Conhecimento é poder
Mais boas notícias: sabemos como as “gangues” de ransomware funcionam e, na maioria das vezes, o que elas procuram.
O ransomware é oportunista e as barreiras de entrada para os operadores são relativamente baixas, pois as ferramentas, a infraestrutura e o acesso que permitem esses ataques proliferaram em várias comunidades ilícitas online por meio do modelo de ransomware como serviço (RaaS). Os afiliados do ransomware podem alugar o malware e receber uma comissão da taxa de extorsão da vítima.
Agentes de acesso inicial – ou seja, agentes de ameaças que vendem acesso de operadores de ransomware e afiliados a redes de vítimas – estão constantemente examinando a Internet em busca de sistemas vulneráveis. Credenciais vazadas de violações e outros incidentes cibernéticos podem levar a ataques de força bruta ou preenchimento de credenciais. Os funcionários precisam estar constantemente cientes dos esquemas de engenharia social cada vez mais sofisticados. Atores de ameaças podem usar qualquer um desses mecanismos para violar sistemas, escalar privilégios, mover-se lateralmente e, idealmente, realizar ações em objetivos, lançando esse malware na rede de uma vítima e criptografando todos os seus arquivos.
Inteligência ao longo da cadeia pré-ataque
Anteriormente, escrevi sobre o papel da detecção, isolamento, mitigação e negociação no caso de um ataque de ransomware . Ter esse nível de preparação é essencial hoje.
Mas uma das maneiras mais eficazes de interromper um ataque de ransomware é, em primeiro lugar, negar-lhes o acesso; sem acesso, não há ataque. O adversário precisa apenas de uma rota de acesso, mas o defensor deve estar atento e prevenir todos os pontos de entrada em uma rede. Vários tipos de inteligência podem iluminar o risco em toda a cadeia pré-ataque e ajudar as organizações a monitorar e defender suas superfícies de ataque antes que sejam alvo de invasores.
inteligência de vulnerabilidade
A melhor inteligência de vulnerabilidade deve ser robusta e acionável. Por exemplo, com inteligência de vulnerabilidade que inclui disponibilidade de exploração, tipo de ataque, impacto, padrões de divulgação e outras características, as equipes de gerenciamento de vulnerabilidade preveem a probabilidade de uma vulnerabilidade ser usada em um ataque de ransomware.
Com essas informações em mãos, as equipes de gerenciamento de vulnerabilidades, que geralmente têm poucos recursos, podem priorizar a aplicação de patches e se defender preventivamente contra vulnerabilidades que podem levar a um ataque de ransomware.
Inteligência de ameaças
Ter uma compreensão profunda e ativa das comunidades online ilícitas nas quais os grupos de ransomware operam também pode ajudar a informar a metodologia e evitar o comprometimento. As organizações devem ser capazes de monitorar e ser alertadas sobre credenciais de login roubadas antes que cheguem aos criminosos. Essa inteligência pode mitigar o controle de contas e interromper a cadeia que leva a ataques de força bruta ou preenchimento de credenciais.
Inteligência técnica
Quando os agentes de ameaças cibernéticas se infiltram com sucesso em sua rede, o ataque subsequente nem sempre é imediato; às vezes, eles instalam ferramentas que podem ajudá-los a invadir e buscar acesso aos dados mais valiosos. A inteligência técnica ajuda as equipes de segurança a detectar indicadores de comprometimento, ou IOCs, e a presença de beacons Cobalt Strike, que podem estar presentes inadvertidamente em seus sistemas e, posteriormente, ajudar um resgate a realizar um ataque.
Prevenção através da preparação
Para ajudar funcionários e executivos a entender vários riscos relacionados ao ransomware, as organizações devem procurar implementar exercícios de mesa projetados por empresas com experiência em preparação e resposta a um evento de ransomware. Esses cenários simulados devem abranger como detectar (e relatar) esquemas de engenharia social, como ataques de phishing , que induzem os funcionários a clicar em links ou interagir com anexos nocivos que podem permitir a implantação de malware ransomware nos dispositivos da empresa.
Ao gastar tempo desenvolvendo e ensaiando um plano de resposta antes de um cenário de ataque, sua equipe estará equipada com uma tomada de decisão informada durante uma emergência relacionada a ransomware. Mas fique tranquilo: é melhor ter a inteligência certa à mão, incluindo os dados, insights de especialistas e ferramentas que podem ajudar a prevenir um ataque em primeiro lugar e manter sua organização funcionando sem interrupção.
20 thoughts on “Prevenindo um ataque de ransomware com inteligência: estratégias para CISOs”
Comments are closed.