Consegue recuperar rapidamente de um ataque de ransomware?

A realidade é que o ransomware, assim como os outros ataques, já são uma certeza para as empresas, que já não perguntam se serão atacadas, mas quando. A capacidade de responder e recuperar rapidamente destes ataques tornou-se uma parte essencial de qualquer defesa anti-ransomware.

Alguns dados

O relatório State of Ransomware, da empresa de segurança Sophos, indica que, no ano passado, o custo médio para solucionar um ataque de ransomware em Espanha foi de meio milhão de euros. De acordo com este relatório, 44% das empresas espanholas sofreram um ataque. Os setores mais afetados foram o da energia, administração pública, educação, saúde e empresas de IT. Além do mais, o pagamento do resgate não assegura a recuperação dos dados. Na realidade, as empresas que decidiram pagar o resgate só recuperaram 65% dos seus dados.

O custo de um ataque de ransomware bem-sucedido pode prejudicar muito as empresas e estas precisam de ser capazes de recuperar rapidamente quaisquer dados no seu ambiente, através de servidores físicos, máquinas virtuais e várias plataformas na cloud. São necessárias operações de recuperação simplificadas, com alertas e fluxos de trabalho que permitam atuar atempadamente, cópias de segurança limpas e seguras para evitar reinfeções de ficheiros de ransomware e a capacidade de minimizar a perda de receitas e o impacto no negócio.

A chave está na resposta proativa

Responder após um ataque de ransomware já se ter infiltrado torna improvável a recuperação total dos dados. É, portanto, imperativo contarmos com medidas proativas em vez de se mitigar os efeitos de um ciberataque. Isto inclui uma monitorização contínua de todos os dados, desde o ambiente de produção, através de soluções de backup e sistemas de engodo que previnem que os cibercriminosos possam encriptar dados críticos. Quando se deteta uma anomalia, é importante verificar se os dados do backup estão a salvo e eliminar ameaças para prevenir que reinfectem os ambientes de recuperação.

Também é importante validar os backups de forma automática para assegurar que, se forem usados na recuperação, todos os dados relevantes são restaurados. Os fluxos de trabalho e as API referentes à proteção de dados devem estar coordenados e automatizados, incluindo ferramentas como scanners antivírus, para assegurar que estão sempre a funcionar e a proteger os dados.

Esta coordenação também pode ser aplicada para serem criados alertas personalizados e importantes e ações automatizadas para garantir que as empresas respondem de forma adequada, como, por exemplo, apagando automaticamente uma máquina virtual se for detetada uma anomalia.

A capacidade de investigar violações de dados e executar o eDiscovery também é fundamental, uma vez que ajuda as empresas a aprender com experiências passadas e a melhorar os seus processos de backup e recuperação no futuro. Esta é a chave para obter uma visão mais global sobre os dados e mitigar as ameaças.

Conseguirá recuperar a tempo?

Responder rapidamente às ameaças é essencial, mas o objetivo final é a recuperação. É fundamental adotar uma abordagem flexível, porque cada ataque tem uma anatomia diferente, o que significa que a ordem pela qual se pode recuperar os dados tem de ser adaptada de imediato. A alta disponibilidade integrada é uma característica chave nas estratégias de recuperação flexível, visto permitir às empresas deslocarem-se rapidamente para o seu sítio de recuperação de desastres (RD).

Esta abordagem requer, também, que o sítio de RD esteja protegido para garantir a sua disponibilidade, visto que se for infetado não pode assegurar a recuperação. A utilização da cloud garante a agilidade que as empresas precisam para recuperar rapidamente, sendo que a capacidade de recuperação dentro e fora da cloud também é importante para a continuação do negócio. Mas, acima de tudo, a recuperação deve ser simplificada para garantir que os tempos de recuperação sejam o mais reduzido possível e que as empresas possam voltar à sua atividade habitual o quanto antes, após um ataque de ransomware.