Proteção Contra Ransomware para Ambientes Virtuais e SQL Server

Ransomware é um tipo de ataque cibernético em que os dados de um sistema são criptografados pelos invasores, que exigem um resgate para liberar o acesso aos dados. Proteger suas VMs e servidores SQL é crucial para evitar a perda de dados críticos e impactos financeiros. Este guia apresenta práticas recomendadas para proteger seu ambiente contra ransomware, com foco em VMs, servidores SQL Server e alternativas seguras ao uso do RDP.

Proteja seu sistema de e-mail contra ameaças

O e-mail é uma das principais portas de entrada para ataques de ransomware. Campanhas de phishing e anexos maliciosos são frequentemente utilizados pelos atacantes para comprometer sistemas e obter acesso inicial à rede. Proteger o sistema de e-mail é, portanto, um passo essencial para minimizar os riscos.

1. Use filtros de e-mail avançados

• • Configure filtros para identificar e bloquear mensagens suspeitas. Ferramentas de segurança de e-mail podem examinar remetentes, conteúdo e anexos para evitar a entrega de e-mails perigosos.
  • Ative análises de reputação do remetente e listas de bloqueio (blocklists) para prevenir mensagens provenientes de domínios maliciosos.

2. Habilite a autenticação forte

• • Implementar protocolos como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting, and Conformance) ajuda a garantir que os e-mails sejam legítimos.
  • Isso reduz a probabilidade de ataques de spoofing e phishing.

3. Bloqueie anexos potencialmente perigosos

• • Configure políticas para impedir o envio ou recebimento de tipos de arquivos frequentemente utilizados em ataques de ransomware, como .exe, .zip, .js ou macros embutidas.
  • Use soluções de sandboxing para abrir anexos em ambientes isolados antes de entregá-los aos usuários.

4. Treine seus colaboradores

• • Realize treinamentos regulares sobre como identificar e-mails de phishing.
  • Use simulações de ataques de phishing para educar os usuários sobre boas práticas, como evitar clicar em links ou abrir anexos de remetentes desconhecidos.

5. Adote ferramentas de proteção com IA

• • Soluções baseadas em inteligência artificial podem identificar padrões de comportamento associados a ataques de phishing e ransomware, aumentando a proteção contra ameaças emergentes.

Combinando tecnologia e conscientização, a segurança de e-mail se torna um dos pilares na defesa contra ransomware.

Proteja usuários de links web maliciosos com o uso de web filter

O acesso a links maliciosos na web é outra forma comum de distribuição de ransomware. Sites comprometidos ou fraudulentos podem carregar scripts que exploram vulnerabilidades no navegador ou nos sistemas, infectando dispositivos automaticamente. A implementação de filtros de navegação na web (web filter) pode ser decisiva para mitigar este risco.

1. Controle de acesso a sites

• • Configure políticas de web filter para bloquear categorias de sites que geralmente são usados para disseminar malware, como sites de compartilhamento de arquivos, pirataria ou domínios recém-criados.
  • Realize o bloqueio dinâmico de sites que não estão em listas conhecidas de confiança.

2. Inspeção de tráfego HTTPS

• • Muitos sites maliciosos utilizam criptografia HTTPS para esconder suas atividades. Configure o web filter para inspecionar o tráfego HTTPS em busca de scripts ou comportamentos suspeitos.
  • Certifique-se de usar certificados confiáveis para manter a privacidade dos dados legítimos.

3. Proteção contra domínios falsificados

• • Utilize filtros baseados em DNS para bloquear o acesso a domínios conhecidos por serem maliciosos, como aqueles registrados para phishing ou distribuidores de ransomware.
  • Ferramentas de segurança avançadas podem identificar domínios que imitam sites legítimos, alertando os usuários.

4. Limitação de downloads não autorizados

• • Configure políticas para permitir downloads apenas de fontes confiáveis ou em formatos aprovados.
  • Combine o web filter com um firewall para aplicar restrições adicionais em downloads de executáveis.

5. Alertas em tempo real

• • Integre o web filter a um sistema de alertas para notificar imediatamente os administradores sobre tentativas de acesso a sites suspeitos.
  • Proporcione feedback claro aos usuários, informando por que o acesso foi bloqueado e os riscos associados.

6. Integração com soluções de endpoint

• • Ferramentas de web filtering devem funcionar em conjunto com soluções de segurança de endpoint para fornecer uma abordagem em camadas, identificando e neutralizando ameaças antes que causem danos.

A combinação de web filtering com práticas de segurança proativas ajuda a reduzir significativamente os riscos associados a links maliciosos, protegendo tanto os usuários quanto a infraestrutura.

Proteção Geral para Ambientes Virtuais (VMs)

Práticas Gerais de Segurança

• • Armazene suas senhas de forma segura: Utilize softwares de armazenamento seguro (cofres de senhas) para gerenciar suas credenciais de forma protegida. Evite compartilhar senhas por meios não seguros, como e-mails, chats ou mensagens instantâneas, minimizando o risco de vazamento de informações confidenciais.
  • Manter o Sistema Atualizado: Sempre aplique as últimas atualizações de segurança para o sistema operacional e o hypervisor. Valide a estabilidade das atualizações e erros conhecidos antes de aplica-las.
  • Backups Regulares: Configure backups automáticos para as VMs, preferencialmente em um local seguro e isolado da rede principal.
  • Desabilitar Serviços Não Utilizados: Desative serviços e portas não utilizados para reduzir a superfície de ataque.
  • Firewall e Monitoramento de Tráfego: Use firewalls para bloquear acessos não autorizados e monitorar tráfego de rede em tempo real.
  • Anti-malware e Anti-ransomware: Instale e mantenha softwares de proteção ativos em todas as VMs e servidores.

Controle de Acesso

• • Autenticação Multifator (MFA): Ative MFA para todas as contas administrativas.
  • Princípio do Menor Privilégio: Garanta que os usuários tenham apenas as permissões necessárias para realizar suas tarefas.
  • Isolamento de Redes: Separe suas VMs em redes virtuais diferentes para limitar a propagação de ataques.

Protegendo o Acesso Remoto à VM

Problemas com RDP

O RDP (Remote Desktop Protocol) é um dos alvos mais comuns para ataques de força bruta. Para reduzir os riscos:

• • Desabilitar o RDP Exposto à Internet: Nunca exponha diretamente o RDP à internet.
  • Usar MFA e Tunneling Seguros: Utilize VPNs e MFA para proteger o acesso ao RDP.

Alternativas ao RDP

Para aumentar a segurança, considere alternativas ao RDP, como:

• • Citrix Virtual Apps and Desktops: Oferece uma camada adicional de segurança, permitindo o controle detalhado do acesso e das permissões.
  • Parallels RAS (Remote Application Server): Outra opção para gerenciar o acesso remoto com controles de segurança aprimorados.
  • Guacamole (Apache): Uma solução de acesso remoto baseada em navegador, eliminando a necessidade de abrir portas RDP na rede.
  • Bastion Hosts: Utilize um Bastion Host (como o Azure Bastion) para acessar suas VMs de forma segura sem expor o RDP à internet.

Proteção Específica para SQL Server

O SQL Server, como um sistema de gerenciamento de banco de dados, possui uma série de recursos de segurança para proteger dados contra acessos não autorizados e garantir a integridade das informações. No entanto, é importante entender que essas medidas não previnem diretamente ataques de ransomware.

O ransomware atua criptografando arquivos e dados no sistema de arquivos subjacente. Como o SQL Server armazena seus arquivos de dados (MDF, LDF) no sistema operacional da VM, se o servidor ou a máquina onde o SQL Server está hospedado for comprometido, os arquivos de banco de dados podem ser criptografados por um ransomware. Nesse caso, as proteções do SQL Server, por si só, não conseguem impedir que um ataque ransomware comprometa esses arquivos.

O Papel do SQL Server na Segurança

• • Auditoria e Monitoramento: O uso de auditoria e monitoramento de atividades pode ajudar a identificar comportamentos suspeitos precocemente. Embora isso não impeça um ataque de ransomware, pode permitir que ações sejam tomadas rapidamente para mitigar o impacto.
  • Monitoramento do Ambiente: O monitoramento contínuo de atividades suspeitas, como tentativas de conexão com falha e requisições com erro (uso de T-SQL dinâmico, tentativas de execução do xp_cmdshell, etc.), é essencial para identificar possíveis ataques. Nossa ferramenta, Power Alerts, realiza esse monitoramento e emite alertas sempre que detectar esse tipo de cenário, ajudando na rápida identificação e resposta a ataques.
  • Criptografia de Dados: Recursos como Transparent Data Encryption (TDE) e Always Encrypted garantem que os dados estejam criptografados em repouso. No entanto, se o ransomware tiver acesso à máquina e às chaves de criptografia, ele ainda poderá afetar os dados.
  • Autenticação e Controle de Acesso: Configurações de segurança rígidas, como o uso de autenticação multifator (MFA) e o princípio de menor privilégio, ajudam a proteger o acesso ao banco de dados, dificultando que invasores obtenham acesso administrativo e implantem malware.
  • Desabilitar XP_CMDshell: Esta extensão pode ser explorada para execução remota de comandos. Desabilite-a, a menos que seja absolutamente necessária.
  • Configurar o SQL Server em Redes Isoladas: Mantenha seu SQL Server em uma sub-rede protegida, acessível apenas por sistemas autorizados.

As medidas de segurança no SQL Server são eficazes para proteger os dados contra acessos não autorizados, mas não substituem uma estratégia abrangente de segurança para proteger o sistema operacional subjacente e a infraestrutura da VM contra ransomware. Portanto, é fundamental que essas proteções sejam complementadas por práticas de segurança no nível da máquina, como backups offline, isolamento de rede e controle rigoroso de acesso às VMs.

Implementação de Backups e Recuperação

Boas Práticas de Backup

• • Backups Desconectados: Armazene cópias de backup em um local isolado para protegê-las contra ataques.
  • Backup Imutável: Utilize soluções de backup que ofereçam retenção imutável, garantindo que os backups não possam ser alterados.
  • Testes de Recuperação: Realize testes periódicos de restauração para garantir que os backups estejam funcionais.

Backup de SQL Server

• • Backups Criptografados: Habilite a criptografia durante o processo de backup.
  • Backups Diferenciais e de Logs de Transações: Além do backup completo, configure backups diferenciais e de logs para minimizar a perda de dados.
  • Manter Backups Offsite: Utilize serviços de backup em nuvem ou armazenamentos externos para cópias críticas.

Monitoramento e Resposta a Incidentes

• • Configurar Alertas e Monitoramento: Use ferramentas como Microsoft Defender for Cloud ou Azure Security Center para monitorar suas VMs.
  • Restrições de IP: Configure regras de acesso baseadas em IP para permitir apenas endereços confiáveis.
  • Análise de Logs: Automatize a análise de logs para identificar atividades suspeitas.

Plano de Recuperação Contra Ransomware

Em caso de um ataque de ransomware, ter um Plano de Recuperação bem estruturado é essencial para minimizar o tempo de indisponibilidade e reduzir os impactos no seu ambiente. Abaixo estão os principais pontos a serem considerados ao desenvolver um plano de recuperação eficaz para um ambiente virtualizado e servidores SQL.

1. Definir os Objetivos do Plano de Recuperação

• • RTO (Recovery Time Objective): Determine o tempo máximo aceitável de indisponibilidade para cada sistema crítico.
  • RPO (Recovery Point Objective): Estabeleça a quantidade máxima de dados que pode ser perdida (em termos de tempo), ou seja, a frequência dos backups.

2. Mapeamento do Ambiente e Prioridades

• • Identificar Sistemas Críticos: Mapeie todos os servidores, aplicações e serviços críticos que precisam ser restaurados em primeiro lugar.
  • Dependências de Aplicações: Entenda quais sistemas dependem uns dos outros para funcionar corretamente, garantindo uma ordem lógica na recuperação.
  • Documentação Atualizada: Mantenha um inventário detalhado dos recursos (VMs, bancos de dados, redes, etc.), incluindo configurações e credenciais de acesso.

3. Estratégia de Backup e Restauração

• • Backups Regulares: Garanta que backups sejam realizados regularmente e estejam armazenados em locais seguros e fora do alcance de ransomware (isolados ou offsite).
  • Backup Imutável: Utilize soluções de backup que ofereçam retenção imutável, evitando que sejam alterados ou excluídos por ataques.
  • Testes Periódicos de Restauração: Realize testes de restauração regularmente para garantir que os backups sejam recuperáveis em um tempo aceitável.

4. Procedimento de Resposta ao Incidente

• • Isolamento do Ambiente Afetado: Ao identificar um ataque, isole imediatamente os sistemas comprometidos para evitar a propagação.
  • Comunicação com a Equipe: Notifique todas as partes envolvidas (TI, segurança, gerência) para coordenar uma resposta rápida.
  • Engajar Especialistas: Considere envolver empresas especializadas em resposta a incidentes para ajudar na análise e mitigação.

5. Processo de Recuperação do Ambiente

• • Reconstrução de VMs: Priorize a restauração de VMs críticas usando snapshots recentes ou backups.
  • Recuperação de Dados do SQL Server:
    • Restaure backups de bancos de dados, logs de transação e arquivos críticos.
    • Execute verificações de integridade (DBCC CHECKDB) após a restauração para garantir a consistência dos dados.
  • Validação de Sistemas: Após a recuperação, valide o funcionamento correto das aplicações e serviços antes de reativá-los para os usuários.

6. Plano de Comunicação e Notificação

• • Informar Stakeholders: Notifique stakeholders internos e externos sobre o status do incidente e os esforços de recuperação.
  • Comunicação Transparente com Clientes: Se necessário, comunique clientes sobre a indisponibilidade e o tempo estimado de recuperação.

7. Revisão e Melhoria Contínua

• • Análise Pós-Incidente: Realize uma revisão detalhada após a recuperação para identificar falhas e oportunidades de melhoria no plano de recuperação.
  • Atualização do Plano: Ajuste o plano de recuperação conforme necessário, com base nas lições aprendidas.
  • Treinamento da Equipe: Garanta que a equipe responsável esteja familiarizada com o plano de recuperação e realize simulações periódicas.

Conclusão

Proteger um ambiente contra ransomware exige uma combinação de boas práticas de segurança, ferramentas de monitoramento e backup robusto. Implementar esses controles ajudará a mitigar o risco de ataques e minimizar o impacto caso um incidente ocorra.

Esperamos que este guia ajude você a fortalecer seu ambiente e proteger seus dados críticos.

Gostaria de apoio com o monitoramento do seu ambiente e validações de segurança? Entre em contato com nosso comercial e agende uma conversa.

Comercial: comercial@powertuning.com.br

Indicações para Leitura

Preparar-se para um ataque de ransomware: https://learn.microsoft.com/pt-br/azure/security/fundamentals/ransomware-prepare

Detectar e responder a ataques de ransomware: https://learn.microsoft.com/pt-br/azure/security/fundamentals/ransomware-detect-respond

Plano de backup e restauração para proteger contra ransomware: https://learn.microsoft.com/pt-br/azure/security/fundamentals/backup-plan-to-protect-against-ransomware