Ataques de ransomware: e se sua linha de defesa falhar?

Sabia que mais de 75% dos profissionais de segurança veem o ransomware como uma grande ameaça nos dias de hoje? A informação é de uma pesquisa 2017 Ransomware Defense Survey: The Empire Strikes Back, feita recentemente pelo Information Security Media Group (ISMG) e encomendada pela Varonis para entender o verdadeiro impacto do ransomware nas empresas.

Diante da ascensão do ransomware no último ano, é provável que essa informação nem surpreenda você. Porém, outros dados revelados pelo estudo mostram uma desconexão alarmante entre a percepção e a realidade de como esses ataques ocorrem e como proteger-se deles.

Confira alguns dos principais resultados:

• 83% dos entrevistados estão confiantes de que suas soluções de segurança do endpoint podem detectar o ransomware antes que ele se espalhe para as estações de trabalho e infectem arquivos críticos
• Apenas 21% dizem que sua solução antimalware é totalmente efetiva no combate aos ransomwares
• 44% dos entrevistados afirmam que os usuários são sua única fraqueza relevante no combate aos ataques de ransomware
• Apenas 37% das empresas que sofreram ataques de ransomware conseguiram melhorar seus controles de acesso para reduzir a possibilidade de ataques futuros, e 36% conseguiram melhorar suas capacidades de detecção e recuperação de incidentes.

O estudo mostra, principalmente, que muitos continuam depositando sua fé nas soluções de proteção do endpoint para combater os ataques de ransomware, no entanto, a ameaça continua conseguindo ultrapassar essa camada. O que as empresas precisam começar a se perguntar é: “e se essa camada de segurança falhar?”.

Com base nisso, é preciso considerar outras camadas de defesa para enfrentar o ransomware, incluindo a priorização de proteção dos ativos mais valiosos para o negócio e para a produtividade da organização. Os ataques de ransomware geralmente têm como alvo repositórios que têm de 10 a 10.000 vezes mais dados que um laptop ou uma estação de trabalho. Por isso, a melhor abordagem para proteger essas informações é alocar uma espécie de “microperímetro” em torno de cada dado, restringir o acesso a eles para reduzir a superfície de ataque e monitorar a rede em busca de comportamentos semelhantes ao ransomware para pará-los imediatamente assim que conseguirem passar pelas primeiras camadas de defesa da empresa.

Muitas organizações gostam de considerar que não sofrem com os riscos das ameaças internas, mas, geralmente, é justamente a entrada de um ransomware que alerta os líderes de negócio de que seus dados estão superexpostos e suas permissões precisam ser monitoradas. Quando um usuário com permissões demais sofre um ataque de ransomware e a ameaça começa a se espalhar para cada um dos arquivos a que ele tem acesso, não é mais possível ignorar os efeitos do sequestro de dados.

Portanto, os ataques de ransomware, apesar de todos os seus efeitos negativos, acabam servindo para trazer à luz uma série de vulnerabilidades nas defesas corporativas. Se o ransowmare pode reduzir a produtividade da empresa devido ao excesso de permissões, imagine o que um funcionário com más intenções ou um cibercriminoso externo com as credenciais de um usuário podem fazer à sua empresa e o tempo que podem passar despercebidas.

As empresas precisam monitorar o modo como seus dados são usados – especialmente arquivos e e-mails, que frequentemente alvo de violações de dados – e dar início a uma política de privilégios mínimos para reduzir a superexposição de informações sensíveis a ameaças como o ransomware.

Leia a pesquisa completa da Varonis e depois entenda como o User Behaviour Analytics (UBA) ajuda a combater ataques de ransomware e zero-day.