Dicas para virar o jogo contra o ransomware

Os métodos usados nos ataques de ransomware já são bem conhecidos dos profissionais de segurança. No entanto, as empresas esbarram em um problema chave na prevenção dessa ameaça: a confiança excessiva em técnicas de detecção baseadas em assinaturas.

As técnicas usadas pelos hackers são efetivas e difíceis de eliminar independente do quanto os usuários finais sejam bem educados e do quanto as empresas cuidem da atualização de seus softwares. Isso inclui e-mails de spear phishing e downloads que usam kits de exploração para tirar vantagem de vulnerabilidades nos sistemas.

Os ransomwares também passaram a adotar uma abordagem baseada na rede, que tem como alvo os servidores vulneráveis, usando ferramentas de testes de penetração acessíveis. Quando estão dentro da rede, os cibercriminosos coletam credenciais e começam a criptografar os arquivos.

Comportamento ainda é importante

Técnicas baseadas em assinatura não são capazes de detectar ransomware. Há um número enorme de variantes e assinaturas associadas ao ransomware crescendo rapidamente. Poucas são as características comuns entre eles que permitem identificá-los dessa maneira. Por isso, ao buscar comportamentos específicos em vez de assinaturas, as empresas têm mais chances de deter o ransomware antes que ele se instale.

Persistência

Quase todas as tentativas de ransomware persistem em um sistema. Ou seja, a ameaça permanece ativa. Na maioria dos casos, os autores de ransomware usam localizações muito similares àquelas que usam malwares tradicionais que efetivamente permitem novas tentativas. O ransomware Petya, que é capaz de criptografar HDs inteiros, é capaz de sobrescrever o master boot record (MBR) sozinho. Isso torna a persistência um ótimo foco na detecção de comportamentos típicos de malware.

Ferramentas do Windows

Os criadores de ransomwares amam ferramentas do Windows, especialmente frameworks baseados em scripts. Esses frameworks são usados em uma grande variedade de maneiras, incluindo persistência, deleção de cópias de sombra, comunicação e até a própria criptografia.

O ransomware é considerado uma das maiores ameaças em 2016. Baixe o whitepaper da PROOF Ransomware: Conheça a praga que vai dominar 2016 e saiba quais são as principais características desse tipo de ataque e como a PROOF pode ajudar a proteger seu ambiente.

Com Security Week

A importância do gerenciamento de riscos de parceiros e fornecedores

Várias violações de grande escala se originam nos riscos provocados por parceiros e fornecedores, algo que ainda tem pouca importância para os executivos de grandes organizações.

Segundo uma pesquisa do Ponemon Institute, os executivos não estão engajados nos processos de gerenciamento de riscos de terceiros e faltam programas formais para fazer a gestão desses riscos.

O estudo, conduzido com mais de 600 pessoas mostra ainda que 75% dos profissionais veem os riscos de parceiros e fornecedores como algo sério, porém, apenas 29% dos entrevistados disseram que suas empresas têm um programa de gerenciamento de riscos apropriado e apenas 21% acredita na efetividade das organizações na mitigação desses riscos.

Um erro de segurança de um parceiro ou fornecedor pode ter grande impacto no custo de uma violação de dados. Um estudo de 2014 do Ponemon Institute revelou que 65% das empresas que reportaram dividir dados de clientes com um parceiro também informaram uma violação subsequente por causa disso.

Boas práticas para gerenciamento de riscos de terceiros

O gerenciamento de riscos de parceiros e fornecedores é um desafio até nas maiores empresas devido ao aumento da complexidade dessas relações.

Especialistas em segurança concordam com algumas boas práticas. Conheça:

Tenha uma lista clara de todos os fornecedores e parceiros: As empresas apenas podem gerenciar os recursos que sabem que têm. Essa lista deve incluir todas as linhas de negócio e requer um processo de validação.

Riscos devem ser atribuídos a cada parceiro: Os riscos de cada fornecedor e parceiro devem ser registrados, revisados e classificados todos os anos. Os riscos podem ser colocados em categorias como “baixo”, “médio” e “alto” e podem ser redefinidos de tempos em tempos.

Processos de governança: Como terceiros são associados a diversas linhas do negócio, é preciso haver uma autoridade central para decidir como resolver problemas. Se as evidências de um problema apontam para um fornecedor, é preciso que haja uma autoridade para decidir como responder.

Cumprimento de compliance e políticas de segurança: Contratos devem conter um grande peso em disputas e defesas, portanto, políticas de segurança devem ser formalizadas por meio deles. Ao mesmo tempo, as empresas devem avaliar de tempos em tempos o cumprimento das normas estabelecidas.

A maioria das violações de dados podem ser evitadas

A esmagadora maioria das violações de dados em 2014 poderiam ter sido evitadas se as empresas afetadas tivessem aderido a uma dúzia de práticas de segurança, segundo um novo estudo do Online Trust Alliance (OTA).

Ao contrário do que se imagina, apenas cerca de 40% dos incidentes registrados no primeiro semestre do ano passado foram resultado de um elemento externo, sendo que as outras razões revelam causas ​​acidentais ou deliberadas de empregados (29%), dispositivos perdidos ou roubados (18%) e fraude de engenharia social (11%).

Embora as violações sejam vistas como quase que inevitáveis em alguns setores, o levantamento do OTA sugere tornar o gerenciamento de senhas uma prioridade na organização, sendo seguido de perto através da implementação de um projeto de rede de privilégios mínimos, garantindo a segurança em pontos vulneráveis e realizando testes de penetração regulares.

Outras recomendações incluem exigir autenticação de e-mail, tanto interno quanto externo, utilizar o gerenciamento de dispositivo móvel, monitoramento e logging centralizado, usar aplicativos de firewalls na web, bloquear a conectividade Wi-Fi, implementar Always On Secure Sockets Layer (AOSSL) e avaliar constantemente os certificados do servidor.

Esta é uma longa lista. A maioria das empresas vai empregar apenas algumas dessas medidas, mas poucos adotarão todas, especialmente o gerenciamento de senhas e controle de privilégio mínimo. Os endpoints e contas de usuários muitas vezes têm muito poder e alcance como a Sony Pictures recentemente descobriu quando uma única conta de administrador foi responsável por se infiltrar em sua rede e gerar consequências desastrosas.

As empresas estão sobrecarregadas com os crescentes riscos e ameaças, mas ainda assim, muitas não conseguem adotar conceitos básicos de segurança.

Educar empresas sobre os riscos que podem ocorrer em uma estrutura de redes vulnerável, é um trabalho contínuo, mas que ajuda a aumentar a consciência dos executivos sobre a seriedade da situação. Um sistema de gerenciamento de segurança da informação, quando combinado com outros controles, contribui para prevenir, detectar, conter e remediar violações de dados que podem custar a empresa prejuízos graves e irremediáveis.

Com Computer World UK