Estratégias para proteger arquivos de agências governamentais contra ransomware

Após os ataques de ransomware, as agências governamentais estão sob constante ameaça. Mecanismos legados de acesso remoto, como VPN, não são mais suficientes para proteger arquivos contra criptografia, roubo, vazamento de dados e ransomware.

A migração de arquivos para serviços em nuvem como alternativa é uma tarefa complicada e desafiadora que pode não ser uma opção viável para governos com requisitos regulamentares rígidos e restrições orçamentárias. As tecnologias VPN e Remote Desktop não são mais suficientes para proteger adequadamente os compartilhamentos de arquivos governamentais se não forem gerenciados adequadamente.

Neste artigo, analisamos as várias alternativas para conectar-se com segurança a compartilhamentos de arquivos remotamente, protegendo-os de ransomware.

VPN para acesso remoto a arquivos

Com cada vez mais funcionários trabalhando remotamente, a segurança VPN é uma grande preocupação. As agências governamentais tradicionalmente usam a tecnologia de rede privada virtual (VPN) para habilitar essa conectividade remota, mas as preocupações com a segurança estão exigindo que as empresas aproveitem novas maneiras de permitir o acesso remoto seguro ao compartilhamento de arquivos analisando as alternativas VPN. As notícias estão repletas de histórias diárias de empresas sujeitas a riscos de segurança cada vez maiores. Por exemplo, o Krebsonsecurity blog lista vários relatórios de ransomware fechando governos e instituições.

O problema com a utilização de software VPN para conectar-se a recursos de trabalho é que os usuários finais estão criando um túnel aberto entre suas redes domésticas e corporativas. Este método permite acesso remoto total a toda a rede de trabalho de fora do escritório, ignorando a maioria das regras de firewall (a conexão VPN é tecnicamente iniciada de dentro da LAN de trabalho). Na maioria dos casos, toda a rede interna do governo é acessível ao trabalhador remoto, expondo todos os servidores e desktops em vez de apenas os recursos necessários. Isso fornece acesso lateral de malware a várias portas de rede em toda a rede.

O Notas da Agência de Segurança Cibernética e Infraestrutura dos EUA “Os agentes de ameaças usam o SMB para propagar malware entre as organizações… Impedir que todas as versões do SMB sejam acessíveis externamente à sua rede bloqueando a porta TCP 445 com protocolos relacionados nas portas 137–138 do User Datagram Protocol e na porta TCP 139.”

Nesse cenário, qualquer vulnerabilidade de segurança ou malware presente no computador e na rede do trabalhador remoto pode infectar a rede de trabalho durante a conexão VPN. Isso inclui ransomware. Por exemplo, se o PC remoto estiver infectado com malware ou vírus, ele pode se espalhar pela VPN para a rede corporativa e ignorar as proteções do firewall de trabalho. Além disso, se o PC remoto for comprometido, ele pode ser usado como um canal diretamente para a LAN do escritório, onde os hackers podem explorar as vulnerabilidades de segurança para obter acesso não autorizado aos sistemas.

Implementar o acesso remoto VPN seguro a arquivos no ambiente de alto risco de hoje é uma alternativa complexa e cara para manter e oferecer suporte.

Idealmente, o acesso VPN deve ser eliminado em favor de tecnologias de confiança zero que fornecem apenas o acesso que os usuários precisam – e nada mais.

Migração para nuvem/sincronização e compartilhamento

A migração de organizações para soluções baseadas em nuvem como forma de proteger arquivos para acesso remoto como o SharePoint é uma tarefa complicada e desafiadora. Migrar compartilhamentos de arquivos para serviços em nuvem envolve meses de planejamento para classificar e identificar dados a serem movidos de um pool de compartilhamentos de arquivos que pode remontar a anos, se não décadas. Por exemplo; Para migrar arquivos para o SharePoint, os arquivos devem ser convertidos para remover caracteres não permitidos no SharePoint (~ ” # % & * : < > ? / \ { | }.) e mapeados para bibliotecas do SharePoint para permanecer dentro dos limites de armazenamento do SharePoint usando ferramentas especializadas que deve ser adquirido por um custo adicional. Como exemplo, identificamos Os 5 principais custos de migração do SharePoint para as empresas considerarem.

A Internet está repleta de histórias de migrações do SharePoint e da nuvem que deram errado quando não executado com planejamento cuidadoso e devida diligência. A migração é mais complicada ao migrar organizações com dados altamente confidenciais, como agências governamentais, com uma série de regulamentações governamentais e de conformidade. Os governos precisarão fazer um orçamento para esses custos ocultos de desenvolvimento, fornecimento e implantação ao comparar o SharePoint com outros compartilhamento de arquivos corporativos soluções.

Para governos preocupados com a soberania de dados migrando para um provedor de armazenamento em nuvem com formatos de arquivo proprietários e dependência de fornecedor, pode fazer mais sentido migrá-los para a AWS ou Compartilhamentos de arquivos do Azure onde as permissões NTFS e os nomes dos arquivos podem ser retidos e onde os limites de armazenamento e o bloqueio do fornecedor não são um problema. A simples migração de compartilhamentos de arquivos para a nuvem, no entanto, não os protegerá contra ransomware ou roubo e perda de dados.

Embora os fornecedores forneçam ferramentas para migrar arquivos para sua plataforma de armazenamento em nuvem, uma vez migrados, todos os metadados são perdidos, tornando complexo ou impraticável exportar arquivos de volta para compartilhamentos de arquivos ou outros sistemas. As organizações devem pensar cuidadosamente sobre as implicações de mover arquivos para plataformas proprietárias baseadas em nuvem, pois podem descobrir que, se por qualquer motivo, desejarem mudar para outro serviço, os custos futuros de qualquer compartilhamento de arquivo de migração superarão em muito os custos de curto prazo. poupança.

Área de trabalho remota/RDS

O RDP é uma alternativa adicional que as agências governamentais usam para fornecer acesso remoto a sistemas e compartilhamentos de arquivos. De acordo com o último relatório da Coveware, quase 50% de explorações de ransomware foram resultado de problemas de segurança relacionados a violações de infraestrutura de Serviços de Área de Trabalho Remota (RDS). O relatório descobriu que no “1º trimestre de 2021, as conexões de protocolo de área de trabalho remota comprometidas recuperaram a primeira posição como o vetor de ataque mais comum. “

O RDP continua sendo uma vulnerabilidade frustrantemente comum, apesar dos esforços para protegê-lo com as melhores práticas de segurança, incluindo:

Como corrigir vulnerabilidades do RDP

Enquanto o RDP opera em um canal criptografado nos servidores, há uma vulnerabilidade no método de criptografia em versões anteriores do RDP, tornando-o um gateway preferido pelos hackers. A Microsoft estima que cerca de 1 milhão de dispositivos estão atualmente vulneráveis a riscos de segurança de desktop remoto. A empresa emitiu um patch legado para suas plataformas desatualizadas, incluindo Windows XP, Windows Server 2008, Windows 2003 e Windows 2007. (Para essas plataformas herdadas, o RDP é conhecido como serviços de terminal.)

A aplicação de patches é uma maneira importante de aprimorar a segurança do RDP, mas deve ser executada de forma consistente e oportuna para evitar explorações de dia zero do ransomware.

Bloqueando o acesso à porta 3389

O protocolo de práticas recomendadas para evitar a exposição a problemas de segurança RDP começa com a criação de uma política para lidar com terminais e garantir que a porta não esteja acessível à Internet. Uma abordagem proativa pode ajudá-lo a se concentrar na prevenção do acesso inicial, minimizando os riscos de segurança do RDP.

Limitar usuários RDP

Você pode limitar quem pode fazer login por meio do RDP e quem pode adicionar ou remover uma conta de usuário do grupo Usuários da Área de Trabalho Remota.

Use uma rede privada virtual antes de fazer login no RDP

Quando você usa um Rede Privada Virtual (VPN) conexão, você adiciona uma camada extra de segurança RDP ao seu sistema. A VPN garante que, antes que uma conexão RDP possa ser feita aos seus servidores, uma conexão deve ser feita à rede privada segura, que é criptografada e hospedada fora de seus sistemas internos. Embora as VPNs ofereçam algumas melhorias em relação ao acesso direto ao RDS, elas não protegem os compartilhamentos de arquivos, uma vez que os usuários têm permissão para entrar nas redes internas caso um usuário abra um e-mail de phishing e execute malware.

Use um gateway de área de trabalho remota

Um gateway RDP/RDS (em conjunto com uma VPN) aprimora o controle removendo todo o acesso de usuário remoto ao seu sistema e substituindo-o por uma conexão de área de trabalho remota ponto a ponto. O login dos usuários em um gateway primeiro antes de se conectar a qualquer serviço de back-end. Esse gateway pode ser ainda mais aprimorado para exigir autenticação de dois fatores para limitar ainda mais a exposição e mitigar os riscos.

Limitar a exposição usando esses métodos pode fornecer proteções adicionais contra ataques de ransomware de compartilhamento de arquivos remotamente, mas não aborda as proteções de acesso ao compartilhamento de arquivos quando o usuário estiver dentro da rede. Os governos desejarão implementar bloqueios adicionais dentro da rede para limitar o acesso SMB à porta TCP 445 e o acesso lateral à rede para impedir que ataques de ransomware infectem compartilhamentos de arquivos e sistemas internamente.

Acesso ao Compartilhamento de Arquivos de Confiança Zero

De acordo com Gartner, até 2023, a 60% das empresas eliminará gradualmente a maioria de suas soluções VPN de acesso remoto em favor do Zero Trust Network Access (ZTNA). A segurança não pode ser garantida por VPNs, pois as portas de rede abertas podem ser comprometidas e exploradas. Com a VPN, os hackers podem obter acesso a redes corporativas internas, onde muitas empresas são vulneráveis à criptografia de ransomware e a outros ataques catastróficos que acabam com os negócios. O que estava lentamente se tornando uma realidade para se adaptar ao novo cenário Zero Trust aumentou dramaticamente desde o início da pandemia – com trabalhadores remotos criando um pesadelo logístico para os departamentos de TI em todo o mundo. A segurança da rede e o acesso remoto ao compartilhamento de arquivos são parte essencial do governo, bem como da integridade e governança dos dados.

À medida que a ZTNA se torna o padrão-ouro em segurança de rede, o que é necessário para fornecer esse nível de segurança e criar um santuário de compartilhamentos de arquivos protegido contra ameaças sem quebrar o banco e perder tempo precioso com migrações de dados para alguma outra plataforma baseada em nuvem?

Um exemplo de Zero Trust para acesso remoto seguro ao compartilhamento de arquivos é o MyWorkDrive. O MyWorkDrive fornece acesso remoto seguro Zero Trust a arquivos e compartilhamentos de arquivos sem a necessidade de usar VPNs, migrar arquivos para serviços em nuvem ou manter uma complexa infraestrutura de área de trabalho remota.

Funcionários governamentais podem acessar arquivos e compartilhamentos de arquivos remotamente de qualquer lugar, a qualquer hora.

Ao contrário do Sync & Share, o MyWorkDrive integra-se de forma exclusiva e nativa em uma infraestrutura existente de compartilhamento de arquivos do Windows sem migração de arquivos ou bloqueio de fornecedor.

MyWorkDrive fornece acesso por https sem acesso remoto a portas ou servidores de rede interna. Os métodos de acesso incluem:

Gerenciador de arquivos da web

Acesse seus compartilhamentos de arquivos remotamente usando qualquer navegador da Web com um Gerenciador de arquivos baseado na web. O MyWorkDrive Web File Manager é o mais elegante e fácil de usar do setor, carregado com os recursos de que os usuários precisam sem nada para instalar. Os usuários podem acessar, visualizar, editar e colaborar em arquivos sem dispositivos para gerenciar e sem risco de expor redes internas ou compartilhamentos de arquivos a ransomware usando uma sessão segura do navegador da Web.

Unidade de rede mapeada

Conecte-se aos seus arquivos remotamente usando o MyWorkDrive Cliente do Drive mapeado que permite aos usuários mapear com segurança uma unidade para seus arquivos de trabalho de qualquer lugar sem sincronização ou VPN. Opcionalmente, habilite autenticação de dois fatores e SAML/SSO para segurança e conformidade adicionais.

O MyWorkDrive também permite que você insira letras de unidade para cada compartilhamento - combinando com sua experiência interna de usuário. Os usuários simplesmente fazem login no URL do site MyWorkDrive usando suas credenciais existentes do Active Directory ou login SSO. Todas as unidades mapeadas na rede são exibidas automaticamente. Com o MyWorkDrive, a equipe governamental pode trabalhar com segurança em casa com uma experiência de unidade de rede mapeada sem o suporte ou as preocupações de segurança de VPN ou Área de Trabalho Remota.

O cliente de unidade mapeada adiciona controles adicionais de segurança e proteção em nível de aplicativo que não estão disponíveis com unidades de rede mapeadas tradicionais por VPN.

  • Letras de unidade enviadas do servidor que espelham letras de unidade mapeadas usadas no escritório.
  • Bloqueio de tipo de arquivo
  • Autenticação de dois fatores
  • SAML/Single-Sign-On.
  • Exibição de prevenção contra vazamento de dados de arquivos com restrições de download/cópia/impressão.
  • Permissões granulares.
  • Permissões NTFS do Active Directory Protegidas por padrão.
  • Interface de upload de arquivos em massa.
  • Abra os documentos do Office online sem os aplicativos locais do Office instalados.
  • Conecta-se pela porta https 443 em vez da porta SMB 445, que normalmente é bloqueada pelos ISPs.
  • Unidades de rede mapeadas protegidas por DLP

Visualize e edite arquivos online diretamente do cliente de unidade mapeada.

Esse recurso elimina os requisitos de treinamento para usuários finais e a necessidade de fazer login do Web Client usando uma exibição nativa de arquivos e pastas no Windows Explorer, além de adicionar recursos de segurança DLP para proteger dados confidenciais.

Com o MyWorkDrive, evite facilmente downloads de arquivos e pastas enquanto ainda exibe arquivos e pastas em uma interface de cliente de unidade mapeada tradicional. Visualize ou edite arquivos online enquanto bloqueia download, área de transferência, impressão, upload ou renomeação de arquivos. Marcas d'água e detalhes do usuário exibidos e registrados em todos os arquivos visualizados. A segurança e a conformidade dos dados são de extrema importância para os setores público e privado. Atende aos novos requisitos CMMC, bem como NIST, FedRamp, HIPA, Fina e GDPR.

Daniel, fundador do MyWorkDrive.com, trabalhou em várias funções de gerenciamento de tecnologia atendendo empresas, governo e educação na área da baía de São Francisco desde 1992. Daniel é certificado em Microsoft Technologies e escreve sobre tecnologia da informação, segurança e estratégia e foi premiado Patente #9985930 em Rede de Acesso Remoto