O especialista em segurança de TI ProSoft recomenda duas estratégias de defesa contra ataques de ransomware na TI da empresa: Filtros DNS de lista branca e navegadores remotos são bem-sucedidos contra ransomware.
Doze por cento de todos os ataques cibernéticos são agora realizados por ransomware (fonte Global Threat Intelligence Report da NTT). Os ataques correspondentes quadruplicaram nos últimos anos. O dano financeiro causado por tal ataque também está aumentando rapidamente. Com filtragem de DNS e ReCoBs (Remote Controlled Browser System), especialista em segurança de TI, consultor confiável e distribuidor de valor agregado, a ProSoft mostra duas estratégias eficazes, mas fundamentalmente diferentes, contra ataques de ransomware. Enquanto um filtro DNS detecta e bloqueia sites perigosos antes que códigos maliciosos possam entrar em sua própria rede, um ReCoBS, ou seja, um navegador da Web controlado remotamente, protege a rede interna da Internet e evita preventivamente ataques que exploram quaisquer falhas de segurança nos navegadores da Internet. Mas a filtragem de DNS não é apenas a filtragem de DNS e apenas a soma de medidas combinadas fornece proteção realmente confiável.
Contramedidas combinadas contra ransomware
Quem usa ransomware quer ganhar dinheiro rapidamente de forma criminosa. Se o malware penetrar na TI da empresa, ele criptografa dados críticos para os negócios e os torna inacessíveis. Os invasores exigem um resgate considerável pela descriptografia. Temendo que dados confidenciais da empresa possam ser publicados ou vendidos, as vítimas geralmente pagam grandes resgates. “É sempre uma aposta se os invasores liberarão os dados novamente após o recebimento do pagamento. Empresas de médio porte e organizações de médio porte são particularmente afetadas por isso – incluindo autoridades e empresas do setor de saúde*2”, relata Robert Korherr, diretor administrativo da ProSoft GmbH. De acordo com um estudo sobre ransomware*3, 70% das empresas alemãs pesquisadas afirmaram que os dados recuperados foram parcial ou totalmente danificados. 80% das organizações que pagaram resgate são atacadas pela segunda vez por ransomware.
Filtragem de DNS não é apenas filtragem de DNS
Atividade incomum de DNA é uma revelação inoperante de um ataque de ransomware. Os filtros DNS fornecem proteção tripla aqui: downloads de conteúdo ativo de sites perigosos geralmente são impedidos desde o início. O recarregamento de componentes de malware de servidores de comando e controle e a exfiltração de dados típica antes da criptografia de dados real no servidor do invasor também são indicações concretas de uma fase ativa de ransomware. Os filtros DNS tradicionais que funcionam de acordo com o princípio da lista negra precisam registrar e classificar mais de 200.000 novos domínios da Internet todos os dias. A TI fica vulnerável desde a detecção até a integração dos endereços IP de sites perigosos na lista negra. A lista de permissões, por outro lado, oferece vantagens significativas para os filtros de DNS.
Um filtro DNS de lista branca, como o Blue Shield Umbrella, um desenvolvimento do campeão oculto austríaco Blue Shield Security, primeiro bloqueia todos os sites desconhecidos e analisa apenas aqueles que são realmente acessados. Os algoritmos e tecnologias com suporte de IA usados no escudo de proteção de DNS baseado em nuvem analisam, detectam e bloqueiam perigos e anomalias com cada chamada em tempo real. O domínio só é colocado na lista de permissões se for qualificado de acordo. Os domínios precisam se qualificar constantemente para permanecer na lista de permissões. Para a qualificação, a Blue Shield Umbrella usa aprendizado de máquina a partir de dados históricos, um sandbox especialmente desenvolvido e cooperação global com outros fabricantes e organizações.
Navegador da Web remoto para alta segurança na Internet
Outra ferramenta para se defender contra ataques de ransomware é o ReCoBS TightGate-Pro desenvolvido pela m-privacy GmbH, com sede em Berlim. A solução adota uma abordagem diferente e protege contra ransomware que já foi baixado acidentalmente. O TightGate Pro funciona da seguinte maneira: O navegador da Web não está mais em execução no computador da estação de trabalho. Em vez disso, o servidor TightGate dedicado localizado na zona desmilitarizada (DMZ) executa o navegador. O computador da estação de trabalho recebe apenas a saída da tela do navegador como um fluxo de dados de vídeo por meio de um protocolo específico da função. Devido a essa separação física, mesmo o acesso a um site comprometido não traz consequências para a rede interna.
A soma de medidas combinadas oferece proteção máxima
Como qualquer outro malware, o ransomware entra nas redes corporativas pelos canais usuais, como phishing, falsificação, vulnerabilidades não corrigidas, downloads diretos e malware em conteúdo ativo da Internet. Medidas técnicas como software antivírus, gerenciamento de log e SIEM, firewalls, gerenciamento de patches, Endpoint Detection & Response (EDR), Network Detection & Response (NDR) são algumas das ferramentas que se mostraram eficazes contra ataques cibernéticos. No entanto, eles só fornecerão proteção confiável se os dados de diferentes fontes estiverem correlacionados. Medidas organizacionais como treinamento de segurança e códigos de conduta para funcionários também são uma medida eficaz, porque um certo ceticismo também é eficaz contra malware de dia zero.
Mais em ProSoft.de
Sobre a ProSoft A ProSoft foi fundada em 1989 como fornecedora de soluções de software complexas no ambiente de computadores de grande porte. Desde 1994, a empresa tem se concentrado em soluções de gerenciamento de rede e segurança de TI para infraestruturas modernas e heterogêneas do Microsoft Windows, incluindo Mac OS, Linux, bem como ambientes móveis e dispositivos finais. Os especialistas gerenciam software e hardware eficientes para corporações e empresas de médio porte e se estabeleceram como especialistas em segurança de TI. Além disso, como um distribuidor de valor agregado (VAD), a ProSoft oferece suporte aos fabricantes com o "go-to-market" e o lançamento no mercado de novas soluções na parte de língua alemã da Europa.