Melhores práticas de

firewall para bloquear

ransomware

Documento técnico Sophos. Junho, 2021

Melhores práticas de firewall para bloquear ransomware

Melhores práticas de firewall para bloquear ransomware

Os ataques de ransomware continuam a assolar as organizações, com mais de um terço das empresas pesquisadas em 30
países revelando que foram atacadas por ransomware no último ano*. Esses ataques estão ficando cada vez mais complexos
e os adversários cada vez mais eficientes na exploração das vulnerabilidades de redes e sistemas, o que leva as organizações
a terem grandes despesas para eliminá-los: um custo médio global de estonteantes US$ 1,85 milhão – mais do que o dobro do
custo relatado no ano anterior.

Os firewalls modernos são altamente eficazes na defesa contra esses tipos de ataques, mas precisam ter a oportunidade de
realizar o trabalho deles. Neste documento técnico, discutiremos como esses ataques funcionam, como podem ser detidos, e
as melhores práticas para configurar o firewall e a rede para obter a melhor proteção possível.

Quem os hackers estão buscando

Quem está na mira dos hackers? A resposta é: todos. Em recente pesquisa com 5.400 organizações de médio porte
distribuídas em 30 países, 37% dos respondentes disseram ter sido atingidos por ransomwares no ano passado. Não há país,
setor ou segmento vertical que esteja seguro.

Porcentagem de organizações atingidas por ransomwares no ano passado

Varejo [435] 44 %
Educação [499] 44 %
Serviços profissionais e empresariais
[361] 42 %

Governo central e NDPB [117] 40%

Outros [768] 38 %
TI, tecnologia e telecomunicações 37 %
[996]
36 %
Manufatura e produção [438]
Energia, petróleo/gás e serviços de 36 %
utilidade [197]
34 %
Saúde [328]
34 %
Governo local [131]
34 % 37% é a média global
Serviços financeiros [550]
[5.400]
Mídia, lazer e entretenimento [145] 32 %

Construção civil [232] 31 %

Distribuição e transporte [203] 25 %

Sua organização foi atingida por ransomware neste último ano? Sim [números de base no gráfico], omitindo algumas opções de resposta, dividido por setor

Se você pesquisar por “ataque de ransomware” nas notícias, encontrará novos ataques bem-sucedidos ocorrendo toda
semana. Os efeitos são devastadores: elevadas exigências feitas pelo ransomware, tempo de inatividade elevado e interrupção
dos negócios, danos à reputação, perda de dados e, em um número crescente de casos, venda de dados confidenciais da
empresa pelos invasores.

*O Estado do Ransomware 2021 – Pesquisa independente com 5.400 gerentes de TI em 30 países, patrocinada pela Sophos e realizada pela Vanson Bourne.

Documento técnico Sophos. Junho, 2021 2

Melhores práticas de firewall para bloquear ransomware

Como os ataques de ransomware chegam à rede

Os agentes de ransomware se utilizam de uma infinidade de Táticas, Técnicas e Procedimentos (TTPs) para penetrar na rede
de suas vítimas. As equipes do SophosLabs e do Sophos Managed Threat Response observaram um aumento em ataques de
adversários que tentam inúmeras abordagens até encontrarem uma brecha nas defesas da organização.

Como o ransomware entrou na sua organização % de incidentes

Por download/e-mail de arquivo com um link malicioso 29%

Por ataque remoto ao servidor 21%

Por e-mail com anexos maliciosos 16%

Instâncias mal configuradas na nuvem pública 9%

Pelo nosso protocolo RDP (Remote Desktop Protocol) 9%

Por um fornecedor que trabalha com nossa organização 9%

Por dispositivo de mídia USB ou removível 7%

Total 100%

Como o ataque de ransomware entrou na sua organização? Pergunta feita aos respondentes cuja organização foi atingida por ransomware no ano passado.
Base: 2.538 respondentes. O Estado do Ransomware 2020, Sophos

Como podemos observar nas respostas à pesquisa na tabela, o principal ponto de entrada de ransomware é por meio de
arquivos baixados ou recebidos por usuários em ataques de spam ou phishing. Não deixe a segurança nas mãos dos usuários.
Para esses tipos de ataques, a melhor opção é proteger sua organização com proteções robustas de firewall.

Como funcionam os ataques de ransomware

Um típico ataque direcionado de ransomware tem a seguinte estrutura:

1. Obtêm acesso de entrada 2. Aumentam os privilégios 3. Tentam desabilitar/

a. E-mail de spam ou phishing com
anexo malicioso, download da Web
ou documento contendo exploits
b. Recursos de compartilhamento/
gerenciamento remoto de
arquivos, como RDP
até que se tornem um burlar o software de
administrador segurança usando arquivos
altamente adaptados
Os invasores exploram as
vulnerabilidades do sistema para
Se houver falha, tentarão violar
obter níveis de privilégio que lhes o painel de gerenciamento
permitam burlar o software de de segurança e desabilitar os
segurança. Eles podem reiniciar e sistemas de segurança.
executar o host comprometido no
Modo de Segurança para fazer isso.

4. Implantam cargas 5. Disseminam ransomware 6. Deixam um pedido de

a. Usando exploração automática
de vulnerabilidades
b. Reconhecimento manual da rede
Primeiramente, eles buscam
backups armazenados na rede local
e os excluem, dificultando muito
mais a recuperação e aumentando
as chances de a vítima pagar pelo
resgate. Eles costumam exfiltrar
dados confidenciais da empresa
para vender na dark Web.
resgate que exige pagamento
Os hackers criptografam os
arquivos e dados da organização para que os arquivos sejam
utilizando vulnerabilidades da rede descriptografados
e do host ou protocolos básicos de
compartilhamento de arquivos para
comprometer outros sistemas na
rede e disseminar o ransomware
de criptografia de arquivos. 7. Aguardam que a vítima
entre em contato com eles
por e-mail ou através de
um site da Dark Web

Documento técnico Sophos. Junho, 2021 3

Melhores práticas de firewall para bloquear ransomware

RDP - Remote Desktop Protocol ou Ransomware Deployment Protocol?

O protocolo RDP (Remote Desktop Protocol) e outras ferramentas de compartilhamento de área de trabalho, como o VNC
(Virtual Network Computing), são recursos inócuos e altamente úteis na maioria dos sistemas operacionais que permitem à
equipe acessar e gerenciar sistemas remotamente. Infelizmente, sem as proteções adequadas, também oferecem uma via de
acesso conveniente para os invasores e são comumente explorados por ransomware direcionado.

Não proteger adequadamente o RDP e outros protocolos de gerenciamento remoto semelhantes atrás de uma VPN (Virtual
Private Network), ou ao menos restringir os endereços IP que podem se conectar por meio de ferramentas remotas, pode
deixar esses protocolos totalmente abertos a invasores. Os invasores costumam usar ferramentas de ataque de força bruta
que tentam centenas de milhares de combinações de nomes de usuário e senhas até chegar às credenciais corretas.

Como ficar protegido contra ransomware

Para proteger apropriadamente sua organização contra ransomware, você pode empreender três iniciativas importantes.

1. Atualize sua segurança de TI

Seu firewall e sua proteção de endpoint podem lhe proteger contra ataques que entram na rede e, se um ataque conseguir
penetrar na rede, eles podem impedir que ele se espalhe e infecte outros sistemas. Porém, nem todas as soluções de firewall
e segurança de endpoint são capazes de fazer isso com eficácia, portanto, assegure-se de ter um sistema de segurança de TI
com essa capacidade.

Certifique-se de ter:

Ì Um sandbox acessível para analisar o comportamento do arquivo quando executado antes que ele chegue à sua rede

Ì A tecnologia mais recente de machine learning para identificar variantes de dia zero em arquivos que passam pelo firewall

Ì IPS de firewall com atualização dinâmica de assinaturas para bloquear explorações de vulnerabilidades da rede

Ì VPN com acesso remoto e gratuito para possibilitar o gerenciamento remoto de sua rede sem comprometer a segurança

Ì Proteção de endpoint com recursos anti-ransomware

2. Bloqueie o acesso e gerenciamento remotos

Quando se trata de redes, qualquer abertura para o mundo externo é uma vulnerabilidade em potencial aguardando para ser
explorada por um ataque de ransomware. O bloqueio de acesso ao Remote Desktop Protocol, a portas abertas e a outros
protocolos de gerenciamento da sua organização é uma das medidas mais eficazes que podem ser adotadas para se proteger
contra ataques direcionados de ransomware. Há várias formas de fazer isso. Um método popular é exigir que todos os usuários
usem uma VPN para acessar recursos como RDP e restringir o acesso da VPN a endereços IP conhecidos. Além disso, proteja e
reforce apropriadamente seus servidores, use senhas complexas que sejam alteradas com frequência e utilize a autenticação
multifator.

Documento técnico Sophos. Junho, 2021 4

Melhores práticas de firewall para bloquear ransomware

3. Segmente sua rede

Infelizmente, muitas organizações operam com uma topologia de rede horizontal, com todos os seus endpoints conectados
em uma malha comum de switches. Essa topologia compromete a proteção ao permitir facilmente um acesso mais profundo
à rede ou a propagação de ataques na rede local, uma vez que o firewall não tem visibilidade ou controle sobre o tráfego que
passa pelo switch.

REDE LOCAL

Host infectado

Internet
Switch
Firewall

Host infectado

Uma prática recomendada é segmentar a LAN em sub-redes menores, utilizando zonas ou VLANs e interconectá-las através
do firewall, para permitir a aplicação de antimalware e proteção IPS entre os segmentos. Isso é capaz de identificar e bloquear
com eficácia ameaças que tentam obter acesso mais profundo à rede.

ZONA/VLAN 2

Switch
Host infectado

Internet

Firewall

Switch
Endpoint

ZONA/VLAN 1

O uso de zonas ou VLANs dependerá da estratégia e escopo da segmentação de sua rede. Entretanto, ambas oferecem
possibilidades de segurança similares, ao oferecerem a opção de aplicar a segurança e o controle ideais ao movimento de
tráfego entre os segmentos. As zonas são ideais para estratégias de segmentação menores ou para redes com switches
não gerenciados. Na maioria dos casos, as VLANs são o método preferencial para a segmentação de redes internas, além de
oferecerem o que há de mais moderno em flexibilidade e escalabilidade. No entanto, elas exigem o uso (e a configuração) de
switches de Layer-3.

Embora seja uma prática recomendada segmentar a rede, não existe a “melhor” maneira de segmentar uma rede. Você
pode segmentar sua rede por tipo de usuário (internos, prestadores de serviços, convidados), por departamento (vendas,
marketing, engenharia), por tipo de serviço, dispositivo ou função (VoIP, Wi-Fi, IoT, computadores, servidores) ou qualquer outra
combinação que seja adequada à arquitetura de sua rede. Porém, em geral, convém segmentar partes menos confiáveis e
mais vulneráveis da rede, isolando-as do restante. Convém também segmentar redes grandes em segmentos menores, com o
objetivo de reduzir o risco de penetração e propagação de ameaças.

Documento técnico Sophos. Junho, 2021 5

Melhores práticas de firewall para bloquear ransomware

Práticas recomendadas para configuração de firewall e rede

Ì Assegure-se de ter a melhor proteção, incluindo um firewal next-gen moderno e de alto desempenho com
IPS, inspeção TLS, sandobox de dia zero e proteção contra ransomware com machine learning.

Ì Bloqueie RDP e outros serviços com seu firewall. Seu firewall deve ser capaz de restringir o
acesso a usuários de VPN e colocar endereços de IP sancionados na lista branca.

Ì Reduza a área de ação de ataques ao máximo fazendo uma análise e revisão minuciosas de todas as regras
de encaminhamento de portas para eliminar qualquer porta aberta que não seja essencial. Cada porta
aberta representa uma abertura em potencial em sua rede. Sempre que possível, use a VPN para acessar os
recursos na rede interna quando estiver fora da rede, ao invés de usar o encaminhamento de porta.

Ì Certifique-se de proteger apropriadamente quaisquer portas abertas aplicando

uma proteção IPS adequada às regras que governam o tráfego.

Ì Ative a inspeção TLS com suporte para os padrões TLS 1.3 mais recentes no tráfego da Web para
assegurar que as ameaças não entrem na rede por meio de fluxos de tráfego criptografado.

Ì Minimize o risco de acesso mais profundo à rede fazendo a segmentação das LANs em zonas menores
e isoladas ou em VLANs protegidas e interconectadas pelo firewall. Assegure-se de aplicar políticas
adequadas de IPS às regras que governam o tráfego que atravessa esses segmentos de LAN para
evitar a propagação de explorações de vulnerabilidades, worms e bots nos segmentos de LAN.

Ì Isole automaticamente os sistemas infectados. Quando houver uma infecção, é importante que sua
solução de segurança de TI seja capaz de identificar rapidamente os sistemas comprometidos e isolá-los
automaticamente, até que possam ser desinfectados (por exemplo, com o Sophos Synchronized Security).

Ì Recomendamos o uso de senhas fortes com autenticação multifator para suas ferramentas de gerenciamento remoto e de
compartilhamento de arquivos que não sejam facilmente comprometidas por ferramentas de força bruta usadas por hackers.

Como a Sophos pode ajudar

A Sophos oferece a melhor solução de segurança de TI para proteção contra os ransomwares mais recentes. Além de obter
a melhor proteção em todos os pontos, você se beneficia também de anos de integração entre firewall e endpoints. Isso
oferece vantagens incríveis em termos de visibilidade da integridade da rede e a capacidade de responder automaticamente a
incidentes de segurança.

O nosso premiado Sophos Firewall tem como foco prioritário impedir que os ataques cheguem à rede. Contudo, caso um
ransomware chegue à sua rede, você tem proteção dupla. O Sophos Firewall detém automaticamente o ransomware graças à
integração com o Sophos Intercept X, nossa plataforma de proteção de endpoint líder no setor. Seria como colocar sua rede no
piloto automático – um gigantesco multiplicador de forças para sua equipe.

Essa tecnologia recebe o nome de Sophos Synchronized Security. O Synchronized Security combina recursos de proteção
de endpoints e de rede em um sistema poderoso de segurança cibernética totalmente integrado. E o que é melhor: ele é
extremamente fácil de gerenciar, juntamente com todos os seus outros produtos Sophos, usando o painel de controle de
gerenciamento na nuvem do Sophos Central.

Documento técnico Sophos. Junho, 2021 6

Melhores práticas de firewall para bloquear ransomware

Principais tecnologias da Sophos e do Sophos Firewall desenvolvidas

especificamente para o combate a ransomware
Ì A análise dos arquivos que entram na rede feita pelo sandbox e pelo machine learning na nuvem
do Sophos Firewall ajuda a garantir que até mesmo variantes novas de ransomwares, exploits
e malwares não sejam disseminadas por spam, phishing ou downloads da Web.

Ì O sistema de prevenção de invasão do Sophos Firewall captura os mais recentes exploits e ataques à rede
que podem estar sendo usados pelos hackers para encontrar vulnerabilidades em sua proteção.

Ì O Sophos Firewall oferece opções completas, mas simples, que permitem corrigir todas as
brechas de segurança em sua rede e eliminar sua dependência de conexões RDP vulneráveis,
enquanto continua a oferecer acesso total à rede para usuários autorizados.

Ì O Sophos Firewall oferece inspeção Xstream TLS 1.3 de alto desempenho com controles flexíveis de política que
garantem que você possa encontrar o equilíbrio perfeito entre privacidade, proteção e desempenho. Ele garante
também que as ameaças não entrem na sua rede sem serem percebidas usando fluxos criptografados de tráfego.

Ì O Sophos Synchronized Security integra o Sophos Firewall à proteção de endpoint do

Intercept X para responder automaticamente a ataques de ransomware detectando os
primeiros sinais de comprometimento, detendo-os e notificando você.

Ì A proteção de endpoint do Sophos Intercept X com CryptoGuard detecta ataques de ransomware em

andamento, sendo capaz de interrompê-los e revertê-los automaticamente. O Sophos Firewall inclui a tecnologia
CryptoGuard no ambiente de sandbox para capturar ransomwares em ação antes que entrem na sua rede.

Conclusão
Apesar de ser uma ameaça cibernética perene, o ransomware continuará simplesmente evoluindo. Embora não seja possível
erradicar completamente os ransomwares, seguir as melhores práticas de proteção de firewall descritas neste documento
dará à sua organização as melhores chances de se manter protegida contra os mais recentes ransomwares e outras ameaças.

Em resumo:

Ì Assegure-se de ter a melhor proteção

Ì Bloqueie RDP e outros serviços com seu firewall

Ì Reduza a superfície de ataque o máximo possível

Ì Proteja quaisquer portas abertas aplicando proteção IPS adequada

Ì Aplique sandbox e análise de machine learning a downloads e anexos

Ì Minimize os riscos de movimentação lateral na rede fazendo a segmentação de LANs

Ì Isole automaticamente sistemas infectados

Ì Use senhas fortes e autenticação multifator para suas ferramentas de

gerenciamento remoto e de compartilhamento de arquivos

Documento técnico Sophos. Junho, 2021 7

Guia para compradores de firewalls Next-Gen

Experimente o Sophos Firewall

gratuitamente
www.sophos.com/firewall

Vendas na América Latina Vendas no Brasil

E-mail: latamsales@sophos.com E-mail: Brasil@sophos.com

© Copyright 2020-21. Sophos Ltd. Todos os direitos reservados.

Empresa registrada na Inglaterra e País de Gales sob o n°. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
A Sophos é marca registrada da Sophos Ltd. Todos os outros nomes de produtos e empresas mencionados são marcas comerciais ou marcas
registradas de seus respectivos proprietários.

21-06-15 PTBR (DD)