Ataques de Ransomware, novo ou a continuação de uma realidade?

18 Aug. 2021 Opinião

Outra vez o BPC! Exclamamos nós, surpreendidos, por mais um ataque àquele que é o banco publico. Sim, outra vez o BPC!

D.R.

Não que o BPC seja diferente dos outros bancos, ou, se calhar é! E é porquê? É porque é o banco do Estado! É porque deveria ser o ou um exemplo de segurança! É porque se o BNA determina directrizes, espera-se que este também as siga! É porque, sendo o principal banco do Estado, estamos todos à espera que sirva de exemplo no bom sentido e não o contrário.

O BPC foi alvo de um ransomware conhecido como Vengalocker, e como funciona? Muito parecido às outras variantes de ransomware, este vasculha o dispositivo da vítima em busca de extensões de arquivo para criptografar. Depois de criptografar os arquivos, deixando a criptografia AES, o Locker poderá abrir uma janela que contém o resgate e detalhes sobre as infecções do dispositivo. Como se não bastasse, durante este ataque e na tentativa de resolução o BPC, foi novamente atacado por outros tipos de vírus, que fizeram com que o mesmo não tivesse capacidade de resposta para todos estes incidentes. E é aqui que entra a questão fulcral e central que qualquer instituição ou organização, aquilo que designamos e actualmente mais tem crescido que é o GRC – Governance, Risco e Compliance.

Mas o que é isto que GRC? Bem, quando o BNA publicou o aviso 8/2020, não é mais do que directrizes do que deve ser implementado, e que boas práticas, frameworks, ou normativos devemos seguir. Para tal, devem as organizações internamente ter desenvolvidos os seus Modelos de Governos de Segurança e Ciber Segurança de acordo com o referencial/normativo que julgarem mais indicado ao sector de actividade, devem desenvolver procedimentos de resposta a Incidentes, a Gestão de Vulnerabilidades, e principalmente Gestão de Risco de acordo com a organização. Não podemos, por exemplo, pensar que a banca é igual às telecomunicações, ou à logística, pois têm riscos diferentes, assim como potenciais vulnerabilidades diferentes também.

No último relatório disponibilizado pela Rapid7, podemos verificar que o volume de vulnerabilidades publicadas cresceu significativamente nos últimos cinco anos. O ano de 2017 experimentou um aumento de 127% nas vulnerabilidades nomeadas CVE em relação a 2016, e cada ano de CVE identificadas desde então, superou o seu antecessor em volume absoluto. Quando o ano de 2020 chegou ao fim, acumulava 18.362 vulnerabilidades (total), o que representou um aumento de 6% em relação a 2019 e um aumento vertiginoso de 185% em relação a cinco anos atrás.

Na verdade, tudo assenta na gestão de risco, ora vejamos. Ao identificar um determinado risco, eu estou a assumir um potencial incidente na minha organização, que assumo ou não esse risco, na forma como o vou tratar. Ora se identificamos determinadas vulnerabilidades, que se traduzem em riscos, que, por sua vez, se podem traduzir em potenciais incidentes que, pela sua natureza, podem ser danosos para a instituição, então eu tenho de, antecipadamente, definir modelos de governo na minha organização, para estar minimamente preparado quando esses potenciais incidentes vierem a ocorrer.

Não adianta, como sabemos que o BPC e outros estão a fazer, a investir apenas em tecnologia como FirewallsNextGen, End-Points, Anti-Virus, SIM e SIEM, DLPsentre outros, se o meu modelo de governo não existir, se eu não souber como agir em determinada situação, se não souber a quem ligar, a quem contactar ou a quem escalar?

Devemos investir mais em ser proactivos, ter Planos de Continuidade de Negócio, Planos de Disaster Recovery, Resposta a Incidentes, Vulnerabilidades, Risco, entre outras. Ter políticas de segurança bem definidas, Procedimentos bem definidos e processos bem definidos que sejam do conhecimento de todos dentro da organização.

Para finalizar, um bom investimento em formação e treino dos colaboradores, aliada à componente tecnológica da organização, pode ser o modelo mais eficaz para salvaguardar a organização, pois se colocarem nos pratos da balança quanto custa o investimento em formação e quanto custa um incidente deste género que poderia ser evitado, facilmente chegam à conclusão que a formação é mais em conta e tem efeitos mais benéficos e duradores. 

O investimento em segurança não é um custo, mas sim um ganho, pensem quanto custa uma formação sobre segurança, e agora pensem quanto custa uma organização parada por não formação dos colaboradores!

Pensem o que está mais vulnerável a um ataque, o vosso servidor, ou o PC do colaborar que acede a todos os sites e browsers da internet quando em casa ou no café em rede aberta!

Pensem e tirem as vossas conclusões.

Sim, outra vez o BPC, e vai voltar a acontecer uma, e outra, e outra vez.

Pode não ser o BPC, mas nada está 100% seguro!

Vamos ser mais proactivos, e investir na segurança, como se de nós próprios se tratasse!

Daniel  Ferreira

Daniel Ferreira

Especialista em segurança