Proteção contra ransomware com FortiGate
Ransomware é hoje a ameaça mais disruptiva para empresas de qualquer porte. Entenda quais camadas de proteção o FortiGate oferece e como configurá-las de forma eficaz.
Como o ransomware entra na rede
Antes de configurar a proteção, é fundamental entender os vetores de entrada mais comuns do ransomware. Os três principais são:
Phishing e downloads maliciosos: e-mails com links ou anexos maliciosos que levam ao download de um dropper — o componente inicial que instala o ransomware. Frequentemente hospedados em sites legítimos comprometidos e distribuídos via HTTPS.
Exploração de vulnerabilidades: serviços expostos à internet com vulnerabilidades conhecidas — RDP, VPNs desatualizadas, servidores web. O ransomware entra diretamente sem interação humana.
Movimentação lateral: após comprometer um endpoint inicial, o malware se move pela rede em busca de sistemas de alto valor (servidores de arquivos, backups) antes de criptografar tudo de uma vez.
Camada 1: bloqueio na entrada
A primeira linha de defesa é impedir que o ransomware entre na rede. O FortiGate actua em múltiplas frentes:
Filtragem de URL/DNS: bloqueia domínios recém-registrados, categorias de risco elevado e infraestruturas C2 conhecidas. O FortiGuard mantém uma base de dados global atualizada em tempo real — incluindo domínios criados especificamente para campanhas de ransomware.
Antivírus com inspeção de fluxo: inspeciona arquivos em trânsito (downloads, uploads, e-mail) contra assinaturas de malware. Com inspeção SSL ativa, cobre também o tráfego HTTPS — onde a maioria dos downloads maliciosos ocorre hoje.
FortiSandbox: disponível nos bundles ATP, UTP e ENT, o FortiSandbox executa arquivos suspeitos em ambiente isolado antes de entregá-los ao destinatário. Detecta malware de dia zero que ainda não possui assinatura conhecida.
FortiSandbox: o ransomware moderno frequentemente usa técnicas de evasão para passar por antivírus tradicionais — ofuscação de código, execução tardia, detecção de ambientes virtuais. O sandbox executa o arquivo e analisa o comportamento real, não apenas a assinatura.
Camada 2: contenção de movimentação lateral
Assumindo que algum endpoint seja comprometido (o que acontece), a segunda camada é limitar o quanto o ransomware consegue se espalhar pela rede. Duas configurações são críticas:
Segmentação de rede com VLANs: sem segmentação, um endpoint comprometido tem acesso livre a servidores de arquivos, backups e outros sistemas críticos. Com VLANs e políticas restritivas inter-VLAN no FortiGate, o raio de explosão fica limitado ao segmento do endpoint comprometido.
IPS em políticas inter-VLAN: ative o perfil de IPS em todas as políticas de tráfego entre segmentos de usuários e servidores. O IPS do FortiGate detecta padrões de varredura de rede, exploração de SMB e outras técnicas de movimentação lateral usadas por ransomware como WannaCry e NotPetya.
Camada 3: bloqueio de comunicação C2
Praticamente todo ransomware moderno precisa se comunicar com um servidor de comando e controle (C2) para receber a chave de criptografia, exfiltrar dados ou confirmar o pagamento do resgate. Bloquear essa comunicação pode interromper o ataque mesmo depois da infecção inicial.
Filtragem DNS: o FortiGuard DNS Filter bloqueia requisições para domínios C2 conhecidos antes mesmo que a conexão seja estabelecida. É uma das formas mais eficientes de interromper ataques em andamento.
Botnet/C2 Detection: disponível nos bundles UTP e ENT, este serviço identifica tráfego de botnet e comunicação C2 mesmo quando os endereços IP usados são novos ou rotativos — usando análise de comportamento e reputação em tempo real.
Bloqueio de países de alto risco: políticas de geobloqueio no FortiGate permitem restringir conexões de saída para países sem relação com a operação do negócio, reduzindo a superfície de comunicação C2.
Atenção: Proteção de endpoint (EDR/XDR) é complementar ao firewall — não substituta. O FortiGate protege o perímetro e o tráfego de rede; o FortiClient EMS protege o endpoint individualmente. As duas camadas juntas são significativamente mais eficazes do que qualquer uma isolada.
Configuração recomendada para máxima proteção
Para ambientes com alta exposição a ransomware, recomendamos a seguinte configuração no FortiGate:
Bundle mínimo recomendado: UTP ou ENT — inclui filtragem URL/DNS, anti-botnet, FortiSandbox SaaS e IPS com bases atualizadas em tempo real.
Inspeção SSL ativa: obrigatório para inspecionar downloads maliciosos via HTTPS.
IPS em modo prevent: não apenas detectar — bloquear. Configure o perfil IPS na posição IPS Sensor: default com ação block para assinaturas críticas.
Filtragem DNS habilitada: redirecione o DNS dos clientes para o FortiGate atuar como resolver com filtragem ativa.
Segmentação de rede: pelo menos servidores de arquivos e backup em VLANs separadas, sem acesso direto de estações de trabalho.
E o backup?
Nenhuma proteção de rede é 100% infalível. O backup é a última linha de defesa — e precisa ser tratado como parte da estratégia de segurança, não como tarefa operacional de TI.
Algumas práticas essenciais: mantenha pelo menos uma cópia de backup offline ou imutável (onde o ransomware não consiga criptografá-la ou deletá-la); teste a restauração periodicamente — backup que nunca foi restaurado não pode ser considerado confiável; e certifique-se de que os servidores de backup estão em VLAN isolada, inacessível diretamente pelas estações de usuário.