Prevenir, conter, recuperar:um guia de preparação de ransomware para cadeias de suprimentos
O ransomware tem sido a prioridade de muitos de nós no setor de segurança cibernética, visto que vimos um número crescente de ataques afetando redes de hospitais, governos locais e a cadeia de suprimentos mais ampla. Um ataque de ransomware a uma empresa normalmente resulta na perda de acesso a dados e sistemas por algum tempo e tem um impacto financeiro devido à perda de receita e dinheiro gasto em esforços de recuperação. Quando um ataque de ransomware é direcionado a uma empresa que faz parte da cadeia de suprimentos, ele pode ter um impacto muito mais amplo, pois apenas um provedor de serviços pode ter um efeito direto em centenas ou milhares de empresas.
Compreender a prontidão de sua organização para a ameaça de ransomware é fundamental, e saber como os fornecedores em sua cadeia de suprimentos influenciam sua prontidão é uma peça crítica de sua estratégia geral.
Pode ser difícil tentar garantir que todas as suas defesas estejam cobertas e que você tenha feito tudo o que pode para prevenir ou diminuir o impacto de um ataque de ransomware. Uma estratégia forte é abrangente e multicamadas - abrangendo arquitetura, terminais, usuários e muito mais.
Então, por onde você deve começar? Uma abordagem estruturada e lógica pode ajudar a colocar alguma ordem no entendimento da prontidão de ransomware de sua organização. Para ajudar a fazer isso, vamos dar uma olhada em três categorias principais:prevenção, contenção e recuperação.
Prevenção
Nosso objetivo principal é manter o ransomware fora de nosso ambiente, evitando que ele entre desde o início. A partir dessa postura defensiva, precisamos olhar para sua infraestrutura desde os controles de perímetro até os usuários finais. Embora possamos cobrir esse tópico em detalhes, concentraremos nossa atenção nas lacunas em que o ransomware é mais comumente introduzido.
- Protocolo de área de trabalho remota (RDP). Embora não seja uma nova tecnologia ou um novo vetor de ataque, o RDP tem sido um alvo regular devido a vulnerabilidades, configuração incorreta ou suscetibilidade a ataques de força bruta. Com o recente aumento da força de trabalho remota e o aumento correspondente no uso de RDP, os invasores estão tendo um dia agitado com os novos alvos. As atividades de prevenção aqui incluem limitar o número de portas abertas, controles de autenticação fortes (incluindo autenticação multifator) e um programa de gerenciamento de vulnerabilidade sólido.
- Phishing. E-mails de phishing podem ser especialmente perigosos, pois podem ignorar muitos dos seus controles de segurança, permitindo que conteúdo malicioso seja entregue diretamente ao que costuma ser o seu link de segurança mais fraco - o usuário final. Os emails de phishing geralmente tentam obter credenciais do usuário ou conter anexos ou links maliciosos, fornecendo aos invasores um caminho direto para o seu ambiente. As atividades de prevenção aqui incluem o uso de uma solução de segurança de e-mail, treinamento de segurança e conscientização para usuários finais e soluções de detecção e resposta de endpoint.
Em última análise, as técnicas de prevenção recomendadas não são novas. Eles são os mesmos princípios-chave que a comunidade de segurança da informação vem discutindo há algum tempo - restringindo o que é acessível a partir da internet, varredura de vulnerabilidade, patching e controles de autenticação fortes.
Contenção
Portanto, apesar de seus melhores esforços, o ransomware entra em seu ambiente. Como você pode impedir a propagação? Considere um incêndio em um prédio:a estratégia de contenção vem antes do incêndio real por meio do uso de firewalls, materiais retardadores de chamas, etc. É o mesmo para ataques como ransomware. Aqui estão duas estratégias de contenção principais:
- Uso de conta privilegiada. Os invasores adoram ter como alvo contas privilegiadas, pois fornecem altos níveis de acesso a sistemas e dados, bem como as permissões necessárias para executar códigos maliciosos. Reutilização de senhas, senhas de contas de serviço armazenadas em texto não criptografado, senhas de fácil adivinhação etc. são problemas comuns que contribuem para o comprometimento da conta.
Uma abordagem holística para o gerenciamento de contas com privilégios é a chave aqui. Isso inclui entender quais contas privilegiadas você possui e a que elas têm acesso; como eles são usados (por exemplo, administrador de domínio vs. conta de serviço); e como essas contas são acessadas e gerenciadas (por exemplo, o uso de uma solução de gerenciamento de conta com privilégios).
- Segmentação de rede. Redes planas são o cenário dos sonhos de um invasor. Depois que as credenciais são obtidas, eles podem se mover livremente por toda a rede de uma organização e ter acesso irrestrito a sistemas e dados. No mínimo, você deve usar a segmentação para restringir o movimento lateral tanto quanto possível, de modo que um invasor tenha muito mais dificuldade para atravessar sua rede e obter acesso a sistemas e dados adicionais.
Recuperação
Além de um plano de resposta a incidentes, o plano mais crítico para ajudar em seus esforços de recuperação é um plano de resiliência de negócios. Como o negócio continuará funcionando? Um plano de resiliência forte ajudará a restaurar a funcionalidade de seus principais sistemas de negócios.
Os vetores de ataque comuns para organizações incluem fornecedores terceirizados na cadeia de suprimentos. Então, como podemos identificar e reduzir os riscos que nossos fornecedores apresentam? Primeiro, responda a estas perguntas críticas:
- Quem são seus fornecedores?
- Que serviço cada fornecedor oferece à sua organização?
Na verdade, identificar quem são seus fornecedores não é uma tarefa simples. É possível que você tenha fornecedores que têm acesso à sua rede ou dados e você não sabe sobre isso? Absolutamente. A realidade é que existe a capacidade de ir diretamente para uma solução baseada na nuvem e, com nada mais do que um cartão de crédito e alguns cliques do mouse, agora você tem um fornecedor com acesso aos seus dados. Se você não sabe quem eles são, é impossível avaliar o risco para sua organização. Quanto ao que fazem, os fornecedores em sua cadeia de suprimentos podem realizar todos os tipos de serviços. Alguns oferecem inerentemente um risco maior para sua empresa com base nos dados ou sistemas internos aos quais eles têm acesso.
Responder a essas perguntas é um ótimo ponto de partida para realizar atividades de avaliação adequadas em relação a esses fornecedores. O objetivo é obter conforto suficiente para que os fornecedores tenham os controles apropriados em vigor para proteger seus sistemas ou dados com base nos serviços que estão fornecendo para você. Existem muitas estratégias de avaliação para aproveitar, incluindo a revisão de certificações, como SOC ou ISO, questionários de avaliação como o SIG, resultados de teste de penetração, etc. Independentemente de como você aborda isso, validar seus fornecedores têm esses controles em vigor pode reduzir o risco de sua organização sendo afetada no caso de um ataque.
À medida que os sistemas se tornam mais conectados e complexos, os invasores ainda podem encontrar uma maneira de passar por suas defesas. Mas estar preparado para um ataque de ransomware pode reduzir significativamente o impacto e a paralisação em sua organização. Com uma estratégia de defesa detalhada, junto com planos apropriados de contenção e resiliência, a força cibernética de sua organização só pode aumentar.
Gary Brickhouse é diretor de segurança da informação da GuidePoint Security.
O ransomware tem sido a prioridade de muitos de nós no setor de segurança cibernética, visto que vimos um número crescente de ataques afetando redes de hospitais, governos locais e a cadeia de suprimentos mais ampla. Um ataque de ransomware a uma empresa normalmente resulta na perda de acesso a dados e sistemas por algum tempo e tem um impacto financeiro devido à perda de receita e dinheiro gasto em esforços de recuperação. Quando um ataque de ransomware é direcionado a uma empresa que faz parte da cadeia de suprimentos, ele pode ter um impacto muito mais amplo, pois apenas um provedor de serviços pode ter um efeito direto em centenas ou milhares de empresas.
Compreender a prontidão de sua organização para a ameaça de ransomware é fundamental, e saber como os fornecedores em sua cadeia de suprimentos influenciam sua prontidão é uma peça crítica de sua estratégia geral.
Pode ser difícil tentar garantir que todas as suas defesas estejam cobertas e que você tenha feito tudo o que pode para prevenir ou diminuir o impacto de um ataque de ransomware. Uma estratégia forte é abrangente e multicamadas - abrangendo arquitetura, terminais, usuários e muito mais.
Então, por onde você deve começar? Uma abordagem estruturada e lógica pode ajudar a colocar alguma ordem no entendimento da prontidão de ransomware de sua organização. Para ajudar a fazer isso, vamos dar uma olhada em três categorias principais:prevenção, contenção e recuperação.
Prevenção
Nosso objetivo principal é manter o ransomware fora de nosso ambiente, evitando que ele entre desde o início. A partir dessa postura defensiva, precisamos olhar para sua infraestrutura desde os controles de perímetro até os usuários finais. Embora possamos cobrir esse tópico em detalhes, concentraremos nossa atenção nas lacunas em que o ransomware é mais comumente introduzido.
- Protocolo de área de trabalho remota (RDP). Embora não seja uma nova tecnologia ou um novo vetor de ataque, o RDP tem sido um alvo regular devido a vulnerabilidades, configuração incorreta ou suscetibilidade a ataques de força bruta. Com o recente aumento da força de trabalho remota e o aumento correspondente no uso de RDP, os invasores estão tendo um dia agitado com os novos alvos. As atividades de prevenção aqui incluem limitar o número de portas abertas, controles de autenticação fortes (incluindo autenticação multifator) e um programa de gerenciamento de vulnerabilidade sólido.
- Phishing. E-mails de phishing podem ser especialmente perigosos, pois podem ignorar muitos dos seus controles de segurança, permitindo que conteúdo malicioso seja entregue diretamente ao que costuma ser o seu link de segurança mais fraco - o usuário final. Os emails de phishing geralmente tentam obter credenciais do usuário ou conter anexos ou links maliciosos, fornecendo aos invasores um caminho direto para o seu ambiente. As atividades de prevenção aqui incluem o uso de uma solução de segurança de e-mail, treinamento de segurança e conscientização para usuários finais e soluções de detecção e resposta de endpoint.
Em última análise, as técnicas de prevenção recomendadas não são novas. Eles são os mesmos princípios-chave que a comunidade de segurança da informação vem discutindo há algum tempo - restringindo o que é acessível a partir da internet, varredura de vulnerabilidade, patching e controles de autenticação fortes.
Contenção
Portanto, apesar de seus melhores esforços, o ransomware entra em seu ambiente. Como você pode impedir a propagação? Considere um incêndio em um prédio:a estratégia de contenção vem antes do incêndio real por meio do uso de firewalls, materiais retardadores de chamas, etc. É o mesmo para ataques como ransomware. Aqui estão duas estratégias de contenção principais:
- Uso de conta privilegiada. Os invasores adoram ter como alvo contas privilegiadas, pois fornecem altos níveis de acesso a sistemas e dados, bem como as permissões necessárias para executar códigos maliciosos. Reutilização de senhas, senhas de contas de serviço armazenadas em texto não criptografado, senhas de fácil adivinhação etc. são problemas comuns que contribuem para o comprometimento da conta.
Uma abordagem holística para o gerenciamento de contas com privilégios é a chave aqui. Isso inclui entender quais contas privilegiadas você possui e a que elas têm acesso; como eles são usados (por exemplo, administrador de domínio vs. conta de serviço); e como essas contas são acessadas e gerenciadas (por exemplo, o uso de uma solução de gerenciamento de conta com privilégios).
- Segmentação de rede. Redes planas são o cenário dos sonhos de um invasor. Depois que as credenciais são obtidas, eles podem se mover livremente por toda a rede de uma organização e ter acesso irrestrito a sistemas e dados. No mínimo, você deve usar a segmentação para restringir o movimento lateral tanto quanto possível, de modo que um invasor tenha muito mais dificuldade para atravessar sua rede e obter acesso a sistemas e dados adicionais.
Recuperação
Além de um plano de resposta a incidentes, o plano mais crítico para ajudar em seus esforços de recuperação é um plano de resiliência de negócios. Como o negócio continuará funcionando? Um plano de resiliência forte ajudará a restaurar a funcionalidade de seus principais sistemas de negócios.
Os vetores de ataque comuns para organizações incluem fornecedores terceirizados na cadeia de suprimentos. Então, como podemos identificar e reduzir os riscos que nossos fornecedores apresentam? Primeiro, responda a estas perguntas críticas:
- Quem são seus fornecedores?
- Que serviço cada fornecedor oferece à sua organização?
Na verdade, identificar quem são seus fornecedores não é uma tarefa simples. É possível que você tenha fornecedores que têm acesso à sua rede ou dados e você não sabe sobre isso? Absolutamente. A realidade é que existe a capacidade de ir diretamente para uma solução baseada na nuvem e, com nada mais do que um cartão de crédito e alguns cliques do mouse, agora você tem um fornecedor com acesso aos seus dados. Se você não sabe quem eles são, é impossível avaliar o risco para sua organização. Quanto ao que fazem, os fornecedores em sua cadeia de suprimentos podem realizar todos os tipos de serviços. Alguns oferecem inerentemente um risco maior para sua empresa com base nos dados ou sistemas internos aos quais eles têm acesso.
Responder a essas perguntas é um ótimo ponto de partida para realizar atividades de avaliação adequadas em relação a esses fornecedores. O objetivo é obter conforto suficiente para que os fornecedores tenham os controles apropriados em vigor para proteger seus sistemas ou dados com base nos serviços que estão fornecendo para você. Existem muitas estratégias de avaliação para aproveitar, incluindo a revisão de certificações, como SOC ou ISO, questionários de avaliação como o SIG, resultados de teste de penetração, etc. Independentemente de como você aborda isso, validar seus fornecedores têm esses controles em vigor pode reduzir o risco de sua organização sendo afetada no caso de um ataque.
À medida que os sistemas se tornam mais conectados e complexos, os invasores ainda podem encontrar uma maneira de passar por suas defesas. Mas estar preparado para um ataque de ransomware pode reduzir significativamente o impacto e a paralisação em sua organização. Com uma estratégia de defesa detalhada, junto com planos apropriados de contenção e resiliência, a força cibernética de sua organização só pode aumentar.
Gary Brickhouse é diretor de segurança da informação da GuidePoint Security.
O planejamento baseado em rede levará as cadeias de suprimentos para fora da crise
O dilema da indústria da cadeia de suprimentos:ótima carreira, poucos candidatos
Tecnologia industrial
- Detecção de demanda híbrida:Preparando cadeias de suprimentos para tempos incertos
- A epidemia de Coronavirus servirá como um alerta para cadeias de suprimentos globais?
- Para cadeias de suprimento globais, a barreira foi elevada no relatório de emissões
- AI pode ajudar a tornar as cadeias de suprimentos sustentáveis
- Veja como os varejistas irão recuperar suas cadeias de suprimentos
- O fim das cadeias de suprimentos de fonte única
- Construindo melhores cadeias de suprimentos para o futuro
- Quatro lições pós-pandemia para cadeias de suprimentos de comércio eletrônico
- Um Novo Roteiro para Cadeias de Abastecimento de Petróleo e Gás
- Criando cadeias de suprimentos globais mais resilientes