Cibersegurança depois do WannaCry: Como enfrentar futuros ataques.

 

David Burg | PwC Global and US Cybersecurity Leader
Sean Joyce | Cybercrime PwC US Leader

Cibersegurança depois do WannaCry: Como enfrentar futuros ataques. Fatores-chave podem ajudar empresas a se proteger de ataques de ransomware.

O ataque do ransomware conhecido como WannaCry golpeou o mundo em 12 de maio e, três dias depois, mais de 200 mil computadores, em 150 países, já haviam sido atingidos.

Embora ainda não saibamos todos os detalhes, é claro que algumas organizações foram vitimizadas muito mais severamente do que outras. Esse episódio reforça uma visão que nós, da PwC, temos defendido há muito tempo: a proteção efetiva contra ataques cibernéticos tem menos a ver com algum fator tecnológico específico e tudo a ver com a gestão proativa de riscos em geral.

Como qualquer ransomware, o WannaCry traz danos às empresas de duas maneiras. Primeiro, custa à organização recuperar as informações criptografadas pelo algoritmo. Segundo, mesmo se o valor de resgate for pequeno, os custos de enfrentamento podem ser imensos – e não há garantia de que futuros criadores de ransomware venham a exigir valores de resgate no mesmo patamar dos US$ 300 em bitcoins do caso WannaCry. Pesquisa realizada pela PwC revelou que a maioria dos incidentes de ransomware relatados resultou em horas de instabilidade operacional ou de inatividade de redes, que, em alguns casos, ficaram fora de operação por até 10 dias. Além disso, os atacantes mantêm consigo os dados proprietários que capturaram. Eles podem vendê-los ou divulgá-los publicamente, mesmo depois de a empresa alvo ter pago resgate.

Estamos na expectativa de que novas ondas de ataque ocorrerão, isso porque as técnicas e os exploits utilizados para distribuir o WannaCry só foram divulgados ao mundo recentemente, em abril de 2017 (supostamente por um grupo anônimo chamado Shadow Brokers e obtidos por meio de um vazamento da biblioteca de armas digitais da NSA – National Security Agency, nos Estados Unidos). Documentos similares (supostamente originários da CIA – Central Intelligence Agency, também nos EUA) foram publicados pelo WikiLeaks em março de 2017 e provavelmente mais vazamentos dessa natureza ocorrerão não apenas nos EUA e na Europa, mas em outros países ao redor do mundo.

Existem, no entanto, algumas questões não respondidas sobre a técnica utilizada e os reais motivos do ataque do WannaCry. Por exemplo:

·         Até o momento não foram divulgados registros de vazamento de dados capturados, como propriedade intelectual, dados estratégicos ou dados financeiros, o que poderia representar um impacto ainda maior aos negócios das empresas vítimas do ataque.

·         A vulnerabilidade utilizada no ataque WannaCry poderia ter sido aplicada para outros propósitos. O malware Adylkuzz, por exemplo, transforma os computadores infectados em mineradores de moeda digital (cryptocurrencies), proporcionando um ganho financeiro muito maior e em sigilo.

·         Organizar uma campanha de ransomware de amplitude global, mesmo sabendo que isso poderia representar um ganho financeiro marginal, foi mera coincidência ou a real intenção do grupo?

De qualquer forma, cada nova violação capacitará os atores independentes com ferramentas de conhecimento até agora só controladas por governos. Sequestro (ransom), extorsão, vigilância, inoperância e manipulação de dados, tudo isso é mais viável hoje do que há alguns meses.

Todas as empresas e organizações, tenham sido ou não afetadas pelo WannaCry, devem se perguntar agora: como podemos nos proteger de ataques semelhantes no futuro?

Apresentamos a seguir cinco fatores-chave que separam as empresas vulneráveis das mais resilientes.

1. Higienização digital intensificada. O evento WannaCry ressalta a importância de uma gestão de TI vigilante: a atualização permanente em relação aos avanços tecnológicos. A Microsoft lançou o seu patch para a vulnerabilidade do Windows WannaCry em março de 2017, isto é dois meses antes do ataque

As empresas que instalaram a correção prontamente ficaram protegidas, enquanto muitas das organizações mais atingidas estavam usando software de sistema operacional desatualizado e até software pirata. A higienização intensificada também envolve rigorosas práticas de gestão de patchs, de ativos de software e de backup. Por exemplo, não basta fazer o backup dos dados da empresa. É precisar testá-los regularmente e separar esses dados dos outros sistemas ou redes para protegê-los. Caso contrário, eles também serão corrompidos.

2. Capacidade de detectar um comportamento intrusivo. Explorar o erro humano ainda é o meio mais comum de obter acesso a informações proprietárias. Muitas vezes, os funcionários expõem dados de forma não intencional a um agente de ameaça cibernética por meio de um e-mail fraudulento ou de outras técnicas de engenharia social, dando aos hackers acesso a senhas ou outros meios de entrada nos sistemas da empresa. Organizações com práticas eficazes de gerenciamento de riscos raramente tornam informações confidenciais disponíveis a terceiros inadvertidamente. Elas protegem sobretudo contas de acesso com perfil administrativo e outras informações privilegiadas. Elas tornam extremamente difícil a obtenção de qualquer tipo de dado que permita a alguém assumir o controle de um sistema. Elas também são preparadas para a detecção, aprendendo a reconhecer o comportamento comum de intrusos e isolá-los em tempo real. A única coisa que essas organizações compartilham abertamente são os dados sobre os intrusos que detectam; a colaboração entre profissionais de segurança de uma ampla gama de organizações é uma das melhores defesas contra a atividade do crime cibernético.

3. Desenho detalhado da infraestrutura de TI. Cada empresa tem seus próprios ativos de informação mais valiosos, como propriedade intelectual com relevância crítica, dados proprietários relacionados a clientes, dados financeiros e outras informações estrategicamente valiosas. Estes devem ser protegidos de forma diferente de outros ativos de informação. Projete seus sistemas de forma adequada. Preste especial atenção à sua cadeia de suprimento de informações: quais fornecedores, clientes e parceiros têm acesso aos seus dados e o que eles estão fazendo para protegê-los? Repense seus controles de autenticação e de segurança. Por exemplo, adote a autenticação de dois fatores, combinando senha com biometria, tokens ou algum outro fator de autenticação.

4. Planejamento prévio e ensaio. Do mesmo modo que você desenvolve planos de ação para situações como inundações, incêndios e outras emergências, prepare-se também para ataques cibernéticos antes que eles ocorram. Os planos devem especificar como você responderá no caso de um ataque e quem será responsável por qual aspecto. Por exemplo, quem será responsável por controlar a cadeia de informação que notificará os clientes em caso de roubo de informações de cartão de crédito? Será o diretor de riscos, o diretor de segurança de informação ou alguma outra pessoa?

Como preparação para ataques de ransomware, estabeleça uma matriz de decisão. Quem vai recuperar as informações de um backup? Quem se comunicará com os sequestradores de dados? Sob que circunstâncias extremas – por exemplo, uma ameaça à vida – você poderia ser forçado a pagar o resgate? Pense em tudo isso com antecedência e ensaie suas respostas. Se uma crise ocorrer, você já saberá o que fazer.

5. Adoção precoce da tecnologia em nuvem. Os sistemas baseados em nuvem são atualizados de maneira fácil e automática em um único local, acumulam dados em tempo real sobre ataques e intrusões e incorporam restrições internas que separam camadas de software e impedem que o software intrusivo alcance a consecução do ataque. Isso representa uma vantagem sobre os sistemas que dependem de computadores nas instalações da empresa. Também pode tornar-se relativamente difícil para intrusos explorar furos na arquitetura baseada em nuvem. Por exemplo, no final de abril de 2017, o Google bloqueou um ataque de phishing (uma tentativa de uso de e-mail para induzir as pessoas a enviar informações comprometedoras); As características baseadas em nuvem do software Gmail permitiram identificar e isolar rapidamente o malware intruso.

Claro, mesmo que você esteja adotando na prática esses cinco fatores-chave, não há espaço para complacência. As empresas mais eficazes concentraram-se no desenvolvimento da sua inteligência em segurança cibernética.

Encontrar novos meios de tomar o controle de sistemas computacionais passará a ser um modo de vida. As contramedidas passam por: prevenir a intrusão; preparar ações de resposta (incluindo segregar seus backups de sua rede); isolar as atividades de backups ; responder de maneira rápida e eficaz à intrusão, quando ela ocorre; retornar ao estado de normalidade operacional, se necessário, com medidas práticas estabelecidas previamente; e estabelecer  o estado de resiliência.

Quando essas atividades estiverem engrenadas na sua empresa, sua capacidade de gerenciar riscos cibernéticos torna-se um ativo estratégico. Se você pode fazer isso, você também pode enfrentar muitos outros desafios de gestão do nosso ambiente de negócios cada vez mais complexo.

Quer saber mais sobre como a PwC pode ajudar? Acesse: www.pwc.com.br/pt/imperativos-negocios/proteger-ativos.html

 

Com contribuição de:
Thomas Archer | PwC US Partner, Kris MacConkey | PwC UK Partner
Adam Malone | PwC US Director, Mark Ray | PwC US Director 
Traduzido para o português e adaptado com contribuições adicionais por:
Edgar D’Andrea | Sócio e líder de Cibersegurança e Privacidade da PwC Brasil
Rafael Cortes | Gerente da PwC Brasil e especialista em Cibersegurança e Privacidade
Siga-nos