Acciones de protección contra el ransomware
Hoy, en este artículo, hablaremos sobre las acciones de protección contra el ransomware, cómo reforzar sus defensas y recuperarse tras un ataque.
Sólo pensar en el ransomware es suficiente para mantener a los CISO y a los equipos de seguridad despiertos por la noche. Las víctimas se enfrentan a la terrible elección entre pagar un rescate a un delincuente, que puede o no liberar su red y los datos capturados, o gastar potencialmente millones de dólares para eliminar el ransomware ellos mismos. Aquí es donde entra en juego la importancia de mantener una buena protección contra el ransomware.
Resumen
Segundo informeSegún un informe reciente publicado por CNBC, el coste de un solo incidente de ransomware ronda los $ 713.000 dólares. Para esta estimación hemos calculado el coste de pagar el rescate, más las pérdidas relacionadas con el tiempo de inactividad, el valor de cualquier dato o hardware perdido, los gastos para mejorar la infraestructura y, por último, el tiempo y el dinero para reparar la imagen de marca.
Además, hay que tener en cuenta que esta cifra puede aumentar exponencialmente cuanto más tiempo permanezcan fuera de servicio los sistemas críticos.
Y es probable que estos costes aumenten. En un ataque reciente este año, por ejemplo, los atacantes exigieron un pago de 13 Bitcoin (más de $ 75.000 dólares) por cada ordenador afectado por el ataque para que los usuarios pudieran recuperar el acceso a sus archivos, muy por encima de la petición de rescate normal, que antes era de algo menos de $ 13.000 dólares.
No sea víctima del ransomware
Debido a su éxito económico, el ransomware sigue atrayendo a los ciberdelincuentes, que lanzan ataques a gran escala con el objetivo de captar a víctimas descuidadas. Planifican cuidadosamente ataques muy focalizados dirigidos a objetivos específicos con mayores probabilidades de obtener beneficios. Incluso los delincuentes menos técnicos están entrando en acción a través de un número creciente de portales de ransomware como servicio disponibles en la Dark Web.
Independientemente del enfoque, en el mundo digital actual, un ataque de ransomware es más una cuestión de cuando que si.
A pesar de lo sombrías que puedan parecer estas noticias, las organizaciones tienen formas de defenderse eficazmente contra los ataques de ransomware.
10 medidas de protección contra el ransomware
He aquí 10 pasos fundamentales que toda organización debe tener en cuenta como parte de su estrategia contra el ransomware:
Cartografía de la superficie de ataque
No se puede proteger lo que no se sabe que hay que proteger. Empiece por identificar todos los sistemas, dispositivos y servicios de su entorno en los que confía para llevar a cabo su actividad y mantenga un inventario activo. Este proceso no sólo ayuda a identificar los objetivos más vulnerables, sino también a trazar la línea de base del sistema para la recuperación.
Reparación y actualización de dispositivos vulnerables
Establecer y mantener un protocolo regular de aplicación de parches y actualizaciones es una buena práctica básica. Por desgracia, muchas empresas no lo hacen. Obviamente, no todos los sistemas pueden desconectarse para parchearlos o actualizarlos. En ese caso, hay que sustituirlos (siempre que sea posible) o protegerlos mediante estrictos controles de proximidad y algún tipo de aislamiento o estrategia de confianza cero.
Actualización de los sistemas de seguridad
Además de actualizar sus dispositivos de red, también debe asegurarse de que todas las soluciones de seguridad cuentan con las últimas actualizaciones. Esto es especialmente importante para la solución de puerta de enlace de correo electrónico seguro (SEG). La mayor parte del ransomware entra en una organización a través del correo electrónico, y una solución SEG debe ser capaz de identificar y eliminar los archivos adjuntos y enlaces maliciosos antes de que lleguen al destinatario.
Del mismo modo, una solución eficaz de filtrado web que aproveche el aprendizaje automático debe ser capaz de detener eficazmente los ataques de phishing. Además, su estrategia de seguridad debe incluir elementos como listas de permisos de aplicaciones, asignación y limitación de privilegios, implantación de confianza cero entre sistemas críticos, aplicación de políticas de contraseñas robustas y exigencia del uso de autenticación multifactor.
Segmente su red y sea más seguro
La segmentación de la red garantiza que los sistemas comprometidos y el malware queden contenidos en un segmento específico de la red. Esto incluye aislar su propiedad intelectual y secuestrar la información personal identificable de empleados y clientes. Del mismo modo, mantenga los servicios críticos (como los servicios de emergencia o los recursos físicos como los sistemas HVAC) en una red separada y segregada.
Proteja su red ampliada
Asegúrese de que las soluciones de seguridad desplegadas en su red principal se replican en toda su red extendida -incluidas las redes de tecnología operativa (OT), los entornos en la nube y las sucursales- para evitar brechas de seguridad. Tómese también el tiempo necesario para revisar las conexiones de otras organizaciones (clientes, socios, proveedores) que entran en contacto con su red. Compruebe que estas conexiones están reforzadas y que se han implantado la seguridad y el filtrado adecuados.
A continuación, alerte a estos socios de cualquier problema que pueda descubrir, especialmente en relación con la posibilidad de que se compartan o difundan contenidos maliciosos a través de estas conexiones.
Aísle sus sistemas de recuperación y haga copias de seguridad de sus datos
Realice copias de seguridad periódicas de los datos y del sistema y guárdelas fuera de la red para que no se vean comprometidas en caso de infracción. Compruebe la integridad de "copias de seguridad" en busca de pruebas de malware.
Asegúrese de que todos los sistemas, dispositivos y software necesarios para una recuperación completa del sistema están aislados de la red. De esta forma seguirán estando disponibles en caso de recuperación tras un ataque con éxito.
Realizar ejercicios de recuperación
Las simulaciones periódicas de recuperación garantizan que los datos de la copia de seguridad estén disponibles, que se puedan restaurar los recursos necesarios y que todos los sistemas funcionen como se espera.
Asegúrese también de que todas las personas y equipos comprenden sus responsabilidades en este proceso. Las cuestiones planteadas durante una encuesta deben abordarse y documentarse.
Recurra a expertos externos
Elabore una lista de especialistas y asesores de confianza con los que pueda ponerse en contacto en caso de compromiso para que le ayuden en el proceso de recuperación. En la medida de lo posible, también deberías involucrarlos en tus ejercicios de recuperación.
NOTA Las organizaciones también deben informar inmediatamente de cualquier caso de ransomware a la CISA, a una oficina local de la FBI o a una oficina del Servicio Secreto.
Cuidado con el ransomware
Manténgase al día de las últimas noticias sobre ransomware suscribiéndose a la inteligencia sobre amenazas y a los feeds de noticias. El equipo debe estar alineado sobre cómo y por qué se vieron comprometidos los sistemas, aplicando las lecciones al entorno.
Educar a los empleados
En lugar de ser el eslabón más débil de su cadena de seguridad, sus empleados deben ser su primera línea de ciberdefensa. O "ransomware" suele comenzar con una campaña de phishing, y es imprescindible aplicar las tácticas más recientes para combatir a los ciberdelincuentes, ya se dirijan a dispositivos corporativos, personales o móviles.
Además del tipo de revisión de seguridad anual periódica en la que deberían participar la mayoría de los empleados, considere una cadencia regular de campañas de concienciación.
Las actualizaciones rápidas en vídeo de 30 a 60 segundos, los juegos de simulación de phishing, los correos electrónicos al equipo ejecutivo y los carteles informativos ayudan a mantener la concienciación. Además, realizar sus propias campañas internas de phishing puede ayudarle a identificar a los empleados que necesitan formación adicional.
Pásalo
Cuando se trata de ciberdelincuencia, todos estamos juntos en esto. Asegúrate de mantener reuniones periódicas con colegas del sector, consultores y socios comerciales -especialmente los que son esenciales para las operaciones de tu empresa- para compartir estas estrategias y fomentar su adopción.
Esto no sólo garantizará que no propaguen la infección de ransomware hacia arriba o hacia abajo, creando responsabilidad para ellos y para usted, sino que también ayudará a proteger su organización, ya que cualquier interrupción de la red es probable que tenga un impacto en cascada en su negocio.
Derek Manky es responsable de información sobre seguridad y alianzas contra amenazas globales en Fortinet
Fuente: https//ftnt.me/68D233
