Como proteger os endpoints remotos da sua organização contra ransomware

A falta de visibilidade em endpoints remotos pode deixar sua organização vulnerável a ataques de ransomware, diz o provedor de segurança Illumio.

A mudança abrupta para o trabalho remoto criou um ambiente mais desafiador e complicado quando se trata de segurança cibernética. Os profissionais de TI e segurança agora precisam se esforçar para acompanhar todos os endpoints remotos que am a rede de sua organização, incluindo dispositivos de trabalho e dispositivos pessoais. Um relatório divulgado na quinta-feira pelo provedor de segurança de rede Illumio explica como essa situação pode deixar as organizações mais suscetíveis ao ransomware e discute como elas podem se proteger melhor.

VEJA: Ransomware: O que os profissionais de TI precisam saber (PDF grátis) (TechRepublic)

Com base em uma pesquisa com profissionais de TI em 344 empresas de médio e grande porte, a Illumio descobriu que a maioria não tem visibilidade de seus endpoints remotos, enquanto poucas têm uma maneira eficaz de impedir que o ransomware se espalhe após uma violação inicial.

Embora muitas organizações tenham planos de recuperação de ransomware, várias estariam dispostas a pagar os invasores no pior cenário. Além disso, os controles preventivos de confiança zero nem sempre são totalmente implementados para impedir que invasores ou ransomware se movam lateralmente pela rede.

Entre os entrevistados, mais da metade (59%) disse que não conseguia visualizar as tentativas de conexão para laptops de trabalho a partir de dispositivos na rede doméstica local. Cerca de 45% disseram que confiam na visibilidade de sua VPN para ver quais dispositivos remotos estão ando a rede. Além disso, 26% dependem de suas ferramentas de detecção e resposta de endpoint (EDR) para visualizar o tráfego e as conexões de redes domésticas locais.

“Como a VPN não consegue ver o tráfego da rede doméstica, os entrevistados supõem que a visibilidade que obtêm de uma VPN é suficiente, quando, na verdade, os deixa cegos para o ambiente em que os dispositivos de trabalho estão realmente sendo executados”, Matthew Glenn, vice-presidente sênior de gerenciamento de produtos na Illumio, disse em um comunicado à imprensa. “Dispositivos em redes domésticas são vulneráveis ​​a ataques ponto a ponto e laterais de membros involuntários da família. Esses endpoints vulneráveis ​​correm o risco de expor uma organização inteira a riscos sistêmicos, mesmo quando os funcionários estão conectados por meio de uma VPN.”

VEJO: Malware Emotet derrubado por esforço global de aplicação da lei (TechRepublic)

Após um ataque de ransomware, 81% dos entrevistados disseram que precisariam de pelo menos dois a três dias para se recuperar totalmente, durante os quais alguns provavelmente estariam operando com menos de um quarto de sua capacidade normal. Cerca de 74% disseram que confiam apenas nas ferramentas de EDR para conter a disseminação do ransomware. E eles esperam que essas ferramentas bloqueiem cada ataque inicial, detectem qualquer comportamento malicioso e isolem quaisquer endpoints infectados.

Questionados sobre como impediriam o ransomware de ar de um laptop para outro durante uma violação, a maioria disse que teria que confiar apenas na segurança tradicional de endpoint (antivírus, EDR etc.) Embora as ferramentas e tecnologias de confiança zero estejam ganhando força, a maioria dos entrevistados disse que ainda precisa implantar esses controles para impedir a disseminação de ransomware.

“As soluções EDR e EPP são uma parte importante de qualquer estratégia de segurança cibernética, mas a ascensão e o sucesso do ransomware provam que por si só não são suficientes”, disse PJ Kirner, CTO e cofundador da Illumio. “As equipes de segurança precisam de defesas mais profundas, principalmente no endpoint, mas elas realmente precisam de uma estratégia de ponta a ponta do endpoint até o data center e a nuvem. Especialmente à medida que navegamos em modelos de trabalho híbridos em escala, é crucial que as organizações incorporem estratégias de confiança zero em sua abordagem de segurança cibernética.”

Para proteger ainda mais os endpoints da sua organização contra ataques de ransomware, a Illumio oferece mais uma recomendação: segmentação de rede e recursos.

“É importante planejar todo o ciclo de vida do ataque, e uma das maneiras mais simples de fazer isso é segmentar recursos para interromper o movimento lateral entre os endpoints e as cargas de trabalho do host”, aconselha o relatório. “Muitas das novas estruturas de segurança cibernética em todo o mundo, como confiança zero, NIST e NIS-D, exigem alguma segmentação de dados e infraestrutura críticos. Ser capaz de fazer isso de forma simples e em escala será o foco de muitos em 2021.”