O NIST recomenda soluções complementares, tal como uma equipa de super-heróis da segurança
Para ter sucesso na protecção dos dados da sua empresa contra ransomware, precisa de proceder como se estivesse a reunir uma equipa de super-heróis. Cada membro da equipa tem um poder único que individualmente parece limitado. Mas juntos, eles podem vencer o mal.
À medida que o número de ciberataques continua a aumentar, ae tácticas tácticas se tornam mais sofisticadas e inovadoras, as empresas estão, compreensivelmente, a sentir-se derrotadas nesta batalha. Todas as semanas, mais exemplos de violações de segurança fazem manchetes a nível mundial, transformando marcas como a SolarWinds em em nomes conhecidos - pelos motivos errados.
O custo financeiro destas infracções é impressionante. O Instituto Ponemon refere que uma em cada quatro organizações sofrerá uma violação de dados no próximo ano e que o custo médio destas violações é de 3,92 milhões de dólares cada. Além disso, são necessários 206 dias, em média, para identificar uma violação e 73 dias para a conter.
O ataque de relatórios de ciberataques é assustadora, mas existem recursos disponíveis para ajudar as empresas a enfrentar sistematicamente as ameaças.
Sobre os Guias Práticos de Integridade de Dados SP 1800-25 e SP 1800-26 do NIST
A Um conjunto de guias práticos publicados pelo Instituto Nacional de Normas e Tecnologia (NIST) destaca a eficácia da utilização de tecnologias complementares para lidar com ameaças-por outras palavras, utilizar uma equipa de super-heróiss para para o ajudar a combater o inimigo. Estes guias abordam a identificação e protecção de activos contra ransomware e a detecção e resposta a ciberataques:
- SP 1800-25: Identificação e protecção de activos contra ransomware e outros eventos destrutivos
- SP 1800-26: Detecção e Resposta a Ransomware e Outros Eventos Destrutivos
Para demonstrar um exemplo de solução que ajudaria as empresas a proteger os seus activos de dados críticos contra ransomware - apenas uma forma de potenciais ataques à integridade dos dados - aO NIST reuniu capacidades de um punhado de fornecedores de segurança, incluindo a Cisco, a Symantec e a Semperis.
Eis alguns exemplos de como o projecto NIST banéis reúne a experiência dos fornecedores para abordar diferentes aspectos da detecção e resposta a ameaças de ransomware (uma das duas áreas de foco do guia de práticas). Tripwire e Semperis fornecem monitorização da integridade. Cisco, Glasswalle Semperis contribuem com a detecção de eventos, incluindo a capacidade de monitorizar anomalias de utilizadores, analisar anexos de correio electrónico para detectar desvios de ficheiros e detectar software malicioso de forma estática ou dinâmica. A Micro Focus e a Tripwire contribuem com capacidades de registo. A Cisco, a Symantec e a Micro Focus fornecem análises forenses e analíticas sobre, por exemplo, os efeitos de malware, tráfego de rede e anomalias na actividade empresarial.
Por outras palavras, reunir estes fornecedores é como reunir os Vingadores.
Com os super-poderes na mão, o NIST embarcou numa missão ambiciosa para orientar as organizações em métodos práticos de protecção da integridade dos dados contra o ransomware.
Exemplo do NIST caso de utilização: Anexos de correio electrónico malicioso
Para ilustrar como o NIST reuniu soluções relevantes para combater o ransomware, vamos um exemplo de um dos guias práticos: detectar e responder ao ransomware. Um cenário NIST identificas ié a "criação de backdoor através de um vector de correio electrónico." Neste cenário um utilizador abre um anexo malicioso de uma mensagem de correio electrónico (o que não é invulgar)e tanexo vai buscar ficheiros a um servidor Web externo. Estes ficheiros criam então contas no servidor de autenticação. A resolução deste problema, tal como definida no documento NIST incluis uma combinação de actividades:
- Registo e apresentação de relatórios (para que a equipa de segurança possa tomar medidas sobre os alertas)
- Detecção de eventos em dois pontos no tempo - antes de o anexo chegar à caixa de entrada do utilizador e depois de ser transferido para o sistema
- Mitigação e confinamento
- Análise forense e analítica, definida neste caso de utilização como a capacidade de ver o tráfego de rede à medida que o anexo vai buscar ficheiros maliciosos ao servidor Web servidor
Para este caso de utilização, vários fornecedores (incluindo a Semperis) tinham funções na monitorização da integridade, incluindo o fornecimento de hashes de ficheiros e verificações de integridade para ficheiros e software, monitorização da integridade para dados e monitorização da integridade para o Active Directory.
O NIST adverte: cuidado com a "natureza sensível dos AD"
Ao descrever a resolução para este caso de utilização, o guia apontas a importância de acompanhar as alterações do Active Directory como parte da monitorização da integridade - e não de uma forma que dependa de uma única fonte de informação, mas de vários aspectos do AD.
Citando a "natureza sensível do AD", o guia do NIST recomendas rastrear tanto o download malicioso quanto as alterações que ele fez na estrutura da conta. Esta abordagem multifacetada capta qualquer alteração às permissões ou credenciais privilegiadas, bem como qualquer alteração que os hackers tentem ocultar, contornando a auditoria de segurança.
A solução de exemplo do NIST fornecesde acordo com o relatório, "várias camadas de defesa" contra vários casos de utilização de ransomware.
Principal conclusão do projecto do NIST: É necessário um conjunto de abordagens e soluções que tratem cada uma de um aspecto diferente do escudo de segurança. Nenhum produto se destaca por fornecer todas as peças do puzzle de segurança. Mas com uma compreensão completa de como estas peças se encaixam, pode ajudar a proteger os dados da sua empresa contra ataques maliciosos.
Testar o seu escudo de segurança
Tal como Loki testa constantemente o colectivo dos Vingadoresé necessário testar a sua defesa contra ataques de ransomware à integridade dos dados da sua organização.
Mas muitas empresas não dão seguimento aos planos de teste. Num inquérito da Semperis a profissionais de segurança de TI, líderes de IAM e executivos de nível C, muitos inquiridos afirmaram que "têm um plano de recuperação de desastres cibernéticos AD, mas nunca o testaram".
Não deixe que isso lhe aconteça. A solução de exemplo do NIST fornece orientações práticas sobre cenários comuns e as capacidades necessárias para lidar com a ameaça de ransomware. Pode utilizar as instruções do guia do NIST para replicar a solução prática e testá-la no seu próprio ambiente.
E enquanto o NIST não endossa explicitamente os produtos usados na construção, o guia mostra como os pesquisadores reuniram as soluções para formar uma defesa coesa contra os casos de uso de ransomware de exemplo. O guia do NIST pesquisadores recomendam usar o guia como uma plataforma de lançamento para formular um plano que funcione para o seu ambiente, montado a partir de um conjunto de produtos que atendam às necessidades da sua organização.
Tem estado a adiar a realização de um teste completo das suas defesas contra ransomware? Essa falta de preparação não o vai ajudar a ultrapassar o tipo de batalha épica enfrentada pelas empresas que foram vítimas de ransomware.
Tal como Thor, tem de reunir uma equipa de super-heróis para salvar a sua empresa da investida de criminosos cibernéticos.
