Perguntas e respostas de especialistas: Por que as empresas ainda pagam ransomware?

Se os resgates não fossem pagos, o ransomware provavelmente deixaria de existir.

No entanto pesquisas sugerem que muitas empresas ainda estão dispostas a pagar após um ataque de ransomware, perpetuando o ransomware como tipo de ataque mais comum.

Conversamos com Raghu Nandakumara, diretor sênior de marketing de soluções industriais da Illumio, para discutir os fatores que levam as organizações a pagar resgates, apesar de seus riscos de reputação, financeiros e de segurança.

Com o que parece ser uma quantidade infinita de informações sobre políticas de segurança de dados e muitos provedores de serviços de segurança, por que as empresas continuam sendo vítimas de ransomware?

Ataques como ransomware estão mais difundidos do que nunca. No entanto, muitas empresas ainda dependem apenas das ferramentas tradicionais de prevenção e detecção, que não foram criadas para conter e impedir a propagação de violações.

Efetivamente, isso significa que as organizações estão se arriscando a se recuperar de falhas em vez de serem resilientes contra falhas por meio de sua capacidade de conter a propagação de um ataque de ransomware.

Na maioria das vezes, os planos de recuperação são inadequados ou não foram testados adequadamente, o que os torna inviáveis quando ocorre um incidente real. Como resultado, as organizações não têm escolha a não ser pagar o resgate para restaurar as operações e os níveis de produtividade o mais rápido possível.

Os agentes de ransomware também estão cientes de que os planos de recuperação geralmente são deficientes. Eles visam intencionalmente organizações e operadoras de serviços essenciais, onde for o caso, para obter maiores chances de recompensa.

O que você ouviu de proprietários de empresas sobre por que eles não estão implementando sistemas de segurança, incluindo proteção contra ransomware?

A coisa mais comum que ouvimos é “Eu tenho detecção e resposta — essa é minha proteção” ou “Temos planos adequados de recuperação de desastres para que possamos nos recuperar com segurança caso sejamos atacados”.

No entanto, nem os planos de detecção e resposta nem de recuperação oferecem uma solução 100% à prova de balas para impedir o impacto do ransomware.

Pagar um resgate não se trata apenas de dinheiro. Trata-se de suspensão de negócios, perda de reputação se o ataque se tornar de conhecimento público e muito mais. Como transmitir essa mensagem às pessoas em risco?

Acho que a mensagem mais importante é que todas as empresas estão em risco. O ransomware agora é o tipo de ataque mais comum, então não é mais uma questão de se uma organização sofrerá um ataque, mas quando.

Tanto os líderes de negócios quanto os de segurança precisam adotar um”presumir violação“Mentalidade: seu foco deve estar na contenção de violações e não na prevenção para garantir que o ransomware seja isolado no ponto de entrada.

Além disso, precisamos ver uma maior educação entre as equipes de TI sobre a evolução do ransomware. Os cibercriminosos agora estão usando formas mais sofisticadas de evitar as proteções de segurança cibernética, e isso significa que os sistemas de detecção de ransomware sozinhos não podem impedir todos os ataques.

Técnicas somente de detecção não são mais suficientes para proteger as organizações. Estabelecer métodos de proteção antecipadamente é a única maneira de se proteger contra a nova geração de ataques.

Para organizações que se enquadram na infraestrutura nacional crítica (CNI), a mensagem precisa se concentrar nas ramificações que vão além dos resultados financeiros. As funções que esses operadores oferecem são essenciais para a sociedade e podem representar um risco potencial à saúde, à segurança e à economia se forem interrompidas. Os operadores da CNI têm a responsabilidade de manter esses serviços.

A recuperação não é suficiente — eles precisam ser resilientes.

O que incentivaria as organizações a fazerem para fortalecer sua postura de segurança para que o ransomware não seja mais uma ameaça?

Reduzir a ameaça do ransomware exigirá uma combinação de tecnologia e legislação.

As organizações precisam implementar a arquitetura de segurança correta para eliminar a propagação de violações, incluindo a implantação de ferramentas Zero Trust, incluindo Segmentação Zero Trust (ZTS) e detecção e resposta de terminais (EDR).

Ao mesmo tempo, pagar um ransomware gera mais ataques. Em última análise, quanto mais lucrativo for um ataque, mais cibercriminosos o farão, então a única maneira de erradicar completamente o ransomware é impedir que os pagamentos sejam feitos.

No entanto, isso exigirá uma nova legislação para tornar ilegal o pagamento de ransomware. Já estamos vendo um aumento nas diretrizes governamentais obrigando as organizações a denunciar ransomware nos EUA, e é provável que o Reino Unido siga o exemplo.

As organizações também devem usar os cinco pilares do Estrutura de segurança cibernética do NIST para ajudar a criar resiliência contra o ransomware. Todos são essenciais para a defesa contra ransomware e exigem investimento.

‍

Que conselho você daria a um CFO, CIO e CEO em relação ao ransomware?

Para cFos: quanto mais tempo for necessário para identificar, mitigar e resolver um ataque, maior será o custo. Certifique-se de que sua organização esteja investindo continuamente em recursos para aprimorar a resiliência cibernética e priorizar investimentos que tenham um ROI quantificável, como Segmentação Zero Trust.

Para CIOs: sempre presuma uma violação. Se você conseguir criar resiliência e impedir a propagação do ransomware em sua rede, será muito mais fácil controlar e remediar um ataque. No entanto, fortalecer a resiliência cibernética é um esporte coletivo. É necessária a colaboração entre várias funções da organização para desenvolver um plano que melhore a segurança e, ao mesmo tempo, permita a transformação. As partes interessadas precisam se engajar desde o início, se manter informadas durante todo o processo e aderir ao plano.

Para CEOs: a resiliência cibernética deve ser uma questão de nível de diretoria. Faça a coisa certa e você poderá garantir a produtividade, proteger a marca e a reputação, criar confiança e fortalecer a conformidade. Lembre-se de que nem todos os ataques de ransomware precisam terminar em grandes fracassos comerciais. Ao conter o ataque no ponto de entrada, você pode interromper o ransomware antes que ele comece, protegendo sistemas e dados essenciais e economizando milhões em custos anuais de inatividade.

Saiba como Segmentação Illumio Zero Trust pode ajudar suas organizações a conter o ransomware e nunca pagar um resgate. Entre em contato conosco hoje para uma consulta e demonstração.