Malware tem sido o arqui-inimigo de organizações em todo o mundo há anos, com ransomware, em particular, sendo um inimigo extremamente mortal. Bloquear os arquivos das vítimas por meio de criptografia e exigir um resgate para descriptografia provou ser uma tática eficaz para os cibercriminosos, com um fluxo constante de ataques recentes servindo como um lembrete constante. No entanto, esses invasores estão continuamente refinando suas táticas e recentemente se voltaram para a dupla extorsão, por meio da qual ameaçam vazar arquivos confidenciais das vítimas para aumentar as chances de resgates serem pagos. Os ataques à cadeia de suprimentos no estilo Kaseya são outro exemplo da crescente sofisticação do ransomware. De qualquer forma, ser vítima de um ataque pode interromper as operações comerciais, prejudicar a reputação da marca, levar a custos financeiros significativos e muito mais.
Os adversários estão constantemente procurando por alvos fáceis que podem atacar para penetrar nas defesas da empresa. Nos últimos anos, os aplicativos SaaS surgiram como presas atraentes. Os aplicativos SaaS são projetados para permitir o rápido compartilhamento, colaboração e automação de arquivos. Como resultado, uma vez que o ransomware é colocado, ele pode se espalhar facilmente para aplicativos conectados, bem como para os dispositivos dos usuários. Além disso, os aplicativos SaaS contêm inúmeros arquivos que podem ser roubados e usados para extorsão dupla. Quando existem configurações incorretas em aplicativos SaaS ricos em dados, elas criam lacunas perigosas que podem estender o acesso a partes mal-intencionadas que desejam se infiltrar na empresa. Infelizmente, quase nenhum aplicativo SaaS oferece proteção nativa contra ameaças, e os poucos que não possuem a sofisticação tecnológica para identificar ameaças de dia zero; eles estão limitados a detectar ameaças conhecidas. Para complicar ainda mais o cenário, as tecnologias de segurança legadas (na forma de dispositivos de hardware locais que não têm escalabilidade) não são projetadas para se defender contra malware ou proteger dados em nosso mundo que prioriza a nuvem e trabalha em qualquer lugar.
As lacunas a serem preenchidas
As organizações precisam de uma defesa abrangente contra a proliferação de malware e ransomware dentro e entre seus aplicativos SaaS. Isso requer o uso de uma solução de segurança arquitetada para o mundo moderno da nuvem e capaz de se defender contra malware para qualquer usuário, qualquer dispositivo e qualquer aplicativo em qualquer rede (sem a necessidade de backhaul de tráfego para um dispositivo no local). Essa solução precisa ser capaz de impedir que arquivos infectados sejam carregados para aplicativos em nuvem, mas também deve ser capaz de identificar ameaças que já entraram na nuvem. As organizações também devem poder confiar que sua solução de escolha pode se defender contra qualquer ameaça, incluindo ransomware de dia zero, e não apenas malware conhecido. No caso de ataques de dupla extorsão (cada vez mais comuns), as organizações também precisam defender seus dados de serem exfiltrados via SaaS.
Controlando a cadeia de eliminação com o DLP na nuvem
Quando o ransomware se infiltra com sucesso em uma organização, os cibercriminosos normalmente começam a trabalhar rapidamente para obter os dados apropriados. Como mencionado acima, roubar dados e ameaçar vazar é uma estratégia comum para melhorar as chances de resgates serem pagos. Mesmo que as empresas não se sintam obrigadas a pagar pela descriptografia, a ameaça de exposição de dados pode ser um incentivo suficiente. No entanto, para que a extorsão dupla seja eficaz, os agentes mal-intencionados precisam exfiltrar com êxito os dados da empresa. É aqui que a prevenção contra perda de dados na nuvem (DLP) se torna particularmente valiosa. As principais soluções de DLP examinam o conteúdo e o contexto dos arquivos de saída e impedem sua movimentação conforme necessário para evitar vazamentos. Isso interrompe a cadeia de ataque ao impedir que atores mal-intencionados roubem os dados de aplicativos SaaS que permitiriam que eles se envolvessem em dupla extorsão.
Como o CASB ajuda com ransomware
Os corretores de segurança de acesso à nuvem (CASBs), que servem como pontos de visibilidade e controle na nuvem, também podem ajudar com o desafio do ransomware. Em particular, um CASB multimodo faz proxy de tráfego para proteger dados em movimento em tempo real e se integra a interfaces de programação de aplicativos (APIs) para proteger dados em repouso na nuvem. Consequentemente, ele pode impedir o upload de arquivos maliciosos em aplicativos SaaS e responder a malware e ransomware que já existem dentro de aplicativos corporativos em nuvem. Os CASBs líderes fornecem proteção avançada contra ameaças (ATP) capaz de identificar qualquer ameaça, até mesmo ransomware de dia zero, por meio de integrações rígidas com sandboxing na nuvem. Como soluções nativas da nuvem, os CASBs líderes não exigem dispositivos de hardware em data centers e oferecem proteções escaláveis e onipresentes.
Corrigindo configurações incorretas com o CSPM
Ao implantar e gerenciar um aplicativo SaaS ou instância IaaS, há muitas definições de configuração que devem ser aplicadas adequadamente para garantir que o aplicativo funcione de maneira adequada e segura. Onde existem configurações incorretas, os agentes mal-intencionados podem obter acesso aos sistemas corporativos; por exemplo, para colocar uma carga útil de ransomware ou para exfiltrar dados para dupla extorsão. O gerenciamento de postura de segurança na nuvem (CSPM) pode resolver essas vulnerabilidades identificando configurações incorretas dispendiosas que podem ser aproveitadas por invasores. Como ilustração, se os repositórios de dados confidenciais (como buckets de armazenamento AWS S3) puderem ser acessados abertamente da Internet devido a uma configuração incorreta, o problema poderá ser localizado e corrigido rapidamente.
Escolhendo a abordagem de proteção correta
Uma abordagem integrada ajuda a interromper o ransomware em toda a cadeia de eliminação, sem a complexidade inerente à implantação e gerenciamento de vários produtos pontuais. Zscaler Cloud DLP, CASB e CSPM são componentes centrais do Zero Trust Exchange integrado, juntamente com as principais tecnologias SWG e ZTNA. Em outras palavras, o Zscaler tem tudo o que é necessário para as empresas se defenderem de forma abrangente contra malware e ransomware (além de atender aos requisitos de serviço de acesso seguro [SASE]).
O DLP da empresa fornece a amplitude e a profundidade da funcionalidade necessária para interromper a exfiltração de dados e impedir a extorsão dupla, desde dicionários predefinidos e personalizáveis até correspondência exata de dados (EDM) e correspondência de documentos indexados (IDM). O CASB multimodo do Zscaler protege os aplicativos SaaS corporativos contra infecções por malware e ransomware; ameaças em trânsito são detectadas e bloqueadas via proxy em tempo real, enquanto arquivos maliciosos em repouso podem ser identificados e colocados em quarentena ou excluídos via API. A tecnologia líder em proteção avançada contra ameaças (ATP) é refinada por 160 bilhões de transações diárias de plataforma e 100 milhões de ameaças detectadas todos os dias. O Zscaler Cloud Sandbox, desenvolvido com aprendizado de máquina, identifica e bloqueia ameaças de dia zero com segurança, tanto no upload quanto em repouso. O CSPM da plataforma verifica instâncias de SaaS e IaaS em busca de configurações incorretas potencialmente fatais que podem permitir ataques, prioriza riscos descobertos e capacita as organizações a responder antes que partes mal-intencionadas possam agir.