São erros básicos de segurança que sustentam uma leva inteira de ataques de ransomware.
Se olhamos apenas para dados sobre ransomware, a sensação é de que estamos correndo atrás do rabo. Só em 2023, foram 538 novas variantes rastreadas, segundo a Recorded Future. E este é um número provavelmente conservador, já que sabemos da natureza evolutiva desse tipo de ameaça. A criação de novas cepas não se encerra, ao contrário das pesquisas sobre o tema.
Os pagamentos foram recordes, assim como o aumento no escopo e na complexidade dos ataques. Mas, ok, disso já sabemos. Vamos trazer um pouco de contexto. Até porque, não quero aqui grifar o desastre, nem aumentar o alarde. São coisas que já estão mais do que postas.
Quero, na verdade, mostrar como a resposta para evitarmos ransomware está, muitas vezes, escondida nas más notícias.
O Relatório de Investigações de Violação de Dados (DBIR) de 2024 da Verizon analisou um recorde de 30.458 incidentes de segurança, dos quais 10.626 foram violações confirmadas. E traz que 68% das violações identificadas envolveram o fator humano. Quer dizer, ou alguém caiu em um phishing, ou em uma tática de engenharia social, ou configurou controles de segurança incorretamente (menos provável).
O passo seguinte, que seria uma boa solução de detecção e resposta, também falhou. Já que 32% das violações tiveram um elemento de extorsão ou resgate, com uma perda média de US$ 46.000 por empresa por incidente. Ou seja, o ataque foi bem-sucedido em muitos, muitos casos.
E sobre as vulnerabilidades? Olha que interessante. Para quem não conhece o catálogo KEV (Known Exploited Vulnerabilities) da CISA, ele serve como uma lista consolidada de vulnerabilidades conhecidas que já foram exploradas ativamente por atacantes. Ou seja, vulnerabilidades que de fato podem impactar o seu ambiente
Ele é uma ferramenta crucial para ajudar organizações a priorizar a correção de falhas de segurança que representam os maiores riscos, já que essas vulnerabilidades já foram comprovadamente usadas em ataques no mundo REAL (não na imaginação de muitos).
Segundo o relatório da BitSight e a TheRecord, empresas, em média, levam cerca de 4,5 meses (137 dias) para corrigir vulnerabilidades críticas que estão listadas no catálogo de KEV da CISA. Essas vulnerabilidades são tratadas mais rapidamente do que as que não fazem parte do catálogo, com o tempo de correção para vulnerabilidades comuns podendo chegar a mais de 1,7 anos.
No entanto, mesmo com essa aceleração no tempo de resposta, cerca de 60% das organizações não conseguem cumprir os prazos estabelecidos pela CISA para correção das vulnerabilidades. É meio óbvio, mas a velocidade de correção também varia de acordo com o setor: empresas de tecnologia são as mais rápidas, corrigindo vulnerabilidades críticas em média em 93 dias; já setores como educação e governos locais levam em torno de 238 dias (vou parar de falar sobre vulnerabilidades, senão vira um artigo só sobre isso).
Então, como sair desse looping eterno?
Entenda a correlação entre phishing (1), comprometimento de credenciais (2) e exploração de vulnerabilidades (3). Um ransomware bem-sucedido precisa da junção de, pelo menos, dois itens (1 e 3, 2 e 3, 1 e 2).
Feito isso, entenda de uma vez quais são as vulnerabilidades que geram um risco para o seu negócio e o que de fato impacta o seu BIA. Transforme dados técnicos em informações gerenciais e de riscos, de preferência em um dashboard intuitivo com diversos indicadores, no qual as vulnerabilidades são identificadas, classificadas e categorizadas de acordo com os riscos que elas geram em seu ambiente.
A briga fica mais fácil, também, quando há centralização e gerenciamento de todos os alarmes e incidentes do seu ambiente, com integrações automáticas aos principais SIEM’s do mercado. Assim, a empresa ganha enriquecimento de dados através de APIs, e integração entre times, handbooks e playbooks. Isso acelera a classificação de alarmes, como eventos reais ou falsos positivos, com uma redução no tempo de resposta e mais acuracidade dos dados.
Existem várias boas soluções no mercado para ajudar as empresas nesse combate ao ransomware, mas quero falar da que conheço porque ajudei a criar muito de perto.
O RIS (Risk, Information & Security) foi feito dentro de casa, desenvolvido por especialistas da Redbelt Security, e oferece às empresas uma maneira eficaz de reduzir o tempo de resposta a incidentes de segurança e de gerenciar o ciclo de vida de vulnerabilidades em seus ambientes.
Eu adoro falar sobre o RIS porque acredito que ele muda o jogo no combate às violações.
Transforma a segurança de qualquer empresa, não importa em que momento da jornada de maturidade ela esteja. Me coloco à disposição para conversar sobre como podemos ajudar nos seus desafios de segurança.
