fbpx
O que são “sequestros de dados” e como preveni-los

Em 2017, as notícias sobre sequestro de dados por hackers e suas vítimas povoaram os noticiários e deixaram empresas preocupadas. Desde então, esse tipo de ataque tem entrado no radar das equipes de segurança.

Ao contrário do que você possa imaginar, a prevenção desses ataques está mais relacionada a boas práticas de arquitetura e manutenção de sistemas do que a ferramentas de detecção sofisticadas. Neste artigo, vamos explicar como esses ataques são feitos, que vulnerabilidades exploram, como estão evoluindo e o que fazer para preveni-los.

Definição

Ransomware é um malware que bloqueia o acesso a arquivos em um computador ou servidor infectado e eventualmente faz a exfiltração dos dados. Na maioria das vezes, esses arquivos permanecem no local de origem, mas são criptografados e só podem ser acessados com uma chave de segurança, em posse do hacker. Esse tipo de ataque parte da premissa de que os dados são algo importante para a vítima e, por isso, são pedidos resgates. Há também casos em que o hacker ameaça o vazamento ou divulgação dos dados “sequestrados”.

Wannacry e Nyetya

Esses são os nomes dos ataques que fizeram inúmeras vítimas e movimentaram milhões de reais em “resgate de dados” em 2017. Ransomware não é uma novidade no cenário de Segurança da Informação, mas o que tornou Wannacry e Nyetya tão eficazes foi o uso de worms para a propagação do malware.

Worms são programas que exploram vulnerabilidades e se autorreplicam dentro ou entre sistemas, sem a necessidade de interação humana. Assim, o Wannacry, como um ransomware worm, tomou proveito de vulnerabilidades no Windows, que já haviam sido divulgadas e eram conhecidas. Ao ser infectado, o sistema tinha o ransomware instalado e passava a replicar o worm para outros.

Isso criou uma cadeia de propagação de escala global, com cerca de 200 mil computadores infectados em 150 países, em um período de 4 dias.

Meses depois, outro ataque de ransomware surgiu. Nyetya explorava as mesmas vulnerabilidades que o Wannacry, mas tinha uma abordagem mais sofisticada: ele usou o que é chamado de “Suply-chain attack”, ou seja, um ataque que explora o relacionamento de confiança entre uma organização e um fornecedor ou cliente.

Assim, os hackers por trás do Nyetya comprometeram os servidores de uma empresa de desenvolvimento de software na Ucrânia para espalhar ransomware como atualizações da aplicação. Como o software era popular entre organizações e empresas no país, o ataque se propagou com força quando os sistemas comprometidos passaram também a replicar o worm.

Tendências

É fato que essas formas de propagação de ransomware representaram uma novidade quando surgiram. Mas elas poderiam ter sido evitadas se as organizações afetadas tivessem feito o patching de seus sistemas. As vulnerabilidades exploradas por elas no Windows haviam sido comunicadas meses antes, com atualizações de segurança disponíveis em março de 2017.

Da mesma forma, é preocupante o número de dispositivos IoT (Internet of Things, ou Internet das Coisas, em português) que não são atualizados e cujas vulnerabilidades podem ser exploradas. Segundo o relatório de 2018 da Cisco, o 2018 Annual Cybersecurity Report, pesquisadores da empresa especializada em Segurança da Informação e Compliance, Qualys, testaram a vulnerabilidade de uma amostra de dispositivos IoT a ameaças conhecidas. De acordo com os pesquisadores, 83% dos dispositivos estavam vulneráveis às ameaças.

Além disso, o deploy impróprio de serviços DevOps também representam vulnerabilidades. Em 2018, o relatório da Cisco já apontava ataques de ransomware a ferramentas que fazem parte da implementação de DevOps, como o banco de dados open-source MongoDB.

Acrescente a esse cenário o crescimento de Ransomware-as-a-service (Ransomware como serviço, ou RaaS). É possível encontrar pacotes de ransomware na dark web que disponibilizam o malware como um serviço, o que torna a possibilidade de criar ataques de ransomware acessível mesmo para aqueles que não possuem domínio técnico.

Prevenção

Implementar boas práticas de segurança é a melhor forma para se prevenir de ataques. Confira abaixo, princípios e políticas para otimizar a sua segurança.

Zero Trust

Zero Trust é uma abordagem que se baseia no princípio “nunca confie, sempre verifique”. O Zero Trust foi projetado para proteger ambientes digitais ágeis, impedindo movimentos laterais e transversais, fornecendo prevenção de ameaças da Camada de aplicação.

Patching

Como visto, a simples atualização dos sistemas pode evitar esse e outros tipos de ataque. Ataques exploram ameaças existentes e conhecidas, por isso é importante tratar as vulnerabilidades dos sistemas.

Menos funcionalidades

Implemente apenas as funcionalidades essenciais para o funcionamento dos sistemas e limite o acesso a sistemas e redes. Isso limita não só as possíveis vulnerabilidades, mas também a superfície de ataques e a sua possibilidade de propagação.

Princípio do Menor Privilégio

É importante conceder privilégios apenas quando são necessários. Isso se aplica não somente a ferramentas e serviços utilizados, que devem ter permissões de acesso limitadas às suas necessidades, mas também às pessoas que as operam. Dessa forma, as possibilidades de erro humano e uso indevido dos recursos são evitadas, o que reforça a segurança da empresa.

Segmentação de Redes

Worms se propagam rapidamente entre sistemas, por isso, implemente a segmentação de redes e faça o seu monitoramento. Se perceber tentativas de conexão a múltiplos sistemas por uma única rede ou sistema em um curto período de tempo, é possível que haja uma infecção por worm.

Processos e Políticas

É preciso garantir a continuidade das atividades da empresa, em caso de infecção. Para isso, ter um Plano de Continuidade de Negócios (PCN) se faz essencial. Nele, são formalizadas as ações a serem tomadas em caso de interrupção do negócio. Faz parte do PCN, o Plano de Recuperação de Desastres, em que são previstos cenários e procedimentos a serem implementados em caso de falhas provocadas por ameaças, o que inclui políticas de backup. Além disso, estabelecer uma Resposta a Incidentes de Segurança (em inglês, Incident Response) ajuda a reduzir o tempo de recuperação das atividades do negócio e, consequentemente, os seus custos.

Computação em Nuvem

Como visto, a implementação das boas práticas de arquitetura, implantação e manutenção de sistemas ajudam a prevenir ataques e a reduzir o seu impacto nas atividades do negócio. Nesse sentido, a Nuvem oferece uma série de benefícios, como soluções de backup escaláveis e flexíveis e ferramentas de segurança, a custos reduzidos, possibilitando um tempo menor de recuperação de arquivos e maior proteção, de acordo com a arquitetura projetada. Para saber mais, confira o nosso webinar sobre Segurança da informação no mundo ágil.

Além disso, quando falamos em DevOps e dispositivos IoT, estamos, muitas vezes, falando em Computação em Nuvem. Para isso, é preciso entender que a segurança das aplicações e dispositivos na Nuvem não depende exclusivamente do provedor de serviços. Segundo o Modelo de Responsabilidade Compartilhada, o cliente de serviços na Nuvem tem a responsabilidade pelos seus dados e pela configuração dos serviços, seguindo normas de segurança e demandas do negócio.

Por isso, é importante contar com uma equipe especializada, que possa fazer o monitoramento em tempo real, automatizar processos e manter-se constantemente atualizada em termos de conhecimento. Assim, serão implementadas as melhores práticas, seja na implantação de serviços DevOps, na atualização e gerenciamento de dispositivos IoT, ou em outras demandas.

Entre em Contato

Se tiver interesse em saber mais sobre Segurança na Nuvem, entre em contato conosco e converse com os nossos especialistas.

Adicione um comentário