Como é a Recuperação de um Ataque de Ransomware?
A recuperação de um ataque de ransomware não segue um modelo único para todos, e, por isso, é importante pensar nas melhores práticas de proteção de dados e como minimizar o impacto de um eventual ataque — porque a questão não é se isso vai acontecer com você, mas quando. Devido à complexidade das implantações […]
A recuperação de um ataque de ransomware não segue um modelo único para todos, e, por isso, é importante pensar nas melhores práticas de proteção de dados e como minimizar o impacto de um eventual ataque — porque a questão não é se isso vai acontecer com você, mas quando.
Devido à complexidade das implantações de SaaS e às diferentes políticas, é fácil negligenciar alguns detalhes e acabar com lacunas na proteção de dados — lacunas que se tornam dolorosamente óbvias quando você tenta se recuperar de um ataque de ransomware ou outro cenário de perda de dados.
Por isso, quero equipá-lo com algumas etapas recomendadas que você pode usar para tomar boas decisões de negócios sobre como se preparar para o momento em que o ransomware chegar até você.
Aqui está uma lista de seis pontos para recuperação de desastres e continuidade de negócios que eu encorajo você a manter em mente para aumentar sua resiliência cibernética:
- Você fez uma avaliação de risco para identificar as infraestruturas e os ativos de dados mais críticos a serem protegidos.
- Você criou um plano de recuperação de desastres (DR) prioritário e detalhado, apoiado pelo seu software.
- Você fez backup de todos os seus dados essenciais para o negócio.
- Você testa e verifica regularmente seus processos de recuperação.
- Você está recuperando a partir de backups que são imutáveis e à prova de adulteração.
- Seus backups permanecem disponíveis em uma infraestrutura separada e isolada.
Vamos nos aprofundar nos detalhes das seis etapas que recomendei:
Ponto 1: Faça uma avaliação formal de risco
A primeira coisa que recomendo verificar é se você fez uma avaliação formal de risco para identificar quais são as infraestruturas e os ativos de dados mais críticos que precisam ser protegidos. Isso obviamente vai variar de acordo com o seu negócio. Onde você está localizado? Em que setor você atua? Quais são os maiores riscos que sua empresa enfrenta? E assim por diante.
É muito provável que você já tenha feito parte desse trabalho por razões genéricas de cibersegurança, mas você precisa levar isso ao próximo nível e dizer: "Tudo bem, se eu avaliei o risco de diferentes ameaças de segurança e o impacto que elas podem ter, qual é a avaliação de risco secundária se um desses riscos se transformar em uma vulnerabilidade que seja explorada com sucesso? O que isso significa para as minhas capacidades de continuidade de negócios?"
Ponto 2: Crie um plano de recuperação de desastres (DR) detalhado e prioritário
Em segundo lugar, você deve ser capaz de marcar a caixa que diz que você criou um plano de recuperação de desastres (DR) detalhado e prioritário, apoiado pelo seu software. Vejo muitos clientes que vêm até nós e dizem: "Ei, boas notícias, estamos comprando suas soluções para que nossos dados SaaS sejam protegidos." E eu digo: "OK, isso é ótimo. Conte-me sobre o seu plano de recuperação de desastres." E a resposta deles é: "Bem, estamos apenas começando. Ainda não temos um plano."
Para ser honesto, eu preferiria que você construísse um plano e depois ligasse para a Keepit, em vez de ligar para a Keepit e depois construir seu plano, porque seu plano precisa incorporar coisas que não envolvem apenas a recuperação de dados SaaS. Apenas para citar um exemplo de um cliente real com o qual estamos trabalhando: suponha que suas operações estejam em uma parte do mundo sujeita a furacões.
Isso significa que para cada furacão que você vê, você verá vários outros eventos — ventos fortes, inundações, tempestades, e assim por diante. Como você avisa as pessoas para não irem trabalhar porque o prédio está inundado? Talvez você não possa confiar no Teams ou no Zoom ou em outro sistema de comunicação baseado em nuvem para fazer isso. Isso faz parte do seu plano de recuperação de desastres.
Ponto 3: Faça backup de todos os seus dados essenciais para o negócio
Gosto de enfatizar para as pessoas que recuperar seus dados é a primeira parte necessária para restaurar as operações do seu negócio. Não é suficiente dizer: "Oh, eu tenho um backup", porque se eu chegasse até você e dissesse: "Oh, você teve um desastre, ótimo, aqui está um pendrive com todos os seus dados", provavelmente não seria o suficiente para colocar seu negócio em funcionamento novamente. Isso ajudaria, mas não seria suficiente por si só.
Ponto 4: Teste regularmente e verifique seus backups
Ter um backup dos seus dados essenciais e saber que esse backup é válido porque você testou e verificou regularmente a recuperação é fundamental. Isso ajuda você a saber, em uma situação extrema, onde seus dados estão, se estão intactos, se não foram adulterados, e se você tem pessoas disponíveis para coordenar e executar a recuperação. Super importante.
Essas são as coisas em que a maioria das pessoas pensa quando pensa em como deve ser uma boa recuperação. Tenho um backup e meu backup funciona? Isso não minimiza a importância dessas perguntas, mas elas são apenas parte da avaliação geral que você deve fazer.
Ponto 5: Garanta que seus backups sejam imutáveis e à prova de adulteração
A seguir, quando você fizer uma recuperação, certifique-se de que os backups de origem que você está usando sejam imutáveis e à prova de adulteração — e que você possa provar isso. Por que digo isso? Bem, se você tem um backup e não sabe com certeza que ele é imutável, então você tem uma lacuna potencial de proteção de dados que pode ser explorada.
Como vemos ataques persistentes em escala de estado-nação se tornando mais comuns, uma tática cada vez mais comum é o atacante atacar também o seu repositório de backups. Quando você pensa em como os sistemas tradicionais de backup são construídos, se um invasor pode entrar no seu ambiente local, ele provavelmente pode escalar privilégios e pivotar para destruir seus backups locais. Agora você pode dizer: "Ah, sem problema, tenho backups na nuvem."
Bem, adivinhe? Se o seu ambiente na nuvem está ligado ao seu ambiente local, como quase sempre estará com Azure e provavelmente está com AWS (Amazon Web Services), então um atacante que pode comprometer uma conta e depois escalar privilégios na nuvem pode usar esse privilégio para acessar a conta, pivotar para a nuvem e começar a destruir coisas. Este é o foco dos ataques Mango Sandstorm sobre os quais a Microsoft escreveu no ano passado. Então, a única maneira de se proteger contra isso é ter seus backups isolados. O que me leva ao meu ponto final.
Ponto 6: Mantenha backups em uma infraestrutura separada, isolada
Você pode chamá-los de "air-gapped", e pode chamá-los de isolados. O termo não é tão importante quanto a noção de que você deseja que seus backups sejam armazenados em um local que não tenha conectividade direta de diretório ou de segurança com seus sistemas de produção. Dessa forma, se seu sistema de produção for comprometido, você poderá acessar seu ambiente de backup, verificar a presença dos seus backups, verificar a integridade dos seus backups antes de começar a restauração.
Conclusão
Desde a realização de uma avaliação de risco abrangente até a fortificação dos seus backups em uma infraestrutura isolada e imutável, cada etapa é uma camada crucial na armadura de defesa cibernética. A importância de medidas proativas não pode ser subestimada, por isso espero que os pontos delineados acima sejam úteis para você e seu plano de recuperação de desastres.