#60 Gerenciando riscos diante de ransomware
Subscribe to get the latest
on Wed Aug 04 2021 17:00:00 GMT-0700 (Pacific Daylight Time)
with Darren W Pulsipher, Steve Orrin,
Neste episódio, parte um de dois, Darren discute as tendências de segurança com o convidado frequente Steve Orrin, CTO da Intel, Federal. Ao longo do último ano, houve um aumento no número e na sofisticação dos ciberataques. As três áreas-chave de ataques recorrentes são ransomware, ataques à cadeia de suprimentos e violações de dados.
Keywords
#cybersecurity #ransomware #riskmanagement #process
Nos últimos anos, houve um aumento no número e na sofisticação de ataques cibernéticos. As três principais áreas de ataques recorrentes são ransomware, ataques à cadeia de fornecimento e violações de dados.
Os ataques têm se tornado mais sofisticados por várias razões. Primeiro, à medida que a segurança melhora, o adversário deve continuar melhorando. O crime organizado, atores de estados-nação e outros agentes de ameaças reconhecem que é necessário mais sofisticação para comprometer e frustrar os controles de segurança. Assim como as organizações têm processos de desenvolvimento de software, a comunidade de malware também possui. Eles possuem ferramentas e estruturas de onde constroem e incorporam qualidade aos seus sistemas. Diferentes participantes compram, vendem e emprestam código. Eles aprendem uns com os outros e compartilham informações na web clandestina. Eles não são apenas equipes improvisadas de hackers; eles funcionam mais como empresas.
Esses agentes de ameaça estão em uma indústria de bilhões de dólares. O grande dinheiro impulsiona a necessidade de maturidade. Já não podemos apenas adicionar segurança; ela deve ser incorporada e incorporada em todos os lugares, não apenas nos produtos, mas também na infraestrutura e nos processos. Essa foi uma das lições do SolarWinds: mesmo se você construir um bom produto, a infraestrutura que o suporta pode ser vulnerável.
Ataques recentes mostram que ninguém está imune. Muitas vezes, as organizações erroneamente presumem que estão protegidas por não serem serviços financeiros, governamentais ou de outras indústrias de alto valor, mas os ataques recentes às empresas como JBS Foods, McDonald’s e Audi têm mostrado que ninguém está imune. Empresas, independentemente de seu produto, dependem de sua infraestrutura digital para estar funcional; o ataque à JBS Foods prejudicou a maior indústria frigorífica do mundo.
Nenhuma coisa serve como bala de prata para prevenir esses ataques. Há esperança, mas exige muito trabalho. Uma organização deve ter a diligência de aplicar as métricas de risco corretas para implementar corretamente a segurança. Se você não compreender o seu risco, nenhuma quantidade de controles de segurança fará o trabalho, pois você não sabe se os está aplicando no lugar correto.
A chave está em começar com o conjunto correto de políticas e riscos para a sua organização. Um passo básico é que, mesmo que sua organização ainda não tenha descoberto completamente como implementar uma arquitetura de confiança zero, negar todas as solicitações de acesso até que se prove que são dignas é um passo na direção certa. O que isso significa é que há um portão em cada porta, em vez de uma chave mestra para tudo dentro. Negar por padrão é um princípio fundamental da confiança zero.
Se a força de uma empresa não está em cibersegurança, ou os recursos não estão disponíveis para uma equipe interna suficiente, existem muitos recursos para ajudar. Provedores de segurança gerenciados (MSP) são uma boa opção, mas sempre deve haver pelo menos um especialista interno: um Chief Security Officer. Essa pessoa possui o contexto local da experiência no domínio para trabalhar com o MSP e trazer esse conhecimento e proliferá-lo por toda a organização. O MSP está gerenciando suas ferramentas e configurações de segurança, mas você precisa de alguém para transmitir sabedoria de segurança para as unidades de negócios e de TI. Diante dos ataques recentes, uma equipe de segurança não é opcional.
Toda empresa deve ter um plano pronto para um ataque de ransomware. O momento de descobrir como lidar não é depois que já ocorreu. Uma das medidas básicas é fazer backups regulares dos seus dados. Mantenha cópias perfeitas dos dados, sistemas, aplicativos e configurações em um ambiente de armazenamento offline e fora de banda. Ter seis meses de backups limpos é importante, pois às vezes o ransomware pode estar escondido nos backups antes de ser detectado. Além disso, tenha as plataformas ou servidores necessários para executar seu banco de dados disponíveis offline, para que você possa ativá-los em um modelo de redundância ou fallback.
Isso é basicamente um planejamento de continuidade dos negócios. Assim como uma organização teria um plano de continuação no caso de um desastre físico, como uma enchente ou queda de energia, também deve haver um plano para continuar com as aplicações empresariais críticas para retornar pelo menos parcialmente às operações enquanto o problema está sendo resolvido.
Um passo para concretizar essa redundância é poder recorrer à nuvem quando necessário, mantendo os recursos em nuvem em estado imaculado e talvez até em um provedor de serviços em nuvem diferente. Outro passo é ter um canário na mina. Isso significa ter sistemas implantados em toda a empresa que possuem sensores maximizados. Para evitar problemas de desempenho, armazenamento e velocidade, você pode implantá-los em locais estratégicos, em vez de em todo o sistema, para servir como alertas antecipados.
Criar um plano antecipadamente também ajudará no desafio de saber o que fazer no momento da crise, seja pagar o ransomware ou chamar o FBI. O plano deve estar registrado e envolver não apenas suas equipes de tecnologia, mas também seus advogados, CEO, CFO, etc…, e todos devem ter acesso a ele. Você deve saber como comprar bitcoins e ter o número dos escritórios locais do FBI e outras informações. Execute o plano como um exercício para verificar se funciona assim como faria com um plano de recuperação de desastres ou continuidade de negócios.
Algumas indústrias podem pensar que estão seguras se mantiverem sua tecnologia operacional (OT) e sua tecnologia informacional (TI) separadas, mas elas não estão realmente separadas. Por exemplo, uma linha de produção pode estar funcionando em computadores, mas grande parte do que impulsiona a cadeia de suprimentos, logística e organização geral são sistemas de TI. Se esses sistemas falharem, nada entra ou sai. Os sistemas de TI são essenciais para a missão e o aprendizado com os ataques recentes é que dependemos da tecnologia digital para todos os nossos negócios.