CiberSegurança

As 3 soluções que podem impedir futuros ataques de ransomware

A interrupção do ransomware requer a mudança da detecção para a prevenção, alcançada pela redução da superfície de ataque e pela prevenção de ameaças conhecidas e desconhecidas.

A estratégia mais eficaz para interromper os ataques de ransomware é impedir que eles entrem na sua organização. O número de aplicativos e serviços que as empresas precisam para operar continua aumentando. O resultado é uma superfície de ataque aumentada com medidas de proteção ineficazes, incluindo a rede, aplicativos e pontos de extremidade baseados em SaaS. À medida que os atores de ameaças se tornam mais qualificados, novos ataques estão sendo implantados mais rapidamente do que as vulnerabilidades podem ser corrigidas ou os patches implementados. Consequentemente, as organizações precisam começar a pensar holisticamente sobre sua plataforma de segurança.

MUDANDO DE DETECÇÃO PARA PREVENÇÃO

As abordagens herdadas de segurança cibernética se concentraram principalmente na detecção e correção, mas isso não é mais eficaz. Para evitar um ataque de ransomware, é essencial uma mudança na prática da detecção para a prevenção. Pare os ataques antes que eles possam infectar as organizações e causar danos. As organizações devem ter a arquitetura de segurança apropriada para ativar essa mudança, que possui três elementos principais:
1. Reduza a superfície de ataque
2. Impeça ameaças conhecidas
3. Identifique e impeça ameaças desconhecidas

1. Reduza a superfície de ataque

Para reduzir a superfície de ataque, você deve obter visibilidade total do tráfego na sua rede, entre aplicativos, ameaças e comportamento do usuário. É provável que, se você não souber o que está acontecendo na sua rede, um invasor o usará como uma maneira de entrar. A atividade de classificação permite que você tome as decisões corretas sobre o que deve ser permitido, e destaca o desconhecido eventos que requerem investigação adicional. Com essa visibilidade, você pode executar ações, como bloquear tráfego desconhecido, identificar ataques avançados ou simplesmente ativar apenas os aplicativos que têm uma finalidade comercial válida.

Depois que o tráfego é delimitado, é necessário aplicar políticas baseadas em aplicativos e usuários. Há um número infinito de permutações para essas políticas que limitam o acesso a certos aplicativos para determinados grupos de usuários e para certas partes da rede. Com alta visibilidade e as políticas corretas, a grande maioria dos métodos usados ​​pelos invasores para fornecer ataques de malware à sua rede pode ser cortada.

Para reduzir ainda mais a superfície de ataque, você precisa bloquear todos os tipos de arquivos perigosos e potencialmente perigosos. Embora nem todos os tipos de arquivo sejam maliciosos, aqueles com maior probabilidade de serem maliciosos devem ser bloqueados. Após o bloqueio de tipos de arquivos perigosos, é necessário implementar políticas alinhadas à sua tolerância a riscos. Os usuários devem ser impedidos de conectar pontos de extremidade não compatíveis a recursos críticos da rede.

2. Evitar ameaças conhecidas

Depois de reduzir sua superfície de ataque, o próximo passo seria evitar ameaças conhecidas. Para fazer isso, você precisa impedir que explorações conhecidas, malware e tráfego de comando e controle entrem na sua rede. Uma vez interrompidos, o custo de execução de um ataque aumenta e, posteriormente, reduz sua probabilidade forçando os invasores a criar novas variantes de malware e a lançar novas explorações contra vulnerabilidades menos conhecidas.

Você também precisa impedir que os usuários baixem inadvertidamente uma carga maliciosa ou roubem suas credenciais, impedindo o acesso a URLs maliciosos e de phishing conhecidos. O bloqueio dessas ameaças os remove completamente da equação. Depois que essas ameaças conhecidas são bloqueadas, você precisa procurar malware conhecido nos aplicativos baseados em SaaS, pois eles são cada vez mais aproveitados para entregar ameaças. Qualquer malware e exploração identificados na verificação devem ser bloqueados. O mesmo deve ser feito para malware conhecido e explorações no terminal.

3. Identifique e evite ameaças desconhecidas

Depois que as ameaças conhecidas são bloqueadas, é imprescindível identificar e bloquear ameaças desconhecidas, pois os atacantes continuam a implantar novas explorações de dia zero e a desenvolver novas variantes de ransomware. A primeira etapa envolveria a detecção e análise de ameaças desconhecidas em arquivos e URLs. À medida que novos arquivos são enviados, é essencial detonar, analisar e procurar comportamento malicioso em algo que nunca foi visto. Além disso, você precisa enviar automaticamente as proteções para diferentes partes da infraestrutura de segurança o mais rápido possível, a fim de impedir que as ameaças sejam bem-sucedidas. Isso deve incluir o contexto para entender o invasor, malware, campanha e indicadores de comprometimento associados ao ataque. Depois que ameaças ou tendências desconhecidas de comportamento suspeito forem identificadas e bloqueadas,

O objetivo final desse processo é transformar o desconhecido em conhecido e melhorar a postura de segurança com novas proteções em um ritmo mais rápido do que os invasores podem desenvolver seus malwares e explorações – durante todo o ciclo de vida do ataque.

Domingos Massissa

Estudante de Engª Informática, editor do portal amante do mundo NERD, onde engloba cinema tecnologia e Gamers.

Artigos Relacionados

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Botão Voltar ao Topo