Passos de mitigação para empresas

Mantenha os sistemas operativos de dispositivos corporativos atualizados.

  • Instale as últimas atualizações de segurança e mantenha software crítico atualizado, incluindo em dispositivos móveis.
  • Se possível, ative a opção de atualizações automáticas. Instalar as últimas atualizações irá garantir que os dispositivos estão mais seguros e têm melhor performance.
  • Avalie se produtos de antivírus e anti-malware são necessários para os manter atualizados.
  • Efetue scans regulares para garantir que o sistema operativo funciona de forma eficiente.
  • Considere a utilização de um sistema central de gestão de atualizações esse uma estratégia de avaliação de risco para determinar que sistemas devem fazer parte do programa de atualizações.
  • Efetue backups regulares dos seus sistemas, tanto online como offline. Backups atualizados são a forma mais efetiva de recuperar de um ataque de ransomware.
  • Garanta que são criados backups offline da rede e sistemas e que são mantidos numa localização diferente (idealmente offsite) e/ou num serviço cloud desenhado para este objetivo. Tenha em mente que um dos alvos do ransomware são os backups, de forma a aumentar as probabilidades da vitima pagar o resgate para recuperar os seus dados.

Conheça os seus ativos e mantenha-os compartimentados.

Dados sensíveis devem ser tratados de forma diferente dos dados do dia a dia.

  • Armazene dados sensíveis em localizações compartimentadas.
  • Implemente e garanta que a sua rede é segregada, de forma a limitar a possibilidade de atacantes usarem um segmento da rede para acederem a outros segmentos.
  • Garanta a compartimentalização de áreas com características e perfis de segurança diferentes, isolando e limitando o acesso a segmentos mais expostos a ameaças.

Segure os acessos a protocolos de acesso remoto (RDPs)

Limite o acesso a recursos através da rede, especialmente restringindo acesso RDP. Após uma avaliação de risco adequada, se o acesso RDP for absolutamente necessário, restrinja os IPs de origem e obrigue o uso de autenticação de múltiplo factor.

Monitorize a exfiltração de dados.

Muitas campanhas de ransomware ameaçam a disponibilizar os dados online para encorajarem as empresas a pagar o resgate. A célere deteção de exfiltração de dados garante que a ameaça de disponibilidade dos mesmos online, por atacantes, não cause muitos danos. A monitorização de exfiltração de dados garante um maior entendimento de que dados estão em risco de exposição.

Não existe nenhuma garantia que o atacante não disponibilize os dados online ou os reuse para chantagem adicional. Considere ambos os cenários possiveis independentemente do resgate ter sido pago.

Teste os seus sistemas.

Execute regularmente testes de intrusão contra a segurança das suas redes e realize testes de reposição de dados críticos para garantir que o processo funciona como esperado.

Reduza a probabilidade de conteúdo malicioso na sua rede.

  • Desactive ambientes de scripting e macros.
  • Configure os seus sistemas para inspecionarem conteúdos ativamente, só permitindo certos tipos de ficheiros e bloqueando websites, aplicações, protocolos, etc. que são conhecidos de serem usados para atividades maliciosas.
  • Ao nível da rede, considere filtrar o tráfego de rede, implementando politicas de monitorização, filtragem e bloqueio de tráfego ilegítimo ou malicioso.
  • Implemente regras de blacklisting/whitelisting baseadas em feeds de threat intelligence de forma a prevenir os utilizadores de acederem a sites maliciosos, IPs maliciosos, URLs de phishing, proxies anónimas, à rede Tor e outros serviços de anonimização, etc.

Use passwords complexas e mude-as de forma regular.

  • Algarismos, carácteres especiais e combinações de maiúsculas e minúsculas ajudam a criar passwords fortes.
  • Forme e encoraje os seus colaboradores a utilizar passwords fortes tanto na vida profissional como pessoal e promova a utilização de software de gestão de passwords.

Use autenticação forte.

Exija a utilização de autenticação de múltiplo fator para aceder a contas em sistemas e aplicações críticas de forma a minimizar o risco de acesso através de credenciais roubadas.

Faça a gestão de contras privilegiadas.

  • Restrinja a capacidade dos seus utilizadores para instalarem e executarem software em dispositivos corporativos.
  • Garanta que contas de utilizador e de sistema são limitadas através de politicas, controlo de contas de utilizador e gestão de utilizadores priveligiados.
  • Organize os direitos de acesso baseado nos princípios do mínimo privilégio, necessidade de conhecer e segregação de responsabilidades. O potencial de compromisso de uma conta priviligiada levará a uma exposição muito maior quando comparada a uma conta de utilizador normal.

Segure o equipamento de teletrabalho.

  • Implemente medidas do tipo encriptação de disco e discos removiveis (drives USB), timeouts de inatividade, ecrãs de proteção, autenticação forte, desative bluetooth.
  • Implemente um processo que desative remotamente o acesso a um dispositivo que tenha sido perdido ou roubado.

Instale aplicações somente de fontes confiáveis.

As empresas devem somente permitir a instalação de apps de fontes oficiais em dispositivos móveis que se conectam à rede corporativa. Como opção, considere criar uma Application Store corporativa à qual os utilizadores podem aceder, efetuar download e instalar aplicações aprovadas pela organização. Consulte o seu fornecedor de segurança para conselhos ou criar a sua própria in-house.

Tenha atenção ao aceder a dados corporativos através de redes públicas Wi-Fi.

Em geral, redes públicas Wi-Fi não são seguras. Se um colaborador aceder a dados corporativos usando uma conexão de uma rede Wi-Fi pública num aeroporto ou cafeteira, os dados podem ser expostos a utilizadores maliciosos. É aconselhado que as organizações desenvolvam politicas de utilização a este respeito.

Disponibilize formação sobre cibersegurança e consciencialização de ameaças aos seus colaboradores.

  • Eduque os seus colaboradores sobre a politica de segurança online da empresa. Garanta tempo para aumentar a conscientização dos colaboradores sobre ciber ameaças, especialmente phishing e engenharia social, assim como o que fazer caso eles verifiquem atividade suspeita.
  • Considere implementar um programa de formação aos colaboradores que inclua ataques simulados de apear phishing para desencorajar visitas a websites maliciosos ou abrir anexos maliciosos.
  • Disponibilize aos seus colaboradores uma forma de reportar emails de phishing e ofereça alguma forma de recompensa sempre que o façam. Uma simples pop-up a agradecer ou um sistema de pontos ajuda os colaboradores a serem mais cautelosos e a reportarem atividade que achem suspeita.

Explore opções de seguros de responsabilidade no ciberespaço.

Considere um agente de seguros que ofereça coberturas no caso de um ciber ataque.

Ative firewall locais.

Ative firewall locais de forma a prevenir acessos não autorizados.

Desative o Windows PowerShell.

Desative o Windows PowerShell caso não seja utilizado. Algumas variantes de ransomware usam PowerShell para serem executados.

Infetado… O que fazer a seguir?

  1. 1) Não desligue o dispositivo infetado, mas desconecte imediatamente o mesmo de todas as redes, quer sejam com ou sem fios, assim como redes de telemóvel.
  2. 2) Em casos mais graves, considere se é necessário desligar completamente o Wi-Fi, desabilitar conexões core da rede (incluindo switches), ou desconectar da internet.
  3. 3) Faça reset de credenciais, incluindo passwords (principalmente de contas de administrador e de sistema), mas verifique que não se está a bloquear a si mesmo de sistemas que serão necessários para a recuperação.
  4. 4) Reporte o incidente à polícia nacional ou outra autoridade competente.
  5. 5) Preserve qualquer evidência, em coordenação com as autoridades competentes que investigam o ataque: criar uma imagem forense dos sistemas afetados (ou um snapshot do sistema), criar um dump da memória RAM, e preservar dados de netflow ou log de tráfego de rede.
  6. 6) Visite www.nomoreransom.org par verificar se a sua empresa foi infetada por uma variante de ransomware para a qual já existem ferramentas de desencriptação disponivés de forma gratuita. Caso não seja o caso, proceda com os passos de recuperação.
  7. 7) Apague os dispositivos infetados com segurança (jipe) e reinstale o sistema operativo.
  8. 8) Antes de restaurar um backup, verifique que o mesmo está livre de qualquer malware. Deve somente restaurar se está confiante que o backup e o dispositivo que está a conectar estão de facto limpos.
  9. 9) Conecte os dispositivos a uma rede limpa para fazer o download, instalar e atualizar o sistema operativo e qualquer outro software.
  10. 10) Instale, atualize e execute software antivírus.
  11. 11) Reconecte à sua rede normal.
  12. 12) Monitorize o tráfego de rede e execute scans antivírus de forma a identificar se a infeção continua ativa.