Defenda-se contra ataques de ransomware
Nessa fase, você faz com que os atores de ameaças trabalhem mais para acessar seus sistemas locais ou na nuvem, removendo gradualmente os riscos nos pontos de entrada.
Embora muitas dessas mudanças sejam familiares e fáceis de implementar, é extremamente importante que o seu trabalho nessa parte da estratégia não atrase o seu progresso nas outras partes criticamente importantes!
Aqui estão os links para revisar o plano de prevenção de ransomware em três partes:
Acesso remoto
Obter acesso à intranet da sua organização através de uma conexão de acesso remoto é um vetor de ataque para atores de ameaças de ransomware.
Depois que uma conta de usuário local é comprometida, o ator de ameaça pode aproveitar a intranet a fim de coletar inteligência, elevar privilégios e instalar códigos ransomware. O ataque cibernético Pipeline Colonial em 2021 foi um bom exemplo disso.
Responsabilidades dos membros do programa e do projeto para acesso remoto
Esta tabela descreve a proteção geral da sua solução de acesso remoto contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CISO ou CIO | Patrocínio executivo | |
| Líder do programa na Equipe de Infraestrutura/Rede Central de TI | Impulsionar resultados e colaboração entre equipes | |
| Arquitetos de TI e de Segurança | Priorizar a integração de componentes às arquiteturas | |
| Equipe de Identidade Central de IT | Configurar o Microsoft Entra ID e políticas de acesso condicional | |
| Operações Centrais de TI | Implementar alterações no ambiente | |
| Proprietários da carga de trabalho | Auxiliar com permissões de RBAC para publicação de aplicativo | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
| Equipe de Formação do Usuário | Atualizar eventuais diretrizes sobre alterações do fluxo de trabalho e executar o gerenciamento da formação e de alterações |
Lista de verificação de implementação para acesso remoto
Aplique essas melhores práticas para proteger sua infraestrutura de acesso remoto contra atores de ameaças que praticam ransomware.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Manter atualizações de software e dispositivos. Evite perder ou negligenciar as proteções do fabricante (atualizações de segurança, status compatíveis). | Os atores de ameaças usam vulnerabilidades conhecidas que ainda não foram corrigidas como vetores de ataque. | |
| Configure o Microsoft Entra ID para o acesso remoto existente, incluindo a imposição de Confiança Zero e a validação de dispositivos e usuários com o Acesso Condicional. | A Confiança Zero fornece vários níveis de proteção de acesso à sua organização. | |
| Configure a segurança para soluções VPN de terceiros existentes (Cisco AnyConnect, Palo Alto Networks GlobalProtect e Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, ZPA (Zscaler Private Access) e muito mais). | Aproveite a segurança interna da sua solução de acesso remoto. | |
| Implantar uma VPN P2S (Ponto a Site) do Azure para fornecer acesso remoto. | Aproveite a integração com o Microsoft Entra ID e as assinaturas existentes do Azure. | |
| Publique aplicativos Web locais com o proxy de aplicativo do Microsoft Entra. | Os aplicativos publicados com o proxy de aplicativo do Microsoft Entra não precisam de uma conexão de acesso remoto. | |
| Proteja o acesso aos recursos do Azure com o Azure Bastion. | Conecte-se de maneira segura e direta às suas máquinas virtuais do Azure por meio de SSL. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e possíveis ataques (confira Detecção e resposta). | Reduz o risco de atividades de ransomware que investigam configurações e recursos de segurança da linha de base. |
Email e colaboração
Implemente as melhores práticas para soluções de email e colaboração a fim de tornar mais difícil que os atores de ameaças abusem dessas soluções e permitir que os funcionários acessem os conteúdos externos com facilidade e segurança.
Os atores de ameaças frequentemente entram no ambiente introduzindo conteúdo mal-intencionado disfarçado de ferramentas de colaboração autorizadas, como compartilhamento de arquivos e email e convencendo os usuários a executar o conteúdo. A Microsoft investiu em mitigações aprimoradas que aumentam muito a proteção contra esses vetores de ataque.
Responsabilidades dos membros do programa e do projeto por email e colaboração
Esta tabela descreve a proteção geral das suas soluções de email e colaboração contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CISO, CIO ou Identity Director | Patrocínio executivo | |
| Líder do programa da equipe de Arquitetura de Segurança | Impulsionar resultados e colaboração entre equipes | |
| Arquitetos de TI | Priorizar a integração de componentes às arquiteturas | |
| Produtividade na nuvem ou Equipe do usuário final | Habilitar o Defender para Office 365, o Azure Site Recovery e o AMSI | |
| Arquitetura de Segurança / Infraestrutura + Ponto de Extremidade | Assistência de configuração | |
| Equipe de Formação do Usuário | Atualizar diretrizes sobre as alterações do fluxo de trabalho | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade |
Lista de verificação de implementação para email e colaboração
Aplique essas melhores práticas para proteger suas soluções de colaboração e email contra atores de ameaças que praticam ransomware
| Concluído | Tarefa | Descrição |
|---|---|---|
| Habilitar o AMSI no VBA do Office. | Detecte macro ataques ao Office com ferramentas de ponto de extremidade como o Defender para Ponto de Extremidade. | |
| Implemente a segurança de email avançada usando o Defender para Office 365 ou uma solução semelhante. | O email é um ponto de entrada comum para atores de ameaça. | |
| Implante regras de redução da superfície de ataque (Azure Site Recovery) para bloquear técnicas de ataque comuns, incluindo: – Abuso de ponto de extremidade, como roubo de credenciais, atividade de ransomware e uso suspeito de PsExec e WMI. – Atividade mal-intencionada contra documentos do Office, como atividades de macro avançadas, conteúdo executável, criação de processos e injeção de processo iniciada por aplicativos do Office. Observação: primeiro implante essas regras no modo de auditoria, depois avalie eventuais impactos negativos e, por fim, implante-as no modo de bloco. |
O Azure Site Recovery fornece camadas adicionais de proteção, com a intenção específica de mitigar os métodos de ataque mais comuns. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e possíveis ataques (confira Detecção e resposta). | Reduz o risco de atividades de ransomware que investigam configurações e recursos de segurança da linha de base. |
Pontos de extremidade
Implemente recursos de segurança relevantes e siga rigorosamente as melhores práticas de manutenção de software para pontos de extremidades (dispositivos) e aplicativos, priorizando aplicativos e sistemas operacionais cliente/servidor diretamente expostos ao tráfego e a conteúdos da Internet.
Os pontos de extremidade expostos pela Internet são um vetor de entrada comum que fornece aos atores de ameaças acesso aos ativos da organização. Priorize o bloqueio de vulnerabilidades do sistema operacional comum e do aplicativo com controles preventivos a fim de retardá-los ou impedi-los de executar as próximas etapas.
Responsabilidades de membros do programa e do projeto para pontos de extremidade
Esta tabela descreve a proteção geral dos seus pontos de extremidade contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| Liderança empresarial responsável pelo impacto nos negócios em relação ao tempo de inatividade e aos danos causados pelo ataque | Patrocínio executivo (manutenção) | |
| CIO ou Operações Centrais de TI | Patrocínio executivo (outros) | |
| Líder do programa da Equipe de Infraestrutura Central de TI | Impulsionar resultados e colaboração entre equipes | |
| Arquitetos de TI e de Segurança | Priorizar a integração de componentes às arquiteturas | |
| Operações Centrais de TI | Implementar alterações no ambiente | |
| Produtividade na nuvem ou Equipe do usuário final | Habilitar a redução da superfície de ataque | |
| Proprietários de carga de trabalho/aplicativo | Identificar janelas de manutenção para alterações | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade |
Lista de verificação de implementação para endpoints
Aplique essas boas práticas a todos os pontos de extremidade do Windows, Linux, macOS, Android, iOS e outros.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Bloquear ameaças conhecidas com regras de redução da superfície de ataque, proteção contra adulterações e bloqueio à primeira vista. | Não deixe que a falta de uso desses recursos de segurança interna seja o motivo pelo qual um invasor entrou na sua organização. | |
| Aplique as Linhas de Base de Segurança para fortalecer os servidores e os clientes do Windows e os aplicativos do Office que interagem com a Internet. | Proteja sua organização com o nível mínimo de segurança e avance deste ponto em diante. | |
| Mantenha seu software para que ele permaneça: – Atualizado: implante rapidamente atualizações de segurança críticas para sistemas operacionais, navegadores e clientes de email – Compatível: atualize sistemas operacionais e software para as versões compatíveis dos respectivos fornecedores. |
Os invasores ficam só esperando você deixar de aplicar as atualizações e os upgrades do fabricante. | |
| Isole, desabilite ou desative protocolos e sistemas não seguros, como sistemas operacionais sem suporte e protocolos herdados. | Os invasores usam as vulnerabilidades conhecidas de dispositivos, sistemas e protocolos herdados como pontos de entrada para a sua organização. | |
| Bloqueie tráfegos inesperados com firewall e defesas de rede baseados no host. | Alguns ataques de malware dependem do tráfego de entrada não solicitado para hosts como uma forma de criar uma conexão para um ataque. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e possíveis ataques (confira Detecção e resposta). | Reduz o risco de atividades de ransomware que investigam configurações e recursos de segurança da linha de base. |
Contas
Assim como as antigas chaves mestras já não protegem mais uma casa contra os ladrões modernos, as senhas também já não protegem mais as contas contra os ataques comuns que vemos hoje. Embora a autenticação multifator (MFA) já tenha sido uma etapa adicional trabalhosa, a autenticação sem senha aprimora a experiência de login usando abordagens biométricas que não requerem que os usuários lembrem ou digitem senhas. Além disso, uma infraestrutura de Confiança Zero armazena informações sobre dispositivos confiáveis, o que reduz a solicitação de ações irritantes de MFA fora de banda.
Começando com as contas de administrador com altos níveis de privilégio, siga rigorosamente essas melhores práticas de segurança de conta, incluindo o uso de MFA ou abordagens sem senha.
Responsabilidades dos membros do programa e do projeto para contas
Esta tabela descreve a proteção geral das suas contas contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
| Lead | Implementador | Responsabilidade |
|---|---|---|
| CISO, CIO ou Identity Director | Patrocínio executivo | |
| Líder do programa das equipes de Gerenciamento de Identidades e Chaves ou Arquitetura de Segurança | Impulsionar resultados e colaboração entre equipes | |
| Arquitetos de TI e de Segurança | Priorizar a integração de componentes às arquiteturas | |
| Gerenciamento de identidades e chaves ou Operações Centrais de TI | Implementar alterações de configuração | |
| Padrões e Política de Segurança | Atualizar documentos de política e padrões | |
| Gerenciamento de Conformidade de Segurança | Monitorar para garantir a conformidade | |
| Equipe de Formação do Usuário | Atualizar a senha ou as diretrizes de logon e executar o gerenciamento da formação e das alterações |
Lista de verificação de implementação para contas
Aplique essas melhores práticas para proteger suas contas contra invasores que praticam ransomware.
| Concluído | Tarefa | Descrição |
|---|---|---|
| Impor uma MFA forte ou uma entrada sem senha para todos os usuários. Comece com as contas de administrador e prioritárias usando uma ou mais das seguintes opções: – Autenticação sem senha com o Windows Hello ou o aplicativo Microsoft Authenticator. - Autenticação multifator. – Uma solução de MFA de terceiros. |
Torne mais difícil para um invasor comprometer a credencial apenas determinando uma senha de conta de usuário. | |
| Aumentar a segurança de senha: – Para contas do Microsoft Entra, use a Proteção de Senha do Microsoft Entra a fim de detectar e bloquear senhas fracas conhecidas e outros termos fracos específicos da sua organização. – Para contas locais do AD DS (Active Directory Domain Services), estenda a Proteção de Senha do Microsoft Entra para as contas do AD DS. |
Evite senhas comuns ou baseadas no nome da sua organização, que podem ser facilmente descobertas por invasores. | |
| Audite e monitore para encontrar e corrigir desvios da linha de base e possíveis ataques (confira Detecção e resposta). | Reduz o risco de atividades de ransomware que investigam configurações e recursos de segurança da linha de base. |
Resultados e linhas do tempo da implementação
Tente obter esses resultados dentro de 30 dias:
100% dos funcionários estão usando ativamente a MFA
100% de implantação de maior segurança de senha
Recursos adicionais de ransomware
Informações importantes da Microsoft:
Moonstone Sleet surge como um novo ator de ameaça norte-coreano com novos truques, Microsoft Blog, maio de 2024
Relatório de Defesa Digital da Microsoft de 2023 (consulte as páginas 17-26)
Ransomware: um relatório de análise de ameaças contínua e generalizada no portal do Microsoft Defender
A abordagem e estudo de caso de ransomware da equipe de Resposta a Incidentes da Microsoft (anteriormente DART)
Microsoft 365:
- Implantar proteção contra ransomware no seu locatário do Microsoft 365
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Como se recuperar de um ataque de ransomware
- Proteção contra malware e ransomware
- Proteger seu computador Windows 10 de ransomware
- Lidando com o ransomware no SharePoint Online
- Relatórios de análise de ameaças para ransomware no portal do Microsoft Defender
Microsoft Defender XDR:
Microsoft Azure:
- Defesas do Azure contra ataque de ransomware
- Maximizar a resiliência contra ransomware com o Azure e o Microsoft 365
- Plano de backup e restauração para proteger contra ransomware
- Ajudar a proteger contra ransomware com o Backup do Microsoft Azure (vídeo de 26 minutos)
- Recuperar-se do comprometimento de identidades sistêmico
- Detecção avançada de ataques multiestágio no Microsoft Sentinel
- Detecção de fusão para ransomware no Microsoft Sentinel
Microsoft Defender para Aplicativos de Nuvem:
Postagens no blog da equipe de Segurança da Microsoft:
Três etapas para evitar e recuperar-se de ransomware (setembro de 2021)
Um guia para combater o ransomware operado por humanos: parte 1 (setembro de 2021)
Principais etapas sobre como a Equipe de Detecção e Resposta (DART) da Microsoft conduz investigações de incidentes de ransomware.
Um guia para combater o ransomware operado por humanos: parte 2 (setembro de 2021)
Recomendações e melhores práticas.
-
Confira a seção Ransomware.
Ataques de ransomware operados por humanos: um desastre evitável (março de 2020)
Inclui uma análise de cadeia de ataques reais.
Resposta de ransomware: pagar ou não pagar? (Dezembro de 2019)
A Norsk Hydro responde a um ataque de ransomware com transparência (dezembro de 2019)