Plano de resposta a ransomware

Projetando um Plano de Resposta a Ransomware

Os ataques de ransomware, que cresceram a taxas de até 350% ao ano nos últimos anos, são um dos desafios de segurança mais urgentes que as empresas enfrentam atualmente. E, embora a melhor estratégia seja tomar medidas para evitar que ataques de ransomware aconteçam, a realidade é que, não há como garantir que seus dados não serão guardados para resgate.

É por isso que é crucial ter um Plano de Resposta à Ransomware em vigor. Este plano ajuda os departamentos de TI internos e provedores de serviços gerenciados, a reagir de forma rápida e eficaz quando ocorre um ransomware.

Continue lendo para obter dicas sobre como construir um plano de resposta sólido, feito sob medida para as necessidades da sua organização.

Por que criar um Plano de Resposta a Ransomware?

Existem várias razões para criá-lo, em oposição ao gerenciamento da recuperação de Ransomware em uma base ad hoc, sem nenhum plano em vigor.

Talvez a razão mais óbvia seja que ter um plano em vigor para responder a um incidente de Ransomware ajuda a garantir que você possa realmente se recuperar do ataque sem pagar o resgate. Se for esperado que a recuperação demore muito devido à falta de um plano, a empresa que você apoia pode optar por pagar o resgate para restaurar as operações, mesmo que os dados possam ser recuperados por outros meios. Esse não é um resultado ideal. Isso não só custará dinheiro à empresa, mas também prejudicará a reputação de sua equipe de TI.

Um fator importante é que os ataques de Ransomware custam grandes somas de dinheiro às empresas. A empresa típica sofre perdas financeiras de $ 7.900 por minuto quando os dados ficam indisponíveis por um ataque de Ransomware ou outro problema. Ao permitir uma recuperação de dados mais rápida, os planos de resposta de Ransomware economizam dinheiro.

Um plano de resposta também ajuda a garantir que você esteja em uma posição mais forte para evitar a recorrência de ataques de Ransomware. Se você não tiver um plano de resposta formal em vigor que inclua etapas para evitar violações futuras, é mais provável que continue sofrendo os mesmos tipos de ataques indefinidamente.

Um terceiro motivo para criá-lo é ajudar a proteger a reputação da sua empresa. Mesmo que o impacto financeiro direto do tempo de inatividade seja mínimo, a marca da empresa provavelmente será prejudicada se os serviços forem interrompidos por um ataque de Ransomware. Com um plano de resposta implementado, você está em uma posição melhor para recuperar os dados antes que as operações do cliente sejam interrompidas de forma crítica.

Quem precisa de um Plano de Resposta a Ransomware?

O Ransomware afeta empresas de todos os tipos e tamanhos e em todos os setores. Independentemente de você oferecer suporte a uma grande ou pequena empresa com apenas um punhado de funcionários, você deve estar preparado para responder ao Ransomware.

Além disso, conforme observado acima, os Planos de Resposta de Ransomware também são um recurso valioso para equipes de TI internas e MSPs que fornecem suporte de TI para empresas terceirizadas.

Whithepaper A IMPORTÂNCIA DO BACKUP

Modelo de Plano de Resposta a Incidente de Ransomware

Esses planos variam de uma equipe para outra. Eles devem refletir os tipos específicos de dados que estão em risco, as ferramentas e processos de backup que a equipe possui e os recursos disponíveis para responder a ataques de Ransomware.

Em geral, no entanto, o seguinte é um esboço de como é um Plano de Resposta de Ransomware típico. 

1 – Defina o escopo do ataque

A primeira etapa para responder a praticamente qualquer ataque de Ransomware é determinar quantos dados foram afetados e quantos sistemas foram violados. O ataque foi limitado a um único servidor ou um único bucket S3, por exemplo, ou todos os dados em seu data center ou ambiente de nuvem foram afetados?

2 – Desativar sistemas afetados

Depois de identificar os sistemas afetados, sua próxima etapa deve ser desativá-los para evitar que o ataque se espalhe ainda mais.

Você pode desativá-los desligando-os ou simplesmente desconectando-os da rede. Qualquer que seja a abordagem que você adote, no entanto, certifique-se de agir de maneira controlada, ao invés de entrar em pânico: especifique em seu plano quais sistemas serão desativados primeiro, como eles serão desativados e quais etapas devem ser executadas durante a desativação para garantir que os dados permaneçam intactos quando os sistemas ficam offline.

3 – Avalie o dano

Depois de ter certeza de que o ataque não está mais ativo e se espalhando, você pode avaliar a extensão do dano. Determine quantos dados foram mantidos para resgate, se os backups estão disponíveis e (se aplicável) o quão recentes esses backups são.

Seu Plano de Resposta de Ransomware também deve incluir uma avaliação da existência de planos de recuperação para quaisquer dados de backup que você tenha em mãos. O ideal é que você já tenha planos específicos de recuperação de dados que podem ser executados rapidamente para recuperar os dados.

4 – Divulgue o Ataque

Às vezes, os regulamentos de conformidade podem exigir que você divulgue o ataque. Por exemplo, os ataques de Ransomware que afetam os dados que o GDPR define como confidenciais exigem a divulgação obrigatória dos ataques, independentemente do volume de dados afetados. Por outro lado, os dados que não são considerados pessoais ou confidenciais geralmente não exigem a divulgação de uma violação.

Se a divulgação for necessária, siga as etapas especificadas pela estrutura regulatória relevante para divulgar o ataque. Normalmente, a divulgação envolve notificar as autoridades governamentais e / ou os consumidores cujos dados pessoais foram violados.

5 – Prepare um Plano de Recuperação

Em seguida, você pode desenvolver um Plano para Recuperar seus Dados.

Se o backup de todos os dados afetados foi feito recentemente e você já tem planos de recuperação em vigor para esses backups, seu processo de recuperação de Ransomware pode ser tão simples quanto executar seus planos de recuperação existentes.

Se você não estava tão bem preparado, no entanto, precisará projetar um plano de recuperação após o ataque. O desenvolvimento de um plano levará algum tempo, mas é importante construir um plano completo antes de iniciar a recuperação real. Caso contrário, você corre um risco maior de cometer erros ou ignorar detalhes importantes durante o processo de recuperação.

Você também pode precisar considerar como recuperar dados se não tiver backups recentes para eles. Em alguns casos, isso pode ser simplesmente impossível. Em outros, no entanto, você pode recuperar pelo menos alguns dados. Por exemplo, pode haver sistemas de produção que não foram violados e que contêm cópias de alguns dos dados afetados; você pode usá-los para restaurar esses dados. Você também pode optar por restaurar de backups desatualizados, o que pode ser melhor do que nada.

Durante o processo de planejamento de recuperação, muitas vezes é valioso consultar as partes interessadas da empresa. Informe o que esperar em relação a quando a recuperação será concluída e quantos dados serão restaurados ao seu estado original. Eles também podem oferecer uma perspectiva sobre quais dados são mais importantes para recuperar primeiro.

6 – Recupere os Dados

Com seu plano de recuperação estabelecido, você pode executá-lo para recuperar dados, dependendo de como foi feito o backup dos seus dados.

7 – Realize uma auditoria de segurança

Depois que os dados forem recuperados e as operações restauradas, reserve um tempo para determinar como seus sistemas foram violados. O Ransomware entrou no seu ambiente por meio de phishing, malware, um insider malicioso ou outra coisa? Identificar a origem da violação ajudará a evitar que aconteça novamente.

8 – Criar um Relatório de Incidente

A etapa final em muitos Planos de Resposta a Ransomware é escrever um relatório de incidente detalhando a narrativa do ataque, os dados e sistemas que ele afetou e as etapas executadas em resposta. O relatório também pode incluir etapas que você executará ou já executou para evitar que um ataque semelhante aconteça novamente no futuro.

Ciclo de vida do plano de resposta.

Seu planejamento para Ransomware não deve terminar simplesmente com a criação de um modelo de plano de resposta a incidentes de Ransomware. Você deve realizar etapas adicionais para garantir que o plano funcione de fato conforme necessário. Essas etapas incluem:

• Defina sua equipe de resposta: determine quem será responsável por executar o plano de resposta após um ataque de Ransomware.

• Teste o plano: faça uma simulação do plano com antecedência para identificar quaisquer lacunas ou problemas inesperados.

• Teste novamente o plano: elabore um cronograma para testar o plano novamente em uma base periódica. Isso é importante porque seus sistemas mudarão e você precisará garantir que seu Plano de Resposta ao Ransomware continue.

• Atualize o plano: não espere até testar o plano para descobrir que ele não se adapta mais aos seus sistemas. Você também deve atualizar o plano sempre que implementar uma nova tecnologia (como um novo tipo de serviço em nuvem ou novos servidores) ou nova política (como permitir que os usuários trabalhem em casa).

Conclusão

O Ransomware afeta todas as empresas, em todos os setores. Não há como se esconder, e mesmo a estratégia de segurança cibernética mais meticulosa não pode garantir que seus dados não sejam afetados por Ransomware.

Para proteger a empresa que você apóia, então, é essencial projetar um Plano de Resposta de Ransomware, testá-lo e atualizá-lo regularmente. Com um plano estabelecido, você está em uma posição melhor para responder de forma rápida e eficaz quando o Ransomware atacar.