Header Ads Widget

Ticker

6/recent/ticker-posts

Cómo prepararse y combatir un ataque de ransomware

El ransomware es devastador, caro y va en aumento. Protéjase de las infecciones con nuestra guía, pero planifique también para lo peor. Asegúrese de que puede recuperarse de forma limpia y rápida si ataca el ransomware.

Ransomware en aumento

Los ataques de ransomware están aumentando en frecuencia a un ritmo alarmante. Según el  informe de mitad de año de Bitdefender 2020, el número de informes globales de ransomware aumentó en un 715 por ciento interanual. Clasificado por el número de ataques, Estados Unidos ocupa el primer lugar. Reino Unido ocupa el segundo lugar.

Un ataque de ransomware cifra sus archivos y datos para que no pueda operar como una empresa. Para que sus sistemas vuelvan a su estado operativo normal, es necesario borrar y restaurar los servidores y la computadora a partir de las copias de seguridad, o el uso de la clave de descifrado para desbloquear sus archivos y datos. Para obtener la clave de descifrado, debe pagar el rescate.

El ransomware causa enormes impactos que interrumpen las operaciones comerciales y pueden provocar una pérdida permanente de datos. Causas del ransomware:

  • Tiempo de inactividad empresarial.
  • Pérdida de productividad.
  • Pérdida de ingresos.
  • Pérdida de reputación.
  • La pérdida, destrucción o divulgación pública de información comercial confidencial.

Si paga el rescate, tiene ese costo adicional y es probable que tenga infecciones residuales de malware y una interrupción después del ataque.

Puede pensar que no le pasará a usted. Puede racionalizar esa creencia diciéndose a sí mismo que es demasiado pequeño y que los actores de la amenaza tienen objetivos más grandes y mejores a los que atacar. ¿Por qué se molestarían en una empresa como la suya? Lamentablemente, no es así como funciona.

Todo el mundo es un objetivo. Muy por encima de cualquier otro método de entrega, el correo electrónico sigue siendo el mecanismo de entrega número uno para el ransomware. Los ataques de phishing que envían correos electrónicos maliciosos son enviados por un software que utiliza listas de correo con millones de entradas.

Todas las direcciones de correo electrónico de todas las violaciones de datos que han ocurrido en los últimos diez años están disponibles en la Dark Web. El   sitio web Have I been Pwned enumera más de 10 mil millones de ellos. Todos los días se recopilan nuevas direcciones de correo electrónico y se agregan a estas listas de correo. Estas son las direcciones de correo electrónico que reciben correos electrónicos de phishing. A los actores de amenazas no les importa a quién pertenecen, ni tampoco les importa.

Muy pocos ataques de ransomware se dirigen de forma selectiva. Todos los demás ataques, el 99 por ciento de ellos, no acechan a sus víctimas y hacen un reconocimiento profundo. Los malos no son francotiradores. Son ametralladores que ni siquiera se molestan en apuntar. Envían correos electrónicos de cualquier manera y luego se sientan para ver a quién han logrado golpear.

¿Rescate o restauración?

Los ciberdelincuentes, los actores de amenazas, cobran un rescate para proporcionar la clave. El rescate se paga en una criptomoneda, generalmente en  Bitcoin, aunque los actores de la amenaza pueden estipular otras criptomonedas. Al momento de escribir este artículo, según  CoinMarketCap,  hay más de 7.500 criptomonedas activas.

A pesar de que prepararse para comerciar con Bitcoin es relativamente sencillo, aún puede llevar días tener las billeteras electrónicas y todo lo demás en su lugar. Y durante todo ese período, no puede operar como un negocio o, al menos, operar de manera efectiva.

E incluso si paga el rescate, no hay garantía de que recupere sus datos. El lado del descifrado del ransomware a menudo está mal escrito, y es posible que simplemente no funcione para usted. Incluso si descifra sus archivos, probablemente aún esté infectado por malware como rootkits, troyanos de acceso remoto y registradores de pulsaciones de teclas.

Por lo tanto, puede llevar días poder pagar el rescate, incluso más si solicitan el pago en una criptomoneda que solo se puede comprar con  otra  criptomoneda, y su sistema no estará limpio y será confiable después de que se haya descifrado. . Claramente, es mejor morder la bala y restaurar sus sistemas desde copias de seguridad. Después de todo, tanto en el  Reino Unido  como en los  Estados Unidos  se nos desaconseja pagar el rescate.

Restaurar desde copias de seguridad, entonces. Pero no tan rápido. Eso solo es posible si cuenta con un sólido procedimiento de respaldo, se ha cumplido con el procedimiento y sus respaldos se han probado en simulacros e incidentes simulados.

Además de eso, los actores de amenazas detrás del ransomware más sofisticado tienen formas de garantizar que sus copias de seguridad también estén infectadas. Tan pronto como borre y restaure sus servidores y computadoras, ya está infectado.

Aun así, las copias de seguridad siguen siendo la respuesta. Pero debe planificar y salvaguardar sus copias de seguridad de una manera que las proteja y garantice su integridad cuando las necesite.

Es mejor prevenir que curar

Nadie quiere accidentes en el trabajo: heridos, mucho papeleo, posibles reclamaciones de responsabilidad. Pero todavía tiene un botiquín de primeros auxilios en las instalaciones. Sí, es mejor prevenir que curar, pero aún debe asumir que tarde o temprano necesitará ese botiquín de primeros auxilios y personal capacitado en primeros auxilios.

Lo mismo ocurre con la ciberseguridad. Nadie quiere ser atacado por ransomware, y usted hace lo que puede para evitarlo. Pero necesita tener un plan de respuesta a incidentes al que pueda recurrir cuando ataque el malware. Necesita un equipo de personas que estén familiarizadas con el plan, que lo hayan ensayado y que realmente lo seguirán.

Es demasiado fácil descartar el plan en el calor del momento. Eso no puede suceder; todas sus respuestas al incidente deben ser metódicas y coordinadas. Eso solo se puede lograr siguiendo su plan de respuesta a incidentes.

Todos tenemos seguro de automóvil y todos esperamos no tener que usarlo. Un plan de respuesta a incidentes es así. Lo necesita, pero no quiere estar en una situación en la que deba implementarse. Mantener su vehículo en mantenimiento y solo permitir conductores capacitados detrás del volante reduce la probabilidad de que tenga un accidente.

Los siguientes puntos reducirán el riesgo de que necesite implementar su plan de respuesta a incidentes.

Formación de concienciación del personal

La mayoría de las infecciones de ransomware se deben a que alguien está cayendo en un ataque de phishing. Sus empleados son los que están en la primera línea del correo electrónico. Están abriendo y manejando correos electrónicos y archivos adjuntos todo el día, todos los días. A veces, cientos de correos electrónicos. Solo se necesita un correo electrónico de phishing para colarse sin ser detectado y estás infectado.

Obviamente, su personal debe tener capacitación en concientización sobre ciberseguridad para poder identificar correos electrónicos de phishing y otras estafas y amenazas transmitidas por correo electrónico. Y esto debe completarse y reforzarse periódicamente. El ransomware debe estar en su registro de evaluación de riesgos de ciberseguridad , y la capacitación del personal debe ser una de sus acciones de mitigación.

Una forma de reducir los volúmenes de correo electrónico es intentar reducir el correo electrónico interno. Cuanto menos correo electrónico interno haya, más fácil será concentrarse y prestar atención al correo electrónico externo. Son los correos electrónicos externos los que conllevan los riesgos. Las aplicaciones de chat empresarial como  Microsoft Teams  y  Slack  son excelentes para esto.

Pruebas de susceptibilidad del personal

El entrenamiento es genial, pero la guinda del pastel está probando. Es fácil encontrar una empresa de seguridad o un servicio en línea que monte una campaña de phishing benigna.

Los empleados que no reconocen el correo electrónico falso-malicioso son contendientes obvios para una sesión de actualización en la capacitación. Además de medir la susceptibilidad de su personal a caer en correos electrónicos de phishing, también es una medida de la efectividad de la capacitación de concienciación de su personal.

Principio de privilegio mínimo

Asegúrese de que los procesos y los usuarios tengan los derechos de acceso mínimos para realizar sus funciones definidas por roles. El  principio de privilegios mínimos  limita el daño que puede causar un malware si la cuenta de un usuario se ve comprometida.

Restrinja quién tiene acceso a las cuentas de administrador y asegúrese de que esas cuentas nunca se utilicen para otra cosa que no sea la administración. Controle el acceso a recursos compartidos y servidores para que las personas que no tienen una función específica para acceder a áreas sensibles no puedan hacerlo.

Filtros de spam

Los filtros de spam no atraparán todos los correos electrónicos maliciosos, pero detectarán algunos, lo que es un gran beneficio. Detectarán y pondrán en cuarentena la mayoría del spam habitual, seguro pero molesto. Esto reducirá aún más el volumen de correo electrónico que debe manejar su personal. Reducir el tamaño del pajar facilita la localización de la aguja.

Protección de punto final

Por supuesto, los paquetes antivirus y antimalware, o un paquete combinado de protección de punto final, deben implementarse, deben administrarse de forma centralizada y deben configurarse para actualizar las firmas con regularidad. Los usuarios no deben poder rechazar ni aplazar las actualizaciones.

Parche, parche, parche

Los sistemas operativos, firmware y aplicaciones deben estar dentro del ciclo de soporte del fabricante y no al final de su vida útil. Deben estar actualizados con parches de seguridad y corrección de errores. Si los parches ya no están disponibles, deje de usarlos.

Red de arquitectura

Para todos los diseños de red, excepto los más simples, segmente sus redes para aislar equipos, departamentos y equipos críticos. No construyen submarinos tan largos como tubos abiertos. Incorporan mamparos con puertas de mamparo estancas para sellar las secciones que presentan una fuga.

Utilice una topología de red con regiones segregadas para restringir de manera similar la propagación del malware. Un segmento infectado es mucho más fácil de administrar en comparación con una red completa.

Estrategias de respaldo

Las copias de seguridad son fundamentales para un plan de continuidad empresarial sólido. Debe hacer una copia de seguridad de sus datos utilizando un esquema que pueda hacer frente a cualquier crisis previsible, ya sea cibernética o no. El viejo mantra de respaldo era la regla 3-2-1.

  • Debe tener tres copias de sus datos: el sistema en vivo y dos copias de seguridad.
  • Sus dos copias de seguridad deben estar en medios diferentes.
  • Una de esas copias de seguridad debe realizarse fuera de las instalaciones.

Para ser claros, tener otra copia de sus datos no es una copia de seguridad. Es mejor que nada, pero las copias de seguridad son tan importantes que deberían ser lo mejor que puede hacer con cualquier presupuesto que tenga. Se creará una copia de seguridad real mediante el software de copia de seguridad y tendrá capacidad de control de versiones. El control de versiones le permite restaurar un archivo desde un punto en el tiempo. Para que pueda restaurar un archivo en el estado en el que estaba ayer a la una en punto. O en algún momento de la semana pasada o el mes pasado. Su período de retención y la capacidad de su almacenamiento de respaldo determinarán cuánto tiempo puede retroceder y con qué granularidad.

Las copias de seguridad deben estar cifradas.

Las copias de seguridad basadas en imágenes toman una imagen de todo el disco duro, incluido el funcionamiento. Los cambios en el sistema en vivo se pueden alimentar por goteo en la imagen de respaldo cada dos minutos para que el respaldo sea muy parecido a una instantánea en tiempo real del sistema en vivo. Todas las soluciones de copia de seguridad de primer nivel pueden convertir una imagen de copia de seguridad en una imagen de máquina virtual. La máquina virtual se puede activar en nuevo hardware en caso de una catástrofe. Esto le permite implementar nuevo hardware de servidor o superar cualquier problema que haya provocado la caída del sistema en vivo, mientras que su copia de seguridad se ejecuta como un sistema en vivo provisional y su empresa permanece operativa.

Y, por supuesto, existen soluciones de copia de seguridad fuera del sitio que le permiten realizar copias de seguridad en una ubicación alejada de forma segura de sus instalaciones. Entonces, la regla 3-2-1 se puede reescribir usando cualquier número que desee. Tenga tantas copias de sus copias de seguridad como sea necesario para que se sienta cómodo, distribuidas en diferentes ubicaciones y almacenadas en diferentes dispositivos de hardware.

Sin embargo, nada de eso lo salvará si los actores de la amenaza logran infectar sus copias de seguridad. Digamos que el ransomware está programado para demorarse 28 días antes de que se active. Lo habrá hecho muchas veces, en todas sus copias de seguridad.

Para combatir esto, se pueden utilizar copias de seguridad inmutables. Se trata de copias de seguridad en las que no se puede escribir una vez realizadas. Esto significa que no pueden ser infectados por ransomware o cualquier otro malware. Una solución de copia de seguridad sólida utiliza un enfoque variado y en capas.

  • Puede implementar copias de seguridad versionadas en dispositivos de almacenamiento conectados a la red (NAS) para la recuperación rápida de archivos borrados accidentalmente.
  • Su segunda capa podría ser copias de seguridad basadas en imágenes en almacenamiento local y fuera de las instalaciones. Puede restaurar rápidamente un servidor fallido en caso de una falla total del servidor o una falla del hardware.
  • Si completa su régimen de copias de seguridad con copias de seguridad inmutables que nunca pueden ser contaminadas por malware, tendrá un sistema de copia de seguridad sólido y completo.

Según el tamaño y la complejidad de su red, eso puede volverse costoso rápidamente. Pero comparado con el precio del fracaso, es barato. No piense en ello como pagar por las copias de seguridad. Piense en ello como invertir en la continuidad del negocio.

Plan de respuesta a incidentes

Un plan de respuesta a incidentes no solo es una herramienta vital para garantizar respuestas coordinadas y efectivas a los incidentes cibernéticos, dependiendo de sus actividades comerciales, pueden ser obligatorios. Si acepta pagos con tarjeta de crédito, es probable que deba cumplir con el  Estándar de seguridad de datos de la industria de tarjetas de pago  (PCI DSS). El estándar PCI DSS tiene varios requisitos con respecto a los planes de respuesta a incidentes.

Un plan de respuesta a incidentes típico contendrá estas secciones, cada una de las cuales debe ser detallada y precisa.

  • Preparación . Todos los puntos mencionados anteriormente, junto con las demás defensas que ameriten sus circunstancias. Ensayar el plan con incidentes de ejecución en seco familiarizará a su equipo de respuesta con el plan e identificará deficiencias o problemas, lo que permitirá refinar el plan. Cuanto más preparado esté su equipo de respuesta, mejor se desempeñará cuando sea necesario.
  • Identificación . El proceso de reconocer que un incidente está en curso e identificar qué tipo de incidente es. ¿Qué está sucediendo, quién y qué se ve afectado, cuál es el alcance del problema, se han filtrado datos?
  • Contención . Contenga la infección y evite que se propague. Poner en cuarentena los sistemas infectados.
  • Erradicación . Limpia los sistemas infectados. Asegúrese de que el malware se haya eliminado de  todas las  máquinas comprometidas. Aplique los parches o los pasos para reforzar la seguridad que haya adoptado su organización.
  • Recuperación . ¿Qué sistemas son prioritarios y deben volver a ponerse en servicio primero? Restaure estos desde copias de seguridad y cambie las credenciales de autenticación para todas las cuentas. Restaurar desde copias de seguridad inmutables si las tiene. Si no es así, verifique que las copias de seguridad estén libres de malware antes de restaurarlas.
  • Lecciones aprendidas . ¿Cómo ocurrió la infección y qué la habría detenido? ¿Fue una vulnerabilidad explotada o un error humano? ¿Qué pasos cubrirán la brecha en su seguridad?

Reportalo

No olvide denunciar el ransomware como delito. También es posible que deba informar el incidente a su autoridad de protección de datos regional o nacional. En Europa, debido a que perdió el control de los datos mientras estaban cifrados, un ataque de ransomware se considera una violación de datos según las Regulaciones generales de protección de datos, incluso si no se robaron ni se perdieron datos. Es posible que tenga una legislación que lo gobierne que defienda este concepto, como la Ley de Responsabilidad y Portabilidad del Seguro Médico de los Estados Unidos de 1996 (HIPAA).


Publicar un comentario

0 Comentarios