabilidades de software e configurações incorretas que os atores de ameaças podem explorar para entrar nas organizações e propagar seus ataques.
O ransomware depende de invasores que exploram vulnerabilidades
Como o novo normal é o trabalho remoto (em casa), os invasores estão se aproveitando da infraestrutura de acesso remoto e das falhas de aplicações Web para pontos de entrada na rede. REvil/Sodinokibi, o maior sindicato de ransomware da atualidade, tem cada vez mais vulnerabilidades como alvo em VPN (CVE-2019-11510), em servidor Web (CVE-2019-2725), na área de trabalho remota (CVE-2019-19781), e mais recentemente, em infraestrutura de gerenciamento remoto de TI (CVE-2021-30116). Os tipos de ransomware Conti também têm como alvo frequente os sistemas VPN e o Remote Desktop Protocol (RDP) para obter acesso às redes das vítimas. As vulnerabilidades de software se tornaram o vetor de ataque de ransomware de crescimento mais rápido devido ao grande volume de CVEs publicados a cada ano e à falta de qualquer requisito de interação do usuário para implantar a carga útil.
Mas não são apenas as vulnerabilidades de CVE tradicionais com as quais as equipes de segurança devem se preocupar. As configurações incorretas desempenham um papel importante na propagação do ransomware em toda a organização. As explorações de ransomware têm como alvo as fraquezas do Active Directory (AD) para escalar privilégios e mover lateralmente para alvos de maior valor. O grupo de ransomware Ryuk foi capaz de propagar um ataque de um único e-mail para completar a infecção em todo o domínio em pouco mais de 24 horas, usando configurações incorretas de AD comuns. O AD é frequentemente referido como "Chave do reino" porque é o centro da autenticação, autorização e controle de acesso da organização. Depois que o AD foi comprometido, os invasores podem usar o AD, e seu atributo de política de grupo, para implantar ransomware em toda a empresa.
Entenda onde reforçar suas defesas de ransomware
Há boas e más notícias quando se trata de defesa contra ransomware.
Em primeiro lugar, a má notícia: não existe solução mágica para proteger a sua organização. Não há tecnologia brilhante baseada em Inteligência artificial (IA), análise comportamental avançada ou solução de detecção/resposta em tempo real que resolverá esse problema magicamente. Os profissionais de defesa cibernética que procuram uma solução de ponto único de ransomware ficarão profundamente desapontados.
E a boa notícia: há um caminho a seguir focando nos fundamentos da segurança. Eu sei o que você está pensando: a higiene cibernética não é sexy ou empolgante,mas ela funciona. Os fundamentos são essenciais para evitar ataques de ransomware bem-sucedidos. Especialistas cibernéticos, como a Cybersecurity and Infrastructure Security Agency (CISA) e o National Cyber Security Centre (NCSC) enfatizam continuamente os fundamentos, como:
- Realização de sessões de treinamento de conscientização sobre segurança cibernética para diminuir ataques de phishing;
- Segmentação de redes para separar unidades de negócios e recursos diversos para conter uma invasão;
- Habilitação da autenticação multifator (MFA) em qualquer lugar;
- Manutenção de backups frequentes e criptografados de dados e imagens do sistema;
- Execução contínua de gerenciamento de vulnerabilidades baseado em riscos e avaliação do AD em toda a superfície de ataque.
Seis etapas de defesa contra ransomware
Para ajudá-lo a se proteger, a Tenable recomenda seguir as seis etapas a seguir para melhorar suas defesas de segurança contra ransomware.
- Verificar tudo, sempre;
- Fortalecer o AD para proteger as joias da coroa;
- Cancelar o escalonamento de privilégios;
- Priorizar usando a predição;
- Corrigir, sempre;
- Calcular para aprimorar o seu jogo.
A Tenable está aqui para ajudá-lo em cada etapa de sua jornada.
Saiba mais
Artigos relacionados
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Executive Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning