SlideShare uma empresa Scribd logo
© 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark.
AWSWebinar Series Brasil
Daniel Garcia
Principal Security SA
Ransomware: Estratégias de Mitigação
Como interagir durante o evento?
Você tem um projeto e
quer conversar com o
time comercial da
AWS?
Acesse o LIVE CHAT
neste QR code ou pelo
link enviado no chat do
evento.
Perguntas & Respostas ao
vivo durante todo o
evento
Tire suas dúvidas com os
especialistas da AWS!
Clique no símbolo “?” e
envie suas perguntas.
Agenda
• O que é ransomware?
• Práticas recomendadas para proteção contra ransomware
• Práticas recomendadas de backup e recuperação relacionadas a
ransomware
• Onde posso buscar mais informações?
O que é ransomware?
O que é ransomware?
Refere-se a um modelo de negócio e tecnologias associadas usadas
por atores mal-intencionados para extorquir dinheiro.
Usam táticas que incluem exploração de vulnerabilidades nos sistemas,
credenciais fracas ou comprometidas, engenharia social para obter
acesso aos dados e restringir acesso ao proprietário legítimo.
Codifica dados usando criptografia e chaves controladas pelos atores
mal-intencionados, bloqueando acesso do proprietário legítimo
Há casos de extorsão secundária, ameaçando vender ou revelar os
dados acessados.
Porquê o Ransomware é efetivo?
Muitas organizações não aplicam patches, ou levam muito tempo para aplica-los
Muitas organizações têm dificuldade na gestão de acesso privilegiado, deixando
as credenciais com excesso de permissões ou comprometendo-as
Muitas organizações têm um modelo de confiança amplo, permitindo a
propagação de malware
O nível de preocupação com segurança entre os funcionários é baixo
Algumas organizações não fazem backup dos dados ou não testam seus
processos de backup e restauração
Ataques de ransomware foram comoditizados
Equipe técnica sobrecarregado, apoiando-se em processos manuais e demorados
Múltiplos vetores de ataque estão sendo utilizados
NIST
Cybersecurity
Framework
é o padrão da indústria,
...mas muitas empresas
ainda têm dificuldades com
a segurança
PROTEGER
Definir as proteções necessárias para
proteger os serviços críticos de
infraestrutura
DETECTAR
Implementar as medidas adequadas
para identificar rapidamente ameaças e
riscos cibernéticos
RESPONDER
Definir as medidas necessárias
para reagir a uma ameaça
identificada
IDENTIFICAR
Identificar as funções, ativos e processos críticos
de uma organização e como os riscos de ciber-
segurança podem prejudicá-los
RECUPERAR
Planos estratégicos para restaurar e recuperar
quaisquer recursos afetados durante um
incidente de ciber-segurança
Serviços da AWS que apoiam na mitigação de ransomware
Proteger Detectar Responder
Automatizar
Investigar
Recuperar
Identificar
AWS Systems
Manager
AWS Config
AWS
Lambda
Amazon
CloudWatch
Amazon
Inspector
Amazon
Macie
Amazon
GuardDuty
AWS Security
Hub
AWS IoT
Device
Defender
AWS Key
Management
Service
AWS Identity and
Access
Management
(IAM)
AWS
Single
Sign-On
AWS
CloudTrail
Amazon
CloudWatch
Amazon VPC
AWS
WAF
AWS Shield
AWS
Secrets
Manager
AWS Firewall
Manager
Detectar
Proteger
CloudEndure Disaster
Recovery
AWS
Backup
Amazon
Detective
Porquê a AWS?
• Use produtos de segurança de parceiros como CrowdStrike Falcon e
TrendMicro Deep Security para proteger suas instâncias.
• Use o GuardDuty para detectar ameaças e atividades suspeitas.
• Use o AWS Security Hub para automatizar inspeções e centralizar os alertas de
segurança
• Use o Amazon Detective para ajudar na investigação de descobertas do
GuardDuty e do Security Hub
AWS tem vários serviços e recursos de segurança para proteção contra Ransomware
Porquê a AWS?
• Use serviços gerenciados que não requerem patches tradicionais como o
Amazon API Gateway, AWS Lambda, Amazon DynamoDB ou Amazon Aurora.
Deixe-nos corrigir os sistemas básicos para você!
• Use serviços gerenciados como DynamoDB e Aurora que tem capacidade de
recuperação "point in time".
• Use o S3 object lock que usa Write Once Read Many (WORM) para armazenar
objetos no S3. O Object Lock ajuda a prevenir que objetos sejam apagados ou
sobrescritos por um período fixo de tempo ou indefinidamente.
• Use as políticas de bloqueio e de acesso ao Glacier vault que permitem
implementar regras de retenção de dados baseadas em tempo (impedir
exclusões), e permite os acessos de leitura necessários (permitir leituras).
Serviços gerenciados da AWS e Object Locks
Porquê a AWS?
• Construa para a nuvem, acolhendo arquiteturas imutáveis e efêmeras, alguns
exemplos são:
• Crie inspeções de segurança em seus pipelines de implantação, incluindo o
CloudFormation Guard para identificar configurações inseguras
• Use AWS CloudFormation para definir e implementar sua infraestrutura como
código para que você possa facilmente auditar e reimplantar, se necessário.
• Construa infraestrutura imutável, sem acesso humano usando ferramentas
como AMI Builder, AWS Auto Scaling groups e Amazon CloudWatch Logs
para garantir que a configuração não mude após a implantação, reimplante
se precisar fazer mudanças.
Infraestrutura imutável e efêmera
Práticas recomendadas de proteção
contra ransomware
Práticas de Segurança Para Proteção Contra Ransomware
1. Faça patching e hardening de sistemas
2. Busque continuamente o menor privilégio de acesso
3. Estratégia multi-contas e segmentação de redes para limitar o
alcance de incidentes
4. Desenvolva e exercite seu plano de resposta a incidentes
5. Faça auto avaliações
1.0 Faça patching e hardening de sistemas
Use o Amazon Inspector para identificar vulnerabilidades e avaliar instâncias de
acordo com benchmarks de segurança
Use o scan de imagens do Amazon ECR para identificar vulnerabilidades e avaliar
imagens de seus containers
Use o AWS Systems Manager Patch Manager para instalar automaticamente
correções de SO e aplicativos
Use software de proteção de workload em suas instâncias no modo de "Proteção"
Vulnerabilidades não corrigidas são uma das formas mais comuns de entrada de ransomware no
ambiente de uma organização.
Rapidamente identificando e corrigindo vulnerabilidades, as organizações reduzem sua exposição
a ameaças de ransomware, limitando as possibilidades de entrada.
2.0 Busque continuamente o menor privilégio de acesso
Elimine ou minimize as credenciais estáticas do IAM
Federe o acesso usando oAWS SSO ou provedor de federação existente
Use funções e políticas de menor privilégio do IAM usando o Access Analyzer
para reduzir o escopo das permissões
Use Políticas de Controle de Serviços (SCPs) para reduzir o acesso
Credenciais estáticas e políticas muito permissivas continuam a ser um dos maiores
riscos de segurança. Infelizmente, esta tende a ser uma configuração de legado
esquecida.
Há vários serviços e funcionalidades que podem ser utilizados para mitigar estes
riscos.
3.0 Estratégia multi-contas e segmentação de redes para limitar o
alcance de incidentes
Arquitetura de Segurança de Referência da AWS
https://github.com/aws-samples/aws-security-reference-architecture-examples
Deteção
Alerta
Remediação
Mitigação
Forense
Amazon
GuardDuty
Amazon
Macie
CloudTrail
AWS Security Hub Amazon
CloudWatch
Config AWS WAF
AWS Step
Functions
Colaboração de
equipes
(Slack etc.)
AWS APIs
AWS Systems
Manager
AWS Lambda
Administração de
sistemas
Resposta
Amazon
Inspector
Serviços de Segurança
Serviços de Perímetro
AWS Shield
Parceiros
Serviços de Gestão
PHD
Trusted
Advisor
Suporte
4.0 Desenvolva e exercite seu plano de resposta a incidentes
5.0 Faça auto-avaliações
Estas análises de segurança são dos projetos de código
aberto "Prowler" e "ScoutSuite". Isto inclui módulos
personalizados de verificações
específicas para ransomware.
AWS Security Hub
Práticas recomendadas para backup e
recuperação relacionadas a ransomware
Formação da
estratégia
• Quais dados são mais
importantes de proteger?
• A recuperação de
determinados dados deve ser
priorizada em relação a
outros?
• Qual é um tempo de
recuperação aceitável?
• Que concessões devem ser
feitas entre orçamento,
tempo e exaustividade de
dados?
PROTEGER
Definir as proteções necessárias
para proteger os serviços críticos
de infraestrutura
DETECTAR
Implementar as medidas adequadas
para identificar rapidamente ameaças
e riscos cibernéticos
RESPONDER
Definir as medidas
necessárias para reagir a
uma ameaça identificada
IDENTIFICAR
Identificar as funções, ativos e processos
críticos de uma organização e como os riscos
de ciber-segurança podem prejudicá-los
RECUPERAR
Planos estratégicos para restaurar e
recuperar quaisquer recursos afetados
durante um incidente de ciber-segurança
As indústrias
estão agora
priorizando a
recuperação.
Criação da Estratégia de Recuperação de Ransomware
Identificação da seleção de dados a serem priorizados e trade-off associado com tamanho, tempo de
recuperação e custo
Todos os dados
Alta Baixa
Custo & tempo de recuperação
Dados selecionados
Alta Baixa
Seleção de Serviços AWS e/ou de Parceiros com capacidade de armazenar imutavelmente os
artefatos de dados em vault
Trade-offs
Práticas recomendadas de backup e recuperação relacionadas a
ransomware
1. Habilite uma solução de backup
• AWS Backup
• AWS Storage Gateway
• Cloud Endure
• Soluções de Backup de Parceiros AWS
2. Estabeleça processos robustos de backup e restauração
3. Use estrutura de backup em contas protegidas por "Air-gap".
4. Use recursos de armazenamento de dados para reduzir ao mínimo o
tempo de inatividade
Recursos
Comunidade
https://www.nomoreransom.org
AWS
AWS Cloud Security Resources Hub
amzn.to/3gcnv6W
Alinhamento do NIST CSF com a nuvem
AWS
bit.ly/3AQc3WC
eBook: Protegendo seu ambiente na nuvem
AWS contra ransomware
bit.ly/3zgaSz9
AWSWell-Architected Framework – Pilar
de Segurança
amzn.to/3m9bfI3
Construindo uma Estratégia de Detecção
de Ameaças naAWS
bit.ly/3k1GNNl
Guia de Resposta a Incidentes de
SegurançaAWS
bit.ly/3sq7mj6
Frameworks clássicos de análise de
intrusão para ambientes AWS:Aplicação e
Aperfeiçoamento
https://amzn.to/2WqkTeP
Obrigado!
Fique por dentro das
próximas sessões
Acesse a agenda de
webinars neste QR code
e inscreva-se!
QR CODE
Conte-nos o que achou
do webinar
Clique em “sair” para
responder uma rápida
pesquisa de satisfação.

Mais conteúdo relacionado

Mais procurados

Computação em Nuvem: conceitos básicos
Computação em Nuvem: conceitos básicosComputação em Nuvem: conceitos básicos
Computação em Nuvem: conceitos básicos
Clayton de Almeida Souza
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redes
Arlimar Jacinto
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
Mariana Hiyori
 
Topologias de rede
Topologias de redeTopologias de rede
Topologias de rede
Susana Oliveira
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Emerson Rocha
 
Windows server 2003
Windows server 2003Windows server 2003
Windows server 2003
guestdf16d4b
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
Felipe Morais
 
Introdução à Segurança de Redes
Introdução à Segurança de RedesIntrodução à Segurança de Redes
Introdução à Segurança de Redes
Sofia Trindade
 
Aula 1: Conceitos de redes sem fio
Aula 1: Conceitos de redes sem fioAula 1: Conceitos de redes sem fio
Aula 1: Conceitos de redes sem fio
camila_seixas
 
Arquitetura de Redes de Computadores
 Arquitetura de Redes de Computadores Arquitetura de Redes de Computadores
Arquitetura de Redes de Computadores
Ana Julia F Alves Ferreira
 
Apresentação cloud computing
Apresentação   cloud computingApresentação   cloud computing
Apresentação cloud computing
Victor Queiroga
 
Equipamentos de Rede
Equipamentos de RedeEquipamentos de Rede
Equipamentos de Rede
Ana Julia F Alves Ferreira
 
Microsoft Zero Trust
Microsoft Zero TrustMicrosoft Zero Trust
Microsoft Zero Trust
David J Rosenthal
 
Cloud Security using NIST guidelines
Cloud Security using NIST guidelinesCloud Security using NIST guidelines
Cloud Security using NIST guidelines
Srishti Ahuja
 
Tipos de Servidores
Tipos de ServidoresTipos de Servidores
Tipos de Servidores
Aricelio Souza
 
Sistema operativo servidor
Sistema operativo servidorSistema operativo servidor
Sistema operativo servidor
Sandu Postolachi
 
VPN - O que é a VPN?
VPN - O que é a VPN?VPN - O que é a VPN?
VPN - O que é a VPN?
mateus rodrigues
 
Windows server
Windows serverWindows server
Windows server
Eder E. Pereira
 
Identity and Access Management Introduction
Identity and Access Management IntroductionIdentity and Access Management Introduction
Identity and Access Management Introduction
Aidy Tificate
 
Infra-estrutura de TI
Infra-estrutura de TIInfra-estrutura de TI
Infra-estrutura de TI
emmonks
 

Mais procurados (20)

Computação em Nuvem: conceitos básicos
Computação em Nuvem: conceitos básicosComputação em Nuvem: conceitos básicos
Computação em Nuvem: conceitos básicos
 
Atividade fundamentos-de-redes
Atividade fundamentos-de-redesAtividade fundamentos-de-redes
Atividade fundamentos-de-redes
 
Sistemas de Informação
Sistemas de InformaçãoSistemas de Informação
Sistemas de Informação
 
Topologias de rede
Topologias de redeTopologias de rede
Topologias de rede
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Windows server 2003
Windows server 2003Windows server 2003
Windows server 2003
 
Seminário Segurança da Informação
Seminário Segurança da InformaçãoSeminário Segurança da Informação
Seminário Segurança da Informação
 
Introdução à Segurança de Redes
Introdução à Segurança de RedesIntrodução à Segurança de Redes
Introdução à Segurança de Redes
 
Aula 1: Conceitos de redes sem fio
Aula 1: Conceitos de redes sem fioAula 1: Conceitos de redes sem fio
Aula 1: Conceitos de redes sem fio
 
Arquitetura de Redes de Computadores
 Arquitetura de Redes de Computadores Arquitetura de Redes de Computadores
Arquitetura de Redes de Computadores
 
Apresentação cloud computing
Apresentação   cloud computingApresentação   cloud computing
Apresentação cloud computing
 
Equipamentos de Rede
Equipamentos de RedeEquipamentos de Rede
Equipamentos de Rede
 
Microsoft Zero Trust
Microsoft Zero TrustMicrosoft Zero Trust
Microsoft Zero Trust
 
Cloud Security using NIST guidelines
Cloud Security using NIST guidelinesCloud Security using NIST guidelines
Cloud Security using NIST guidelines
 
Tipos de Servidores
Tipos de ServidoresTipos de Servidores
Tipos de Servidores
 
Sistema operativo servidor
Sistema operativo servidorSistema operativo servidor
Sistema operativo servidor
 
VPN - O que é a VPN?
VPN - O que é a VPN?VPN - O que é a VPN?
VPN - O que é a VPN?
 
Windows server
Windows serverWindows server
Windows server
 
Identity and Access Management Introduction
Identity and Access Management IntroductionIdentity and Access Management Introduction
Identity and Access Management Introduction
 
Infra-estrutura de TI
Infra-estrutura de TIInfra-estrutura de TI
Infra-estrutura de TI
 

Semelhante a Ransomware: Estratégias de Mitigação

AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
Amazon Web Services LATAM
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
Amazon Web Services LATAM
 
Segurança na AWS
Segurança na AWS Segurança na AWS
Segurança na AWS
Amazon Web Services LATAM
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
Fabio Hara
 
Segurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWSSegurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWS
Amazon Web Services LATAM
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
pce19791
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
Amazon Web Services LATAM
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWS
Amazon Web Services LATAM
 
Segurança
SegurançaSegurança
Seguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no AzureSeguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no Azure
Jaqueline Ramos
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças -  SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças -  SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Amazon Web Services
 
Java security
Java securityJava security
Java security
armeniocardoso
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
Amazon Web Services LATAM
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
SQLServerRS
 
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS SummitThreat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Amazon Web Services
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de Dados
Felipe Plattek
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Amazon Web Services
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud Computing
Daniel Checchia
 
AWS Segurança e Conformidade
AWS Segurança e ConformidadeAWS Segurança e Conformidade
AWS Segurança e Conformidade
Amazon Web Services LATAM
 

Semelhante a Ransomware: Estratégias de Mitigação (20)

AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
AWS Initiate Brasil 2021 - Segurança e Privacidade de Dados - Ernesto dos San...
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 
Segurança na AWS
Segurança na AWS Segurança na AWS
Segurança na AWS
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Segurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWSSegurança de ponta a ponta na AWS
Segurança de ponta a ponta na AWS
 
Positive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptxPositive Cybersecurity PT-br_2.pptx
Positive Cybersecurity PT-br_2.pptx
 
Segurança na AWS
Segurança na AWSSegurança na AWS
Segurança na AWS
 
Ransomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWSRansomware: como recuperar os seus dados na nuvem AWS
Ransomware: como recuperar os seus dados na nuvem AWS
 
Segurança
SegurançaSegurança
Segurança
 
Seguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no AzureSeguranca e gerenciamento de custos no Azure
Seguranca e gerenciamento de custos no Azure
 
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças -  SID301 - Sao Paulo SummitDetecção e Mitigação de Ameaças -  SID301 - Sao Paulo Summit
Detecção e Mitigação de Ameaças - SID301 - Sao Paulo Summit
 
Java security
Java securityJava security
Java security
 
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdfAWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
AWS Initiate week 2020 - Security Framework: jornada de segurança na nuvem.pdf
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS SummitThreat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
Threat detection and mitigation at AWS - SEC301 - São Paulo AWS Summit
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de Dados
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud Computing
 
AWS Segurança e Conformidade
AWS Segurança e ConformidadeAWS Segurança e Conformidade
AWS Segurança e Conformidade
 

Mais de Amazon Web Services LATAM

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
Amazon Web Services LATAM
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
Amazon Web Services LATAM
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWS
Amazon Web Services LATAM
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWS
Amazon Web Services LATAM
 
Cómo empezar con Amazon EKS
Cómo empezar con Amazon EKSCómo empezar con Amazon EKS
Cómo empezar con Amazon EKS
Amazon Web Services LATAM
 
Como começar com Amazon EKS
Como começar com Amazon EKSComo começar com Amazon EKS
Como começar com Amazon EKS
Amazon Web Services LATAM
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
Amazon Web Services LATAM
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
Amazon Web Services LATAM
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWS
Amazon Web Services LATAM
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Amazon Web Services LATAM
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administrados
Amazon Web Services LATAM
 
Simplifique su BI con AWS
Simplifique su BI con AWSSimplifique su BI con AWS
Simplifique su BI con AWS
Amazon Web Services LATAM
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWS
Amazon Web Services LATAM
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWS
Amazon Web Services LATAM
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Amazon Web Services LATAM
 
Bases de datos NoSQL en AWS
Bases de datos NoSQL en AWSBases de datos NoSQL en AWS
Bases de datos NoSQL en AWS
Amazon Web Services LATAM
 

Mais de Amazon Web Services LATAM (20)

AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvemAWS para terceiro setor - Sessão 1 - Introdução à nuvem
AWS para terceiro setor - Sessão 1 - Introdução à nuvem
 
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e BackupAWS para terceiro setor - Sessão 2 - Armazenamento e Backup
AWS para terceiro setor - Sessão 2 - Armazenamento e Backup
 
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
AWS para terceiro setor - Sessão 3 - Protegendo seus dados.
 
Automatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWSAutomatice el proceso de entrega con CI/CD en AWS
Automatice el proceso de entrega con CI/CD en AWS
 
Automatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWSAutomatize seu processo de entrega de software com CI/CD na AWS
Automatize seu processo de entrega de software com CI/CD na AWS
 
Cómo empezar con Amazon EKS
Cómo empezar con Amazon EKSCómo empezar con Amazon EKS
Cómo empezar con Amazon EKS
 
Como começar com Amazon EKS
Como começar com Amazon EKSComo começar com Amazon EKS
Como começar com Amazon EKS
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
Ransomware: Estratégias de Mitigación
Ransomware: Estratégias de MitigaciónRansomware: Estratégias de Mitigación
Ransomware: Estratégias de Mitigación
 
Aprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWSAprenda a migrar y transferir datos al usar la nube de AWS
Aprenda a migrar y transferir datos al usar la nube de AWS
 
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWSAprenda como migrar e transferir dados ao utilizar a nuvem da AWS
Aprenda como migrar e transferir dados ao utilizar a nuvem da AWS
 
Cómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administradosCómo mover a un almacenamiento de archivos administrados
Cómo mover a un almacenamiento de archivos administrados
 
Simplifique su BI con AWS
Simplifique su BI con AWSSimplifique su BI con AWS
Simplifique su BI con AWS
 
Simplifique o seu BI com a AWS
Simplifique o seu BI com a AWSSimplifique o seu BI com a AWS
Simplifique o seu BI com a AWS
 
Os benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWSOs benefícios de migrar seus workloads de Big Data para a AWS
Os benefícios de migrar seus workloads de Big Data para a AWS
 
Los beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWSLos beneficios de migrar sus cargas de trabajo de big data a AWS
Los beneficios de migrar sus cargas de trabajo de big data a AWS
 
Bases de datos NoSQL en AWS
Bases de datos NoSQL en AWSBases de datos NoSQL en AWS
Bases de datos NoSQL en AWS
 

Último

DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 

Último (8)

DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX   .2.pptxHistória da Rádio- 1936-1970 século XIX   .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 

Ransomware: Estratégias de Mitigação

  • 1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Confidential and Trademark. AWSWebinar Series Brasil Daniel Garcia Principal Security SA Ransomware: Estratégias de Mitigação
  • 2. Como interagir durante o evento? Você tem um projeto e quer conversar com o time comercial da AWS? Acesse o LIVE CHAT neste QR code ou pelo link enviado no chat do evento. Perguntas & Respostas ao vivo durante todo o evento Tire suas dúvidas com os especialistas da AWS! Clique no símbolo “?” e envie suas perguntas.
  • 3. Agenda • O que é ransomware? • Práticas recomendadas para proteção contra ransomware • Práticas recomendadas de backup e recuperação relacionadas a ransomware • Onde posso buscar mais informações?
  • 4. O que é ransomware?
  • 5. O que é ransomware? Refere-se a um modelo de negócio e tecnologias associadas usadas por atores mal-intencionados para extorquir dinheiro. Usam táticas que incluem exploração de vulnerabilidades nos sistemas, credenciais fracas ou comprometidas, engenharia social para obter acesso aos dados e restringir acesso ao proprietário legítimo. Codifica dados usando criptografia e chaves controladas pelos atores mal-intencionados, bloqueando acesso do proprietário legítimo Há casos de extorsão secundária, ameaçando vender ou revelar os dados acessados.
  • 6. Porquê o Ransomware é efetivo? Muitas organizações não aplicam patches, ou levam muito tempo para aplica-los Muitas organizações têm dificuldade na gestão de acesso privilegiado, deixando as credenciais com excesso de permissões ou comprometendo-as Muitas organizações têm um modelo de confiança amplo, permitindo a propagação de malware O nível de preocupação com segurança entre os funcionários é baixo Algumas organizações não fazem backup dos dados ou não testam seus processos de backup e restauração Ataques de ransomware foram comoditizados Equipe técnica sobrecarregado, apoiando-se em processos manuais e demorados Múltiplos vetores de ataque estão sendo utilizados
  • 7. NIST Cybersecurity Framework é o padrão da indústria, ...mas muitas empresas ainda têm dificuldades com a segurança PROTEGER Definir as proteções necessárias para proteger os serviços críticos de infraestrutura DETECTAR Implementar as medidas adequadas para identificar rapidamente ameaças e riscos cibernéticos RESPONDER Definir as medidas necessárias para reagir a uma ameaça identificada IDENTIFICAR Identificar as funções, ativos e processos críticos de uma organização e como os riscos de ciber- segurança podem prejudicá-los RECUPERAR Planos estratégicos para restaurar e recuperar quaisquer recursos afetados durante um incidente de ciber-segurança
  • 8. Serviços da AWS que apoiam na mitigação de ransomware Proteger Detectar Responder Automatizar Investigar Recuperar Identificar AWS Systems Manager AWS Config AWS Lambda Amazon CloudWatch Amazon Inspector Amazon Macie Amazon GuardDuty AWS Security Hub AWS IoT Device Defender AWS Key Management Service AWS Identity and Access Management (IAM) AWS Single Sign-On AWS CloudTrail Amazon CloudWatch Amazon VPC AWS WAF AWS Shield AWS Secrets Manager AWS Firewall Manager Detectar Proteger CloudEndure Disaster Recovery AWS Backup Amazon Detective
  • 9. Porquê a AWS? • Use produtos de segurança de parceiros como CrowdStrike Falcon e TrendMicro Deep Security para proteger suas instâncias. • Use o GuardDuty para detectar ameaças e atividades suspeitas. • Use o AWS Security Hub para automatizar inspeções e centralizar os alertas de segurança • Use o Amazon Detective para ajudar na investigação de descobertas do GuardDuty e do Security Hub AWS tem vários serviços e recursos de segurança para proteção contra Ransomware
  • 10. Porquê a AWS? • Use serviços gerenciados que não requerem patches tradicionais como o Amazon API Gateway, AWS Lambda, Amazon DynamoDB ou Amazon Aurora. Deixe-nos corrigir os sistemas básicos para você! • Use serviços gerenciados como DynamoDB e Aurora que tem capacidade de recuperação "point in time". • Use o S3 object lock que usa Write Once Read Many (WORM) para armazenar objetos no S3. O Object Lock ajuda a prevenir que objetos sejam apagados ou sobrescritos por um período fixo de tempo ou indefinidamente. • Use as políticas de bloqueio e de acesso ao Glacier vault que permitem implementar regras de retenção de dados baseadas em tempo (impedir exclusões), e permite os acessos de leitura necessários (permitir leituras). Serviços gerenciados da AWS e Object Locks
  • 11. Porquê a AWS? • Construa para a nuvem, acolhendo arquiteturas imutáveis e efêmeras, alguns exemplos são: • Crie inspeções de segurança em seus pipelines de implantação, incluindo o CloudFormation Guard para identificar configurações inseguras • Use AWS CloudFormation para definir e implementar sua infraestrutura como código para que você possa facilmente auditar e reimplantar, se necessário. • Construa infraestrutura imutável, sem acesso humano usando ferramentas como AMI Builder, AWS Auto Scaling groups e Amazon CloudWatch Logs para garantir que a configuração não mude após a implantação, reimplante se precisar fazer mudanças. Infraestrutura imutável e efêmera
  • 12. Práticas recomendadas de proteção contra ransomware
  • 13. Práticas de Segurança Para Proteção Contra Ransomware 1. Faça patching e hardening de sistemas 2. Busque continuamente o menor privilégio de acesso 3. Estratégia multi-contas e segmentação de redes para limitar o alcance de incidentes 4. Desenvolva e exercite seu plano de resposta a incidentes 5. Faça auto avaliações
  • 14. 1.0 Faça patching e hardening de sistemas Use o Amazon Inspector para identificar vulnerabilidades e avaliar instâncias de acordo com benchmarks de segurança Use o scan de imagens do Amazon ECR para identificar vulnerabilidades e avaliar imagens de seus containers Use o AWS Systems Manager Patch Manager para instalar automaticamente correções de SO e aplicativos Use software de proteção de workload em suas instâncias no modo de "Proteção" Vulnerabilidades não corrigidas são uma das formas mais comuns de entrada de ransomware no ambiente de uma organização. Rapidamente identificando e corrigindo vulnerabilidades, as organizações reduzem sua exposição a ameaças de ransomware, limitando as possibilidades de entrada.
  • 15. 2.0 Busque continuamente o menor privilégio de acesso Elimine ou minimize as credenciais estáticas do IAM Federe o acesso usando oAWS SSO ou provedor de federação existente Use funções e políticas de menor privilégio do IAM usando o Access Analyzer para reduzir o escopo das permissões Use Políticas de Controle de Serviços (SCPs) para reduzir o acesso Credenciais estáticas e políticas muito permissivas continuam a ser um dos maiores riscos de segurança. Infelizmente, esta tende a ser uma configuração de legado esquecida. Há vários serviços e funcionalidades que podem ser utilizados para mitigar estes riscos.
  • 16. 3.0 Estratégia multi-contas e segmentação de redes para limitar o alcance de incidentes Arquitetura de Segurança de Referência da AWS https://github.com/aws-samples/aws-security-reference-architecture-examples
  • 17. Deteção Alerta Remediação Mitigação Forense Amazon GuardDuty Amazon Macie CloudTrail AWS Security Hub Amazon CloudWatch Config AWS WAF AWS Step Functions Colaboração de equipes (Slack etc.) AWS APIs AWS Systems Manager AWS Lambda Administração de sistemas Resposta Amazon Inspector Serviços de Segurança Serviços de Perímetro AWS Shield Parceiros Serviços de Gestão PHD Trusted Advisor Suporte 4.0 Desenvolva e exercite seu plano de resposta a incidentes
  • 18. 5.0 Faça auto-avaliações Estas análises de segurança são dos projetos de código aberto "Prowler" e "ScoutSuite". Isto inclui módulos personalizados de verificações específicas para ransomware. AWS Security Hub
  • 19. Práticas recomendadas para backup e recuperação relacionadas a ransomware
  • 20. Formação da estratégia • Quais dados são mais importantes de proteger? • A recuperação de determinados dados deve ser priorizada em relação a outros? • Qual é um tempo de recuperação aceitável? • Que concessões devem ser feitas entre orçamento, tempo e exaustividade de dados? PROTEGER Definir as proteções necessárias para proteger os serviços críticos de infraestrutura DETECTAR Implementar as medidas adequadas para identificar rapidamente ameaças e riscos cibernéticos RESPONDER Definir as medidas necessárias para reagir a uma ameaça identificada IDENTIFICAR Identificar as funções, ativos e processos críticos de uma organização e como os riscos de ciber-segurança podem prejudicá-los RECUPERAR Planos estratégicos para restaurar e recuperar quaisquer recursos afetados durante um incidente de ciber-segurança As indústrias estão agora priorizando a recuperação.
  • 21. Criação da Estratégia de Recuperação de Ransomware Identificação da seleção de dados a serem priorizados e trade-off associado com tamanho, tempo de recuperação e custo Todos os dados Alta Baixa Custo & tempo de recuperação Dados selecionados Alta Baixa Seleção de Serviços AWS e/ou de Parceiros com capacidade de armazenar imutavelmente os artefatos de dados em vault Trade-offs
  • 22. Práticas recomendadas de backup e recuperação relacionadas a ransomware 1. Habilite uma solução de backup • AWS Backup • AWS Storage Gateway • Cloud Endure • Soluções de Backup de Parceiros AWS 2. Estabeleça processos robustos de backup e restauração 3. Use estrutura de backup em contas protegidas por "Air-gap". 4. Use recursos de armazenamento de dados para reduzir ao mínimo o tempo de inatividade
  • 24. Comunidade https://www.nomoreransom.org AWS AWS Cloud Security Resources Hub amzn.to/3gcnv6W Alinhamento do NIST CSF com a nuvem AWS bit.ly/3AQc3WC eBook: Protegendo seu ambiente na nuvem AWS contra ransomware bit.ly/3zgaSz9 AWSWell-Architected Framework – Pilar de Segurança amzn.to/3m9bfI3 Construindo uma Estratégia de Detecção de Ameaças naAWS bit.ly/3k1GNNl Guia de Resposta a Incidentes de SegurançaAWS bit.ly/3sq7mj6 Frameworks clássicos de análise de intrusão para ambientes AWS:Aplicação e Aperfeiçoamento https://amzn.to/2WqkTeP
  • 25. Obrigado! Fique por dentro das próximas sessões Acesse a agenda de webinars neste QR code e inscreva-se! QR CODE Conte-nos o que achou do webinar Clique em “sair” para responder uma rápida pesquisa de satisfação.

Notas do Editor

  1. In this session we will review what ransomware is, discuss foundational best practices for ransomware protection, as well as backup and recovery best practices. Then we’ll provide you additional resources you can use to learn more.
  2. Ransomware refers to a business model and a wide range of associated technologies that unauthorized users use to extort money from entities. Unauthorized users use system vulnerabilities to access data and then restrict the rightful owner from accessing it. Accomplished by unauthorized user who encrypts data using actor-controlled encryption keys, using access controls to lock out the rightful owner from a system Or, unauthorized users may threaten to reveal data or acts of exfiltration, which can result in large monetary fines from data privacy authorities and/or litigation from affected parties.
  3. Ransomware was first recorded incidence of ransomware came with a conference in 1989, where the disk would run a trojan that demanded victims mail $189 to a PO Box in Panama. It is believed that 20,000 computer enthusiasts, medical research institutions, and researchers who attended the WHO’s international AIDS conference in Stockholm received diskettes like the one Willems got. The software was attributed to American evolutionary biologist Dr. Joseph Popp, who held a Ph.D. from Harvard. Popp was arrested for spreading the computer virus, charged with several counts of blackmail. He was, however, declared mentally unfit to stand trial. In the first years of the 2010s, ransomware was profitable, but it wasn’t very common. Cybercriminals had difficulties getting money from victims without using the traditional channels. This underground industry blossomed when Bitcoin ermerged. In 2013, the world met the destructive CryptoLocker, the malware that kicked off the ransomware revolution. https://www.csoonline.com/article/3566886/a-history-of-ransomware-the-motives-and-methods-behind-these-evolving-attacks.html?page=2 Let’s walk through context for why ransomware is (still) effective. The Value of data on the open market is relatively low compared to value of data to the data owner. --although, with potentially major fines levied by privacy authorities, that provides an additional financial incentive for bad actors. 1. Cryptocurrency valuation and access is easier than ever (business model for criminals is lucrative). 2. Security context: Open trust models w/ an organizations network which allows for malware to spread (Challenges of balancing minimization of privilege with ability to develop and move quickly) Low security awareness amongst employees (Phishing as a primary vector, for both on-prem and cloud infections) Many orgs are not backing up data and even more are not testing their restore processes. Overly permissive access and weak controls around privileged access management And security staff that is overburdened by to many manual processes Nothing in ransomware is specific to cloud (if anything, should be empowering you to see your logging and monitoring, trim permissions, do security as code, etc). COVID and rise of cryptocurrency have led to increased market traction for cybercriminals enacting ransomware attacks.
  4. Used managed services that don’t require traditional patching such as Amazon API Gateway, AWS Lambda, Amazon DynamoDB or Amazon Aurora. Let us patch the underlying systems for you! Managed services like DynamoDB and Aurora have point in time recovery features. S3 object lock which uses Write Once Read Many (WORM) for objects stored in S3. Object Lock can help prevent objects from being deleted or overwritten for a fixed amount of time or indefinitely. S3 Object lock - Object Lock works only in versioned buckets, and retention periods and legal holds apply to individual object versions. When you lock an object version, Amazon S3 stores the lock information in the metadata for that object version. Placing a retention period or legal hold on an object protects only the version specified in the request. It doesn't prevent new versions of the object from being created. For more details: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html Glacier vault lock and vault access policies allow you to implement time-based data retention rules (deny deletes), and grant read access to designated parties (allow reads).
  5. Build for the cloud by embracing immutable and ephemeral architectures, some examples include: Build security checks into your deployment pipelines including CloudFormation Guard to check for insecure configurations Use AWS CloudFormation to define and build your infrastructure as code so you can easily audit and redeploy if needed. Build immutable infrastructure with no human access using tools like AMI Builder, AWS Auto Scaling groups and Amazon CloudWatch Logs to ensure configuration doesn’t change after deployment, re-deploy if changes are needed.
  6. Let’s dive into best practices for ransomware protection on AWS.
  7. This is not an exhaustive list but it’s a great start to ensure you have a solid security foundation in place to build and mature upon. Through the rest of our session I’ll walk you through each chapter to help you understand each item in this list and what AWS features and services can help. ____ Industry frameworks like the NIST Cybersecurity Framework (CSF) and ISO 27101, along with AWS framework such as CAF and WAF, can help customers take a holistic approach to mitigate the risk to ransomware. We have a great story here with the ability to patch AMIs, standup new instances from patched AMIs, run in parallel, and then terminate unpatched servers without interruption or the need for maintenance windows. Blue/Green architectures and DevOps, Inspector and Systems Manager for scan patch cycle, and move to managed services to eliminate the need for customers to patch – all are differentiators from on-prem. The need to better manage and protect credentials is another key – using services like Secret Manager, SSM Secure Shell, no credentials in code, use of roles, etc. Zero trust architectures, microservices/SOA, authenticating all comms all the time (user-to-system, system-to-system, etc.), encrypt data, key management, etc. Remove human access fall under here and #10 for automation, but also limit system action One key point here is disconnected backups, WORM capabilities, access control, and then be able to test in a non-prod environment that is difficult to do on-prem, but can be done easily in AWS. This requires the logging, monitoring, and response actions listed before, but now it’s about the orchestration between the technical tools and the processes and exercising them. Same as before, although 8 and 9 are essentially the same, but using different tools and looking at different things. Any thought of consolidating and just verbally talking about the options with a WAR and Brad’s self-assessment tool and others? Same Added “response actions” as it is important to respond at “the speed of cyber” to mitigate the threat as it happens to reduce impact and scope.
  8. Chapter 1 – patch and harden systems. In order to secure your systems you need to be able to identify vulnerabilities in your environment. We have several services that can help identify those vulnerabilities. Amazon Inspector, you can search AWS environments for CVE (comm vuln exposures)s, assess your instances against security benchmarks, and fully automate notifying security and IT engineers when findings are present. Amazon ECR image scanning helps in identifying software vulnerabilities in your container images. Amazon ECR uses the Common Vulnerabilities and Exposures (CVEs) database from the open-source Clair project and provides a list of scan findings. AWS Systems manager Patch Manager to deploy OS and software patches. Systems Manager can actually run on your data center hosts as well. In addition our want to apply Hardening of the OS which is configuring an OS securely, updating it, creating rules and policies to help govern the system in a secure manner, and removing unnecessary applications and services. This is done to minimize a computer OS's exposure to threats and to mitigate possible risk. You can utilize CIS pre-hardened images which are available in the AWS marketplace. In addition, you want to run endpoint protection software on your ec2 instances such as Crowd strike falcon or TrendMicro's Deep Security also available in the AWS marketplace. Keep in mind you want the software to be in “Protect mode” – so it can prevent malware as opposed to just “Detect mode”.
  9. Chapter 2 – Continuously strive for least privilege Eliminate or minimize the use of Static access keys. This is a top security risk as we’ve seen static credentials accidently leaked and causing security events for customers. Please only use them if you absolutely have no better option. If you do use them apply MFA and reduce the permissions. Federate access and apply least privilege policies. The latest CLI version provides federated users temporary access keys so static credentials are no longer needed. Review service last access and run access analyzer on access policies to determine if any services or actions have not been used and can be removed. Enable SCPS at the Orgs level this is a great way to reduce what AWS services and regions can be used as well as ensuring certain critical security services cannot be disabled such as GuardDuty and CloudTrail.
  10. Chapter 3.0 – Multi-account strategy and network segmentation to limit scope of impact. Consider that an AWS account is a key security boundary and the ultimate lateral movement restriction, Based on customer security requirements I tend to lean towards mapping critical workloads to their own AWS account to provide the highest level of segmentation from lateral movement and isolation. In addition, you want to have a common VPC design across your accounts that enables developers to build systems securely, ensuring they don’t deploy instances in public subnets but utlize Load Balances for that to reduce surface and exposure points to the internet. We recommend you review the AWS Security Reference Architecture: A guide to designing with AWS Security Services - https://github.com/aws-samples/aws-security-reference-architecture-examples which was released in June of 2021. And includes a repository with AWS CloudFormation templates to help developers and engineers deploy AWS security-related services in a multi-account environment following patterns that align with the AWS Security Reference Architecture. The Amazon Web Services (AWS) Security Reference Architecture (AWS SRA) is a holistic set of guidelines for deploying the full complement of AWS security services in a multi-account environment.
  11. Chapter 4.0 – Develop and exercise your incident response plan The first important point I want to make is, set up your incident response plan now- before you have an incident. Build out your runbooks and test them before you experience a security issue. I recommend building your run books and then running a least a tabletop exercise. Many preparation steps are needed to perform Incident response, doing them ahead of time allows your Organization to spend more time focusing on measures to increase the security of their cloud environment and applications. Some of those preparations steps include - -Preparing access to your AWS accounts (considerations need to be made as far as what level of access is needed and will the issue be investigated by a central team or the application teams.) -What types of remediations are you comfortable making and what additional context is required to take right actions for example you might want to pull in tags from your resources, as the action you take may be different for systems tagged with DEV vs. Production for example. -Another key preparation step is having a forensic workstation built out – Where do you want the system to live and can you build it ahead of time and have the system in a shutdown state so that you’re not charged when its not in use. The second important point, and my personal favorite is something you should do after your run books have been built out and testing and that is start building in auto remediation actions to automatically resolve security mis-configurations. This is a huge cloud differentiator and its really fun to work on, its what makes security engineering in the cloud so great – back in the on-prem days we just didn’t have the same amount of tools/API’s to work within cloud we DO! We have several solutions for setting Security Guardrails and automatically remediating security response in AWS: You can AWS Managed services like AWS Config or SH, AWS Config provides remediation options for Config Rules directly in the console using SSM automation documents or SNS notification. In Aug 2020 SH released CFT templates and an implementation guide that provides predefined response and remediation actions customer can use. Or you have the option to build your own custom auto remediation framework using several stand alone AWS services. Security Hub is is a great source for taking auto remediation steps given its our central hub for security findings and sends all finding automatically to CWE. We can create a CWE rule for a specific finding such as a High Severity GD finding for example an EC2 instance calling out to a command & control network Than and kick off a lambda or an Systems manager automation document to take action on that host (such as kicking off a host based scan using the endpoint detection software running on the instance or pulling host based logs and send them to a designated S3 bucket) In addition, we can send a notification to our security operations team via an sns notification to pager duty or slack notification
  12. Chapter 5 – Perform Self Assessments There are several mechanisms available today to help you asses your AWS environment & workloads: 1- Use AWS Well Architected Reviews as a Mechanism to assess your AWS Workloads for production preparedness. I encourage customers to establish a ongoing mechanism using well architected to assess workloads on a regular cadence as part of SLDC process, 2 –Pick from several Security Standards in Security Hub. Run the AWS Foundational Security Best practices Standard in Security Hub –this standard is a set of checks that detect when your deployed accounts and resources deviate from security best practices and was built by AWS Security experts who maintain and update these checks as the platform continues to evolve, so you don’t have to build and maintain your own custom checks. 3 –the AWS Public sector security team has also built a module for Ransomware specific checks as part of the AWS open source Self service security assessment available in git hub. 4 – In addition, there are several 3rd party tools that provide self services security assessments as well such as Prisma Cloud and Cloud Health.
  13. Now that we've discussed how to reduce the likelihood of ransomware getting in the door, let's talk about what to do if it does manage to get in....
  14. Tying back the NIST security framework we are going to pivot into the recovery pillar of the CSF. This helps organizations to recover quickly whilst minimizing disruption as well as meeting business and regulatory requirements.
  15. To be successful setting a recovery strategy, it is important to work with the customer and understand the resilience level for each application. Resilience level is a combination of Recovery time objective (outage duration allowed per application), and Recovery point objective (data loss allowed per application).   For simplification, I created here 3 levels of resiliency, hours to days, minutes to hours, and high availability; but when working with your customers, expect more than 3 categories …   The graph below shows the correlation between recovery objectives and services cost. For low-cost solution, expect a long recovery time, and for having your data and application available 24x7, expect the most expensive solution.   Recovery in Hours to Days: In this category, AWS Backup is a great solution for most workloads running on AWS. It is cost-effective and provide great coverage for application that can be out for hours to days until they are recovered. The main differences between backup to the next level of resiliency, are: a/ outage until system is restored is significant longer, and b/ in cases where data is archive nightly, you could have up to 24 hours of data loss. Backup is designed to usually protect Data and not Applications, where DR restore the entire application (data and servers)     Recovery in Minutes to hours, without data loss: CloudEndure Disaster Recovery is agnostic to the customer source environment, meaning, it supports applications running in cloud or in the customer’s own data center, on virtual or physical server. Unlike backup, DR replication is continuous, and any block that changes in the customer’s application is replicated immediately into AWS.   As a result, the data loss is reduced from the time of the last backup (that could be hours), to seconds or sub-seconds depends on the outage reason. In addition, the DR solution is designed to accelerate application recovery, which is measured in minutes. CloudEndure DR is a great fit for applications that cannot sustain long outages and data loss greater than minutes. In this category you often find CRM applications, ERP applications, Web-servers, financial and ordering systems, etc.   Always on / High Availability (or HA) Last but not least, you will find a High availability design for systems that cannot sustain a second of downtime. This is the most expensive solution to design for, and is usually selected for mission critical systems.
  16. We are going to cover the following: 1- General best practices for backup/recovery 2-review the the different backup solutions options in AWS 3-secure ”air-gap” like backup architecture 4-utlize managed data services features for zero downtime
  17. MEG US: FBI IC3- https://www.ic3.gov/default.aspx CISA - https://www.cisa.gov/ransomware AWS: Security resources hub - https://aws.amazon.com/security/security-learning/?whitepapers-main.sort-by=item.additionalFields.sortDate&whitepapers-main.sort-order=desc Aligning to NIST CSF in AWS - https://d0.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf AWS Well Architected Security Pillar - https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf Building a Threat Detection Strategy in AWS - https://pages.awscloud.com/rs/112-TZM-766/images/Threat%20Detection_SANS%20and%20AWS%20Marketplace%20whitepaper.pdf AWS Security Incident Response Guide - https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf AWS Compliance - https://aws.amazon.com/compliance/