A crise Rússia-Ucrânia suscitou alarmes sobre o aumento do risco de ciberataques.
Por Susan Bradley
Um webcast do Instituto SANS sobre a escalada dos ciberataques russos na Ucrânia apresentou algumas conclusões. A primeira: não entrem em pânico. Muitas vezes, com problemas de segurança, pensamos no pior; podemos exagerar e piorar a situação. Em vez disso, concentre-se no básico. A segunda é que temos de prestar mais atenção ao tráfego em rede.
Cuide primeiro dos princípios básicos de segurança
Ao rever a sua rede para potenciais ameaças informáticas, não piore as coisas ao fazer configurações incorretas que irão criar mais problemas. Passe algum tempo em projetos básicos e outros em que provavelmente deveria ter trabalhado antes.
Documentação e planeamento é o que precisa fazer agora, não fazer alterações e ajustes de configuração. Abrande e reveja os planos em vez de fazer mudanças dramáticas. As alterações de configuração têm frequentemente efeitos colaterais que o fazem pensar que um ataque de fontes externas está em andamento. Um site está offline. Pensamos imediatamente num ataque informático, mas a causa principal é geralmente as configurações incorretas do serviço de DNS ou problemas de infraestrutura primária.
Aproveite para rever e considerar pontos de entrada direcionados. Conheça as lições dos ataques de ransomware Maersk que começaram na Ucrânia. Rever quais os pontos de entrada entre empresas provém de elos fracos. Reveja todas as ligações de rede privada virtual (VPN) à sua rede e de onde vêm. Lembre-se, a segurança destas afeta a sua segurança. Adicione a autenticação de dois fatores a estas ligações quando apropriado, e considere se precisa de fazer ajustes temporários a quem se liga à sua rede durante este período.
Geralmente recomendo o adiamento até que saibamos quaisquer efeitos colaterais, mas dependendo do seu nível de risco, pode testar as atualizações rapidamente e implementar mais cedo do que o normal. Também recomendo rever vulnerabilidades frequentemente atacadas e garantir que fixou a sua rede para elas.
Por último, mas não menos importante, não se torne numa fonte de financiamento para os invasores. Certifique-se de que pode recuperar de um ataque de ransomware e não pague resgate aos atacantes. Ter uma cópia de segurança offline deve ser uma prioridade para garantir que pode recuperar em qualquer situação.
Monitorizar o tráfego da rede para anomalias
A SANS recomendou que reveja os recursos que tem de monitorizar o tráfego da rede para ver quem pode estar dentro da sua rede. Especificamente, analise o NetFlow, um protocolo de rede frequentemente utilizado criado pela Cisco que recolhe tráfego de rede IP ativo à medida que entra ou sai de uma interface. Rastreia o ponto de origem, destino, volume e caminhos na rede.
Em primeiro lugar, observe os seus dispositivos de edge, firewalls e outros dispositivos que controlam o fluxo de tráfego de rede que entra e sai da sua rede. Mesmo uma pequena firewall de negócios provavelmente pode apoiar este nível de investigação. Comece por remover o manual da sua firewall e reveja se pode ativar a marcação de tráfego NetFlow. Não basta permitir; é necessário registá-lo para poder voltar e investigar o tráfego malicioso após o facto.
NetFlow não é apenas tráfego malicioso. É também um meio de reduzir os estrangulamentos e otimizar a utilização da largura de banda. O tráfego NetFlow não pode ser utilizado apenas para uma única sessão; fornece mais informações quando é acumulado. Ativar a análise do NetFlow e guardá-lo para que possa rever os padrões mais tarde é fundamental. Utilize funcionalidades como a Splunk para melhor armazenar e analisar as informações que recebe da sua rede. Também pode utilizar armazenamento em nuvem, como o Azure Sentinel, para armazenar e rever as informações do NetFlow.
Outras opções para monitorizar o tráfego da rede
Outras plataformas desempenham funções semelhantes e podem fornecer tanto ou mais informações do que o NetFlow. Para quem tem uma licença Microsoft 365 E5 ou um Microsoft Defender for Business, a consola Advanced Threat Protection fornece informações semelhantes sobre a interação do evento nas suas estações de trabalho e servidores.
O Layering no Defender para aplicações em nuvem também pode rastrear os fluxos através do SaaS e de outras plataformas em nuvem. O Defender for Endpoint pode permitir-lhe rever a fonte IP, destination IP e porto de origem e porto de destino. Também expõe a informação do processo, bem como o URL web envolvido na interação. Coloque recursos para entender qual é o tráfego normal da rede e os endereços IP externos em que precisa confiar para fazer negócios.