Lista de verificação RaMP – Preparação para recuperação de ransomware
Essa lista de verificação do Plano de Modernização Rápida (RaMP) ajuda você a preparar sua organização para que você tenha uma alternativa viável ao pagamento de resgate exigido por atacantes de ransomware. Embora os invasores no controle de sua organização tenham várias maneiras de pressioná-lo a pagar, as demandas se concentram principalmente em duas categorias:
Pagar para recuperar o acesso
Os invasores exigem o pagamento sob a ameaça de que eles não lhe darão acesso novamente a seus sistemas e dados. Geralmente, isso é feito criptografando os sistemas e os dados e exigindo pagamento para a chave de descriptografia.
Importante
Pagar o resgate não é uma solução tão simples quanto parece. Como está lidando com agentes que só são motivadas pelo pagamento (e muitas vezes amadores que usam um kit de ferramentas fornecido por outra pessoa), você não sabe se o pagamento do resgate funcionará de fato. Não há nenhuma garantia legal de que eles entregarão uma chave que descriptografe 100% dos sistemas e dados ou mesmo que entregarão qualquer chave. O processo para descriptografar esses sistemas usa ferramentas de invasor amadoras, que geralmente é um processo manual e desastrado.
Pagar para evitar a divulgação
Os invasores exigem um pagamento para não liberar dados confidenciais ou embaraçosos para a Dark Web (outros invasores) ou para o público em geral.
Para evitar o pagamento forçado (a situação lucrativa para os invasores), a ação mais imediata e eficaz que você pode tomar é garantir que sua organização possa restaurar toda a sua empresa usando um armazenamento imutável que não tenha sido infectado ou criptografado por um ataque de ransomware e que nem o invasor nem você podem modificar.
Identificar os ativos mais confidenciais e protegê-los em um nível mais alto de garantia também é extremamente importante, mas é um processo mais longo e desafiador. Não queremos que você mantenha outras áreas, mas recomendamos iniciar o processo reunindo os stakeholders de negócios, TI e segurança para responder a perguntas como:
- Quais ativos de negócios seriam mais prejudiciais se comprometidos? Por exemplo, por quais ativos a liderança empresarial estaria disposta a pagar em caso de controle pelos invasores?
- Como esses ativos de negócios se traduzem em ativos de TI, como arquivos, aplicativos, bancos de dados e servidores?
- Como você pode proteger ou isolar esses ativos para que os invasores com acesso ao ambiente de TI geral não possam acessá-los?
Proteger backups
Você deve fazer backup dos sistemas críticos e dos respectivos dados e garantir que estes sejam imutáveis para protegê-los contra apagamento deliberado ou criptografia por parte de um invasor. Os backups não devem ter sido infectados ou criptografados por um ataque de ransomware anteriormente, caso contrário, você estará restaurando um conjunto de arquivos que poderiam conter pontos de entrada para os atacantes explorarem após a recuperação.
Os ataques contra backups visam paralisar a capacidade de sua organização de responder sem pagar, com frequência atacando backups e documentação necessários para a recuperação para forçá-lo a pagar o resgate.
A maioria das organizações não protege os procedimentos de backup e restauração contra esse nível de ataque intencional.
Observação
Essa preparação também melhora a resiliência a desastres naturais e ataques rápidos, como WannaCry e (Not)Petya.
O artigo Plano de backup e restauração para proteger contra ransomware aborda o que fazer antes de um ataque, para proteger seus sistemas comercialmente críticos, e durante um ataque, para garantir uma recuperação rápida das operações de negócios usando o Backup do Azure e outros serviços de nuvem da Microsoft. Se estiver usando uma solução de backup externa fornecida por um terceiro, consulte a documentação deles.
Responsabilidades dos membros do programa e do projeto
Esta tabela descreve a proteção geral de seus dados contra ransomware em termos da hierarquia de gerenciamento de patrocínio/programa/projeto a fim de determinar e impulsionar os resultados.
Cliente Potencial | Proprietário | Responsabilidade |
---|---|---|
CIO ou Operações Centrais de TI | Patrocínio executivo | |
Líder do programa de infraestrutura da central de TI | Impulsionar resultados e colaboração entre equipes | |
Engenheiro de Infraestrutura/Backup | Habilitar o backup da infraestrutura | |
Administração Microsoft 365 | Implementar alterações no seu locatário do Microsoft 365 para OneDrive e pastas protegidas | |
Engenheiro de segurança da informação | Orientação sobre a configuração e os padrões | |
Administrador de TI | Atualizar documentos de política e padrões | |
Governança de Segurança e/ou Administração de TI | Monitorar para garantir a conformidade | |
Equipe de Formação do Usuário | Garantir que a orientação para os usuários recomende o uso do OneDrive e das Pastas Protegidas |
Objetivos de implantação
Atenda a esses objetivos de implantação para proteger sua infraestrutura de backup.
Concluído | Objetivo de implantação | Proprietário |
---|---|---|
1. Proteja os documentos de suporte necessários para recuperação, como documentos de procedimento de restauração, o CMDB (banco de dados de gerenciamento de configuração) e diagramas de rede. | Arquiteto ou implementador de TI | |
2. Estabeleça um processo para fazer backup de todos os sistemas críticos automaticamente em um cronograma regular e monitore a aderência a esse processo. | Administrador de backup de TI | |
3. Estabeleça um processo e um cronograma para exercitar regularmente o seu plano de continuidade de negócios/recuperação de desastres (BCDR). | Arquiteto de TI | |
4. Inclua a proteção de backups contra eliminação deliberada e criptografia no seu plano de backup: - Proteção forte: exija etapas fora da banda (como autenticação multifator ou um PIN) antes de modificar backups online (como o Backup do Azure). – Proteção mais forte – armazenar backups no armazenamento imutável online (como o Blob do Azure) e/ou totalmente offline ou fora do local. |
Administrador de backup de TI | |
5. Faça com que os usuários configurem o backup do OneDrive e Pastas protegidas. | Administrador de produtividade do Microsoft 365 |
Próxima etapa
Continue a iniciativa de dados, conformidade e governança com a Etapa 3. Dados.