Se você ainda crê que ransomware é uma falha do usuário, a falha é sua

Na última semana, vi vários artigos afirmando que os usuários são responsáveis pela maioria das infecções de ransomware. É um argumento falacioso.

 Sim, um usuário inevitavelmente tem que clicar em um link ou baixar um arquivo que, em seguida, será ativado para criptografar o disco rígido. 

Não há nenhum worm comum como variantes de ransomware que infectem sistemas sem interações do usuário. Portanto, é fácil culpar os usuários por causar infecções ransomware de seus próprios sistemas. No entanto, a realidade é que para que o usuário possa chegar a infectar o seu sistema, muitas falhas técnicas, causadas por ações equivocadas da equipe de TI ou a falta de ações corretas, aconteceram antes.

Escrevi anteriormente como os princípios de segurança identificam como os ambientes de trabalho criam os problemas de segurança. 

Por exemplo, os guinchos e carrinhos que movem-se através dos armazéns e das fábricas podem bater nos trabalhadores distraídos. Se isso acontecer, podemos até culpar um trabalhador por cruzar o caminho de uma empilhadeira, ou o motorista por dirigir perigosamente. No entanto, mostrou-se muito mais eficaz desenhar linhas no chão das fábricas e armazéns para definir áreas de passagem.

Quando as organizações começaram a preocupações de segurança ambientalmente criadas, os acidentes de trabalho caíram em 90%. Essa é uma redução muito significativa. Naturalmente, isso significa que ainda há ferimentos resultantes de descuido, não seguindo as diretrizes prescritas, etc. Mas mostra o que acontece quando as organizações assumem a responsabilidade pela prevenção de incidentes em primeiro lugar.

Fazer com que as pessoas usem óculos de segurança elimina quase todas as lesões oculares. Definir “elevadores de duas pessoas” alerta os trabalhadores quando um objeto é considerado muito pesado para uma pessoa.

Então, quando vejo artigos declarando os usuários responsáveis ​​pela maioria dos ataques ransomware, acho que as pessoas que escreveram os artigos e os profissionais de segurança que serviram de fonte são os verdadeiros culpados. Isto é especialmente verdade quando falamos de infecções ransomware, que exigem que o sistema instale o malware antes que ecloda.

Para funcionarem, o ransomware e outros malwares têm primeiro que chegar ao sistema do usuário e, em seguida, contar com a possibilidade deste usuário ter liberdade para instalá-los. É claro que, na maioria dos casos, o usuário tem que realizar uma ação intencional para instalar o malware, mas considere que o “ambiente” poderia dificultar ou impedir essa ação.

Filtros de e-mail e web devem remover executáveis ​​(software que será executado em um computador), antes que eles atinjam a maioria dos usuários. Mesmo que um executável chegue a um usuário, a maioria dos clientes de e-mail e navegadores da Web devem impedir que o executável seja executado. Mesmo que o executável seja executado, um PC bem configurado deve impedir o usuário de instalar software em seu sistema.

Sempre que usuário puder clicar em um anexo de e-mail ou em link e assim disparar a instalação bem-sucedida de um malware, em quase todos os casos a área de TI terá  falhado em muitos níveis. Falhas de usuário na cadeia de execução de um ransomware são do tipo de falha fáceis de mitigar.  Cada passo da cadeia apresenta uma oportunidade para parar ou mitigar um ataque.

Quero deixar claro que não estou dizendo que a conscientização do usuário não seja necessária. Um usuário ciente não apenas não clicará em um ransomware, mesmo  que a tecnologia falhe e permita que o ransomware atinja o usuário. E também alertará a equipe de TI e de segurança sobre a falha que permitiu ao ransomware  ou ao malware alcançá-lo. 

Programas de conscientização de segurança normalmente são alocados em um orçamento comparativamente pequeno em relação a todos os investimentos e gastos da TI. E têm um melhor retorno sobre o investimento. Assim, qualquer dinheiro gasto em conscientização deve reduzir o risco, mas não devemos esperar que só ele seja suficiente. 

Novamente: quando um ransomware carrega em um sistema, significa que ocorreu uma falha de todo o seu programa de segurança, não apenas uma falha de conscientização do usuário, que o levou a clicar na mensagem. Embora possa ser politicamente vantajoso culpar o usuário pelo ato de clicar, a realidade é que a falha está muito mais na capacidade de a mensagem chegar ao usuário e, em seguida, do ransomware ser autorizados a ser instalado no sistema .

Pense nisso.