Home > Notícias

Microssegmentação: vacina para prevenir ransomware

Melhor maneira de proteger rede e informações de uma infecção é a possibilidade de isolar servidores ou aplicações

Fernando Ceolin*

15/07/2021 às 15h43

ransomware, proteção, pasta, arquivo
Foto: Adobe Stock

Ninguém duvida que o ransomware veio para ficar. A cada dia
surge um novo caso, a cada dia renova-se a polêmica sobre pagar ou não o
resgate. Mas qual a melhor maneira de lidar com o ransomware?

Eu ouvi uma analogia que acho muito pertinente, com a questão da
pandemia. A melhor maneira é não haver pandemia. Ou seja, impedir a circulação
do vírus. Da mesma forma, a melhor maneira de proteger sua rede e suas informações de uma infecção
é a possibilidade de isolar servidores ou aplicações – o que é bem mais fácil
do que isolar pessoas. Essa é a proposta mais atual para evitar que possíveis
invasores trafeguem por sua rede,
ganhando acesso a seu funcionamento e a seus dados.

O que vimos ocorrer na pandemia foi justamente um novo impulso dos
ataques de ransomware. Durante a pandemia da Covid 19, o ransomware ganhou
impulso, alcançando, segundo estudos recentes, um aumento de 50% na média
diária dos ataques registrados no último trimestre do ano passado. E o Brasil
não fugiu a essa tendência, como sabemos pelo amplo noticiário de ataques a
instituições públicas e a organizações privadas.

No momento em que as empresas foram forçadas a mudar em tempo
recorde seu modo de operação, com a grande maioria dos colaboradores
trabalhando remotamente, os fatores de risco mudaram completamente. E a partir
das brechas nas arquiteturas de rede, os criminosos também mudaram, do ano
passado para cá, seu modo de operação.

Como funciona?

O que existe em comum entre os ataques de ransomware? Todos eles operam utilizando vulnerabilidades de dia
zero para se mover lateralmente entre computadores na rede, infectando as
máquinas que encontram – a partir
daí acessando e criptografando dados.

Já foram assim, por exemplo, em 2017, os ataques de ransomware WannaCry e o NotPetya, que causaram sérios
estragos a grandes corporações e entidades governamentais – os mais graves
sendo o NHS (National Health System)
britânico e o conglomerado marítimo MAERSK, totalmente desativados por WannaCry
e NotPetya, respectivamente.

Hoje os atacantes contam com métodos
mais sofisticados de invasão. Visando grandes
empresas. Os invasores não só violam o sistema, criptografam os arquivos e
mantêm usuários como reféns, como ameaçam tornar as informações públicas se o
resgate não for pago – uma novidade que, como é público, tem levado grandes
empresas, como a norte-americana Colonial Pipeline e a JBS, a cederem aos criminosos, pagando o exigido
para não comprometer clientes.

Como combater?

Essa nova era de ataques de ransomware deixa claro o problema
central, que é a movimentação do invasor dentro da rede.

Para que os invasores consigam copiar os dados, precisam saber
onde eles estão em sua rede – e para isso é necessário mapear todo o ambiente e
conhecê-lo tão bem, ou até melhor, do que as pessoas que o construíram
originalmente. Isso exige que se “movam lateralmente” de uma máquina ou
servidor para outro, geralmente usando credenciais diferentes, roubadas de
vários equipamentos da rede.

As dificuldades nesse caso se dão pelos seguintes fatores:

  • Os invasores se valem dos recursos da rede contra ela mesma, roubando credenciais do administrador e utilizando ferramentas legítimas como o Psexec, Remote Desktop da Microsoft, ou mesmo o WMI. É desse modo que se movimentam entre as máquinas para executar comandos maliciosos, apoderando-se dos dados para posteriormente criptografá-los;
  • Adoção, pelas empresas, de soluções adaptadas, que não foram desenvolvidas para a finalidade de conter a movimentação lateral;
  • Muitas vezes é afastada como de difícil implementação a solução mais moderna e adequada: a microssegmentação, recomendada pela própria Casa Branca em comunicado às empresas norte-americanas sobre a necessidade de evitar o ransomware e as medidas a serem tomadas.

Sucesso real

Os casos de sucesso com o emprego desse método mostram que a
microssegmentação de rede é facilitada por planejamento que se baseie em políticas
claras de segurança – estabelecendo, em uma rede, quem “fala com quem” e em
quais circunstâncias. Sem isso, todos os terminais e servidores se comunicam
entre si sem nenhuma restrição.

São muitos os casos de sucesso dessa tecnologia, inclusive no
Brasil. E o sucesso é consequência exatamente da simplicidade proporcionada por
uma segmentação granular, que permite à equipe de segurança enxergar tudo o que
trafega em sua rede – e a partir daí
proteger tudo o que tem que ser protegido.

* Fernando Ceolin é diretor-regional da Guardicore para o Brasil e região Sul da América Latina.