Analysis

“As equipas de segurança devem estar em alerta 24 horas por dia, sete dias por semana”

No Mês Europeu da Cibersegurança, Alberto Rodas, Sales Engineer da Sophos Ibéria, aborda o estado atual da cibersegurança, principalmente a evolução do ransomware e o que as organizações estão a fazer para se protegerem

26/10/2020

“As equipas de segurança devem estar em alerta 24 horas por dia, sete dias por semana”

Como está a evoluir o ransomware de modo geral e, em particular, em Portugal?

A realidade é que o ransomware não vai desaparecer – e esta é uma realidade comum a Portugal e a todos os países, na verdade. Na Sophos temos visto grupos como o WastedLocker a levar as táticas de evasão a um novo nível; inclusivamente, agora encontraram formas de iludir as ferramentas de comportamento anti-ransomware. Este é o mais recente exemplo de como os atacantes “deitam mãos à obra” e utilizam novas manobras para desativar manualmente o software, sendo este um passo prévio a um ataque de ransomware completo. Atividades furtivas como a extração de dados e a desativação de cópias de segurança são também outros indícios. Quanto mais tempo os atacantes estiverem na rede, mais danos podem fazer – é por isso que a inteligência e a resposta humanas são componentes críticas da segurança quando se trata de detetar e neutralizar os primeiros sinais de que um ataque está a acontecer. As empresas portuguesas precisam de se adaptar a estas tendências crescentes e tomar medidas para reforçar o seu perímetro, desativando o RDP para impedir que os criminosos obtenham acesso remoto à rede, um dos denominadores comuns em muitos dos ataques de ransomware que a Sophos analisa.

As pequenas empresas já se começam a aperceber para os riscos associados ao não investimento em cibersegurança?

Gostaríamos de poder dizer que sim, mas tendo em conta o panorama atual, em muitos casos isso não é verdade. Embora os responsáveis de TI estejam, no geral, conscientes destes riscos, muitas vezes não dispõem de recursos suficientes para os mitigar, nem para sensibilizar os utilizadores e os gestores das empresas. É por isso que as campanhas e ferramentas de sensibilização e formação como a Phish Threat são tão importantes para todos os colaboradores de uma empresa, sem exceções, funcionando como uma camada adicional de segurança. As simulações, cursos e, em suma, a formação, tornam cada um dos elos da cadeia de uma empresa consciente do risco e, assim, aumentam a segurança de todos.

Para além dos tradicionais conselhos de cibersegurança, o que é que as empresas devem fazer para proteger os seus sistemas, operações e colaboradores de ransomware?

Os cibercriminosos estão cada vez mais organizados, mais preparados, contam com melhores ferramentas e preparam muito melhor os ataques, que têm objetivos específicos. Existem “empresas” especializadas em encontrar vulnerabilidades e que, uma vez detetadas, vendem esses acessos a outros grupos cibercriminosos para que possam continuar o trabalho. Este é um cenário que complica a segurança de todas as empresas. A proteção tradicional que incluía o email, o perímetro, os postos de trabalho e os servidores já não serve – agora exige-se uma solução holística que permita proteger todos estes ambientes, de forma individual e também coletiva. Para além disso, as empresas não só precisam de proteger-se, como também de ser capazes de detetar possíveis ameaças no seu ambiente, até mesmo antes de elas ocorrerem; e é precisamente para isso que existem novas tecnologias como o EDR (Endpoint Detection and Response), claro, e serviços para a sua gestão. Muitas das empresas que foram afetadas tinham apenas um antivírus para proteger o local de trabalho e outras tinham, em teoria, soluções avançadas, o que demonstra que nem todas as soluções avançadas são suficientes. É preciso escolher muito bem que solução de proteção avançada se instala, pois nem todas são iguais. A Sophos publicou vários estudos sobre ransomware que incluem conselhos e as melhores práticas para proteger o Endpoint, como:

  1. Ativar todas as políticas e certificar-se de que todas as funcionalidades estão ativadas. Parece óbvio, mas esta é uma forma infalível de obter a melhor proteção para a sua solução endpoint. Certifique-se de ativar funções que detetem técnicas de ataque sem ficheiros e comportamento de ransomware.
  2. Rever periodicamente as exclusões. Por vezes as exclusões são utilizadas para amenizar as queixas dos utilizadores, que sentem que a solução de proteção está a atrasar os seus sistemas. O malware que consegue entrar nos diretórios excluídos será provavelmente bem-sucedido, porque não está a ser analisado. 
  3. Ativar a autenticação multifator (MFA) dentro da consola de segurança. O MFA proporciona uma camada adicional de segurança após o primeiro fator, que é normalmente uma palavra-passe. 
  4. Assegurar-se de que cada endpoint está protegido e atualizado. A verificação regular dos dispositivos para ver se estão protegidos e atualizados é uma forma rápida de garantir uma ótima proteção. 
  5. Manter uma boa “higiene de TI”. Isto não só atenua o risco de ciberataques, como pode poupar muito tempo quando se trata de remediar potenciais incidentes. 
  6. Procurar oponentes ativos na rede. Os atores maliciosos são mais astutos do que nunca, pelo que é necessário aproveitar as tecnologias de deteção e resposta de endpoints (EDR) da sua solução de proteção de endpoint para identificar ameaças avançadas e adversários ativos, e tomar medidas rápidas para deter as ameaças.
  7. Colmatar as ações com a intervenção humana. Os cibercriminosos costumam dedicar tempo a explorar a sua rede antes de implementar ransomware. A melhor maneira de detetar esta atividade maliciosa é combinar a experiência humana com a tecnologia avançada de endpoints.

De que maneira é que o ransomware - e as ciberameaças, no geral - evoluíram em Portugal durante a pandemia?

Embora não seja muito justo generalizar, o que temos visto, especialmente no início da pandemia, é que muitas empresas se deixaram levar pela urgência de manter a produção, sem ter em conta os riscos a que se expunham. Um exemplo claro foi o aumento dos escritórios remotos desprotegidos, acessíveis a partir da Internet. Por essa razão, poderíamos dizer que esta transição “acelerada”, que se tornou imperativa da noite para o dia, não foi realizada da forma mais segura em muitos casos e Portugal não foi exceção. Isto acontece muitas vezes quando as mudanças não são devidamente planeadas, os riscos não são estudados e não se conta com os recursos necessários para implementar as ditas alterações. O problema é que, nesta ocasião, várias empresas sofreram na própria pele o ditado “Pior a emenda que o soneto”, e foram afetadas por ciberataques e infeções de ransomware em resultado de estarem expostas mais do que o necessário ao mundo exterior. 

Os “maus da fita” estão a adaptar-se a esta nova situação através de três vias principais de ataque:

  • Em primeiro lugar, a falta de conhecimento, agravada pelo isolamento dos utilizadores. Vimos como aumentaram os casos de e-mails infetados e de tentativas de roubo de dados via phishing, aproveitando o contexto e a falta de formação; e até tentativas de fraude em que era solicitado aos utilizadores fornecer uma ligação remota aos seus equipamentos para um falso técnico de apoio, cuja intenção era sequestrar os seus dados em troca de um resgate.
  • Em segundo lugar, poderíamos falar dos mencionados escritórios remotos, que têm sido um problema para muitas empresas. Detetaram-se graves ciberataques nestes últimos meses porque os cibercriminosos encontraram nestes acessos uma porta de entrada perfeita.
  • Finalmente, temos as vulnerabilidades do software. Se já é complicado, por si só, manter os patches de segurança atualizados, com a agravante do trabalho remoto foram este processo ficou ainda mais atrasado e permitiu a sua exploração em equipamentos que não estavam protegidos com sistemas anti-exploit e anti-hacking, que teriam impedido este problema.

O que é que as empresas nacionais devem fazer para assegurarem que, no caso de sofrerem um ataque de ransomware, o impacto seja o menor possível?

A investigação que acabámos de lançar, sobre um recente ataque com o ransomware Ryuk, revela os desafios que os sistemas de defesa estão a enfrentar. As equipas de segurança devem estar em alerta 24 horas por dia, sete dias por semana, e ter uma compreensão completa das últimas ferramentas e comportamentos dos cibercriminosos. Os resultados de um estudo global que lançámos este mês também demonstram claramente o impacto destas exigências quase impossíveis. Entre outras coisas, a confiança das empresas que foram vítimas de um ataque de ransomware na sua própria sensibilização quanto a ciberameaças ficou profundamente prejudicada. No entanto, a sua experiência com ransomware também parece ter-lhes dado uma maior apreciação da importância de contar com profissionais de segurança qualificados, bem como um sentido de urgência quanto à introdução de soluções de threat hunting nos seus sistemas de segurança, para melhor compreender e identificar os comportamentos atuais dos cibercriminosos. Sejam quais forem as razões, é evidente que quando se trata de segurança, uma empresa nunca é a mesma depois de ter sido atingida por um ciberataque de ransomware, pelo que devem seguir todos os conselhos que mencionei acima e tentar por todos os meios que tal não lhes aconteça.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.