Em tempos de Ransomware, a Segurança Unificada é Essencial
Após uma série de ataques de ransomware altamente mediáticos que causaram paragens graves em serviços essenciais nos EUA, o diretor do FBI Christopher Wray comparou a ameaça representada pelo ransomware aos ataques terroristas de 11 de setembro de 2001. De acordo com Wray, ataques recentes contra um dos maiores operadores de oleodutos nos Estados Unidos e contra uma grande unidade fabril de processamento de carne pode ser apenas um prenúncio do que está por vir.
“Há uma responsabilidade partilhada, não só entre as agências governamentais, mas também entre o setor privado e até mesmo os cidadãos”, afirmou o diretor do FBI numa entrevista ao Wall Street Journal.
Embora o ransomware não seja uma novidade, os comentários do Diretor Wray mostram uma realidade importante: todos nós somos um alvo aos olhos dos cibercriminosos. Ataques contra o Oleoduto Colonial e a JBS paralisaram as operações de ambos, causando um efeito cascata nos custos crescentes do petróleo e da carne bovina, que foram sentidos por quase todos os americanos, mas este é apenas o início. O FBI está a rastrear ativamente cerca de 100 tipos diferentes de ransomware detetados, e a tendência é para que este número aumente. Os cibercriminosos estão bem cientes do poder que o ransomware coloca ao alcance dos seus dedos, pois permite que explorem o valor dos dados e sistemas que seriam difíceis de monetizar de outra forma. E, com os preços das criptomoedas em níveis históricos, o custo da recuperação pode ser assustador.
O ponto de vista de Wray sobre responsabilidade partilhada deve servir como um alerta para as pequenas empresas que podem não se ver como alvos dignos. Com isto em mente, aqui estão dez maneiras de a WatchGuard ajudar as empresas de média dimensão a defenderem-se do ransomware com uma proteção multi-camada:
1. Bloqueie tentativas de phishing automaticamente com a filtragem de DNS. Phishing por e-mail é o método mais comum para iniciar um ataque de ransomware. O bloqueio de e-mails maliciosos com spamBlocker no Firebox e antispam no endpoint pode manter a caixa de correio do utilizar livre de problemas. Um utilizador clicou num link que não deveria? DNSWatch torna possível interromper canais de comando e controlo e bloquear conexões com os hackers. Precisa de proteger os utilizadores remotamente? O DNSWatchGO oferece a mesma proteção por utilizador, sem a necessidade de uma VPN.
2. Reforce as identidades de utilizador com MFA. O AuthPoint proporciona autenticação multifatorial eficaz para a sua força de trabalho, protegendo ativos da empresa, contas e dados contra roubo de credenciais, fraude e ataques de phishing. Além disso, a aplicação móvel AuthPoint torna cada tentativa de login visível e o seu DNA móvel exclusivo garante que apenas o dispositivo original pode realizar autenticação, combatendo assim ameaças sofisticadas que clonam dispositivos móveis.
3. Acabe com as falhas de segurança da má gestão de patches. De acordo com o Ponemon Institute, 57% das vítimas de ciberataques disseram que a aplicação de um patch evitaria que fossem atacados e 34% disseram que sabiam da vulnerabilidade antes do ataque. A solução de gestão de patches amigável da WatchGuard para gerir vulnerabilidades em sistemas operativos e aplicações de terceiros em endpoints e servidores Windows pode ajudar a reduzir a superfície de ataque contra ataques de ransomware.
4. Impedir a execução de aplicações desconhecidas. O nosso exclusivo Zero-Trust Application Service permite uma monitorização contínua do endpoint, deteção e classificação de todas as atividades para revelar e bloquear comportamentos anómalos de utilizadores, máquinas e processos. O Endpoint Protection Detection and Response mitiga automaticamente o ataque, bloqueando a execução de qualquer aplicação desconhecida até que seja validada como fiável pelo nosso sistema de aprendizagem automática e/ou equipa de cibersegurança.
5. Elimine as payloads de malware iniciais no firewall. Firewalls como o WatchGuard Firebox estão em boa posição para bloquear ficheiros de malware de primeiro estágio, como droppers, que geralmente são seguidos por mais ativos maliciosos. O Firebox oferece três níveis de proteção contra malware: Gateway AV (assinaturas e heurísticas), IntelligentAV (prevenção alimentada por IA sem assinatura) e APT Blocker (sandbox de cloud avançada).
6. Monitorize ataques ativos com visibilidade do endpoint em tempo-real. Por natureza, o ransomware infecta dispositivos endpoint. Ter visibilidade da atividade do evento nesses dispositivos torna possível detetar e corrigir as ameaças antes que o dano seja feito. A deteção e resposta do Endpoint Protection oferece uma visibilidade clara e oportuna sobre as atividades maliciosas em toda a organização. Essa visibilidade permite que as equipas de segurança avaliem rapidamente o alcance de um ataque e tomem as medidas adequadas.
7. Correlacione a telemetria um maior contexto. Os cibercriminosos são autênticos ninjas a esgueirar-se pelos sistemas de segurança tradicionais. Eles usam ataques furtivos e direcionados para suavizar os seus passos e esconderem-se nas sombras, tornando os ataques fáceis de perder. Fazendo parte do WatchGuard Firebox, a nossa solução ThreatSync usa um sensor de host leve e o poder da cloud para correlacionar automaticamente os dados de telemetria de vários pontos, destacando e eliminando rapidamente as ameaças que, de outra forma, não seriam detetadas.
8. Impeça a encriptação de ficheiros não autorizada. O Host Ransomware Prevention aproveita um mecanismo de análise comportamental e um honeypot de diretório chamariz para monitorizar uma ampla gama de características que determinam se uma determinada ação está associada a um ataque de ransomware ou não. Se for determinado que a ameaça é maliciosa, o HRP pode impedir automaticamente um ataque de ransomware antes que a encriptação de ficheiros aconteça no endpoint.
9. Restaure Endpoints com facilidade. Durante a execução, o malware geralmente cria, modifica ou exclui ficheiros de sistema e configurações de registo e altera as configurações. Essas mudanças, ou resquícios deixados para trás, podem causar instabilidade e mau funcionamento do sistema ou até mesmo uma porta aberta para novos ataques. A deteção e resposta do Endpoint Protection, nos casos residuais em que o malware pode ser executado, restaura os endpoints ao seu estado de confiança pré-malware.
10. Minimize o tempo de deteção. O serviço de caça e investigação de ameaças da WatchGuard ajuda a detetar técnicas emergentes de invasão e sobrevivência. Usando os nossos especialistas em segurança, analisamos casos suspeitos para encontrar técnicas de evasão novas e exclusivas (conhecidas como TTPs) no fluxo de eventos. A partir daí, criamos regras que representam novos IoAs que podem ser entregues aos seus endpoints para os proteger rapidamente contra novos ataques.
Neste período de ransomware em todo o lado, as organizações devem perceber que as ameaças vêm em várias formas e usam técnicas avançadas, mesmo contra empresas mais pequenas. Portanto, ter uma plataforma de segurança unificada que pode capacitar a sua equipa para agir antes que qualquer vulnerabilidade potencial seja explorada e acelerar a resposta em caso de violação, pode ajudar muito na prevenção de ataques que paralisam a atividade da empresa.