Proteção contra ransomware (ações gerais)

É aconselhável realizar as seguintes operações para proteger seus servidores contra ransomware:

• Minimize o escopo exposto à Internet: verifique periodicamente as portas externas e certifique-se de que apenas as portas necessárias estejam ativadas.
• Reduza os riscos do sistema: verifique periodicamente as vulnerabilidades e os parâmetros de configuração de risco do sistema para corrigir vulnerabilidades e riscos em tempo hábil. Além disso, preste atenção às informações de vulnerabilidade de segurança e às informações de patch divulgadas pelos fornecedores de software e gerencie e corrija vulnerabilidades em tempo hábil.
• Melhore o controle de acesso à rede: defina claramente as zonas de segurança da rede e as regras de controle de acesso, minimize os direitos de acesso e atualize as regras de controle de acesso em tempo hábil.
• Faça backup de dados importantes: o backup confiável de dados pode minimizar a perda causada pelo ransomware. Criptografe o armazenamento e faça backups periódicos de dados críticos de serviço e defina regras de retenção de backup adequadas para garantir que cópias válidas possam ser usadas para restaurar dados após serem atacados.
• Melhore o controle de permissões de conta: atribua contas e permissões a diferentes funções com base em regras de controle de acesso, como gerenciamento de identidade e controle de permissão refinado. Melhore a segurança das contas privilegiadas. Defina e salve corretamente contas e senhas para os principais ativos de serviço da sua empresa. Configure a autenticação de dois fatores para identificar o pessoal que acessa os principais ativos e reduzir os riscos de quebra por força bruta.
• Estabeleça uma arquitetura de serviço de alta confiabilidade: implemente serviços de nuvem no modo de cluster. Se ocorrer uma emergência em um nó, os serviços serão alternados para o nó em espera, melhorando a confiabilidade e evitando a perda de dados. Se você tiver recursos suficientes, poderá criar sistemas de backup e DR remotos ou dentro da cidade. Se o sistema primário for atacado por ransomware, seus serviços podem ser rapidamente alternados para o sistema de backup e não serão interrompidos.
• Desenvolva planos de emergência para incidentes de segurança: estabeleça uma organização de emergência e um mecanismo de gerenciamento para lidar com incidentes de segurança cibernética, como ataques de ransomware, e especifique os princípios de trabalho, a divisão de responsabilidades, os processos de tratamento de emergência e as principais medidas. Depois que seu serviço for atacado por ransomware, inicie imediatamente o plano interno de emergência de segurança cibernética e realize o tratamento de emergência padronizado para mitigar e eliminar o impacto do ataque de ransomware.
• Melhore a conscientização de segurança dos funcionários: melhore a conscientização sobre segurança cibernética dos funcionários por meio de treinamentos e simulações. Certifique-se de que os funcionários entendam as leis e regulamentos nacionais de segurança cibernética e os regulamentos de segurança cibernética da Huawei, possam identificar ataques comuns de segurança cibernética, como phishing, tenham determinados recursos de tratamento de incidentes e conheçam as consequências e os impactos dos incidentes de segurança.

Você é aconselhado a executar as seguintes operações depois de ser atacado por ransomware:

• Isole rapidamente os dispositivos infectados: depois de ser atacado, desconecte imediatamente a rede ou desligue o sistema para evitar a propagação do ataque de ransomware. Altere as senhas de dispositivos infectados e outros dispositivos na mesma LAN em tempo hábil.
• Lide rapidamente com os eventos de intrusão: execute uma verificação de segurança em tempo real nos recursos do serviço, isole e bloqueie o ransomware, bloqueie os endereços IP de origem do ransomware e os endereços IP suspeitos de ataques de força bruta e bloqueie a execução, a comunicação e a conexão do ransomware.

Recomenda-se que você execute as seguintes operações de restauração:

• Use dados de backup para restaurar serviços: determine o escopo, a sequência e a versão de backup da restauração de dados com base no status de backup do dispositivo atacado e use os dados de backup para restaurar os serviços.
• Verifique e corrija os riscos da rede: identifique as vulnerabilidades do sistema com base nos caminhos de ataque do ransomware. Verifique e corrija as vulnerabilidades do sistema.