Partilhar via


Lista de verificação do RaMP—Prontidão para recuperação de ransomware

Esta lista de verificação do Plano de Modernização Rápida (RaMP) ajuda-o a preparar a sua organização para que tenha uma alternativa viável ao pagamento do resgate exigido pelos atacantes de ransomware. Embora os atacantes no controle de sua organização tenham várias maneiras de pressioná-lo a pagar, as demandas se concentram principalmente em duas categorias:

  • Pague para recuperar o acesso

    Os atacantes exigem pagamento sob a ameaça de não lhe devolverem o acesso aos seus sistemas e dados. Isto é feito mais frequentemente encriptando os seus sistemas e dados e exigindo o pagamento pela chave de desencriptação.

    Importante

    Pagar o resgate não é tão simples e limpo de uma solução como pode parecer. Como você está lidando com criminosos que são motivados apenas pelo pagamento (e muitas vezes operadores relativamente amadores que estão usando um kit de ferramentas fornecido por outra pessoa), há muita incerteza sobre como pagar o resgate realmente funcionará. Não há nenhuma garantia legal de que eles fornecerão uma chave que descriptografa 100% de seus sistemas e dados, ou mesmo fornecerão uma chave. O processo para desencriptar esses sistemas usa ferramentas de ataque internas, que muitas vezes é um processo desajeitado e manual.

  • Pague para evitar a divulgação

    Os atacantes exigem pagamento em troca de não divulgar dados confidenciais ou embaraçosos para a dark web (outros criminosos) ou para o público em geral.

Para evitar ser forçado a pagar (a situação lucrativa para os atacantes), a ação mais imediata e eficaz que você pode tomar é garantir que sua organização possa restaurar toda a sua empresa a partir de armazenamento imutável que ainda não tenha sido infetado ou criptografado por um ataque de ransomware, que nem o invasor nem você podem modificar.

Identificar os ativos mais sensíveis e protegê-los em um nível mais alto de garantia também é extremamente importante, mas é um processo mais longo e desafiador de executar. Não queremos que você segure outras áreas, mas recomendamos que você comece o processo reunindo as partes interessadas de negócios, TI e segurança para fazer e responder perguntas como:

  • Quais ativos empresariais seriam mais prejudiciais se comprometidos? Por exemplo, que ativos a liderança empresarial estaria disposta a pagar uma demanda de extorsão se os invasores os controlassem?
  • Como esses ativos de negócios se traduzem em ativos de TI, como arquivos, aplicativos, bancos de dados e servidores?
  • Como você pode proteger ou isolar esses ativos para que os invasores com acesso ao ambiente geral de TI não possam acessá-los?

Backups seguros

Você deve garantir que os sistemas críticos e seus dados sejam copiados e sejam imutáveis para proteger contra eliminação deliberada ou criptografia por um invasor. Os backups ainda não devem ter sido infetados ou criptografados por um ataque de ransomware, caso contrário, você está restaurando um conjunto de arquivos que podem conter pontos de entrada para os invasores explorarem após a recuperação.

Os ataques aos seus backups concentram-se em prejudicar a capacidade da sua organização de responder sem pagar, visando frequentemente backups e a documentação chave necessária para a recuperação para forçá-lo a pagar exigências de extorsão.

A maioria das organizações não protege os procedimentos de backup e restauração contra esse nível de segmentação intencional.

Nota

Esta preparação também melhora a resiliência a desastres naturais e ataques rápidos como WannaCry e (Not)Petya.

O plano de backup e restauração para proteção contra ransomware aborda o que fazer antes de um ataque para proteger seus sistemas de negócios críticos e durante um ataque para garantir uma rápida recuperação de suas operações de negócios usando o Backup do Azure e outros serviços de nuvem da Microsoft. Se você estiver usando uma solução de backup externo fornecida por terceiros, consulte a documentação deles.

Responsabilidades dos membros do programa e do projeto

Esta tabela descreve a proteção geral dos seus dados contra ransomware em termos de uma hierarquia de patrocínio/gestão de programas/gestão de projetos para determinar e gerar resultados.

Oportunidade Potencial Proprietário Responsabilidade
Central de Operações de TI ou CIO Patrocínio executivo
Líder de programa da infraestrutura de TI central Impulsione resultados e colaboração entre equipes
Engenheiro de Infraestrutura/Backup Habilitar backup de infraestrutura
Administradores do Microsoft 365 Implementar alterações ao seu inquilino do Microsoft 365 para OneDrive e Pastas Protegidas
Engenheiro de Segurança Aconselhar sobre configuração e padrões
Administrador de TI Atualizar normas e documentos políticos
Governança de Segurança e/ou Administração de TI Monitorar para garantir a conformidade
Equipa de Formação de Utilizadores Garantir orientações para usuários recomenda o uso do OneDrive e Pastas Protegidas

Objetivos de implantação

Atenda a esses objetivos de implantação para proteger sua infraestrutura de backup.

Concluído Objetivo da implantação Proprietário
1. Proteja os documentos de suporte necessários para a recuperação, como documentos de procedimento de restauração, seu banco de dados de gerenciamento de configuração (CMDB) e diagramas de rede. Arquiteto ou implementador de TI
2. Estabelecer processo para fazer backup de todos os sistemas críticos automaticamente em um cronograma regular e monitorar a adesão. Administrador de backup de TI
3. Estabeleça o processo e o cronograma para exercer regularmente seu plano de continuidade de negócios/recuperação de desastres (BCDR). Arquiteto de TI
4. Inclua a proteção de backups contra eliminação deliberada e criptografia em seu plano de backup:

- Proteção forte – Requer etapas fora de banda (como autenticação multifator ou um PIN) antes de modificar backups online (como o Backup do Azure).

- Proteção mais forte – armazene backups em armazenamento online imutável (como o Blob do Azure) e/ou totalmente offline ou externo.
Administrador de backup de TI
5. Peça aos seus utilizadores que configurem a cópia de segurança do OneDrive e as Pastas Protegidas. Administrador de produtividade do Microsoft 365

Próximo passo

Continue a iniciativa de dados, conformidade e governança com a Etapa 3. Dados.