Como evitar o próximo Wannacry
O impacto do WannaCry foi sem precedentes e deixa lições importantes para organizações que não querem ser as futuras vítimas do próximo ransomware. Veja se você está tomando todas as medidas adequadas.
Nas 48 horas a partir da sua disseminação, o WannaCry se espalhou com velocidade incrível, tornando-se provavelmente o maior worm que já se teve notícia, com milhões de hosts infectados em todo o mundo. No Brasil, foram milhares de organizações afetadas, podendo chegar a 191.000 PCs infectados de acordo com levantamento feito pela Kryptos Logic. Este levantamento foi feito com base nas tentativas de acesso ao domínio que o WannaCry usava como killswitch, permitindo assim mapear diversos dados sobre as vítimas.
Hoje se sabe que o WannaCry usava uma vulnerabilidade (MS17-010) que era usada pela NSA e que se tornou pública através da divulgação pelo misterioso grupo Shadow Brokers. Também existe um provável responsável por trás, hackers associados ao governo da Coréia do Norte, com o provável objetivo de constranger a NSA pelo transtorno causado pelo ataque que eles mesmo desenvolveram.
Mas deixando de lado o caso específico do WannaCry, é importante considerar que ações você deve tomar para reduzir as chances de ser vítima de evento similar no futuro.
1. Manter seu software atualizado
A dica parece simples, mas se é tão óbvio, porque tantas organizações não tinham aplicado o fix que a Microsoft liberou em março? Ferramentas de atualização de software ainda são vistas por algumas organizações como transtorno. WSUS ou outros serviços são renegados a segundo plano para evitar reclamações de usuários sobre atualização dos seus PCs, consumo de rede e outros. Mas este ponto é o mais importante, talvez mais do que o uso de ferramentas antimalware no PC. Torne a distribuição de atualizações uma ação prioritária entre os processos de segurança da informação.
E quanto aos Windows XP, Server 2003 e outros? Neste caso, veja o item 4 mais abaixo.
2. Desabilitar serviços desnecessários
O WannaCry se propagava via SMBv1, protocolo que, salvo você possuir estações com Windows XP na rede, não é necessário. Cada serviço inútil que você mantém rodando em estações e servidores aumenta a superfície de ataque destas máquinas. Não podemos prever como a próxima grande ameaça vai se espalhar, mas seguindo a diretriz de redução de serviços desnecessários, você reduz o seu risco. Aproveite e veja como desabilitar SMB v1 neste artigo da Microsoft. Mas atenção: Veja os impactos para cada versão de sistema operacional descritos no artigo.
Esta ação também inclui verificar se você não está expondo serviços desnecessários diretamente na internet. É surpreendente a quantidade de hosts com a porta 445 (usada pelo SMB) aberta diretamente para fora.
3. Backup, backup, backup.
Siga aquela boa prática 3-2-1 para o seu backup:
- Mantenha três cópias dos dados
- Use ao menos dois tipos diferentes de mídia
- Guarde ao menos uma das cópias em outro site
Não se esqueça também de considerar desktops e laptops na sua política, já que frequentemente possuem dados e aplicações instaladas localmente que são necessários para processos críticos da organização, tornando o tempo de recuperação do negócio à normalidade maior do que deveria. Ferramentas como a Carbonite podem ajudar você a rapidamente se adequar às boas práticas de backup, protegendo dados de estações e servidores na nuvem.
Backup contínuo faz parte das estratégias de defesa contra Ransomware
4. Segmente sua rede
Segmentar a rede em diferentes subnets com mecanismos de controle de acesso entre elas ajuda a limitar o escopo de um ataque àquela rede afetada. Isto pode fazer a diferença entre um ataque que afeta apenas o PC da recepção da empresa de um que atinge os servidores.
Cuidado especial deve ser tomado com aqueles equipamentos usados pelos administradores, já que suas credenciais tem acesso privilegiado ao ambiente, favorecendo a disseminação rápida de malware por toda a organização. É por isto que muitas organizçaões implementam ferramentas de acesso privilegiado que podem atuar como uma ponte segura entre estas estações e os servidores, evitando a conexão direta entre eles.
Não esqueça também de PCs e servidores em áreas industriais. Frequentemente estas máquinas não podem ser facilmente atualizadas, de forma que a melhor saída é colocá-las atrás de um firewall de rede ou de host para limitar as conexões inboud para as mesmas.
Segmente também os equipamentos industriais
5. Treine seus usuários para lidar com estas ameaças
A propagação do WannaCry se dava de forma automática e o ponto de entrada era a porta 445, mas para a grande maioria dos ransomware, a propagação se dá por email ou web. Isto requer o treinamento constante dos usuários para que estejam atentos e preparados para detectar emails e sites suspeitos. Manter um programa de conscientização de segurança para os usuários finais ajuda a reduzir estes e outros riscos na sua organização.
