Para a maioria dos profissionais de TI, a exfiltração de dados da rede é o ponto em que eles consideram que perderam o controle, e que uma violação de dados de fato aconteceu. Eles pensam “onde estão os bits” e, se sua base de dados de usuários está sendo compartilhada na internet por bittorrent e sendo vendida por .0001 BTC por conta, é porque claramente perderam o controle.
O que não é tão óbvio é que o ransomware (ou qualquer forma de infecção por malware) representa uma perda de controle dos dados dentro da rede e, portanto, constitui uma violação de dados.
A maneira apropriada de considerá-lo é imaginar que uma pessoa mal-intencionada entrou no seu escritório, passou pela recepção e pela segurança, entrou no elevador e desceu até o porão, destrancou a porta da sala do servidor, fez login em seu sistema principal de arquivos usando algumas credenciais roubadas, criptografou 10.000 arquivos aleatórios dos quais seus usuários dependem para trabalhar e então saiu sem nenhuma dificuldade.
Se alguém fosse capaz de realizar esse ataque físico contra sua rede, isso claramente significaria uma perda de controle dos dados, certo? No entanto, muitos administradores de sistema consideram, erroneamente, um ataque de ransomware como violação puramente interna, não uma violação de dados.
Historicamente, a maioria das infecções de ransomware usam o vetor de ataque da engenharia social ou das campanhas de phishing, que contêm anexos ou links para um website infectado. O resultado final é a entrada de um malware na rede corporativa. Infelizmente, todas as defesas de próxima geração do perímetro que as empresas têm adquirido não são tão difíceis de ultrapassar.
Uma vez dentro da rede, o ransomware faz um escaneamento de toda a rede interna para ver quais servidores abrigam compartilhamentos de arquivo, tentam se conectar a cada um deles, criptografar seus conteúdos e então pedir o pagamento do resgate para devolver acesso aos arquivos criptografados.
Uma boa maneira conceitual de pensar sobre o ransomware é como uma violação de seus sistemas de controle, não uma violação da rede propriamente dita.
A maioria dos guias de resposta a uma violação de dados claramente é modelada para atender a regulamentações da indústria, que explicitamente classificam o ransomware como uma violação de dados. Um desses exemplos é o HIPAA, dos Estados Unidos, que claramente considera o ransomware dessa maneira.
“A presença de ransomware (ou qualquer malware) nos sistemas de computador de uma entidade ou negócio associado é um incidente de segurança sob a HIPAA Security Rule. Um incidente de segurança é definido como uma tentativa ou um acesso, uso, vazamento, modificação ou destruição não autorizada de informações ou interferência nas operações de um sistema em um sistema de informação”.
Ou seja, o ransomware é uma violação de dados e as organizações devem tratá-lo como tal.
Quer saber mais sobre como a Varonis pode ajudá-lo a proteger seus dados do ransomware? Descubra como podemos ajudá-lo.