Com o crescente aumento das ameaças virtuais, particularmente os ataques de ransomware, empresas estão enfrentando uma frequência e foco maiores desses incidentes. Muitas organizações de diversos setores já passaram por experiências dolorosas causadas por esse tipo de ataque, tendo seus dados sequestrados e, em certos casos, tendo que ceder ao pagamento de resgates para recuperar informações e sistemas cruciais.
Diante deste cenário desafiador, é de vital importância estar preparado para enfrentar ataques de ransomware, não apenas tomando medidas defensivas, mas também implementando um processo que permita a recuperação de dados.
Especialistas em segurança, incluindo aqueles do NIST (Instituto Nacional de Padrões e Tecnologia), recomendam a criação prévia de um plano de resposta a incidentes, com medidas específicas para lidar com uma gama de ataques, incluindo ransomware.
Vale ressaltar a importância de políticas e procedimentos para proteger dados, aplicações e redes no ambiente.
Em caso de um ataque, a empresa deve informar imediatamente as autoridades competentes, o provedor de serviços e o departamento de TI e segurança. Trabalhar em conjunto com equipes de resposta a incidentes é fundamental para identificar a origem do ataque, o que auxilia no isolamento de dispositivos e na formulação de estratégias para prevenir infecções futuras. Coletar evidências para entender a extensão do ataque é uma etapa crucial.
Após a identificação, o isolamento é prioridade para interromper a propagação do ataque para outros sistemas e redes. O isolamento, também conhecido como "LOCKDOWN", envolve bloquear total ou parcialmente os acessos. Em um ambiente segmentado, o bloqueio total pode não ser necessário se sistemas ou serviços específicos forem identificados na fase de detecção. Nesse caso, isolar esses sistemas/serviços/redes é crucial.
Durante o processo de contenção e isolamento, pode ser necessário desativar sistemas afetados, bloquear credenciais de acesso e implementar outras medidas, como firewalls. Sempre avalie o impacto dessas ações.
O próximo passo envolve erradicar o ransomware dos sistemas afetados, permitindo a restauração dos dados a partir dos backups.
Após o isolamento dos sistemas afetados, é crucial localizar e acessar os backups para iniciar a restauração.
Apesar da pressão para restaurar rapidamente, não é recomendado pagar o resgate aos criminosos cibernéticos. Essa ação pode encorajar futuros ataques e não há garantia de que os dados serão realmente devolvidos.
Focar em backups confiáveis, segurança virtual (como atualizações e treinamento de conscientização) é mais sensato. Tais medidas ajudam a minimizar os danos e acelerar a recuperação. Quanto mais cedo o ataque for descoberto, menor a chance de o atacante obter informações cruciais durante o processo.
Após a restauração, verifique se ainda há infecção no ambiente. Após resolver o incidente, revise as informações coletadas e identifique lições aprendidas. Isso contribui para avaliar o plano de resposta a incidentes, identificar melhorias e atualizar políticas de segurança.
Cada ataque de ransomware é único e pode demandar diferentes ações. Manter o plano de resposta atualizado e treinar a equipe regularmente é essencial para lidar com ataques bem-sucedidos.
“Contar com a colaboração de especialistas externos também ajuda as empresas a se manterem atualizadas sobre as últimas ameaças e práticas de proteção”, afirma Luiz Henrique Silveira, CTO da Brasiline Tecnologia.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Resumo de Ransomware - KageNoHitobito e DoNex
Principais descobertas do Relatório de Segurança na Nuvem de 2024
