sexta-feira, 28 de abril de 2017

Responda ao ransomware em três etapas: Proteja, avalie e recupere

Paula Long * 
Publicada em 28 de abril de 2017 no site CIO.

Sua empresa é o alvo mais recente de um ataque de ransomware
Logicamente, você não deveria estar nesta situação. Software de detecção atualizado e táticas de proteção de dados são comuns em sua organização, com a intenção de mantê-lo fora desta bagunça. Além disso, você seguiu todas as práticas recomendadas para garantir a máxima disponibilidade de dados, portanto, é provável que seus backups e sites de recuperação de desastres tenham sido afetados também. 
Nessa altura, tudo o que importa é que seus dados foram seqüestrados, e você precisa restaurar operações o mais rapidamente possível.
É tentador considerar pagar o resgate e seguir em frente. Você provavelmente não quer recompensar os criminosos que o colocaram nesta posição, mas você quer restabelecer os sistemas. 
Mas pagar nem sempre resolve. Pagar para desbloquear essa informação ainda vai deixar danos colaterais em todo o seu ambiente, e pagar também não garante que você vai mesmo obter os dados de volta. Quando o ransomware ataca, ele coloca seus dados através de um blender - os arquivos serão movidos, excluídos e renomeados, ou equipados com novas notas de resgate em janelas pop-up. 
Embora existam muitas soluções para ajudar sua equipe a descobrir e parar ransomware, como você acabou de experimentar, nenhum deles são à prova de falhas e nenhum deles ajudá-lo a recuperar os dados. Uma explicação fácil é que este é um problema de backup / recuperação, mas você sabe que é mais complexo. Colocar as coisas de volta juntos será como montar um quebra-cabeça quando você não tem a imagem na caixa mostrando como ele deve se parecer ao final. 
ransomware
O plano abaixo reúne o quebra-cabeças de recuperação, enquadrado em três fases que quase todas as organizações passam ao abordar ataques de malware e ransomware:
Fase No. 1: Proteger a cena do crime
Após um ataque de ransomware, a cena do crime são seus dados. Comece por fazer imagens de suas VMs - ou um backup - para proteger o que restou de seus dados na esteira de seu ataque. Desta forma, se os seus planos de recuperação não funcionarem, você poderá voltar ao ponto de partida e começar novamente.

Sua tentação será restaurar uma imagem ou backup mais antigo, o que pode acarretar perda de dados. Além disso, não tem como saber se o que está restaurando não está infectado também. Dependendo de quão avançado seu planejamento foi, você pode não ter nenhuma outra opção a não ser rolar os dados e escolher um ponto de recuperação e avançar.
Se você implementou uma solução que irá desligar automaticamente um usuário atacado pelo ransomware, você estará em vantagem no jogo. Se você encontrou alguns dos arquivos que foram criptografados pelo ransomware, veja quem foi o último modificador. Você poderia encontrar isso a partir de logs de auditoria,  se não tiver outras soluções capazes de fazer essa identificação. O objetivo é certificar-se de parar a ação do ransomware para evitar que danos adicionais ocorram.
Fase No. 2: Fazer uma avaliação do que aconteceu 
Muitas vezes, diante das notícias de um ataque de malware, o primeiro impulso de uma organização é entrar em ação. No entanto, dê à sua equipe o tempo necessário para avaliar os danos e construir um plano de reparação ideal. Aprender o "quem, o quê, onde e quando" sobre um problema de ransomware irá acelerar a recuperação no longo prazo, especialmente se as necessidades específicas do site e os casos de uso estão em pauta.

Isso pode parecer uma avaliação simples, mas, infelizmente, nem sempre é considerado, embora deva. Algumas perguntas que podem ajudar a orientar seu processo de investigação incluem:
1. O dano foi limitado a um único usuário, diretório ou área?
2. Se foi generalizado, quão extenso era o alcance?
3. Alguma alteração no sistema ocorrida durante o ataque não estava relacionada ao malware?
4. Se os arquivos foram renomeados, excluídos ou criados, qual é o nosso processo para limpá-los e reunir informações novamente?
Fase No. 3: Limpe danos colaterais 
No momento em que você estiver pronto para tentar uma recuperação completa, a maneira como você lidou com o incidente até agora orientará seus próximos passos. Se você decidir pagar o resgate, você ainda precisará avaliar o seu sistema, limpar os resquícios do ataque e fazer com que seu ambiente de TI esteja funcionando como se o ataque nunca tivesse ocorrido.

Você também precisa descobrir quais backups têm o ransomware e talvez limpá-los, ou pelo menos criar um backup do backup com os dados infectados removidos. Além disso, você precisará definir como fazer a recuperação de desastres funcionar. Muito provavelmente, você só tem imagens. Dados só de leitura. Portanto, você não poderá simplesmente usar a chave comprada para descriptografar dados.
Se pagar o resgate não ajudou a reaver seus dados, ou você decidiu renunciar ao pagamento, você pode entender a extensão do alcance do ataque monitorando a atividade do usuário e os dados ativos nas imagens e começar por aí.
Se o dano foi contido a um único usuário e conjunto de pastas, você pode começar a excluir os arquivos afetados e restaurá-los a partir de uma imagem ou backup. Se o seu dano foi generalizado e o backup não é atual o suficiente para restaurar operações, você pode usar as diferentes versões de sistemas de backup para identificar quando o problema começou, exportar listas de arquivos afetados e preservados e preencher manualmente os espaços em branco.
Uma maneira de rastrear a atividade do usuário e do arquivo pode ajudar a restaurar apenas os arquivos que foram afetados. Esta funcionalidade pode detectar provável ransomware e criar pontos de recuperação (backup ou imagens) quando detectar que foi disparado. Colocar ferramentas como esta no lugar pode reduzir significativamente o impacto em termos de perda de dados e melhorar a velocidade na qual você pode recuperar. Seu nível de estresse também será reduzido como você estará no controle para fazer escolhas inteligentes sobre a restauração.
Não há nenhum botão fácil para a recuperação do ransomware. Essa é uma das razões pelas quais continua a crescer em popularidade entre os atacantes. No entanto, se você estiver preparado com antecedência com um plano de resposta ransomware, você estará pronto para entrar em ação e restaurar as operações do seu sistema após um ataque - sem descascar o pagamento aos seus seqüestradores de dados.


(*) Paula Long é co-fundadora e CEO, DataGravity
- See more at: http://cio.com.br/opiniao/2017/04/28/responda-ao-ransomware-em-tres-etapas-proteja-avalie-e-recupere/#sthash.6lBdqY31.dpuf

Nenhum comentário:

Postar um comentário