ANÁLISIS ENTERPRISE SECURITY INSIGHTS PRINCIPALES HISTORIAS
Dmitry Dontov, director ejecutivo y arquitecto jefe de Spin Technology, considera las mejores formas de abordar la prevención moderna de ransomware en el lugar de trabajo moderno.
Los ataques de ransomware aumentaron un 435% en 2020 en comparación con 2019 y no se espera que este aumento disminuya en el corto plazo. Para poner eso en perspectiva, los ataques de ransomware han superado la ya masiva tasa de crecimiento de la prevalencia general de malware durante ese mismo período (358%). Y según Cybersecurity Ventures, los daños del ransomware costarán al mundo 20.000 millones de dólares en 2021 (casi 60 veces el nivel de repercusiones financieras observadas en 2015).
Durante los últimos 12 meses, el panorama de las amenazas ha cambiado drásticamente con el aumento de la fuerza laboral remota y la explosión de los servicios en la nube. Entonces, ¿cómo puede evolucionar también su estrategia de seguridad? Cuando se trata de ransomware, aquí hay cinco áreas en las que pensar.
No es ningún secreto que el trabajo remoto ha cambiado el panorama de los ataques de ransomware. Ahora más que nunca, los empleados operan fuera del perímetro corporativo tradicional, más allá de donde la mayor parte de sus controles de seguridad son más efectivos y concentrados. Como resultado, hay nuevos vectores de ataque que abordar, como VPN vulnerables y espacios de trabajo de escritorio virtual, lo que significa que es más probable que los atacantes se dirijan a usuarios individuales que a redes corporativas. Están utilizando métodos de ingeniería social para hacer que los ataques sean más personalizados y sofisticados. Esta es una de las razones por las que el 73% de los ataques de ransomware tuvieron éxito en 2020.
El trabajo remoto también ha obligado a las organizaciones a invertir más en servicios en la nube para garantizar que los empleados puedan acceder a los datos y recursos corporativos independientemente de su ubicación, lo que convierte a las aplicaciones SaaS y los servicios en la nube en un objetivo principal para los atacantes. Además, es mucho más difícil monitorear las actividades de los empleados fuera de la oficina y, por lo tanto, es más difícil mitigar los posibles ataques. Por último, el uso cada vez mayor por parte de los empleados de computadoras domésticas desprotegidas y enrutadores Wi-Fi con contraseñas predeterminadas brinda muchas oportunidades nuevas de ransomware para los malos actores.
Pero ¿cuál es la diferencia entre un ataque a una red corporativa y a la nube? Un ataque de ransomware en una red corporativa generalmente ocurre en forma de una aplicación maliciosa que ejecuta un script malicioso en una PC local o servidor corporativo. Cifra datos y luego se propaga a otras PC y servidores. En la nube, hay dos formas de cifrar datos SaaS. La primera es a través de una aplicación de sincronización que conecta su dispositivo local con su entorno de nube. El segundo es a través de una aplicación OAuth maliciosa o una extensión del navegador con acceso a sus datos SaaS a través de API. Más información sobre las mejores prácticas para detectar y prevenir el ransomware en la nube más adelante.
Entonces, ¿cómo pueden las empresas limitar el impacto de las infecciones en los dispositivos de la fuerza laboral remota? Hoy en día, muchas herramientas de administración de dispositivos le permiten instalar VPN o software anti-malware de forma remota, crear políticas de seguridad, evitar que los empleados visiten sitios web sospechosos y monitorear y administrar los dispositivos de los empleados, a menudo desde un panel centralizado basado en la nube. Además de eso, debe implementar una solución de monitoreo de registro de actividad que utilice inteligencia artificial para escanear e identificar de manera inteligente anomalías de comportamiento, como inicio de sesión GeoIP anormal, ataques de fuerza bruta, etc. enfoque ‘para proteger los datos corporativos confidenciales y evitar que los empleados que trabajan desde casa causen desastres de seguridad que podrían afectar a toda la organización.
Desafortunadamente, partes de la educación y la capacitación en seguridad simplemente no funcionan. Muchas plataformas y programas de capacitación en seguridad no cubren adecuadamente los riesgos del trabajo remoto. En el mundo en el que vivimos hoy, estos programas deben educar a los empleados sobre cómo utilizar de forma segura sus dispositivos en entornos domésticos potencialmente vulnerables.
Por ejemplo, la mayoría de los empleados de hoy necesitan saber cómo actualizar las contraseñas de administrador del enrutador, monitorear y administrar los dispositivos conectados y más. Y estos programas de capacitación no cubren las mejores prácticas para proteger los dispositivos de la empresa de los no empleados que pueden acceder fácilmente. En muchos casos, los invitados e incluso los miembros de la familia podían acceder a una computadora portátil corporativa durante todo el día, lo que creaba otra preocupación para que los equipos de SecOps la administraran.
Entonces, ¿cuál es la mejor manera de abordar la prevención moderna de ransomware?
- Empiece por comprender cómo los delincuentes acceden a activos de misión crítica. Los atacantes suelen introducir ransomware a través de correos electrónicos de phishing, medios extraíbles, descargas de archivos maliciosos de Internet, archivos adjuntos de correo electrónico maliciosos con enlaces maliciosos, software vulnerable o porque las políticas y soluciones de seguridad de sus víctimas son inadecuadas (o no existen). Es importante comprender que el ransomware solo afecta a los datos a los que puede acceder el usuario en cuestión. Por lo tanto, limitar el acceso a los datos estratégicamente puede mitigar las consecuencias de un ataque de ransomware exitoso.
- Utilice una combinación de controles de seguridad que aborden vectores de ataque comunes, incluidas soluciones antimalware y antiphishing, pruebas de penetración y escaneo de vulnerabilidades, filtrado de URL para evitar que los usuarios accedan a sitios maliciosos y capacitación en conciencia de seguridad (que incorpora módulos de seguridad de trabajo remoto ), entre otros.
- Supervise los entornos de nube y SaaS las 24 horas del día, los 7 días de la semana para identificar y remediar proactivamente los ataques de ransomware en tiempo real.
- Supervise todas y cada una de las aplicaciones de terceros que utilizan sus empleados, incluidas extensiones, complementos, soluciones móviles y más; cualquier cosa con acceso a datos corporativos los ciberdelincuentes pueden tomar como rehén. Esto requerirá capacidades de ML e IA para reducir las costosas realidades del error humano y los falsos positivos, dos cosas que no puede permitirse en la prevención del ransomware en la nube.
- Por último, haga una copia de seguridad de sus datos sensibles de SaaS en servicios de almacenamiento en la nube seguros y confiables, como AWS y Azure, todos los días para asegurarse de que puede recuperarse en caso de una infección de ransomware exitosa.
Tenga en cuenta que el tiempo de inactividad es un riesgo inevitable de cualquier ataque de ransomware que no pueda evitar. Hoy en día, un incidente de tiempo de inactividad promedio dura aproximadamente 16 días y puede ser tremendamente costoso. Estas son las principales razones por las que se produce el tiempo de inactividad:
- Los datos están creciendo exponencialmente
- Todavía hay muchos procesos manuales en lo que respecta a la recuperación ante desastres.
- Limitaciones de API de los proveedores de SaaS
Cuando diseña una estrategia de recuperación ante desastres para su organización, debe tener en cuenta el tiempo de inactividad para reducir el tiempo de inactividad y la línea de tiempo de recuperación, porque cuando se trata de ataques de ransomware hoy en día, ya no es si, sino cuándo.
Sobre el Autor
Dmitry Dontov es director ejecutivo y arquitecto jefe de Spin Technology, una empresa de protección de datos en la nube con sede en Palo Alto, y ex director ejecutivo de Optimum Web Outsourcing, una empresa de desarrollo de software de Europa del Este. Como emprendedor en serie con más de 20 años de experiencia en seguridad y gestión de equipos, Dmitry tiene una sólida experiencia en el campo de la protección en la nube y es un experto en seguridad de datos SaaS.