Contents
- Por que o ransomware é uma ameaça crítica na segurança cibernética moderna?
- Quem são os principais alvos dos ataques de ransomware?
- Quais são os diferentes tipos de ransomware?
- Extorsão dupla e exfiltração de dados
- Quais são os mitos comuns sobre ransomware e backups?
- Quais são os melhores métodos de proteção de backups contra ransomware?
- Use credenciais exclusivas e distintas
- Armazenamento off-line
- Jobs de cópia de backup
- Evite muitos tipos de sistemas de arquivos
- Use a regra 3-2-1-1
- Verificar a integridade do backup (a regra 3-2-1-1-0)
- Evite snapshots de armazenamento
- Recuperação bare metal
- Teste do plano de backup
- Monitoramento, alerta e detecção de anomalias
- Armazenamento imutável
- Criptografia de backup
- Políticas de backup
- Planejamento de recuperação de desastres
- Educação centrada na segurança para os funcionários
- Fortalecimento da infraestrutura e proteção de endpoints
- Air gapping
- Bloqueio de objetos do Amazon S3
- Segurança Zero Trust
- Segmentação de rede para infraestrutura de backup
- Como as ferramentas do sistema de backup forneceriam proteção adicional contra ransomware?
- Como o ransomware visa e compromete seus backups?
- O potencial de dano do ransomware aumenta com ciclos de recuperação mais longos
- Sua apólice de seguro também pode se tornar sua responsabilidade
- Problemas de visibilidade de seus dados tornam-se uma vantagem para o ransomware
- A fragmentação de dados é uma vulnerabilidade grave
- As credenciais de usuário são usadas várias vezes para ataques de ransomware
- Sempre teste e teste novamente seus backups
- Conclusão
- Principais conclusões
Por que o ransomware é uma ameaça crítica na segurança cibernética moderna?
Os ataques de ransomware têm causado grandes interrupções em várias organizações há mais de uma década, levando à perda de dados críticos e confidenciais, entre outras consequências infelizes, como o pagamento de grandes quantias de dinheiro a organizações criminosas. Quase todos os principais setores são regularmente afetados por ransomware de uma forma ou de outra. Os ataques de ransomware atingiram 5.263 incidentes em 2024 – o maior número registrado desde que o rastreamento começou em 2021, e o número em questão parece continuar crescendo anualmente.
Embora as medidas preventivas continuem sendo uma parte fundamental da defesa contra ransomware, a manutenção de backups regulares de dados é o meio mais eficaz de recuperação de dados após um ataque. A proteção de dados é fundamental: como muitas formas de ransomware também têm como alvo os dados armazenados em backup, a necessidade de medidas para proteger os backups contra ransomware é uma necessidade absoluta. Pesquisas recentes também mostram que os invasores tentaram comprometer os backups de 94% das organizações atingidas por ransomware, o que torna a proteção de backup mais essencial do que nunca.
O ransomware é um tipo de malware que se infiltra no computador ou no(s) servidor(es) da vítima, criptografa seus dados e os torna inacessíveis. Em seguida, os criminosos exigem o pagamento de um resgate, geralmente na forma de criptomoeda, em troca da chave de descriptografia. Os ataques de ransomware tendem a ter consequências devastadoras, causando perdas financeiras significativas, interrompendo a produtividade e até mesmo causando falência. Somente o ataque ao 2024 Change Healthcare (grande provedor de serviços de saúde dos EUA) resultou em US$ 3,09 bilhões em danos e comprometeu as informações de saúde protegidas de mais de 100 milhões de pessoas.
Após a criptografia bem-sucedida dos arquivos visados, os atacantes geralmente exigem um resgate. Os pagamentos de resgate geralmente são solicitados em bitcoins ou outras criptomoedas, o que dificulta o rastreamento pelas autoridades policiais. Se a vítima não atender aos pedidos de resgate, os atacantes poderão recorrer a outras ameaças, como publicar os arquivos criptografados on-line ou excluí-los permanentemente.
Quem são os principais alvos dos ataques de ransomware?
Embora a declaração sobre praticamente qualquer dispositivo seja um alvo em potencial para o ransomware, há algumas categorias de informações e grupos de usuários que os criadores de ransomware tendem a visar mais:
- Órgãos governamentais – alvos principais para a maioria das variações de ransomware devido à grande quantidade de dados confidenciais que eles mantêm; também é comum supor que o governo prefira pagar o resgate a permitir que os dados confidenciais de importância política sejam divulgados ao público ou vendidos a terceiros.
- Organizações de saúde – um alvo notável para o ransomware devido ao grande número de infraestruturas de saúde que dependem de software e hardware desatualizados, reduzindo drasticamente a quantidade de esforço necessário para quebrar todas as suas medidas de proteção; os dados de saúde também são extremamente importantes devido à sua conexão direta com o sustento de centenas ou milhares de pacientes, o que os torna ainda mais valiosos.
- Dispositivos móveis – um alvo comum devido à natureza dos smartphones modernos e à quantidade de dados que um único smartphone tende a conter (sejam vídeos e fotos pessoais, informações financeiras etc.).
- Instituições acadêmicas – um dos maiores alvos de ransomware, devido à combinação de trabalhar com grandes volumes de dados confidenciais e ter grupos de TI menores, restrições orçamentárias e outros fatores que contribuem para a menor eficácia geral de seus sistemas de segurança.
- Departamentos de recursos humanos – podem não ter muitas informações valiosas por si só, mas são compensados por terem acesso aos registros financeiros e pessoais de outros funcionários; também é um alvo comum devido à natureza do trabalho em si (abrir centenas de e-mails por dia torna muito mais provável que um funcionário médio de RH abra um e-mail com malware).
O número de ataques de ransomware parece estar crescendo em um ritmo alarmante. As organizações de serviços financeiros foram 65% visadas por ransomware em 2024, com os invasores tentando comprometer os backups em 90% desses ataques. Novos tipos e variações de ransomware também estão sendo desenvolvidos regularmente. Agora existe um modelo de negócios totalmente novo chamado RaaS, ou Ransomware como serviço, que oferece acesso constante aos mais novos exemplos de software mal-intencionado por uma taxa mensal, simplificando muito o processo geral de ataque de ransomware.
As informações mais recentes da Statista confirmam as afirmações acima em termos dos maiores alvos de ransomware como um todo: organizações governamentais, saúde, finanças, manufatura e assim por diante. As organizações financeiras também parecem estar crescendo de forma constante como um dos maiores alvos de ransomware até o momento.
Há maneiras de proteger sua empresa contra vários ataques de ransomware, e a primeira e mais importante delas é garantir que o senhor tenha backups à prova de ransomware.
Quais são os diferentes tipos de ransomware?
Vamos primeiro examinar os diferentes tipos de ameaças. O ransomware relacionado à criptografia (cryptoware) é um dos tipos mais difundidos de ransomware nos dias de hoje. Exemplos notáveis, mas menos difundidos, de tipos de ransomware incluem:
- Telas de bloqueio (interrupção com o pedido de resgate, mas sem criptografia),
- Ransomware de dispositivo móvel (infecção de celular),
- Ransomware de criptografia MBR (infecta uma parte do sistema de arquivos da Microsoft que é usada para inicializar o computador, impedindo que o usuário acesse o sistema operacional em primeiro lugar),
- Extortionware/leakware (visa dados confidenciais e comprometedores e, em seguida, exige resgate em troca da não publicação dos dados visados) e assim por diante.
A frequência dos ataques de ransomware deve aumentar drasticamente em 2022 e nos anos seguintes, e com cada vez mais sofisticação. Dados recentes mostram que o pagamento médio de resgate atingiu US$ 2,73 milhões em 2024, um aumento drástico em relação aos US$ 400.000 em 2023. Essa escalada acentuada reflete tanto a crescente sofisticação dos ataques quanto o melhor entendimento dos atacantes sobre os recursos financeiros das organizações vítimas.
Embora as medidas preventivas sejam a maneira preferida de lidar com o ransomware, elas normalmente não são 100% eficazes. Para os ataques que conseguem penetrar nas organizações, o backup é o último bastião de defesa. O backup e a recuperação de dados são comprovadamente um elemento de proteção eficaz e essencial contra a ameaça do ransomware. No entanto, ser capaz de recuperar dados de forma eficaz significa manter um cronograma rigoroso de backup de dados e tomar várias medidas para evitar que o backup também seja capturado e criptografado pelo ransomware.
Para que uma empresa proteja suficientemente os backups contra o ransomware, é necessário pensar e se preparar com antecedência. A tecnologia de proteção de dados, as práticas recomendadas de backup e o treinamento da equipe são essenciais para atenuar a interrupção ameaçadora aos negócios que os ataques de ransomware infligem aos servidores de backup de uma organização.
Extorsão dupla e exfiltração de dados
A dupla extorsão representa a evolução mais significativa nas táticas de ransomware nos últimos cinco anos, mudando fundamentalmente a forma como as organizações devem abordar a proteção de dados. Ao contrário dos ataques tradicionais somente de criptografia, em que os backups proporcionam uma recuperação completa, a dupla extorsão cria uma responsabilidade que persiste mesmo após uma restauração bem-sucedida.
Os invasores agora exfiltram rotineiramente dados confidenciais durante as fases de reconhecimento, muitas vezes semanas antes de implementar cargas úteis de criptografia. Esses dados roubados tornam-se uma vantagem permanente. As organizações com backups perfeitos ainda enfrentam ameaças de vazamentos de dados públicos, penalidades regulatórias, perda de inteligência competitiva e danos à reputação.
Ataques recentes de alto perfil demonstram essa ameaça: os invasores publicaram registros de pacientes roubados, bancos de dados de clientes e pesquisas proprietárias mesmo depois que as vítimas se recusaram a pagar, causando multas regulatórias que ultrapassam dezenas de milhões de dólares. O modelo de ameaça mudou fundamentalmente – o ransomware não é mais apenas um ataque de disponibilidade resolvido por backups, mas uma violação de confidencialidade que exige uma proteção abrangente dos dados.
As prioridades do alvo incluem:
- informações de identificação pessoal do cliente (PII)
- registros financeiros
- propriedade intelectual
- dados de funcionários
- registros de saúde
- qualquer informação sujeita a proteção regulamentar
Os atacantes avaliam o valor dos dados antes de selecionar as vítimas, visando especificamente as organizações que detêm informações confidenciais com consequências para a publicação.
A defesa exige estratégias de backup em camadas com prevenção de exfiltração de dados. Os sistemas de prevenção contra perda de dados (DLP) monitoram e bloqueiam transferências de dados incomuns. A segmentação da rede limita o movimento lateral entre os repositórios de dados. A criptografia em repouso torna os arquivos roubados inutilizáveis sem as chaves correspondentes. As arquiteturas de confiança zero verificam todas as tentativas de acesso, independentemente da origem.
Os backups continuam a ser essenciais para a recuperação operacional, mas abordam apenas metade da ameaça de dupla extorsão. Uma defesa abrangente contra o ransomware reconhece que os ataques modernos criam riscos duplos que exigem proteções duplas – resiliência de backup para criptografia e controles de acesso para exfiltração.
Quais são os mitos comuns sobre ransomware e backups?
Se o senhor estiver pesquisando como proteger os backups contra ransomware, poderá se deparar com conselhos errados ou desatualizados. A realidade é que a proteção de backup contra ransomware é um pouco mais complexa, portanto, vamos examinar alguns dos mitos mais populares que envolvem o assunto.
Mito 1 do backup de ransomware: o ransomware não infecta backups. O senhor pode pensar que seus arquivos estão seguros. No entanto, nem todo ransomware é ativado quando o senhor é infectado. Alguns esperam antes de começar. Isso significa que seus backups podem conter uma cópia do ransomware.
Mito 2 do backup de ransomware: os backups criptografados estão protegidos contra ransomware. Na verdade, não importa se seus backups estão criptografados. Assim que o senhor executa uma recuperação de backup, a possível infecção se torna executável novamente e é ativada.
Mito 3 do backup de ransomware: somente o Windows é afetado. Muitas pessoas acham que é possível executar seus backups em um sistema operacional diferente para eliminar a ameaça. Infelizmente, se os arquivos infectados estiverem hospedados na nuvem, o ransomware poderá atravessar.
Mito 4 do backup de ransomware: pagar o resgate é mais fácil e mais barato do que investir em sistemas de recuperação de dados. Há dois argumentos fortes contra isso. Número um – as empresas que pagam o resgate são vistas como vulneráveis e não estão dispostas a lutar contra ataques de ransomware. Número dois – pagar o resgate integralmente não é nem de perto uma forma garantida de adquirir chaves de descriptografia.
Mito 5 do backup de ransomware: os ataques de ransomware são feitos principalmente por vingança contra grandes empresas que maltratam pessoas comuns. Há uma conexão que pode ser feita entre empresas com políticas de clientes questionáveis e ataques de vingança, mas a grande maioria dos ataques está simplesmente procurando alguém para tirar vantagem.
Mito 6 do backup de ransomware: o ransomware não ataca empresas menores e tem como alvo apenas as grandes corporações. Embora as empresas maiores possam ser alvos maiores devido a um resgate potencialmente maior que poderia ser obtido delas, as empresas menores estão sendo atacadas por ransomware com a mesma frequência que as maiores, e até mesmo os usuários privados recebem um número significativo de ataques de ransomware regularmente. Um relatório da Sophos mostra que esse mito específico simplesmente não é verdadeiro, pois tanto as empresas de grande porte quanto as de pequeno porte têm praticamente a mesma porcentagem de serem afetadas por ransomware em um ano (72% para empresas com receita de US$ 5 bilhões e 58% para empresas com receita inferior a US$ 10 milhões).
É claro que ainda há muitas maneiras de proteger os backups contra ransomware. Veja abaixo algumas estratégias importantes que o senhor deve considerar para a sua empresa.
Quais são os melhores métodos de proteção de backups contra ransomware?
Aqui estão algumas considerações técnicas específicas para o ambiente de TI de sua empresa, para proteger seu servidor de backup contra futuros ataques de ransomware:
Use credenciais exclusivas e distintas
Os sistemas de backup exigem autenticação dedicada que não existe em nenhum outro lugar de sua infraestrutura. Os ataques de ransomware geralmente começam comprometendo as credenciais administrativas padrão e, em seguida, usam essas mesmas credenciais para localizar e destruir os repositórios de backup. Quando o armazenamento de backup compartilha a autenticação com os sistemas de produção, uma única violação de credencial expõe tudo.
Requisitos de controle de acesso:
- Habilite a autenticação multifator para qualquer acesso humano à infraestrutura de backup – tokens de hardware ou aplicativos autenticadores oferecem uma proteção mais forte do que códigos baseados em SMS.
- Implemente o controle de acesso baseado em funções, separando os operadores de backup (que executam tarefas e monitoram a conclusão) dos administradores de backup (que configuram políticas e armazenamento).
- Conceda as permissões mínimas necessárias para cada função – acesso de leitura de arquivos para agentes de backup, acesso de gravação a locais de armazenamento específicos, nada mais.
- Evite privilégios de raiz ou de administrador para operações de backup, que dão ao ransomware acesso desnecessário ao sistema.
Crie contas de serviço exclusivamente para operações de backup sem nenhum outro acesso ao sistema. Essas contas nunca devem fazer login em estações de trabalho, sistemas de e-mail ou outros aplicativos. A arquitetura do Bacula impõe essa separação por padrão, executando seus daemons em contas de serviço dedicadas que operam independentemente das cargas de trabalho de produção.
Monitore os registros de autenticação para obter acesso ao sistema de backup, principalmente tentativas de login com falha, acesso de locais incomuns ou uso de credenciais fora das janelas normais de backup. Audite ações privilegiadas, como alterações na política de retenção ou exclusões de backup – alterações legítimas ocorrem com pouca frequência, tornando óbvia a atividade não autorizada.
Armazenamento off-line
O armazenamento off-line é uma das melhores defesas contra a propagação da criptografia de ransomware para o armazenamento de backup. Há várias possibilidades de armazenamento que merecem ser mencionadas:
Tipo de mídia | O que é importante |
Cloud target backups | Eles usam um mecanismo de autenticação diferente. Está apenas parcialmente conectado ao sistema de backup. Usar backups de destino na nuvem é uma boa maneira de proteger os backups contra ransomware porque seus dados são mantidos em segurança na nuvem. No caso de um ataque, o senhor poderá restaurar seu sistema a partir dela, embora isso possa ser caro. O senhor também deve ter em mente que a sincronização com o armazenamento de dados local também carrega a infecção para o backup na nuvem. |
Primary storage Snapshots | Os instantâneos têm uma estrutura de autenticação diferente e são usados para recuperação. As cópias de snapshot são backups somente de leitura, portanto, novos ataques de ransomware não podem infectá-las. Se o senhor identificar uma ameaça, basta restaurá-la a partir de uma cópia tirada antes da ocorrência do ataque. |
Replicated VMs | Melhor quando controlado por uma estrutura de autenticação diferente, como o uso de domínios diferentes para, digamos, hosts vSphere e Hyper-V, e Powered off. O senhor só precisa se certificar de que está controlando cuidadosamente o cronograma de retenção. Se ocorrer um ataque de ransomware e o senhor não perceber antes que seus backups sejam criptografados, talvez não tenha nenhum backup para restaurar. |
Hard drives/SSD | Destacados, desmontados ou off-line, a menos que estejam sendo lidos ou gravados. Algumas unidades de estado sólido foram abertas com malware, mas isso vai além do alcance de alguns ransomwares de backup tradicionais. |
Tape | O senhor não pode ficar mais off-line do que com fitas que foram descarregadas de uma biblioteca de fitas. Elas também são convenientes para o armazenamento fora do local. Como os dados geralmente são mantidos fora do local, os backups em fita normalmente estão protegidos contra ataques de ransomware e desastres naturais. As fitas sempre devem ser criptografadas. |
Appliances | Os eletrodomésticos, por serem caixas pretas, precisam ser protegidos adequadamente contra acesso não autorizado para se protegerem contra ataques de ransomware. É recomendável uma segurança de rede mais rígida do que a dos servidores de arquivos comuns, pois os appliances podem ter mais vulnerabilidades inesperadas do que os sistemas operacionais comuns. |
Jobs de cópia de backup
Um Job de cópia de backup copia os dados de backup existentes para outro sistema de disco para que sejam restaurados posteriormente ou enviados para um local externo.
A execução de uma tarefa de cópia de backup é uma excelente maneira de criar pontos de restauração com regras de retenção diferentes da tarefa de backup regular (e está localizada em outro armazenamento). O trabalho de cópia de backup é um mecanismo valioso que ajuda o senhor a proteger os backups contra ransomware porque há diferentes pontos de restauração em uso com o trabalho de cópia de backup.
Por exemplo, se o senhor adicionar um dispositivo de armazenamento extra à sua infraestrutura (por exemplo, um servidor Linux), poderá definir um repositório para ele e criar uma tarefa de cópia de backup para funcionar como backup de ransomware.
Evite muitos tipos de sistemas de arquivos
Embora envolver diferentes protocolos seja uma boa maneira de evitar a propagação de ransomware, saiba que isso certamente não é garantia contra ataques de backup de ransomware. Diferentes tipos de ransomware tendem a evoluir e a se tornar mais eficazes regularmente, e novos tipos aparecem com bastante frequência.
Portanto, é aconselhável usar uma abordagem de segurança de nível empresarial: o armazenamento de backup deve ser inacessível na medida do possível e deve haver apenas uma conta de serviço em máquinas conhecidas que precise acessá-los. Os locais do sistema de arquivos usados para armazenar dados de backup devem ser acessíveis somente pelas contas de serviço relevantes para proteger todas as informações contra ataques de ransomware.
Use a regra 3-2-1-1
Seguir a regra 3-2-1 significa ter três cópias distintas dos seus dados, em duas mídias diferentes, uma das quais está fora do local. O poder dessa abordagem para backup de ransomware é que ela aborda praticamente qualquer cenário de falha e não exige o uso de nenhuma tecnologia específica. Na era do ransomware, o Bacula recomenda adicionar um segundo “1” à regra; um em que uma das mídias esteja off-line. Há várias opções em que o senhor faz uma cópia off-line ou semi-off-line dos seus dados. Na prática, sempre que o backup é feito em alvos que não sejam do sistema de arquivos, o senhor já está próximo de cumprir essa regra. Portanto, as fitas e os destinos de armazenamento de objetos na nuvem são úteis para o senhor. Colocar as fitas em um cofre depois de gravadas é uma prática recomendada de longa data.
Os destinos de armazenamento em nuvem funcionam como um armazenamento semi-offline do ponto de vista do backup. Os dados não estão no local e o acesso a eles requer protocolos personalizados e autenticação secundária. Alguns provedores de nuvem permitem que os objetos sejam definidos em um estado imutável, o que atenderia ao requisito de evitar que sejam danificados por um invasor. Como em qualquer implementação de nuvem, um certo grau de confiabilidade e risco de segurança é aceito ao confiar dados críticos ao provedor de nuvem, mas como fonte de backup secundário, a nuvem é muito atraente.
Verificar a integridade do backup (a regra 3-2-1-1-0)
A regra moderna 3-2-1-1-0 amplia as práticas tradicionais de backup com um quinto componente essencial: zero erros. Esse princípio enfatiza que os backups só têm valor se sua restauração bem-sucedida for garantida quando necessário. O “0” representa backups verificados, sem erros, que foram testados e comprovadamente restauráveis.
Muitas organizações descobrem tarde demais que seus backups estão corrompidos, incompletos ou impossíveis de restaurar. Às vezes, o ransomware fica inativo em cópias de backup por semanas ou meses antes de ser ativado, o que torna essencial a verificação regular. Sem testes sistemáticos, o senhor pode ter várias cópias de dados inutilizáveis em vez de backups funcionais.
A implementação do princípio de zero erros requer várias práticas:
- As verificações de integridade automatizadas devem ser executadas após cada trabalho de backup, verificando os checksums e a integridade dos arquivos. Essas verificações detectam a corrupção imediatamente, e não durante uma situação de recuperação de crise.
- Testes regulares de restauração significam restaurar periodicamente os dados de todas as fontes de backup para confirmar que o processo funciona de ponta a ponta. As restaurações de teste devem abranger diferentes cenários: arquivos individuais, sistemas inteiros e situações completas de recuperação de desastres.
- A verificação da largura de banda e do desempenho garante que sua infraestrutura será capaz de lidar com restaurações de capacidade total dentro de seus objetivos de tempo de recuperação. Um backup que leva três semanas para ser restaurado pode estar tecnicamente intacto, mas operacionalmente inútil.
- A documentação dos procedimentos de recuperação deve ser mantida e atualizada a cada teste, garantindo que a equipe ainda seja capaz de executar com sucesso as recuperações sob pressão.
Programe simulações de recuperação abrangentes, no mínimo trimestralmente, testando backups de diferentes períodos de tempo e locais de armazenamento. Meça e documente os objetivos reais de tempo de recuperação (RTO) e os objetivos de ponto de recuperação (RPO) durante esses exercícios, comparando-os com os requisitos da empresa. Essa prática transforma a proteção teórica de backup em capacidade de recuperação de dados comprovada e confiável.
Evite snapshots de armazenamento
Os snapshots de armazenamento são úteis para recuperar arquivos excluídos em um determinado momento, mas não são backups no verdadeiro sentido. Os instantâneos de armazenamento tendem a não ter gerenciamento avançado de retenção, relatórios e todos os dados ainda estão armazenados no mesmo sistema e, portanto, podem estar vulneráveis a qualquer ataque que afete os dados primários. Um instantâneo não é mais do que uma cópia pontual de seus dados. Dessa forma, o backup ainda está vulnerável a ataques de ransomware, caso eles tenham sido programados para permanecerem inativos até um determinado momento.
Recuperação bare metal
A recuperação bare metal é realizada de várias maneiras diferentes. Muitas empresas simplesmente implementam uma imagem padrão, provisionam o software e, em seguida, restauram os dados e/ou as preferências do usuário. Em muitos casos, todos os dados já estão armazenados remotamente e o sistema em si não tem muita importância. No entanto, em outros casos, essa não é uma abordagem prática e a capacidade de restaurar completamente uma máquina para um ponto no tempo é uma função essencial da implementação da recuperação de desastres que permite proteger os backups contra ransomware.
A capacidade de restaurar um computador criptografado por ransomware para um ponto recente no tempo, incluindo todos os dados do usuário armazenados localmente, pode ser uma parte necessária de uma defesa em camadas. A mesma abordagem é aplicada aos sistemas virtualizados, embora geralmente existam opções preferíveis disponíveis no hipervisor.
Teste do plano de backup
O teste dos procedimentos de backup e recuperação transforma a proteção teórica em capacidade comprovada. As organizações que descobrem falhas de backup durante incidentes reais de ransomware enfrentam perda catastrófica de dados e tempo de inatividade prolongado. Os testes regulares identificam os problemas antes que ocorram emergências.
Estabeleça um cronograma de testes estruturado com base na criticidade dos dados. Teste os sistemas de missão crítica mensalmente, os sistemas importantes trimestralmente e os sistemas padrão semestralmente. Cada teste valida diferentes cenários de recuperação para garantir uma cobertura abrangente.
Cenários de recuperação a serem testados regularmente:
- Restauração em nível de arquivo – Recupere arquivos e pastas individuais de várias datas para verificar os recursos de recuperação granular
- Restauração no nível do sistema – Restaure servidores completos, bancos de dados ou máquinas virtuais para confirmar a recuperação total do sistema
- Recuperação bare metal – Reconstrua sistemas do zero em um novo hardware para validar os procedimentos de recuperação de desastres
- Recuperação entre plataformas – Teste a restauração em diferentes hardwares ou ambientes virtualizados
- Recuperação parcial – Restaurar componentes específicos de aplicativos ou tabelas de bancos de dados para verificar as opções de recuperação seletiva
Documentar o objetivo de tempo de recuperação (RTO) e o objetivo de ponto de recuperação (RPO) para cada sistema durante o teste. O RTO mede a rapidez com que o senhor restaura as operações – o tempo entre a falha e a recuperação total. O RPO mede a possível perda de dados – o tempo entre o último backup e o evento de falha. Compare os resultados reais com os requisitos comerciais e ajuste as frequências de backup ou a infraestrutura de acordo.
Verifique se a capacidade da largura de banda comporta restaurações em escala total dentro de suas metas de RTO. Um sistema de backup que requer três semanas para restaurar terabytes de dados falha operacionalmente, apesar da integridade técnica. Teste a restauração em redes de produção durante o horário comercial para identificar restrições realistas de desempenho.
Mantenha a documentação detalhada de cada teste, incluindo os procedimentos seguidos, o tempo necessário, os problemas encontrados e as ações corretivas adotadas. Atualizar os runbooks com base nos resultados dos testes para garantir que a equipe execute as recuperações de forma eficiente durante os incidentes reais. Faça o rodízio das responsabilidades de teste entre os membros da equipe para evitar pontos únicos de falha de conhecimento.
Monitoramento, alerta e detecção de anomalias
O monitoramento contínuo detecta ataques de ransomware em andamento antes que eles destruam a infraestrutura de backup. Normalmente, os invasores passam horas ou dias fazendo o reconhecimento dos sistemas de backup, tentando acessar as credenciais e testando os recursos de exclusão antes de lançar ataques em grande escala. O monitoramento é necessário para detectar essas atividades de reconhecimento com antecedência.
Eventos críticos que exigem alertas imediatos:
- Tentativas fracassadas de autenticação em sistemas de backup, especialmente falhas múltiplas de fontes únicas
- Solicitações de exclusão de backup ou modificações na política de retenção fora das janelas de alteração
- Tamanhos incomuns de backup – aumentos drásticos sugerem exfiltração de dados, reduções significativas indicam corrupção ou adulteração
- Falhas no trabalho de backup em vários sistemas simultaneamente, sinalizando ataques coordenados
- Acesso ao armazenamento de backup a partir de endereços IP ou localizações geográficas não autorizados
- Acesso à chave de criptografia fora das operações de backup programadas
Configure linhas de base para a detecção de anomalias medindo os padrões normais de backup em períodos de 30 dias. Estabeleça tamanhos típicos de backup, tempos de conclusão e padrões de acesso para cada sistema. Integre os registros do sistema de backup com as plataformas de gerenciamento de eventos e informações de segurança (SIEM) para obter visibilidade unificada. Automatize a resposta a alertas críticos sempre que possível. Analise os dados de monitoramento semanalmente, mesmo sem alertas.
Armazenamento imutável
O ransomware moderno busca e destrói ativamente os backups antes de criptografar os dados primários. O armazenamento imutável neutraliza essa ameaça criando cópias de backup que não podem ser modificadas, excluídas ou criptografadas depois de gravadas, mesmo por administradores com acesso total ao sistema.
A tecnologia WORM (Write-Once-Read-Many) representa a implementação mais robusta da imutabilidade. Quando os dados são armazenados no formato WORM, eles ficam permanentemente bloqueados por um período de retenção especificado. O ransomware que compromete as credenciais do administrador não pode substituir essas proteções, tornando o armazenamento WORM imune a ataques baseados em credenciais.
Os provedores de nuvem oferecem imutabilidade em nível de objeto por meio de serviços como Amazon S3 Object Lock, Azure Immutable Blob Storage e Google Cloud Storage Retention Policies. Esses serviços bloqueiam objetos no nível da API, impedindo solicitações de exclusão ou modificação de qualquer usuário ou aplicativo. A configuração requer a ativação da imutabilidade no nível do bucket ou do contêiner antes de gravar os dados de backup.
As soluções WORM baseadas em hardware incluem bibliotecas de fitas especializadas e dispositivos com proteção contra gravação reforçada por firmware. Esses dispositivos rejeitam comandos de modificação no nível do hardware, fornecendo proteção independente de vulnerabilidades de software.
Etapas de implementação para backups imutáveis:
- Configurar o software de backup para gravar em destinos imutáveis imediatamente após a conclusão do backup
- Defina períodos de retenção que excedam o período mais longo de dormência potencial do ransomware – normalmente de 90 a 180 dias com base nos padrões atuais de ameaças
- Separe os sistemas de autenticação para o armazenamento imutável dos ambientes de produção usando contas de serviço dedicadas com permissões somente para gravação
- Coloque o armazenamento imutável em camadas com a infraestrutura de backup padrão em vez de substituí-la – as cópias imutáveis funcionam como a opção de recuperação final
- Monitore as tentativas de acesso não autorizado e as solicitações de exclusão com falha, que sinalizam ataques ativos
- Verifique se as configurações de imutabilidade continuam sendo aplicadas após as atualizações do sistema
Criptografia de backup
A criptografia protege os dados de backup contra acesso não autorizado e impede que os invasores explorem backups roubados em esquemas de dupla extorsão. Os grupos de ransomware modernos cada vez mais exfiltram dados antes da criptografia, ameaçando publicar informações confidenciais, a menos que as vítimas paguem resgates adicionais. Os backups criptografados tornam os dados roubados inutilizáveis para os invasores.
Implemente a criptografia em dois pontos críticos:
- dados em repouso (backups armazenados)
- dados em trânsito (durante as operações de backup e restauração)
A criptografia AES-256 fornece proteção padrão do setor para dados de backup armazenados, oferecendo segurança efetivamente inviolável com a tecnologia atual. O TLS 1.2 ou superior protege os dados que circulam entre os clientes de backup e os destinos de armazenamento, impedindo a interceptação durante a transmissão.
Práticas de gerenciamento de chaves:
- Armazene as chaves de criptografia separadamente dos dados de backup – as chaves armazenadas junto com os backups criptografados não oferecem proteção se os invasores comprometerem o sistema de armazenamento
- Use sistemas dedicados de gerenciamento de chaves (KMS) ou módulos de segurança de hardware (HSMs) que ofereçam armazenamento de chaves e registro de acesso invioláveis
- Implemente controles de acesso baseados em funções, limitando o acesso às chaves somente aos administradores de backup autorizados
- Fazer o rodízio das chaves de criptografia anualmente ou após qualquer suspeita de incidente de segurança
- Mantenha cópias off-line seguras das chaves de criptografia em locais fisicamente separados – a perda de chaves significa perda permanente de dados, independentemente da integridade do backup
- Documente os procedimentos de recuperação de chaves e teste-os regularmente para garantir que as chaves permaneçam acessíveis durante desastres
- Habilite a autenticação multifatorial para todos os acessos ao sistema de gerenciamento de chaves
Separe as credenciais de gerenciamento de chaves das credenciais do sistema de backup. Os invasores que comprometem as contas de administrador de backup não devem obter automaticamente acesso às chaves de criptografia. Essa separação cria uma barreira adicional que exige que os invasores violem vários sistemas de autenticação.
Para organizações sujeitas a requisitos normativos, a criptografia atende às exigências de conformidade, incluindo GDPR, HIPAA e PCI-DSS. Essas estruturas exigem a criptografia de dados confidenciais em repouso e em trânsito, tornando a criptografia de backup legalmente obrigatória e não opcional para os setores regulamentados.
Monitore os registros de acesso às chaves de criptografia em busca de atividades incomuns. Tentativas inesperadas de recuperação de chaves sinalizam possíveis ataques que tentam descriptografar dados de backup para exfiltração ou sabotagem.
Políticas de backup
Revisar e atualizar regularmente suas políticas de backup anti-ransomware é um método notavelmente eficaz de minimizar o efeito de um ataque de ransomware ou de evitá-lo diretamente. Para que a política de backup seja eficaz, em primeiro lugar, ela precisa estar atualizada e ser flexível, incluindo soluções para todos os métodos modernos de ataque de ransomware.
Uma das melhores defesas contra o ransomware é a restauração das informações a partir de backups limpos, já que o pagamento de um resgate não é uma garantia de 100% de que seus dados serão descriptografados em primeiro lugar – o que significa a importância dos backups mais uma vez. Os tópicos que devem ser abordados ao realizar uma auditoria completa de toda a sua estrutura de dados interna incluem:
- A regra 3-2-1 está em vigor?
- Há algum sistema crítico que não esteja coberto por operações regulares de backup?
- Esses backups estão devidamente isolados para que não sejam afetados pelo ransomware?
- O senhor já praticou a restauração de um sistema a partir de um backup para testar como ele funciona?
Planejamento de recuperação de desastres
Um plano de recuperação de desastres (DRP) descreve como sua organização responde a ameaças, incluindo ransomware, falhas de hardware, desastres naturais e erros humanos. Os DRPs eficazes estabelecem procedimentos claros antes da ocorrência de incidentes, eliminando a confusão durante situações de resposta de alto estresse.
Estrutura dos objetivos de recuperação:
O Recovery Point Objective (RPO) define a perda aceitável de dados medida em tempo – a quantidade de dados que o senhor pode se dar ao luxo de perder. O objetivo de tempo de recuperação (RTO) define o tempo de inatividade aceitável – a rapidez com que o senhor deve restaurar as operações. Defina essas metas com base no impacto nos negócios:
- Sistemas de missão crítica (transações financeiras, registros de pacientes): RPO de 15 minutos a 1 hora, RTO de 1 a 4 horas
- Sistemas comerciais importantes (e-mail, CRM, gerenciamento de projetos): RPO de 4 a 8 horas, RTO de 8 a 24 horas
- Sistemas padrão (servidores de arquivos, arquivos): RPO de 24 horas, RTO de 48 a 72 horas
A frequência e a infraestrutura de backup devem suportar essas metas. Os sistemas com RPO de 15 minutos exigem replicação contínua ou instantâneos frequentes, não backups diários.
Procedimentos de resposta a incidentes de ransomware:
- Isolar os sistemas afetados imediatamente – Desconectar os dispositivos comprometidos das redes para evitar a disseminação do ransomware, mas deixar os sistemas ligados para preservar as evidências
- Ative a equipe de resposta a incidentes – Atribua funções: comandante do incidente, líder técnico, coordenador de comunicações, contato jurídico
- Avalie o escopo – Identifique todos os sistemas comprometidos, determine a variante do ransomware, verifique se os backups foram afetados
- Preserve as evidências – Capture despejos de memória, registros e estados do sistema antes da correção para possível envolvimento da polícia
- Verificar a integridade do backup – Testar a restauração de várias gerações de backup para confirmar a existência de pontos de recuperação limpos
- Execute a recuperação – Restaure a partir do backup limpo mais recente, reconstrua os sistemas comprometidos, implemente controles de segurança adicionais antes de se reconectar à produção
Documentar antecipadamente as decisões de pagamento de ransomware. Estabeleça critérios para quando o pagamento pode ser considerado (sistemas de segurança de vida, ausência de backups viáveis) versus políticas firmes de recusa. Nunca negocie sem o aconselhamento jurídico e a coordenação da aplicação da lei.
Educação centrada na segurança para os funcionários
Os backups são realizados nos níveis de todo o sistema e nos sistemas individuais dos funcionários, especialmente quando se trata de vários e-mails e outras informações específicas. Ensinar seus funcionários sobre a importância da participação deles no processo de backup é uma ótima maneira de fechar ainda mais lacunas em sua defesa contra o ransomware.
Ao mesmo tempo, embora os funcionários regulares ajudem no processo de backup, eles não devem ter acesso aos backups. Quanto mais pessoas tiverem acesso aos dados de backup, maiores serão as chances de erro humano ou de alguma outra forma de comprometer o seu sistema e os seus backups.
Fortalecimento da infraestrutura e proteção de endpoints
O ransomware explora vulnerabilidades nos sistemas para obter acesso inicial e se espalhar lateralmente pelas redes. A proteção abrangente da infraestrutura fecha esses pontos de entrada e limita o movimento do invasor, mesmo quando as defesas de perímetro falham.
O gerenciamento de patches forma a base da segurança da infraestrutura. Estabeleça a implementação automatizada de patches para sistemas operacionais, aplicativos e firmware dentro de 72 horas após o lançamento das vulnerabilidades críticas. Priorize os patches que tratam de explorações conhecidas de ransomware e falhas de execução remota de código. Mantenha um inventário de todos os sistemas para garantir que nada passe pelas lacunas de aplicação de patches.
As soluções de detecção e resposta de endpoint (EDR) fornecem monitoramento em tempo real e detecção de ameaças em estações de trabalho e servidores. As ferramentas de EDR identificam padrões de comportamento de ransomware, como criptografia rápida de arquivos, execução incomum de processos ou tentativas de excluir cópias de sombra, e isolam automaticamente os endpoints infectados antes que o ransomware se espalhe. Implemente o EDR em todos os endpoints, incluindo servidores de backup e estações de trabalho administrativas.
A redução da superfície de ataque elimina pontos de acesso desnecessários. Cada serviço removido ou porta fechada representa uma vulnerabilidade a menos para os invasores explorarem. Dessa forma, desative os serviços não utilizados, feche as portas de rede desnecessárias, remova os protocolos legados e desinstale os softwares que apresentam riscos à segurança. Implemente também a lista branca de aplicativos para impedir a execução de executáveis não autorizados.
A varredura de vulnerabilidades identifica as brechas de segurança antes que os invasores o façam. Programe varreduras semanais automatizadas de todos os sistemas, priorizando a correção com base na probabilidade de exploração e no impacto potencial. Dê atenção especial à infraestrutura de backup, aos sistemas de armazenamento e aos servidores de autenticação, que são alvos de alto valor nas campanhas de ransomware.
O treinamento de conscientização sobre segurança aborda o elemento humano. Treine os funcionários para reconhecer tentativas de phishing, anexos suspeitos e táticas de engenharia social trimestralmente. Exercícios simulados de phishing identificam os usuários que precisam de treinamento adicional. Os ataques de e-mail e phishing foram responsáveis por 52,3% dos incidentes de ransomware em 2024, o que torna essencial a vigilância dos funcionários.
Auditorias regulares de fortalecimento da infraestrutura verificam se as configurações de segurança continuam sendo aplicadas. Com o passar do tempo, os sistemas se desviam das linhas de base seguras por meio de alterações legítimas e configurações incorretas – as auditorias periódicas detectam esses desvios antes que os invasores os explorem.
Air gapping
Os backups com air gap oferecem isolamento físico que os torna inacessíveis por meio de ataques baseados em rede. Essa abordagem desconecta fisicamente o armazenamento de backup de todas as redes, da infraestrutura de nuvem e da conectividade durante os períodos sem backup, criando uma barreira absoluta contra a infiltração remota de ransomware.
O ransomware se espalha por meio de conexões de rede, procurando por armazenamento acessível e repositórios de backup. O armazenamento Air-gapped elimina totalmente esse vetor de ataque – se o dispositivo de armazenamento não tiver conexão de rede, o ransomware não conseguirá acessá-lo, independentemente do comprometimento de credenciais ou de explorações de dia zero.
Implementação de backups com air-gap:
- Use dispositivos de armazenamento removíveis, como discos rígidos externos, dispositivos NAS ou mídia de fita
- Conecte os dispositivos aos sistemas de backup somente durante as janelas de backup programadas e, em seguida, desconecte-os fisicamente imediatamente após a conclusão
- Estabeleça um cronograma de rotação com vários dispositivos de armazenamento – enquanto um dispositivo captura o backup atual, os dispositivos anteriores permanecem completamente off-line em locais físicos seguros
- Armazene os dispositivos desconectados em locais físicos separados da infraestrutura principal para proteger contra ransomware e desastres físicos
- Configure os backups como cópias completas em vez de cadeias incrementais (backups sem cadeias) que dependem de gerações anteriores – isso permite a recuperação de qualquer dispositivo sem a necessidade de acesso a outras versões de backup
- Automatizar a desconexão usando bibliotecas de fitas ou storage arrays controlados programaticamente, sempre que possível, para reduzir o erro humano
- Documentar minuciosamente os procedimentos de reconexão para situações de resposta a incidentes de alto estresse
Os backups air-gapped são adequados para organizações com janelas de backup definidas e objetivos de tempo de recuperação medidos em horas e não em minutos. Os aplicativos em tempo real que exigem failover instantâneo precisam de proteção suplementar por meio de sistemas replicados ou armazenamento imutável na nuvem.
Configure os backups como cópias completas em vez de cadeias incrementais que dependem de backups anteriores. Os backups sem cadeias permitem a recuperação a partir de qualquer dispositivo único com air-gap sem exigir acesso a outras gerações de backup. Se o ransomware comprometer sua cadeia de backups incrementais, os arquivos sem cadeia permanecerão recuperáveis de forma independente.
Bloqueio de objetos do Amazon S3
O Object Lock é um recurso do armazenamento em nuvem da Amazon que permite a proteção aprimorada das informações armazenadas nos buckets do S3. O recurso, como o próprio nome sugere, impede qualquer ação não autorizada com um objeto específico ou conjunto de objetos por um período de tempo específico, tornando os dados praticamente imutáveis por um período de tempo definido.
Um dos maiores casos de uso do Object Lock é a conformidade com várias estruturas e normas de conformidade, mas também é um recurso útil para esforços gerais de proteção de dados. Também é relativamente simples de configurar – tudo o que é necessário é que o usuário final escolha um período de retenção, transformando efetivamente os dados no formato WORM por enquanto.
Há dois modos principais de retenção que o S3 Object Lock oferece: o modo de conformidade e o modo de governança. O modo de conformidade é o menos rigoroso dos dois, oferecendo a possibilidade de modificar o modo de retenção enquanto os dados estão “bloqueados”. O modo de governança, por outro lado, impede que a maioria dos usuários adultere os dados de qualquer forma – os únicos usuários que têm permissão para fazer qualquer coisa com os dados durante o período de retenção são aqueles que têm permissões especiais de desvio.
Também é possível usar o Object Lock para ativar uma “retenção legal” em dados específicos, que funciona fora dos períodos e modos de retenção e impede que os dados em questão sejam adulterados por motivos legais, como litígio.
Segurança Zero Trust
Uma mudança contínua da segurança tradicional para a segurança centrada em dados introduziu muitas novas tecnologias que oferecem benefícios de segurança incríveis, mesmo que haja um preço a pagar em termos de experiência do usuário. Por exemplo, uma abordagem de segurança de confiança zero é uma tática relativamente comum para sistemas de segurança modernos, servindo como uma grande barreira de proteção contra ransomware e outras ameaças em potencial.
A abordagem geral de segurança de confiança zero adota a ideia principal de segurança centrada em dados, tentando verificar e checar todos os usuários e dispositivos que acessam informações específicas, independentemente do que sejam e de onde estejam localizados. Esse tipo de abordagem se concentra em quatro “pilares” principais:
- O princípio do menor privilégio fornece a cada usuário o menor número possível de privilégios no sistema, tentando atenuar o problema do acesso excessivamente privilegiado que a maioria dos setores teve durante anos.
- A segmentação extensiva é usada principalmente para limitar o escopo de uma possível violação de segurança, eliminando a possibilidade de um único invasor obter acesso a todo o sistema de uma só vez.
- A verificação constante é um princípio fundamental para a segurança de confiança zero, sem qualquer tipo de lista de “usuários confiáveis” que seja usada para contornar o sistema de segurança por completo.
- O monitoramento contínuo também é uma necessidade para garantir que todos os usuários sejam legítimos e reais, caso algum tipo de programa de ataque moderno ou um agente mal-intencionado consiga contornar a primeira camada de segurança.
Segmentação de rede para infraestrutura de backup
O isolamento dos sistemas de backup das redes de produção impede que o ransomware se desloque lateralmente entre as estações de trabalho comprometidas e os repositórios de backup. Quando a infraestrutura de backup compartilha espaço de rede com endpoints e servidores, os invasores usam os mesmos caminhos para atingir os dois alvos.
Implemente sistemas de backup em segmentos de rede dedicados usando VLANs ou sub-redes físicas separadas. Configure regras de firewall que permitam apenas o tráfego de backup necessário entre as redes de produção e de backup – geralmente limitado a agentes de backup que iniciam conexões com servidores de backup em portas específicas. Bloqueie todos os outros tipos de tráfego, principalmente os protocolos administrativos de produção para backup, como RDP ou SSH.
Use domínios ou florestas separados do Active Directory para autenticação da infraestrutura de backup. O comprometimento do domínio de produção frequentemente dá aos invasores acesso a toda a empresa, inclusive aos sistemas de backup, quando ambos compartilham a infraestrutura de autenticação. Domínios separados exigem que os invasores violem vários sistemas de autenticação de forma independente.
Implemente jump hosts ou bastion servers como o único ponto de entrada para a administração do sistema de backup. Os administradores se conectam primeiro ao jump host e, a partir daí, acessam a infraestrutura de backup. Essa arquitetura cria um ponto de estrangulamento monitorado para todo o acesso administrativo e impede conexões diretas de estações de trabalho potencialmente comprometidas.
Lista de verificação de isolamento de rede:
- VLANs ou sub-redes dedicadas para servidores e storage de backup
- Regras de firewall que restringem o tráfego de backup somente às portas e direções necessárias
- Domínios de autenticação separados para a infraestrutura de backup
- Exigência de host de salto para toda a administração do sistema de backup
- Controle de acesso à rede (NAC) impedindo que dispositivos não autorizados cheguem aos segmentos de backup
- Auditorias regulares de regras de firewall removendo permissões de acesso desnecessárias
Como as ferramentas do sistema de backup forneceriam proteção adicional contra ransomware?
Ao adotar uma abordagem ampliada para o mesmo problema de backup infectado por ransomware, é possível – e aconselhável – usar as ferramentas dos sistemas de backup como um meio adicional de proteção contra ataques. Aqui estão cinco práticas recomendadas de backup contra ransomware, para proteger ainda mais uma empresa contra ransomware:
- Certifique-se de que os próprios backups estejam livres de ransomware e/ou malware. Verificar se o backup não está infectado deve ser uma de suas maiores prioridades, pois toda a utilidade do backup como medida de proteção contra ransomware será anulada se os backups forem comprometidos por ransomware. Faça correções regulares no sistema para eliminar as vulnerabilidades do software, invista em ferramentas de detecção de malware e atualize-as regularmente e tente colocar seus arquivos de mídia off-line o mais rápido possível depois de alterá-los. Em alguns casos, o senhor pode considerar uma abordagem WORM (Write-One-Read-Many) para proteger seus backups contra ransomware – um tipo específico de mídia que só é fornecido para determinados tipos de fita e disco óptico, bem como para alguns provedores de armazenamento em nuvem.
- Não confie nos backups em nuvem como o único tipo de armazenamento de backup. Embora o armazenamento em nuvem tenha várias vantagens, ele não é totalmente imune ao ransomware. Embora seja mais difícil para um invasor corromper os dados fisicamente, ainda é possível que os invasores de ransomware obtenham acesso aos seus dados usando uma infraestrutura compartilhada do armazenamento em nuvem como um todo ou conectando esse armazenamento em nuvem ao dispositivo de um cliente infectado.
- Revise e teste seus planos de recuperação e backup existentes. Seu plano de backup e recuperação deve ser testado regularmente para garantir que o senhor esteja protegido contra ameaças. Descobrir que seu plano de recuperação não está funcionando como pretendido somente após um ataque de ransomware é claramente indesejável. A melhor estratégia de backup de ransomware é aquela que nunca terá de lidar com violações de dados mal-intencionadas. Trabalhe em vários cenários diferentes, verifique alguns de seus resultados relacionados à restauração, como o tempo de recuperação, e estabeleça quais partes do sistema são priorizadas por padrão. Lembre-se de que muitas empresas medem o custo da inatividade dos serviços em dólares por minuto e não em qualquer outra métrica.
- Esclareça ou atualize as políticas de retenção e desenvolva cronogramas de backup. Recomenda-se enfaticamente uma revisão regular de suas estratégias de backup de ransomware. Pode ser que o backup dos dados não seja feito com frequência suficiente ou que o período de retenção do backup seja muito pequeno, tornando o sistema vulnerável a tipos mais avançados de ransomware que visam cópias de backup por meio de atrasos e outros meios de infecção.
- Audite minuciosamente todos os locais de armazenamento de dados. Para proteger os backups contra ransomware, eles devem ser auditados para garantir que nenhum dado seja perdido e que o backup de tudo seja feito corretamente – possivelmente incluindo sistemas de usuários finais, armazenamentos em nuvem, aplicativos e outros softwares de sistema.
Como o ransomware visa e compromete seus backups?
Embora seja verdade que os sistemas de backup e recuperação são capazes de proteger as organizações contra ransomware na maioria dos casos, esses sistemas não são os únicos que continuam progredindo e evoluindo ao longo dos anos, pois o ransomware também se torna cada vez mais incomum e sofisticado com o passar do tempo.
Um dos problemas mais recentes de toda essa abordagem com backups é que agora muitas variações de ransomware aprenderam a visar e atacar não apenas os dados da empresa em primeiro lugar, mas também os backups dessa mesma empresa – e isso é um problema significativo para todo o setor. Muitos criadores de ransomware modificaram seu malware para rastrear e eliminar os backups. Sob essa perspectiva, embora os backups ainda protejam seus dados contra o ransomware, o senhor também terá que proteger os backups contra o ransomware.
É possível descobrir alguns dos principais ângulos que normalmente são usados para adulterar seus backups como um todo. Vamos destacar os principais e explicar como usá-los para proteger os backups contra ransomware:
O potencial de dano do ransomware aumenta com ciclos de recuperação mais longos
Embora não seja tão óbvio quanto outras possibilidades, o problema dos ciclos de recuperação longos ainda é bastante grande no setor e é causado principalmente por produtos de backup desatualizados que executam apenas backups completos lentos. Nesses casos, os ciclos de recuperação após um ataque de ransomware levam dias ou até semanas, o que representa uma grave interrupção para a maioria das empresas, pois o tempo de inatividade do sistema e os custos de interrupção da produção rapidamente ofuscam as estimativas iniciais de danos causados pelo ransomware.
Duas possíveis soluções para ajudar a proteger seus backups contra ransomware seriam: a) tentar obter uma solução que forneça uma cópia de todo o sistema o mais rápido possível, para que o senhor não tenha que passar dias ou até semanas no modo de recuperação; e b) tentar obter uma solução que ofereça restauração em massa como um recurso, fazendo com que várias VMs, bancos de dados e servidores voltem a funcionar muito rapidamente.
Sua apólice de seguro também pode se tornar sua responsabilidade
Como mencionamos anteriormente, surgem cada vez mais variações de ransomware que têm como alvo tanto os dados originais quanto os backups ou, às vezes, até mesmo tentam infectar e/ou destruir os dados do backup antes de ir para a fonte. Portanto, o senhor precisa dificultar ao máximo que o ransomware elimine todas as suas cópias de backup – uma espécie de defesa em várias camadas.
Os criminosos cibernéticos estão usando ataques muito sofisticados que têm como alvo os dados, indo direto para seus backups, pois essa é sua principal apólice de seguro para manter sua empresa em funcionamento. O senhor deve ter uma única cópia dos dados em um estado tal que ela nunca seja montada por nenhum sistema externo (geralmente chamada de cópia de backup imutável) e implementar vários recursos de segurança abrangentes, como o WORM mencionado anteriormente, bem como isolamento de dados moderno, criptografia de dados, detecção de violação e monitoramento de anormalidades no comportamento dos dados.
Há duas medidas aqui que analisaremos com um pouco mais de detalhes:
- Cópia de backup imutável. A cópia de backup imutável é uma das maiores medidas contra ataques de ransomware – é uma cópia do seu backup que não pode ser alterada de forma alguma depois de criada. Ela existe exclusivamente para ser sua principal fonte de dados caso o senhor tenha sido alvo de ransomware e precise que suas informações voltem a ser como eram antes. Os backups imutáveis não podem ser excluídos, alterados, sobrescritos ou modificados de nenhuma outra forma – somente copiados para outras fontes. Alguns fornecedores apresentam a imutabilidade como algo infalível, mas em termos de backup de ransomware, isso não existe. Mas o senhor não deve temer ataques de ransomware de backup imutável. Basta garantir que o senhor tenha uma estratégia abrangente que inclua a detecção e a prevenção de ataques e implemente um forte gerenciamento de credenciais.
- Criptografia de backup. É um tanto irônico que a criptografia também seja usada como uma das medidas para combater os ataques de ransomware, já que muitos ransomwares usam a criptografia para exigir o resgate dos seus dados. A criptografia não torna seus backups à prova de ransomware e não impede explorações. No entanto, em sua essência, a criptografia de backup deve funcionar como mais uma medida contra o ransomware, criptografando seus dados dentro dos backups para que o ransomware não possa lê-los ou modificá-los em primeiro lugar.
Problemas de visibilidade de seus dados tornam-se uma vantagem para o ransomware
Por sua natureza, o ransomware é mais perigoso quando entra em uma infraestrutura mal gerenciada – uma espécie de “dados obscuros”. Lá, ele causa muitos danos: um ataque de ransomware criptografa seus dados e/ou os vende na dark web. Esse é um problema significativo que exige as tecnologias mais avançadas para ser detectado e combatido com eficácia.
Embora a detecção precoce de ransomware seja possível apenas com uma solução moderna de gerenciamento de dados e um bom sistema de backup, a detecção dessas ameaças em tempo real exige uma combinação de aprendizado de máquina e inteligência artificial, para que o senhor receba alertas sobre atividades suspeitas de ransomware em tempo real, tornando a descoberta do ataque muito mais rápida.
A fragmentação de dados é uma vulnerabilidade grave
Claramente, muitas organizações lidam com grandes quantidades de dados regularmente. No entanto, o tamanho não é um problema tão grande quanto a fragmentação – não é incomum que os dados de uma empresa estejam localizados em vários locais diferentes e usem vários tipos de armazenamento diferentes. A fragmentação também cria grandes caches de dados secundários (nem sempre essenciais para as operações comerciais) que afetam seus recursos de armazenamento e o tornam mais vulnerável.
Cada um desses locais e tipos de backup está adicionando outro local em potencial para o ransomware explorar seus dados, tornando o sistema da empresa inteira ainda mais difícil de proteger. Nesse caso, é uma boa recomendação ter uma solução de descoberta de dados funcionando em seu sistema, o que traz muitos benefícios diferentes – um dos quais é uma melhor visibilidade de todos os seus dados, facilitando muito a detecção de ameaças, atividades incomuns e vulnerabilidades em potencial.
As credenciais de usuário são usadas várias vezes para ataques de ransomware
As credenciais de usuário sempre foram um dos maiores problemas nesse campo, fornecendo aos atacantes de ransomware acesso claro a dados valiosos da sua empresa – e nem todas as empresas são capazes de detectar o roubo em primeiro lugar. Se as suas credenciais de usuário forem comprometidas, os atacantes de ransomware aproveitam as diferentes portas abertas e obtêm acesso aos seus dispositivos e aplicativos. Toda a situação com as credenciais de usuário piorou quando, por causa da Covid, as empresas foram forçadas a mudar amplamente para o trabalho remoto em 2019 – e esse problema ainda está presente como sempre.
Essas vulnerabilidades afetam até mesmo seus backups e os deixam mais expostos a ransomware. Normalmente, a única maneira de combater esse tipo de falha na segurança é investir em controles rígidos de acesso do usuário, incluindo recursos como autenticação multifator, controles de acesso baseados em funções, monitoramento constante e assim por diante.
Sempre teste e teste novamente seus backups
Muitas empresas só percebem que seus backups falharam ou são muito difíceis de recuperar depois de terem sido vítimas de um ataque de ransomware. Se quiser garantir que seus dados estejam protegidos, o senhor deve sempre fazer algum tipo de exercício regular e documentar as etapas exatas para criar e restaurar seus backups.
Como alguns tipos de ransomware também permanecem inativos antes de criptografar suas informações, vale a pena testar todas as suas cópias de backup regularmente, pois talvez o senhor não saiba exatamente quando ocorreu a infecção. Lembre-se de que o ransomware continuará encontrando maneiras mais complexas de se ocultar e tornar seus esforços de recuperação de backup mais caros.
Conclusão
Para obter a máxima proteção de seu backup contra ransomware e ameaças semelhantes, a Bacula Systems recomenda que sua organização cumpra integralmente as práticas recomendadas de backup e recuperação de dados listadas acima. Os métodos e ferramentas descritos nesta postagem do blog são usados pelos clientes do Bacula regularmente para proteger com sucesso seus backups contra ransomware. Para as empresas sem soluções de backup de dados de nível avançado, Bacula insta essas organizações a realizar uma revisão completa de sua estratégia de backup e avaliar uma solução moderna de backup e recuperação. O Bacula é geralmente reconhecido na indústria por ter níveis excepcionalmente altos de segurança em seu software de backup. Entre em contato com o Bacula agora para obter mais informações.
Principais conclusões
- Na maioria dos casos, os ataques modernos de ransomware têm como alvo os sistemas de backup, o que torna a proteção do backup tão importante quanto a proteção dos dados de produção
- Implemente a regra 3-2-1-1-0 com três cópias de dados em dois tipos de mídia, uma fora do local, uma imutável ou off-line e zero erros por meio de testes regulares de verificação e recuperação
- O armazenamento imutável usando a tecnologia WORM e os backups air-gapped criam várias camadas de defesa que impedem que os invasores excluam ou criptografem cópias de backup, mesmo com credenciais de administrador comprometidas
- Separe a infraestrutura de backup das redes de produção usando VLANs dedicadas, domínios de autenticação distintos e controles de acesso rigorosos com autenticação multifator para evitar o movimento lateral do ransomware
- As táticas de dupla extorsão significam que os backups sozinhos não podem proteger contra o roubo de dados e as ameaças de publicação – as organizações precisam de estratégias abrangentes, incluindo criptografia, prevenção de perda de dados e segmentação de rede
- Testes regulares de recuperação com métricas documentadas de RTO e RPO transformam a proteção teórica de backup em capacidade comprovada, enquanto o monitoramento contínuo detecta atividades de reconhecimento antes que os invasores destruam a infraestrutura de backup.