Resilience Evil: como sobreviver a um ataque de ransomware?

Resilience Evil: como sobreviver a um ataque de ransomware?

A resiliência é um conceito que pouco a pouco ganha sentido no mundo informático e, principalmente, no mundo da segurança: um conceito que podemos associar a “resistência” ou a “contingência”.

A resiliência é um conceito que pouco a pouco ganha sentido no mundo informático e, principalmente, no mundo da segurança: um conceito que podemos associar a “resistência” ou a “contingência”.

A resiliência é um conceito que pouco a pouco ganha sentido no mundo informático e, principalmente, no mundo da segurança: um conceito que podemos associar a “resistência” ou a “contingência”. Em algumas ocasiões, para estar realmente preparado e defender os sistemas, é necessário recorrer a um plano B, plano C, D, E, F…

Essas alternativas podem ser cópias de segurança, planos de recuperação contra desastres ou procedimentos de continuidade do negócio, entre outras. Todas essas terminologias podem ser utilizadas diariamente no mundo da administração de sistemas informáticos, e todos conhecemos a importância de proteger os dados, com o intuito de garantir a sua disponibilidade das informações.

Quando falamos de resiliência no âmbito corporativo, nos referimos a resiliência operacional:

Capacidade de uma organização para prosseguir com sua missão e aproveitar as oportunidades, mesmo em circunstâncias adversas ou inadequadas como um incidente de segurança ou uma crise financeira. Essa habilidade tem como principal objetivo manter os processos de negócios e serviços que apoiam diretamente a missão da organização.

E como você pode aplicar esse conceito? Com esse post queremos disponibilizar um pequeno guia com dicas para que seja possível preparar seu sistema contra uma infecção por ransomware ou, indo mais além, contra qualquer desastre que envolva uma perda de informações.

Nossa primeira dica, como sempre, é contar com uma proteção antivírus atualizada, mas iremos dar um passo à mais com este guia de boas práticas.

Resiliência: como voltar ao estado normal despois de uma interrupção?

Consideremos, por exemplo, a saga Resident Evil da CAPCOM, que inspirou o título deste post; sabemos que na história há um laboratório de desenvolvimento de armas biológicas e um grupo de segurança que tenta impedir seus planos para dominar o mundo.

A resiliência no jogo está em toda parte: as investigações da Corporação Umbrella (os vilões), mesmo que suas intenções sejam malignas, representam o trabalho diário dos cientistas. Gerar uma descoberta, um novo tipo de zumbi nesse caso, embora sempre sejam destruídos ao final das aventuras.

Onde está a resiliência? Precisamente no poder de superar essas situações e voltar, independentemente de quais sejam as sequelas, sempre com novas ideias e monstros muito mais fortes e mortíferos, considerando os encontros anteriores como parte do processo de aprendizagem.

Da mesma forma, os heróis devem ser cada vez mais inteligentes e estratégicos para salvar o mundo contra essas ameaças, uma vez que cada encontro é mais difícil do que o último e a derrota não é uma opção para eles.

A importância das cópias de segurança

As situações descritas acima se repetem em vários cenários da vida informática, tanto doméstica como no trabalho. Diante de um imprevisto, o ciclo de aprendizagem é refeito para, ao final do dia, superar uma situação crítica e saindo bem mais fortalecidos.

Diante da infecção de um ransomware, por exemplo, você deve ter um conjunto de backups (cópias de segurança) para garantir a recuperação total dos dados. Esse é um trabalho prévio que deve ser feito de forma proativa. Nossa dica é realizar uma análise para saber quais dados devem ser protegidos.

Se caso, repentinamente, você perguntar para um usuário de uma empresa, talvez ele nos indique “Meus Documentos”, “Desktop” e outros locais típicos de arquivos. Listar os arquivos que foram modificados nos últimos três meses pode ser uma boa medida para realizar essa etapa. Assim, você não esquecerá nenhum vídeo, música ou qualquer outro documento importante.

Existem ambientes complexos onde há uma unidade ou servidor de arquivos com enormes quantidades de informações, gigas e gigas, até mesmo terabytes. Nesses casos, adaptar a frequência dos backups é outro ponto que deve ser considerado para o sucesso da missão de garantir a segurança dos dados.

Imagina uma cópia completa de 800GB, que é realizada semanalmente. Talvez falte espaço nas instalações para armazenar os discos rígidos ou dispositivos utilizados nesse processo. No entanto, a concepção de um ciclo de backup adequado, apesar de ser difícil, satisfaz as necessidades do negócio e ajuda a não consumir recursos desnecessários.

Algumas reflexões: é realmente necessário manter o backup de uma pasta com documentos passivos de três anos atrás, uma vez por semana?

Para o negócio, é realmente necessário recuperar o trabalho das últimas duas horas de uma pessoa? Todas essas considerações devem ser consideradas, segundo o contexto de cada ambiente, tornando bem mais possível adaptar as soluções de acordo com as suas necessidades. No entanto, ter um bom conjunto de cópias de segurança só é importante quando realmente funciona: realize um teste de restauração de forma periódica para garantir que tudo está ocorrendo de acordo com as suas expectativas.

Onde você deve fazer o backup?

Imagine um computador conectado a um disco rígido USB, no qual uma cópia de segurança de suas informações é automaticamente produzida. Existem docking stations que, inclusive, fazem um RAID com dois discos para aumentar a resistência do dispositivo contra falhas. Caso o computador tenha algum defeito, você poderá recuperar as informações rapidamente, considerando que os dados estejam no disco rígido.

E caso ocorra um incêndio no seu quarto e tudo acabe sendo queimado, tanto o equipamento como o disco rígido?

Você deve concordar que essa solução não funciona para esse caso em específico. Nem mesmo serve se entrarem no seu escritório, durante o fim de semana, e roubam tanto o equipamento como o backup do disco rígido.

Para o caso do ransomware ocorre o mesmo. Caso use um disco rígido conectado permanentemente a um equipamento, que “replica” a informação de forma periódica, corre o risco de que a infecção seja realizada e, consequentemente, replicada até o disco rígido conectado, ocorrendo a perda da informação original e cópia.

Sugerimos que você realize o backup no dispositivo que não esteja conectado a informação da última cópia de segurança, como normalmente os equipamentos realizam. Isso significa ter um “passivo” por dias, semanas ou meses, de toda a informação, permitindo voltar ao estado desejado de forma gradual.

Outra sugestão é que esse dispositivo não esteja conectado constantemente ao equipamento, seja por conexões “físicas” como o USB, conexões de rede ou qualquer tipo de pasta compartilhada.

O processo de cópia de segurança sempre deve ser de “baixa demanda” para o equipamento, ou seja, que se conecte ao armazenamento de forma pontual, seja por ftp, smb, ssh, etc., mas nunca com conexão persistente.

Como proteger o seu backup?

Após realizar um backup de dados, as informações devem permanecer no dispositivo de cópia apenas como modo leitura. Considerando que são dados de recuperação, não devem modificar nada e, dessa forma, é possível evitar que um ransomware realize o “seu trabalho” e criptografe a cópia de segurança.

Para que você fique ainda mais tranquilo, pode usar a opção de criptografia da cópia de segurança. Junto com as permissões de apenas leitura e as de criptografia do backup, dessa forma, seus dados receberão várias camadas de segurança.

Uma solução muito simples para essas necessidades é o uso de tecnologias cloud ou nuvem, ou seja, usar recursos que tenham a Internet como um meio de armazenamento. Dessa forma, você garantirá a disponibilidade dos dados contra problemas físicos.

O uso de um bom provedor de cloud para o backup pode oferecer as capacidades de detecção e redução de dados para as empresas, aproveitando os serviços de segurança para proteger os seus dados.

Leia também: Guia para realiza um backup.

Imagem: Residentevil.net.

Discussão