Os invasores estão desenvolvendo métodos mais furtivos e sofisticados para se infiltrar nas redes e causar o máximo de interrupção. Do ransomware que prejudica as operações à exfiltração silenciosa de dados confidenciais, os objetivos desses cibercriminosos permanecem os mesmos: interromper as operações, roubar informações para extorsão ou destruir totalmente os dados. Compreender como se preparar para proteger e defender sua organização é fundamental.
Para ajudá-lo a aprimorar sua postura de segurança e resiliência, este Mês de Conscientização sobre Segurança Cibernética reunimos um painel de especialistas da Dell: Jim Shook, diretor global de segurança cibernética e conformidade; Amy Price, evangelista de segurança cibernética para empresas RPC; e Rachel Tyler, consultora de consultoria em segurança cibernética Eles compartilham seus insights sobre as ameaças mais urgentes que as organizações enfrentam atualmente e fornecem etapas claras e práticas para fortalecer a segurança e criar resiliência.
O texto a seguir foi editado para maior extensão e legibilidade.
Jim (Shook), você concorda que ransomware é um resultado de um ataque? E o tipo ou resultado do ataque muda a forma como pensamos sobre a restauração do ambiente operacional?
Sacudiu: Eu realmente acho que o ransomware é mais um resultado ou um objetivo para os atores da ameaça. No entanto, é importante falar sobre os diferentes “tipos de ataque”, caso contrário uma organização irá perder vetores de ameaça. Para a maioria das pessoas, ransomware equivale a malware que obtém acesso a uma organização, se movimenta e, eventualmente, criptografa dados. Mas se essa for a sua definição de ataque cibernético, você perderá as táticas, técnicas e procedimentos (TTPs) que os agentes de ameaças usam, como ataques práticos no teclado, nos quais eles fazem login e parecem administradores. A melhor maneira de pensar sobre isso é o fluxo de alto nível que um invasor realiza: reconhecimento, acesso inicial, movimento lateral e, finalmente, impacto. Esse impacto pode ser criptografia, exfiltração ou destruição de dados. O processo de recuperação dependerá absolutamente do impacto.
Rachel (Tyler), você concorda com Jim sobre a distinção entre tipo de ataque e resultado do ataque? Como as organizações devem se preparar proativamente para um ataque e uma recuperação?
Tyler: Sim, a explicação de Jim é muito importante. Se entendermos que o ransomware é maior do que apenas a criptografia e que os invasores podem exfiltrar ou destruir dados, poderemos nos defender e responder a ele de maneira mais eficaz. Quando se trata de resposta a incidentes, classifico as empresas em três grupos: aquelas que não estão preparadas, aquelas que pensam que estão preparadas e aquelas que estão realmente preparadas. Uma grande parte do nosso negócio de resposta a incidentes vem de clientes que estavam completamente despreparados. Aqueles que estão preparados entenderão como identificar um incidente, imprimir um plano de resposta a incidentes e, o mais importante, executar exercícios práticos regularmente para se prepararem. São esses clientes que identificam, isolam e se recuperam de ataques cibernéticos de forma rápida e eficaz.
Amy (Price), sabemos que os endpoints são onde os agentes de ameaças realmente têm mais facilidade para entrar nas organizações. Primeiro, você acha que isso é verdade? E segundo, você pode nos dizer o que devemos pensar ao proteger nossos endpoints e como a Dell ajuda as organizações a se protegerem?
Preço: Sim, de acordo com o Estrutura de ataque MITREa maioria dos ataques começa no endpoint. É extremamente importante começar com o objetivo em mente, adotando uma mentalidade de confiança zero e obtendo uma compreensão mais profunda dos potenciais adversários. Saiba o que o ciberataque pode fazer, quem é, o que o motiva e como opera. Além disso, certifique-se de que os PCs implantados tenham diversas camadas de defesa que proporcionem visibilidade e controle. A Dell projeta PCs com segurança integrada, começando com um design e uma cadeia de suprimentos seguros. Também incorporamos visibilidade e segurança no nível do BIOS em torno das credenciais do usuário final por meio de recursos como SafeBIOS e SafeID. Por fim, construímos um ecossistema de fornecedores confiáveis com parceiros como CrowdStrike, Absolute e Zscaler porque esses melhores parceiros nos ajudam a fornecer um nível mais profundo de segurança. Isso permite que os clientes coloquem soluções em camadas para maior visibilidade e controle.
Rachel (Tyler), como a recuperação de incidentes se enquadra em uma estratégia holística de segurança cibernética?
Tyler: eu amo o Estrutura de segurança cibernética do NIST: identificar, proteger, detectar, responder, recuperar e governar. É um ciclo. Ao recuperar seus dispositivos, você precisa implementar esse ciclo. Preciso identificar, detectar e proteger os dispositivos que recupero para correr menos riscos do que antes de ser hackeado. Uma coisa que os agentes de ameaças fazem é reciclar. Depois que alguém for atacado com sucesso, ele venderá as credenciais ou vulnerabilidades que usou no mercado negro. Seis meses depois, os clientes estão nos ligando novamente porque foram atacados exatamente da mesma maneira. É muito importante compreendermos que a segurança cibernética é um ciclo e precisamos ser proativos em relação a isso.
Fonte: www.dell.com
