O objetivo deste artigo é apresentar os principais pontos de análise para evitar/mitigar ransomware (sequestro de dados) no ambiente corporativo.
Atualmente, muitas empresas são impactadas drasticamente com a onda massiva e mundial de ataques ransomware, inclusive, pesquisas apontam que uma porcentagem significativa de empresas encerra suas atividades após um incidente deste.
É importante destacar que o ataque de ransomware, na sua grande maioria, não é um ataque de invasão direcionado a tal empresa, e sim, ataques massivos normalmente com origem em phishing (e-mail falso) enviados a milhões de e-mails ao redor do mundo. Mais detalhes no artigo escrito em 2015, explicando esse cenário.
A seguir, é apresentada uma visão macro de análise e gestão proativa no ambiente, visando auxiliar as empresas de todos os tamanhos e segmentos a não serem mais uma vítima desta ameaça – Ransomware.
Nota 1: É importante destacar que o conteúdo a seguir não reflete todo o gerenciamento (análise, planejamento, atividades e melhoria) necessário para mitigar os riscos de Ransomware no ambiente. Este artigo é somente uma amostragem de tópicos e conteúdos envolvidos em uma análise de risco com este propósito.
Possuir sistema operacional (S.O) original e mantê-lo sempre atualizado, incluindo os servidores.
- Ponto de análise: Qual a política de atualização para estações de trabalho e servidores? E para aplicações (Banco de Dados, ERP, servidores Web e outros)?
- Será que a política tradicional de atualizar os servidores uma vez por mês continua efetiva ou precisamos redesenhar este processo?
- S.O como Win XP, Vista e outros sem suporte do fabricante é seguro? Possuem correções contra o ransomware?
Implementar Política de Segurança da Informação (PSI) e campanhas de conscientização para todos os funcionários.
- Estruturar as diretrizes de segurança da informação que atendam aos interesses da organização e estejam em compliance com as boas práticas de mercado e com auditorias externas
- É fundamental realizar trabalhos de conscientização para todos os funcionários de forma contínua e eficaz
- Gerar engajamento da alta administração
- Desenvolver normas auxiliares e específicas para cada cenário relevante
- Ponto de análise: Com a aprovação das novas regras da CLT, entre eles, o trabalho remoto, quais os novos riscos envolvidos? Como mitigar?
Reestruturar/revisar tecnicamente o ambiente tecnológico.
- Instalar e manter configurado/atualizado antivírus corporativo em todos os equipamentos corporativos
- Criar uma norma para uso de dispositivos móveis e USB no ambiente e realizar os devidos bloqueios/acessos tecnológicos
- Estruturar o Active Directory (AD) e permissões de acesso na rede, file server, banco de dados, ERP e outras estruturas
- Revisão dos perfis de acessos baseados no Perfil de Usuário (PU) vs Padrão de Atividade do Negócio (PANs)
- Analisar perfis de usuários com privilégios administrativos
- Revisão/auditoria das regras do firewall, IPS/IDS e VPN, incluindo perfis de navegação
- Estruturar o sistema de backup e contingência que atenda ao Recovery Point Objective (RPO) e Recovery Time Objective (RTO) da empresa. Esta visão é levantada através de Business Impact Analysis (BIA)
- Ponto de análise: Existem acessos externos ao ambiente, seja por RDP, VPN, aplicações Web e outros? Se sim, quais riscos envolvidos? Quem tem acesso? Como é feito o gerenciamento?
Analisar e redesenhar a estrutura de contingência tecnológica – Plano de Continuidade de Negócios (PCN).
- Qual a estrutura atual: Cluster, Ambiente de Disaster Recovery (DR), Replicação, Contingência Manual?
- A estrutura atual será impactada pelo ransomware?
- Quais sistemas críticos estão contingenciados?
- Qual o Objetivo Mínimo de Continuidade de Negócios (OMCN)?
Quais Planos de Mitigação de Risco (PMR) a empresa possui? Estão alinhados com o Sistema de Gestão de Continuidade de Negócio (SGCN) da empresa?
- Caso ocorra um incidente de ransomware no ambiente:
- Como analisar o impacto do incidente? Origem? Como corrigir?
- Qual matriz de comunicação?
- Quais ações de contingência?
- Quais atividade de correção?
- Acionar o ambiente de DR?
- Qual o RPO e RTO neste cenário?
Nota 2: O tema apresentado neste artigo é complexo e exige uma análise de cada empresa/cenário, e também é necessário entender o apetite de risco da alta administração, já que, é quem irá direcionar o nível de maturidade das áreas de TI e Segurança da Informação.
Nota 3: É importante as empresas desenvolverem seus planos de mitigação e estruturas tecnológicas, em conformidade com boas práticas, não somente visando o ransomware, mas sim, todas as ameaças latentes no ambiente de cada empresa.
Dica: A National Institute of Standards and Technology (NIST) lançou o Cybersecurity Workforce Framework. O framework poderá auxiliar em atividades que irão mitigar ameaças virtuais. Link para acesso: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf
Para finalizar, o tema Ransomware ainda é um tema muito novo dentro das empresas, sem precedentes, o que exige uma atenção especial não somente da TI, mas também da alta administração, incluindo o conselho de administração e fiscal.
As informações apresentadas neste artigo estão em conformidade com as boas práticas de gestão de TI e segurança da informação.
Pergunta: Por que o envolvimento da alta administração é necessário?
Deixe sua resposta nos comentários.
Obrigado. Até o próximo!
1 Comentários
Gustavo
Parabéns pelo artigo, já tive problemas com Ransomware infelizmente, mas graças do nosso bom Back-Up não tivemos grandes perdas.
Grande você cita o envolvimento da Alta Administração vejo como um ponto importantíssimo, pois a TI necessita que eles estejam sempre envolvidos e dispostos a investimentos não só tecnológicos, mas também no desenvolvimento humano, ou seja, os usuários, pois nosso grande problema são os usuários, mas infelizmente está muito difícil trabalhar esses tópicos, por mais que você esteja disposto a utilizar todos os métodos e recursos disponíveis para melhorar a segurança, alta administração ainda enxerga como gasto, tudo oque ela vê são $$$ e os usuários dispensa comentários, você tenta instruir, ensinar e treinar, mas é como se você estivesse conversando com as paredes, é um ou outro que você vê que dá atenção para oque você está falando. É preciso mudar a cultura das empresários e usuários, como é um assunto novo, ainda acredito que podemos ter bons resultados no futuro com essa mudança de cultura.