Quais atitudes sua empresa pode tomar agora para lidar com golpes de ransomware?

Antecipar o problema e evitar maiores danos estão entre as dicas generalistas mais dadas pelos especialistas em segurança na hora de lidar com ataques de ransomware. Em um cenário de ameaças cada vez mais complexo, entretanto, fazer apenas isso pode, nem de longe, ser o suficiente para lidar com um problema que se torna cada vez mais direcionado e danoso para as empresas, não apenas pelos estragos causados pelo travamento dos arquivos, mas principalmente pelos prejuízos e problemas de reputação que acompanham isso.

• Ransomware se torna mais sofisticado e já atingiu metade das empresas do Brasil
• Vítimas de ransomware caem 40% e empresas têm mais espaço para negociar

O pensamento de David Langlands, vice-presidente de ofertas de segurança da DXC Technology, é sobre sinergia, antecipação e, principalmente, conhecimento. Não se trata, segundo ele, apenas de investir em inteligência de ameaças e entender os perigos que uma empresa de determinado setor corre, para os antecipar, mas também saber exatamente onde os criminosos podem atacar e quais sistemas serão atingidos. Pois eles vão fazer isso, e saber se recuperar é o que pode acabar diferenciando uma resposta adequada de um desastre.

“Muito do esforço é focado na velocidade de contenção de um ataque, mas precisamos pensar na recuperação. Pessoas, processos e tecnologias precisam trabalhar juntas para esse ideal”, comenta ele, em apresentação durante a RSA Conference 2022, uma das principais feiras de cibersegurança do mundo. “Os executivos nem imaginam, mas elementos que nem sempre tem a ver com [proteção digital] podem ter impacto significativo em uma retomada.”

Para exemplificar isso, ele aponta três casos bem diferentes de empresas que foram vitimas de ransomware ao longo dos últimos anos. São organizações de segmentos variados, atingidas em momentos bem diferentes, mas que provam o que, para ele, é a espinha dorsal da resiliência cibernética. Trata-se, na visão dele, não apenas de ter políticas, mas trabalhar com elas no dia a dia e as tornar parte da cultura da companhia, com isso valendo não apenas para os times de tecnologia, mas também de negócios e operações.

Ransomware: proteção de um lado, abertura do outro

Um caso demonstrado por Langlands é o de uma empresa de tecnologia, com capital aberto e que, quando atingida por ransomware, se viu sem saber o que fazer. O especialista diz se lembrar dos guardas armados na porta da sede da companhia e de funcionários colando avisos chamativos para que os funcionários não ligassem computadores e servidores, como forma de evitar a disseminação lateral da praga.

A intrusão aconteceu durante a noite, com o ataque sendo desferido de madrugada. E, aqui, o VP traz de volta a ideia inicial de sua fala, de que nada adiante focar em contenção e resposta, com isso sendo o equivalente a aplicar sistemas de combate ao incêndio depois que a fagulha inicial já foi criada. Ele cita que, em média, leva quatro dias entre o comprometimento inicial e a detonação de um ataque de ransomware; não é tempo suficiente para uma estratégia de controle e defesa.

Prova disso é o segundo caso apresentado por ele, uma organização de Big Data que trabalha com a análise, armazenamento e venda de dados para clientes. Langlands fala de times de segurança altamente especializados, craques em backup e recuperação, mas que ainda assim, viram muitos de seus sistemas permanecendo fora do ar durante seis meses, quando um ataque foi devastador o bastante para atingir não apenas as informações, mas também a maior parte das plataformas que sustentavam o dia a dia do negócio.

O terceiro exemplo soa como o mais grave de todos: um hospital, em plena pandemia e no pico de contaminações de COVID, que se viu impedido de realizar atendimentos que não fossem de urgência devido a um ataque de ransomware. Além da pressão sobre os profissionais, a ausência de prontuários e a necessidade de transferência de pacientes para outras instituições, outro fator entrou em jogo quando o caso chegou à imprensa local, aumentando o escrutínio e também a necessidade de rapidez no retorno às atividades; novamente, foram semanas até que tudo voltasse ao normal.

“Setores de negócios, tecnologia da informação e segurança podem trabalhar juntos para reduzir o impacto dos ataques aos sistemas”, completa o especialista. Aqui, ele aponta a necessidade de criação de um mapeamento de plataformas e dispositivos como o caminho ideal para recuperação no primeiro e segundo casos, um elemento que cai fora do escopo de especialistas em proteção digital. “Sem saber quais sistemas são prioritários e quantos estão conectados, a organização pode passar um longo tempo se recuperando de um ataque”, afirma.

No segundo e terceiro casos, bons parceiros de atendimento e relações-públicas também funcionaram ou seriam boas pedidas, enquanto as companhias buscavam entender quais informações estavam em parceiros de negócios e o que havia sido comprometido. Ainda assim, a necessidade é de uma resposta rápida, tanto publicamente quanto internamente, com ações que, mais uma vez, caem fora da alçada dos especialistas em ameaças e segurança digital.

Testes de sistemas de resiliência e treinamentos constantes, pelo menos semestrais, para que todos os funcionários envolvidos com sistemas reconheçam as ameaças são essenciais. Na visão de Langlands, já se foi o tempo em que a segurança digital era uma prioridade ou um foco de atenção; hoje, ela precisa estar no cotidiano e ser um elemento tão integral quanto o próprio negócio.

O que fazer a partir de agora para melhorar a segurança contra o ransomware

Diante de suas experiências, o especialista compilou uma série de dicas que podem ser tomadas desde já pelos executivos que desejarem investir não apenas em maior resiliência, mas também em uma ampla capacidade de recuperação. As indicações, claro, são voltadas para o mercado americano, mas podem servir muito bem, também, às empresas brasileiras, na medida em que nosso país se torna um alvo cada vez maior e aparece sucessivamente em listas dos mais atingidos.

Para a próxima semana, por exemplo, a lista de tarefas deve envolver um levantamento das informações e sistemas críticos da corporação, para entender quais precisam estar sempre no ar, aquelas que não podem cair nas mãos dos criminosos e as que envolvem maior complexidade. Então, a partir disso, a ideia é criar um plano de recuperação que priorize os negócios e a saúde das operações.

Falando nisso, Langlands também indica a revisão de protocolos de resposta a incidentes que tenham sido criados no passado e pergunta: “há quanto tempo eles não são testados?” Além disso, uma nova olhada também é necessária em eventuais seguros contra ransomware, de forma a entender quais são as cláusulas que podem invalidar uma apólice, para que sejam atendidas, e se a cobertura está efetivamente adequada.

Nos primeiros três meses, o trabalho deve ser focado na eliminação de todos os acessos a sistemas que não estejam protegidos por autenticação em dois fatores; essa proteção deve ser aplicada ou, então, essa via precisa deixar de existir. Ao mesmo tempo, treinamentos com colaboradores, envolvendo exemplos reais de ataques de phishing, devem acontecer de forma paralela a simulações completas de um grande incidente de cibersegurança, de forma que as tarefas de contenção, resposta e recuperação sejam colocadas à prova.

Por fim, a dica mais básica de todas, que é dada a usuários e executivos, mas que nem sempre é atendida: os sistemas devem estar sempre atualizados. Este, aponta Langlands, é o grande calcanhar de Aquiles e, também, uma fala que vai contra a recomendação de muitos administradores de sistemas que sabem que os updates podem, muitas vezes, interferirem no funcionamento usual das plataformas. Focar nisso, em vez da cibersegurança, porém, é um erro grave, com o foco devendo estar nas configurações e versões de endpoints, servidores, sistemas e redes.

Ao longo de todo um semestre, o ideal é bater exemplos reais de ameaças de ransomware, phishing e explorações a sistemas de cloud computing contra as soluções usadas por uma corporação. Tais elementos também podem caminhar ao lado dos treinamentos com colaboradores, enquanto as lições aprendidas nos testes de incidentes devem ser aplicadas aos protocolos e, novamente, colocadas à prova em uma nova simulação.

É um ciclo constante, como aponta o VP, mas também um que agrega todos os aspectos importantes de uma organização e, principalmente, garante o mais alto nível de proteção contra ransomware e outros tipos de ataques. Falando em um evento de segurança, Langlands aponta que seria fácil indicar fornecedores de soluções e plataformas automatizadas, mas elas apenas resolvem parte do problema; em um mundo em que as ameaças estão em todo lugar, as tarefas de defesa também precisam estar.

O jornalista está acompanhando o evento em formato digital, a convite da Tenable.