Nós realmente não conhecemos a dor e o custo de um evento de tempo de inatividade, a menos que toquemos diretamente.
Seja uma inundação, falha elétrica, ataque de resgate ou outros grandes eventos geográficos; não sabemos o que é realmente ter de restaurar a infraestrutura de TI, a menos que tenhamos que fazer isso nós mesmos.
Nós olhamos as questões de backup e recuperação de outras pessoas e esperamos que sejam mais inteligentes ou inteligentes o suficiente para evitar que isso aconteça conosco.
A recuperação de um evento de tempo de inatividade inclui inconvenientes, trabalho extra, constrangimento e sim, dor real.
Um exemplo é um ataque ransomware
Unitrends – uma empresa americana especializada em soluções de backup e continuidade de negócios – recentemente compartilhada conosco, um incidente de ataque cibernético real aconteceu com um de seus clientes para descrever as etapas necessárias que eles levaram para recuperar a funcionalidade após um ataque CryptoLocker contra uma cidade dos EUA.
Além disso, como custa a equipe de governança da cidade dias de produção e centenas de horas-homem para se recuperar.
O desafio
Issaquah é uma cidade pequena de 30.434 pessoas em Washington, Estados Unidos. De acordo com Forbes, eles são o segundo subúrbio de mais rápido crescimento no estado de Washington.
John T, Gerente de TI lidera uma equipe de cinco funcionários que executam todas as iniciativas de TI co-desenvolvidas com a equipe de governança de TI da cidade. O time de John administra toda a tecnologia, desde telefones, redes, servidores, desktops, aplicativos e serviços em nuvem.
A cidade possui apenas duas equipes de TI dedicadas à infraestrutura.
“Estamos espalhados tão finos que os registros não são monitorados de forma consistente”, relata John. “Estamos a recuperar lentamente de uma década de sub investimento em TI e tem uma grande quantidade de software, hardware e atualizações de rede”.
Parte desse sub investimento é que eles continuaram a confiar em uma unidade de fita que tinha dez anos usando o Backup Exec.
Eles continuaram tropeçando até serem atingidos com um ataque de ransomware CryptoLocker.
A infecção
Veja abaixo a história completa compartilhada por John:
Na análise final, acreditamos que o ataque do ransomware originou-se de um “drive-online” onde um único funcionário da cidade visitou e abriu um arquivo .pdf que havia sido comprometido em um site de coordenação de concessão administrado por um sem fins lucrativos. Este não é um risco incomum – uma pequena empresa ou site da organização que não possui financiamento de TI para manter os riscos de segurança no mundo da luz da luz de hoje.
A maioria das entradas no arquivo de log do usuário eram inofensivas, embora o vírus funcionasse, poderia ter sido baixado a qualquer momento, mas ainda precisava ser executado pelo usuário. Poderia estar sentado no disco rígido por semanas (parecendo um .pdf) antes de ser executado, embora devêssemos entrevistar o usuário para ver se ela se lembra de algo assim. Este resgate parecia desativar nossos sistemas antivírus, e é conhecido por remover todos os traços uma vez que terminou.
Este vírus correu apenas na memória do PC e não apareceu em nenhum outro dispositivo em nosso sistema. Apenas atacou o Microsoft Office, a imagem, o .pdf e os arquivos de texto em pastas no PC do usuário e compartilhamentos de arquivos aos quais o usuário teve que escrever o acesso. Parou de criptografar arquivos uma vez que o PC foi reiniciado no modo de segurança. A falta de propagação poderia ter sido resultado do vírus que foi projetado para residir exclusivamente na memória para evitar acionar alarmes ou porque o nosso software antivírus interceptou-o em outros dispositivos, pois tentou se propagar.
Onde foi hospedado?
O servidor físico que hospedou o arquivo também hospedou cinco servidores de aplicativos virtuais críticos. Após uma análise cuidadosa, foi determinado que estes não foram comprometidos. Movemos imediatamente essas máquinas virtuais para um host diferente. Isso foi feito antes de iniciar a restauração do servidor para reduzir o processador e a carga NIC no host do servidor de arquivos.
Quando começamos o processo de restauração do servidor de arquivos, rapidamente se tornou aparente, levaria muito tempo … quatro dias, como acabou. Uma análise rápida revelou que não tínhamos outras opções para restaurar o servidor de arquivos. O dispositivo backup.exe funcionou e nunca falhou ou interrompeu durante o processo de restauração. Parece que a escala da restauração era muito grande para a capacidade do dispositivo e teve que acelerar o treino, tornando o processo muito longo.
Felizmente para nós, o ataque aconteceu numa quinta-feira, então só a produção do escritório de quinta-feira e sexta-feira foi perdida. Mesmo assim, nossos usuários foram muito impactados negativamente e bastante chateados (assim como nós). Isso levou o financiamento a ser lançado para passar para um aparelho de backup moderno .
O custo real para recuperar de um ataque Ransomware
John disse que os executivos seniores concordaram em financiar uma atualização para o sistema de backup e, após um processo de seleção de fornecedores, sua equipe escolheu o que considerava ser a melhor combinação de recursos e capacidade com custos razoáveis.
Se o mesmo ataque do Ransomware tiver ocorrido hoje com os dados de backup no dispositivo da Série 933S da Unitrends Recovery, os resultados teriam sido muito diferentes.
Primeiro, o ataque teria sido descoberto muito rapidamente, pois todos os appliances Unitrends incluem software analítico preditivo e aprendizado de máquina que reconhecerão automaticamente os efeitos do ransomware em arquivos de backup.
Um e-mail seria automaticamente enviado aos administradores, avisando o ataque e identificando os arquivos afetados. Em seguida, o plano de recuperação de desastres que eles tiveram no lugar seria executado.
Em segundo lugar, excluir, reinstalar arquivos afetados e reiniciar servidores afetados levaria minutos, não horas e provavelmente não quatro dias.
As aplicações críticas poderiam ter sido ativadas instantaneamente no dispositivo de backup usando os últimos backups legais feitos antes da infecção. Isso limitaria muito o impacto negativo sobre a produtividade dos funcionários e do escritório.
Os resultados
Houve vários incidentes de backup e recuperação desde que o Unitrends Appliance foi instalado, informou John.
“Usamos o nosso appliance de backup para recuperar arquivos que foram excluídos acidentalmente pelos usuários finais. Nós também o usamos para recuperar máquinas virtuais quando tivemos uma falha no sistema host. O tempo de inatividade no último caso foi limitado ao tempo de resposta do pessoal como a missão O VM de backup crítico foi aumentado em menos de cinco minutos! “
“Nós também planejamos mudar para a nuvem muito em breve desde que o appliance Unitrends vem com software de nuvem integrado. Os maiores benefícios que esperamos ver da nuvem são o armazenamento off-site de baixo custo, a capacidade de recuperar aplicativos na nuvem, se necessário como recurso de DraaS , e acesso de qualquer lugar em caso de emergência de tipo desastre natural “.
“Agora temos a paz de espírito, sabendo que podemos recuperar rapidamente quando necessário. Nós também aumentamos o conhecimento de equipe compartilhada em backup e DR com a interface de usuário fácil de usar”
Leia mais em: Segurança da Informação
Fonte: https://thehackernews.com
Segurança da Informação: Um Guia Abrangente
Introdução
A segurança da informação é um campo crucial no mundo digital de hoje. Antecipadamente, é fundamental para proteger dados confidenciais e evitar violações que podem ter consequências graves. Antes de tudo, é importante entender os diferentes tipos de ameaças e as medidas que podem ser tomadas para mitigar os riscos.
Compreendendo os Tipos de Ameaças
Primeiramente, as ameaças à segurança da informação podem ser categorizadas em três tipos principais:
- Ataques cibernéticos: Incluem malware, phishing, ransomware e ataques de negação de serviço (DoS).
- Erros humanos: Podem ser causados por negligência, falta de conhecimento ou treinamento inadequado.
- Falhas de hardware ou software: Podem levar à perda de dados ou à indisponibilidade de sistemas.
Medidas Preventivas
Antes de mais nada, é importante implementar medidas preventivas para proteger a informação. A princípio, estas medidas podem incluir:
- Implementar firewalls e sistemas de detecção de intrusão (IDS).
- Utilizar software antivírus e anti-malware atualizado.
- Criar e aplicar políticas de segurança rígidas.
- Realizar backups regulares de dados.
- Treinar funcionários sobre segurança da informação.
Gerenciando Incidentes de Segurança
À primeira vista, é importante ter um plano para lidar com incidentes de segurança. Acima de tudo, este plano deve incluir:
- Identificar e conter a ameaça.
- Investigar o incidente para determinar a causa e o impacto.
- Notificar as partes interessadas, como clientes e autoridades.
- Tomar medidas para recuperar os sistemas e dados afetados.
Melhores Práticas para Segurança da Informação
De antemão, é importante seguir as melhores práticas para garantir a segurança da informação. Desde já, estas práticas podem incluir:
- Manter software e sistemas atualizados.
- Utilizar senhas fortes e exclusivas.
- Limitar o acesso a dados confidenciais.
- Criptografar dados confidenciais.
- Realizar testes de penetração regulares.
Conclusão
Em primeiro lugar, a segurança da informação é um processo contínuo que exige atenção constante. Principalmente, é importante estar ciente das últimas ameaças e tomar medidas para proteger dados confidenciais. Primordialmente, a segurança da informação deve ser uma prioridade para todas as organizações. Sobretudo, a implementação de medidas de segurança adequadas pode ajudar a prevenir violações e proteger a reputação da organização.
Recursos Adicionais
Juntamente com as informações fornecidas neste guia, existem diversos recursos disponíveis para ajudar a aprofundar o conhecimento sobre segurança da informação. Nesse sentido, alguns recursos úteis incluem:
- Sites de organizações de segurança da informação:
- Livros e artigos sobre segurança da informação:
- “CIS Controls: A Framework for Cyber Security”
- “The Art of Deception: Controlling the Human Element of Security”
Em outras palavras, a segurança da informação é um tópico complexo que exige atenção constante. Ao mesmo tempo, é importante estar ciente das últimas ameaças e tomar medidas para proteger dados confidenciais. Atualmente, a segurança da informação é uma das principais preocupações das organizações em todo o mundo.
Ao passo que a tecnologia continua a evoluir, as ameaças à segurança da informação também se tornam mais sofisticadas. Constantemente, é importante estar atento às novas ameaças e adaptar as medidas de segurança para proteger os dados confidenciais.
Depois que você tiver lido este guia, você estará mais bem preparado para proteger a informação da sua organização. Desde que você siga as melhores práticas e esteja ciente das últimas ameaças, você poderá ajudar a prevenir violações e manter seus dados seguros.
Enquanto você implementa medidas de segurança, é importante lembrar que a segurança da informação é um processo contínuo. Em seguida, você deve revisar e atualizar suas medidas de segurança regularmente para garantir que elas sejam eficazes.
Então, agora que você tem uma compreensão básica da segurança da informação, é hora de começar a tomar medidas para proteger seus dados.
Eventualmente, você precisará tomar decisões sobre como proteger sua informação. Finalmente, a segurança da informação é uma responsabilidade de todos.
Frequentemente, as pessoas pensam que a segurança da informação é apenas para grandes empresas. Imediatamente, é importante lembrar que todas as organizações, grandes e pequenas, são alvos de ataques.