Com os recentes eventos como WannaCry, NotPetya e outros outbreaks de ransomware, a maior parte das empresas está em alerta contra a ameaça do ransomware. Muitas acabaram investindo tempo e recursos para responder a esses eventos, assim como mitigando os riscos e estando preparadas para novos outbreaks. Contudo, existe uma superfície de ataque em potencial que pode ter recebido muito menos atenção, mas que nem por isso deixa de ser importante: o ransomware na nuvem.

Ambientes de nuvem não são menos suscetíveis ao ransomware que qualquer outro ambiente. Contudo, eles possuem propriedades que podem tornar a resposta e a mitigação dos riscos diferentes do habitual. Por exemplo, eles podem implementar canais diferentes de notificação e comunicações, eles podem envolver pessoal diferenciado, e podem ter um set de controles completamente diferente em uso. Pensar na defesa do ransomware no ambiente de nuvem como se fosse igual a qualquer outro ambiente é uma estratégia que pode acabar sendo até pior.

 

O Ransomware na Nuvem

Utilizar um modelo de infraestrucuture-as-a-service (IaaS) permite ao cliente da nuvem ter mais visibilidade ao OS da nuvem que outros modelos de nuvem, mas em contrapartida, questões como o patching, particularmente no caso de sistemas propositalmente legados, é algo tão complexo quanto em outros ambientes, de forma que podem exigir tanto tempo e recursos como qualquer outra gestão de patches.

A questão é que ambientes de IaaS podem ser suscetíveis ao ransomware. O que é diferente no caso do IaaS é como a empresa descobre o ransomware, como responde e como se protege dessa ameaça. De forma prática, equipes diferentes são responsáveis por cuidar da manutenção do IaaS em comparação com outras tecnologias.

Por exemplo, a nuvem anda lado-a-lado com o shadow IT. Pode ser difícil para as equipes de segurança identificar e gerenciar as aplicações de shadow it na nuvem usadas pelos funcionários ao longo de toda a empresa. Dessa forma, equipes de desenvolvimento, negócios ou outras equipes fora da TI da empresa, estarão preparadas para remediar os danos do ransomware na nuvem, na mesma proporção que as tecnologias homologadas oficialmente?

Também tenha em mente que tanto a resolução quanto implementação de contra medidas específicas podem ser feitas por meio de diferentes canais. Por exemplo, uma atividade chave para responder rapidamente a ransomware em proliferação, como o Wannacry, é prontamente realizar o patch, a forma como você pode afetar isso depende da nuvem – uma enterprise pode precisar agendar uma janela de manutenção previamente dependendo do provedor.

Além do IaaS, outros modelos de nuvem podem ser impactados. Mesmo SaaS não está imune, considere por exemplo serviços de armazenamento como Dropbox, Google Drive e outros. Tipicamente, esses serviços funcionam sincronizando arquivos locais com a nuvem. Para empresas de pequeno porte, isso pode acabar sendo o armazenamento principal, backup ou mecanismo de troca de dados. Mas, o que acontece quando arquivos locais são encriptados, deletados ou sobrescritos ou comprometidos com ransomware? Essas mudanças são sincronizadas com a nuvem.

 

Estratégias de Mitigação de Risco para Ransomware na Nuvem

O que as empresas podem fazer para se preparar para o ransomware num ambiente de nuvem? Existem algumas coisas que podem tornar a resposta significativamente mais fácil. Provavelmente o que pode ser feito primeiro pelas empresas – tanto para nuvem quanto para outros ambientes – é exercitar os procedimentos de resposta e escalonamento.

Por exemplo, trabalhar em cenários de alerta e resposta antes que eles aconteçam fornece a sua equipe resposta chave: como você vai ser notificado dos eventos? Quem vai ser notificado? O que é necessário para tomar ações responsivas em cada um desses cenários?

Também é interessante a ideia de passar por um assessment sistemático de risco, especificamente para o ransomware. Você pode, por exemplo, conferir os processos de backup e resposta para garantir que , caso um dado seja especificamente um alvo do ransomware, a empresa tenha meios de proteger ou recuperar esse dado em um nível técnico.

Para o caso de IaaS, pense nos serviços de backup e resposta que o provedor possa oferecer, controles técnicos oferecidos e contramedidas já empregadas por sua empresa. Esse nível de risco provavelmente já foi feito pela empresa como um todo, mas você deve ter medidas para especificamente estendê-las para a nuvem. Isso muitas vezes pode requerer bastante tempo para empresas que possuem diversos provedores em curso, mas esse esforço pode ser desenvolvido em uma atividade maior que vá para além do ransomware, por exemplo, mitigação de malware de forma mais generalista, reunião de dados, modelagem de ameaças, governança de nuvem e outras atividades que envolvam análise sistêmica de serviços utilizados na nuvem.

Podemos elencar como situação mais complicada na questão do ransomware na nuvem a intersecção entre o SaaS e empresas de pequeno porte, especialmente no que diz respeito a corrupção do armazenamento em nuvem por meio da sincronização do ransomware, impactando arquivos em um repositório remoto. Medidas específicas para prevenir isso estão disponíveis, como manter manualmente a sincronização ou espelhar os dados em um outro repositório, assumindo que o volume em questão não torna isso proibitivamente caro.

Alternativamente, soluções de backup que mantém as iterações anteriores dos dados podem prover meios de recuperar o armazenamento primário em caso de comprometimento. Independente de qual método sua empresa empregar, é importante pensar de forma avançada e cuidar das medidas de proteção críticas.