Ransomware no Cloud. Com os eventos recentes, como os surtos de ransomware WannaCry e NotPetya, a maioria das organizações está totalmente alerta para a ameaça de ransomware. As organizações podem ter investido tempo e energia significativos em resposta a esses eventos, ou podem ter gasto tempo igual reforçando sua própria proteção. Há uma superfície de ataque em potencial que pode ter recebido relativamente menos atenção, mas isso é igualmente importante: a nuvem

Protecting your cloud from ransomware - Help Net Security via @rightrelevance

“Ambientes de nuvem não são menos suscetíveis a ransomware do que outros ambientes.”

Ambientes de nuvem não são menos suscetíveis a ransomware do que outros ambientes. No entanto, eles têm propriedades que podem tornar a resposta e a proteção diferentes. Por exemplo, eles podem empregar canais de notificação e comunicação diferentes, podem envolver pessoal diferente e pode haver um conjunto de controles diferente em uso. É possível que as organizações considerem o ransomware na nuvem da mesma forma que se preparam para o ransomware para sistemas e aplicativos internos.

Ransomware na nuvem

A utilização de uma plataforma de infra-estrutura como serviço (IaaS) dá ao cliente da nuvem mais visibilidade do SO do que outros modelos de nuvem, mas isso, por sua vez, significa que problemas, como o patch – particularmente no caso de sistemas legados ou especiais – são tão complexos quanto em outros ambientes e, portanto, podem levar mais tempo do que se poderia gostar.

A questão é que um ambiente IaaS pode ser suscetível a ransomware. O que é diferente com o IaaS, porém, é como a organização descobre o ransomware, como ela responde e como ela se protege contra a ameaça. Na prática, diferentes funcionários são frequentemente responsáveis ​​pela supervisão direta do workload de IaaS em comparação com outras tecnologias.

Por exemplo, a nuvem é propícia para o chamado Shadow IT. Pode ser difícil para as equipes de segurança corporativa identificar e gerenciar aplicativos de nuvem em aplicativos de Shadow IT usados ​​por funcionários e linhas de negócios em uma organização. Uma equipe de desenvolvimento, uma equipe de negócios ou outra organização que não seja de TI planejará – e estará pronta para remediar – o ransomware na nuvem na mesma medida que a organização de tecnologia?

Mesmo que o Shadow IT não seja um fator para uma organização, a notificação inicial de um evento de ransomware pode vir através de um canal diferente do esperado. Por exemplo, as notificações podem vir de um gerente de relacionamento para implantações maiores; um canal de encaminhamento definido com o provedor de serviços, que pode ser uma equipe de negócios; ou através de um portal de serviços mantido pelo provedor.

Além disso, lembre-se de que tanto a resolução quanto a implementação de contra-medidas específicas podem precisar ser feitas por meio de diferentes canais. Por exemplo, se uma atividade chave em resposta a um ransomware de proliferação rápida, como o WannaCry, for aplicada de maneira proativa, a maneira como você afeta IT pode variar para a nuvem – uma empresa pode precisar programar uma janela de manutenção com seu provedor , por exemplo.

Além da IaaS, outros modelos de nuvem também podem ser afetados. Mesmo o SaaS não é imune – considere o armazenamento, como o Dropbox, o Google Drive, etc. Normalmente, esses serviços funcionam sincronizando arquivos locais com a nuvem; para uma organização pequena, isso pode constituir seu mecanismo principal de armazenamento, backup ou compartilhamento de dados. O que acontece quando os arquivos locais são criptografados, excluídos, sobrescritos com lixo ou comprometidos por ransomware? Essas alterações serão sincronizadas com a nuvem.

Estratégias de mitigação para o ransomware na nuvem

O que as organizações podem fazer para se preparar para o ransomware em um ambiente de nuvem? Existem algumas coisas que podem tornar a resposta significativamente mais fácil. Provavelmente, a coisa mais eficaz que as organizações podem fazer – tanto em ambientes de nuvem quanto em qualquer outro ambiente – é especificamente exercer procedimentos de resposta e escalação.

Por exemplo, um exercício de mesa pode ser muito útil nesse sentido. Um exercício de mesa desativa a questão principal: você pagará o resgate? Invariavelmente, alguém irá sugerir pagá-lo independentemente da aplicação da lei e outros argumentando contra ele – discutir isso especificamente antecipadamente ajuda a esclarecer os prós e os contras quando os níveis de adrenalina não estão fora dos gráficos.

Em segundo lugar, trabalhar com os cenários de alerta e resposta com antecedência significa que você obtém respostas para as principais perguntas: como você será notificado sobre um evento? Quem será notificado e quais caminhos de notificação correspondem a relacionamentos específicos com a nuvem? Além disso, o que é necessário para realizar ações responsivas em cada um desses canais?

Também é uma ideia útil realizar uma avaliação de risco sistemática especificamente para ransomware. Você pode, por exemplo, examinar os processos de backup e resposta para garantir que, caso os dados sejam especificamente visados ​​pelo ransomware que procura torná-los inacessíveis, a organização pensou em estratégias de proteção e recuperação no nível técnico.

Para um relacionamento IaaS, analise e teste serviços de backup e resposta que os provedores de serviços possam oferecer, controles técnicos que eles oferecem e as contramedidas que a organização já emprega. Esse nível de análise de risco provavelmente já foi feito para a empresa como um todo, mas você deve tomar medidas para estendê-la especificamente aos relacionamentos na nuvem. Isso pode ser um pouco demorado para organizações que têm inúmeros relacionamentos com provedores de serviços, mas esse esforço pode ser incorporado a uma atividade mais ampla que tem valor além do ransomware – por exemplo, mitigação de malware de forma mais genérica, coleta de dados sobre relacionamentos na nuvem, modelagem de ameaças, governança em nuvem ou outras atividades que envolvem a análise sistemática de relacionamentos em nuvem.

A situação indiscutivelmente mais difícil no caso de ransomware na nuvem é a interseção de SaaS e organizações menores – especificamente, a possibilidade de corrupção do armazenamento em nuvem por meio da sincronização de arquivos impactados por ransomware em um repositório de armazenamento remoto. Medidas específicas para evitar isso estão disponíveis, como manter um espelho de dados manualmente sincronizado ou iniciado com delay de tempo em outro repositório, assumindo que o volume em questão não é seja proibitivamente caro.

Como alternativa, as soluções de backup que mantêm iterações de dados anteriores podem fornecer um meio de recuperação, mesmo se o local de armazenamento principal for comprometido. Independentemente do método que uma organização emprega, o mais importante é pensar com antecedência e ver as medidas de proteção de forma crítica.

Fontes: Minuto da Segurança e TechTarget