O ransomware tem uma forma de cortar até as organizações mais bem preparadas. Podes ter defesas em camadas, ferramentas de deteção avançadas e uma equipa de segurança bem treinada e, ainda assim, deparares-te com sistemas bloqueados, dados inacessíveis e um crescente sentido de urgência em toda a empresa.
Isto porque, para os hackers de hoje, o ransomware já não se trata apenas de entrar, mas de garantir que não consegues recuperar.
Porque é que os atacantes de ransomware visam primeiro as cópias de segurança
Os ataques de ransomware modernos são muito mais estratégicos do que antigamente. Os atacantes já não se contentam em encriptar ficheiros e esperar por um pagamento. Demoram o seu tempo, movem-se lateralmente nas redes e identificam exatamente onde se encontram os seus activos críticos e mecanismos de recuperação.
As cópias de segurança são frequentemente uma das primeiras coisas que procuram.
Se os atacantes conseguirem localizar e desativar ou eliminar as cópias de segurança antes de lançarem o ataque, aumentam drasticamente as suas hipóteses de sucesso. Sem uma forma fiável de restaurar os sistemas, as organizações ficam com muito menos opções e é muito mais provável que considerem a hipótese de pagar o resgate.
Esta mudança alterou completamente o papel das cópias de segurança. Já não são apenas uma rede de segurança para a perda acidental de dados ou falha do sistema, mas um alvo principal num ataque deliberado e calculado.
Isto significa que as organizações precisam de tratar os sistemas de cópia de segurança com o mesmo nível de proteção que os seus dados mais sensíveis e infra-estruturas críticas.
Como são atualmente as boas cópias de segurança
Ter cópias de segurança é uma coisa, mas ter cópias de segurança que ainda estarão lá quando precisares delas é outra completamente diferente.
Atualmente, as estratégias de cópia de segurança eficazes são criadas em torno da resiliência e não apenas da disponibilidade. Isto significa pensar cuidadosamente sobre a forma como as cópias de segurança são armazenadas, protegidas e acedidas.
As cópias de segurança offline, por exemplo, significam que pelo menos uma cópia dos teus dados está completamente desligada da tua rede. Se os atacantes obtiverem acesso aos teus sistemas, não podem facilmente alcançar ou comprometer estas cópias de segurança.
As cópias de segurança imutáveis adicionam outra camada de proteção, impedindo que os dados sejam alterados ou eliminados durante um período definido (o que significa que, uma vez armazenados, os dados não podem ser alterados, substituídos ou apagados, mesmo pelos administradores). Mesmo que os atacantes obtenham acesso, não podem substituir ou encriptar estas cópias.
A segmentação também desempenha um papel fundamental. Ao separar os ambientes de cópia de segurança da rede principal e ao limitar o acesso, as organizações reduzem a probabilidade de uma única conta ou sistema comprometido poder deitar tudo abaixo de uma só vez.
Estas abordagens significam reconhecer a forma como o ransomware funciona atualmente e garantir que as tuas opções de recuperação permanecem intactas quando é mais importante.
Quando as cópias de segurança fazem a diferença
Existem inúmeros exemplos de organizações que enfrentaram ataques de ransomware e conseguiram recuperar sem pagar um resgate, simplesmente porque as suas cópias de segurança estavam seguras, actualizadas e acessíveis, por exemplo CD Projekt Rede a Rede de Saúde da Universidade de Vermont.
Nestas situações, a presença de uma forte estratégia de cópia de segurança muda toda a conversa. Em vez de ponderar o custo e o risco de pagar aos atacantes, as organizações podem concentrar-se no restauro dos sistemas, na comunicação com os intervenientes e no regresso às operações normais.
No entanto, existem igualmente muitos exemplos em que as cópias de segurança falharam. Em alguns casos, estavam desactualizadas ou incompletas. Noutros, foram eliminadas ou encriptadas por atacantes antes de a organização se aperceber de que havia um problema.
A diferença entre estes resultados resume-se muitas vezes à preparação. As cópias de segurança são tão eficazes quanto a estratégia que lhes está subjacente, e as suposições sobre a sua fiabilidade podem custar caro.
Testes regulares são uma parte fundamental deste processo. As organizações precisam de saber não só que existem cópias de segurança, mas também que estas podem ser restauradas rápida e eficazmente sob pressão. O tempo de recuperação é importante, especialmente quando estão em causa sistemas críticos para a empresa.
O fator humano por detrás dos ataques de ransomware
Embora as cópias de segurança desempenhem um papel crucial na recuperação, não fazem nada para impedir que um ataque aconteça em primeiro lugar. E, na maioria das vezes, o ransomware não começa com uma vulnerabilidade técnica, mas com uma pessoa.
Os e-mails de phishing, as credenciais comprometidas e os ataques de engenharia social continuam a ser alguns dos pontos de entrada mais comuns para o ransomware. Um simples clique num e-mail convincente ou a reutilização de uma palavra-passe fraca pode ser suficiente para dar aos atacantes a base de que necessitam.
É aqui que muitas organizações subestimam a ligação entre o comportamento humano e a resiliência dos dados. As cópias de segurança podem ajudar-te a recuperar, mas evitar o incidente requer um tipo diferente de defesa.
Os funcionários precisam de compreender o que são as ameaças modernas, como estão a evoluir e que acções devem tomar quando algo não parece estar bem. Isto vai para além das sessões de formação anuais e dos conselhos genéricos. Requer programas de sensibilização contínuos, relevantes e envolventes que reflictam a realidade do atual cenário de ameaças.
Quando os funcionários estão equipados para reconhecer e responder a ameaças, a probabilidade de um compromisso inicial é significativamente reduzida. E isso, por sua vez, reduz as hipóteses de as cópias de segurança precisarem de ser utilizadas em primeiro lugar.
Porque é que as cópias de segurança devem fazer parte de uma estratégia mais alargada de ciber-resiliência
É fácil pensar nas cópias de segurança como uma responsabilidade de TI, algo que fica em segundo plano até ser necessário. Mas, na realidade, são uma componente crítica de uma estratégia de ciber-resiliência muito mais alargada.
A resiliência é mais do que evitar ataques. Trata-se de garantir que, quando ocorrem incidentes, as organizações podem responder eficazmente, minimizar as perturbações e recuperar rapidamente.
As cópias de segurança desempenham um papel central neste contexto, mas têm de ser integradas com outros elementos, como o planeamento da resposta a incidentes, os controlos de acesso, a monitorização e a sensibilização dos funcionários.
Por exemplo, se o acesso aos sistemas de cópia de segurança não for estritamente controlado, os atacantes podem ser capazes de os comprometer utilizando credenciais roubadas. Se os planos de resposta a incidentes não tiverem em conta o restauro de cópias de segurança, os esforços de recuperação podem ser mais lentos e caóticos do que o necessário.
Ao reunir estes elementos, as organizações criam uma abordagem mais coesa e eficaz para gerir o risco cibernético. As cópias de segurança fazem parte de um esforço coordenado para proteger e recuperar dados críticos.
Porque é que isto é importante agora
O ransomware não vai desaparecer e as tácticas utilizadas pelos atacantes vão continuar a evoluir. Neste ambiente, as cópias de segurança continuam a ser uma das salvaguardas mais importantes que uma organização pode ter.
Mas o seu valor só se torna claro quando tudo o resto falhou.
Tratar as cópias de segurança como uma prioridade estratégica em vez de uma tarefa de rotina pode fazer a diferença entre um incidente controlável e uma crise em grande escala. E quando combinados com uma forte consciência e uma abordagem proactiva ao risco humano, constituem uma parte crítica de uma organização resiliente e preparada.
A verdadeira questão não é se os teus dados têm cópia de segurança, mas sim se essas cópias de segurança vão aguentar quando mais precisares delas.
Como é que o MetaCompliance pode ajudar
Embora a tecnologia desempenhe um papel vital no backup e na recuperação, muitos ataques de ransomware são bem-sucedidos devido a factores humanos. É por isso que a MetaCompliance apoia as organizações no reforço da sua ciber-resiliência global.
Através de formação de sensibilização para a segurança, simulações de phishinge gestão de políticasCom o nosso sistema de gestão de segurança, ajudamos as organizações a reduzir a probabilidade de um compromisso inicial. Os funcionários estão mais bem equipados para reconhecer tentativas de phishing, tratar dados sensíveis de forma adequada e responder a potenciais ameaças antes que estas se agravem.
A nossa equipa também apoia as organizações na criação de uma cultura de responsabilidade e sensibilização para a proteção de dados. Isto significa que as estratégias de cópia de segurança não são prejudicadas por erros humanos evitáveis ou comportamentos de risco.
Combinando controlos técnicos fortes com funcionários informados e empenhados, as organizações estão numa posição muito melhor para prevenir ataques de ransomware e recuperar eficazmente caso ocorram.