Pregunta del editor: ¿Cuáles precauciones tomar para evitar ataques ransomware?

Pregunta del editor: ¿Cuáles precauciones tomar para evitar ataques ransomware?

Zscaler, líder en seguridad en la nube, ha anunciado su nuevo Informe de ransomware que presenta un análisis de las tendencias clave de ransomware y detalles sobre los actores de ransomware más prolíficos, sus tácticas de ataque y las industrias más vulnerables a las que se dirige.

El equipo de investigación integrado de Zscaler ThreatLabz analizó más de 150 mil millones de transacciones de plataforma y 36,5 mil millones de ataques bloqueados entre noviembre de 2019 y enero de 2021 para identificar variantes emergentes de ransomware, sus orígenes y cómo detenerlos. El informe también describe un riesgo creciente de los ataques de «doble extorsión», que los ciberdelincuentes utilizan cada vez más para perturbar las empresas y mantener los datos como rehenes a cambio de un rescate.

“En los últimos años, la amenaza del ransomware se ha vuelto cada vez más peligrosa, con nuevos métodos como la doble extorsión y los ataques DDoS que facilitan a los ciberdelincuentes sabotear organizaciones y dañar su reputación a largo plazo”, dijo Deepen Desai, CISO y VP de Investigación de Seguridad en Zscaler.

“Nuestro equipo espera que los ataques de ransomware se vuelvan cada vez más objetivos en la naturaleza donde los ciberdelincuentes atacan a las organizaciones con una mayor probabilidad de pago de rescate. Analizamos los recientes ataques de ransomware en los que los ciberdelincuentes tenían conocimiento de aspectos como la cobertura del seguro cibernético de la víctima, así como los proveedores críticos de la cadena de suministro que los llevaron al punto de mira de estos ataques.

“Como tal, es fundamental que las empresas comprendan mejor el riesgo que representa el ransomware y tomen las precauciones adecuadas para evitar un ataque. Siempre parchee las vulnerabilidades, eduque a los empleados sobre la detección de correos electrónicos sospechosos, realice copias de seguridad de los datos con regularidad, implemente una estrategia de prevención de pérdida de datos y use una arquitectura de confianza cero para minimizar la superficie de ataque y evitar el movimiento lateral «.

Según el Informe de riesgo global del Foro Económico Mundial 2020, el ransomware fue el tercer tipo de ataque de malware más común y el segundo más dañino registrado en 2020. Con pagos que promedian US $ 1,45 millones por incidente, no es difícil ver por qué los ciberdelincuentes acuden cada vez más a esto. nuevo estilo de extorsión de alta tecnología. A medida que aumentan las recompensas que resultan de este tipo de delito, también aumentan los riesgos para las entidades gubernamentales, los resultados de la empresa, la reputación, la integridad de los datos, la confianza del cliente y la continuidad del negocio. La investigación de Zscaler respalda la narrativa establecida recientemente por el gobierno federal de EE. UU., Que clasifica el ransomware como una amenaza a la seguridad nacional; subrayando la necesidad de priorizar las medidas de mitigación y contingencia al protegerse contra estas amenazas continuas.

Escuchamos a varios expertos de la industria que ofrecen sus opiniones sobre el tema.

Yuen-Pin, director ejecutivo de NeuShield

Cuando se trata de ransomware, hay dos cosas principales que deben hacerse para prepararse para un ataque de ransomware. Primero, necesita tener soluciones para prevenir el ataque. En segundo lugar, debe tener la capacidad de recuperarse rápidamente en caso de que la prevención falle.

Aunque muchos expertos coinciden en que es imposible prevenir todos los ataques de ransomware, hay muchas cosas que se pueden hacer para reducir enormemente la huella de ataque de su organización. Para comenzar, debe tener una evaluación de seguridad centrada en los dispositivos y el software conectados a la red.

La publicación SP 800-30 Guía para realizar evaluaciones de riesgos del NIST proporciona una guía excelente y organizada sobre cómo auditar y proteger los activos digitales de su empresa. Dado que la mayoría de las soluciones de seguridad de propósito general se enfocan en bloquear el malware y no en un hacker determinado, es importante tener múltiples capas de defensa. Para corporaciones más pequeñas o empresas con experiencia limitada en seguridad, se recomienda subcontratar esto a un Proveedor de servicios de seguridad administrada (MSSP) para mejorar la postura de seguridad de la empresa.

Por supuesto, la solución de prevención ideal bloquearía todos los ataques. Pero hay muchas razones por las que un ataque podría eludir incluso la mejor protección, por lo que es importante poder ponerse en marcha rápidamente después de una infracción. Para esto se requiere una forma de restaurar el sistema operativo a una condición de trabajo después de un ataque.

La recuperación del sistema operativo es necesaria porque si el ataque pasa por alto la prevención, es probable que no se pueda eliminar de la forma habitual. La mejor manera de recuperarse es tener una solución que pueda hacer que todo el sistema operativo vuelva a un buen estado previo conocido. Para la recuperación de datos, se utilizan tradicionalmente copias de seguridad y restauración. Sin embargo, en el caso del ransomware, la copia de seguridad y la restauración pueden llevar mucho tiempo y muchos recursos. Por lo tanto, se recomienda que tenga una solución que pueda revertir rápida y fácilmente todos los datos a su estado preencriptado sin depender de un servidor de respaldo remoto.

JG Heithcock, GM, Retrospect

Nuestro consejo para los clientes que están creando su kit de supervivencia de ransomware es que es de vital importancia contar con la estrategia, las políticas y las herramientas para evitar ataques de ransomware y recuperarse de forma rápida, eficiente, asequible y completa.

Uno solo necesita leer las noticias del día para saber que, sin importar el tamaño, la ubicación o la industria de su organización, la probabilidad de ser atacado por malos actores es más probable.

Esto se debe a que, para aquellos que no están completamente armados con capacidades de protección y recuperación, ‘el modelo de negocio funciona de manera espectacular para los delincuentes’, como explicó recientemente Joseph Blount, CEO de Colonial Pipeline, al discutir el ciberataque que finalmente costaría su empresa decenas de millones de dólares.

De hecho, el ransomware continúa evolucionando y se vuelve cada vez más inteligente y despiadado, empleando capacidades como buscar credenciales de cuentas en la nube, eliminar copias de seguridad y almacenamiento en la nube, y luego cifrar todo y exigir un rescate. Sin embargo, la copia de seguridad adecuada puede ser la panacea de recuperación de ransomware de una organización.

Hoy, muchos de los principales proveedores de la nube admiten el bloqueo de objetos, también conocido como almacenamiento de escritura única, lectura múltiple (WORM) o almacenamiento inmutable. Los usuarios pueden marcar objetos como bloqueados durante un período de tiempo designado, evitando que sean eliminados o alterados por cualquier usuario.

Nuestro consejo es encontrar una solución de respaldo que haya sido diseñada para integrarse perfectamente con esta nueva función de bloqueo de objetos para crear respaldos inmutables. Los usuarios pueden establecer un período de retención para las copias de seguridad inmutables almacenadas en plataformas en la nube compatibles.

Dentro de este período de retención inmutable, ningún usuario puede eliminar las copias de seguridad, incluso si un ransomware o un actor malintencionado adquieren las credenciales raíz.

Además, la copia de seguridad debe proporcionar una programación potente basada en políticas que le permita predecir cuándo esas copias de seguridad dejarán la política de retención y proteger los archivos que ya no se retendrán, asegurando que las empresas siempre tengan copias de seguridad puntuales para restaurar dentro de la política de retención. ventana de política de retención inmutable.

Tom Callahan, director de operaciones (MDR) de PDI Security Solutions

Desde las empresas más grandes hasta las tiendas de conveniencia locales, todos tienen que preocuparse por el ransomware en estos días. Incluso si no puede evitar un ataque de ransomware, definitivamente puede tomar medidas para ayudar a prevenir uno o al menos minimizar el impacto en su negocio.

El primer paso es obtener una evaluación honesta sobre sus sistemas de TI y el entorno general. Descubra cualquier debilidad mediante la realización de un análisis de vulnerabilidades o una prueba de penetración. Si es posible, contrate a un tercero neutral para que investigue su entorno y sepa qué corregir. Cuanto más sepa, mejor, incluso si ese proceso de aprendizaje se siente brutalmente doloroso.

Una vez que tenga una visión realista de sus vulnerabilidades, debe determinar qué riesgos son aceptables. Esto requiere una discusión al más alto nivel de la empresa porque necesita la voluntad de priorizar la ciberseguridad de arriba hacia abajo. La buena noticia es que el ataque Colonial Pipeline abrió los ojos de muchos líderes empresariales y ahora están listos para hablar sobre ciberseguridad.

 Una vez que haya aceptado, es hora de definir su estrategia de seguridad y las herramientas que necesitará. Hay tres pasos críticos para evitar un daño significativo de un ataque de ransomware: entrenamiento, detección de amenazas y respuesta.

La formación de conciencia de seguridad para todos los empleados es fundamental. La mayoría de los ataques de ransomware se basan en encontrar una puerta trasera en sus sistemas de TI a través de un correo electrónico de phishing. Está tan seguro como el empleado que sabe lo suficientemente bien como para no hacer clic en el enlace incorrecto en un correo electrónico.

En términos de detección, debe poder distinguir las posibles amenazas cibernéticas de las señales falsas y las anomalías. Sin embargo, con la gran cantidad de sistemas de TI y datos de registro para monitorear, no puede esperar capturar todo manualmente. Necesitará herramientas automatizadas que aprovechen el aprendizaje automático y la inteligencia artificial para identificar amenazas válidas. En otras palabras, sus herramientas deben ser tan sofisticadas como las de los ciberdelincuentes.

Si identifica una amenaza válida, el tiempo de respuesta suele ser la diferencia entre aislar la amenaza, minimizar el radio de explosión o infectarse. Debe poder responder en tiempo real, por lo general en menos de una hora, o el daño ya estará hecho.

Esa es una carga pesada para las organizaciones más pequeñas, especialmente si tienen experiencia o presupuestos limitados en ciberseguridad. En ese caso, el enfoque de bricolaje simplemente no funcionará. Encontrar un proveedor confiable para subcontratar la gestión de la ciberseguridad suele ser la opción más segura y rentable para evitar un ataque de ransomware.

Surya Varanasi, director de tecnología de StorCentric

Nos encontramos ahora recuperándonos lentamente de una pandemia durante la cual vimos organizaciones digitalizándose a una velocidad vertiginosa, saltando al segundo o tercer año de sus planes quinquenales.

Esta tendencia de digitalización no muestra signos de desaceleración. De hecho, la mayoría de los ejecutivos con los que hablo aconsejan todo lo contrario: continúan acelerando su digitalización, muchas veces asumiendo estrategias comerciales y de TI que ni siquiera habían imaginado antes.

Reconocen que, si esperan sobrevivir y competir en esta economía pospandémica, la digitalización y todo lo que permite es su estrategia ideal. Desafortunadamente, como vimos en innumerables ocasiones durante el año pasado, esta prisa a veces puede abrir la puerta al ransomware y otros tipos de programas de software malicioso (también conocidos como malware), si no se toman las precauciones adecuadas.

Aunque existe un alto costo financiero por el pago real del rescate, las mayores consecuencias del ransomware son la pérdida de datos y el tiempo de inactividad. Ambos resultados de ransomware son muy costosos para las empresas, con un tiempo de inactividad significativo que puede generar millones de dólares en ingresos perdidos, además de una pérdida a largo plazo y potencialmente permanente de la confianza y la lealtad del cliente.

Dado que el malware ahora también se dirige a las copias de seguridad, la principal precaución que recomendamos a nuestros clientes es emplear una solución inmutable de copia de seguridad inquebrantable para que nunca tengan que preocuparse por su capacidad para recuperarse de un ataque de ransomware. La protección contra un ciberataque es absolutamente fundamental. Pero hoy no se trata de si, sino de cuándo seremos atacados. Por lo tanto, es fundamental que la pieza de recuperación esté en su lugar.

Recomendamos que la solución de copia de seguridad inmutable ideal debe diseñarse teniendo en cuenta que los intentos de corrupción o eliminación pueden provenir de cualquier persona, en cualquier lugar y en cualquier momento.

Las soluciones deben incluir auditorías, comprobaciones de integridad, huellas digitales de archivos únicos, números de serie y funciones de recuperación automática que protegen los archivos de cualquier forma de corrupción, incluido el ransomware.

No solo es esta excelente protección contra ransomware, sino que también aborda los requisitos de cumplimiento normativo cada vez más estrictos de las organizaciones para HIPAA, SEC17a-4, Dodd-Frank, FDA 22, Sarbanes Oxley, PCI y más.

Para protegerse contra el ransomware, es importante conocer las principales causas de los ataques. La principal causa el año pasado fueron los correos electrónicos no deseados / phishing, prácticas de los usuarios que no fueron las mejores causadas por la falta de capacitación y las prácticas débiles de administración de acceso.

Sin embargo, antes de entrar en esa parte, es importante señalar que la protección contra el ransomware debe ser la máxima prioridad para los responsables de la toma de decisiones, tanto para el equipo técnico como para el equipo de liderazgo empresarial. Existe una gran responsabilidad entre los líderes empresariales para revisar la estrategia y las tácticas de protección y revisar las vulnerabilidades con los líderes de seguridad de la información para evaluar la posición de la organización.

Cuando se trata de precauciones contra los ataques de phishing, la principal causa de los ataques de ransomware, invertir en herramientas sólidas y mantenerse al tanto de las últimas estrategias de ataques de phishing es una buena medida preventiva. No hay mejor manera de prevenir ataques que comprender cómo está sucediendo. Es como tener una comprensión profunda de los motivos y estrategias de su atacante. Cuanto más sepa, mejor estará protegiendo mediante el uso de las herramientas adecuadas.

Las otras medidas que reducen significativamente la probabilidad de un ataque de ransomware son la educación y capacitación continua de los usuarios, considerando que las malas prácticas de los usuarios y la falta de capacitación fueron la siguiente causa principal. En lugar de esperar un ataque y luego pensar en la capacitación, es vital que la capacitación periódica sobre posibles amenazas, vulnerabilidades y formas de salvaguardar se convierta en parte del proceso. Establecer objetivos de capacitación para el año y asegurarse de que haya un seguimiento para lograrlos podría ser extremadamente beneficioso para prevenir ataques.

Las prácticas y herramientas de administración de privilegios y acceso débiles son la tercera razón principal de los ataques de ransomware. Invertir en soluciones de administración de identidades y accesos que están integradas y brindan una visibilidad completa permite un control sólido sobre el acceso y los privilegios. Las herramientas de administración de acceso y de identidad, conocidas por llenar los vacíos que llevaron a ataques en el pasado, son una inversión que no solo garantiza el acceso correcto a las personas adecuadas, sino que también garantiza que la identidad de los usuarios se valida constantemente. Además, múltiples niveles de autenticación y mecanismos de defensa solidifican aún más las prácticas de seguridad.

Otra medida preventiva muy importante que a menudo vemos que se pasa por alto es la auditoría de los proveedores de administración de seguridad. Además de la vulnerabilidad de rutina, la gestión de parches, la copia de seguridad, el control de versiones, los pasos de protección antivirus, la evaluación de los proveedores y su capacidad para mantenerse al día con los requisitos deben convertirse en una prioridad absoluta. Establecer auditorías periódicas para evaluar a los proveedores para comprender sus procesos y pasos para contrarrestar las últimas formas de ataques, comparar sus medidas con los requisitos de cumplimiento es muy beneficioso. Proporciona una imagen holística de la capacidad de una organización para protegerse contra ataques.

La conclusión es que cualquier medida proactiva es una buena precaución para evitar un ataque de ransomware. Un enfoque reactivo se encargará del problema actual, pero un paso proactivo preparará a su organización para el futuro y podría ahorrarle millones de dólares.

Explore nuestro
último número

LATAM Spanish

Ver archivo de revistas