Los ataques de ransomware siguen aumentando debido a su rentabilidad. ¿Cómo puede una empresa protegerse de estos ataques?
¿Qué es el ransomware?
El ransomware es una forma de malware diseñado y desarrollado para cifrar archivos en dispositivos, haciéndolos, junto con los sistemas que los utilizan, inutilizables.
Los objetivos del ransomware y los actores maliciosos que los emplean son múltiples: lo que tienen en común es que interrumpen en gran medida los procesos comerciales y los servicios críticos, y exigen un pago de rescate a cambio de la clave privada necesaria para descifrar los datos objetivo del ataque.
En los últimos años, los ataques de ransomware han aumentado, cada vez más dirigidos a entidades gubernamentales e infraestructura crítica. Del mismo modo, las tecnologías de los propios ataques y las habilidades de los actores maliciosos han avanzado significativamente, llevando el impacto de este tipo de ataque a nuevas alturas, incluida la propagación de «infecciones» de ransomware a través de redes enteras, y la || Eliminación de sistemas de recuperación y copia de seguridad.
Para abordar el riesgo del ransomware, así como organizar una respuesta eficaz y eficiente a los incidentes que provoca, las organizaciones y comunidades más autorizadas del sector han elaborado una serie de directrices y mejores prácticas.
Exploremos las mejores prácticas para evitar ataques de ransomware y proteger su negocio.
Evite ser un blanco fácil para el ransomware
Los ataques de ransomware han evolucionado a lo largo de los años. Los atacantes hoy en día están estructurados como pequeñas empresas que buscan, atacan y rescatan sistemáticamente siguiendo una estrategia que maximiza su retorno de inversión. Un grupo como Lockbit tiene Esto se puede lograr aprovechando 2 factores:
- Complejidad del ataque (AC): aumenta el coste total para que un ataque tenga éxito.
- Tiempo medio de detección (MTTD): aumenta la oportunidad para que el equipo azul detecte un ataque en curso antes de que alcance su objetivo.
El «Aumento de la complejidad del ataque» se puede traducir directamente como «Aumento de los costes para los actores de amenazas» y se analizará en el siguiente párrafo.
La disminución de MTTD puede reducir drásticamente el impacto de un ataque, detectando indicadores de compromiso (IOC) que iniciarán la investigación y respuesta de la amenaza.
Prevenir ataques maliciosos: la mentalidad de violación asumida
Debido al esquema de monetización bien probado adoptado por los grupos de ransomware, se espera que estos tipos de ataques maliciosos continúen aumentando. La estrategia aconsejada es operar bajo la mentalidad de violación asumida. Esto se recomienda incluso para organizaciones que se centran en un fuerte endurecimiento de su perímetro externo, ya que los atacantes trabajan con hackers especializados en acceso inicial (Initial Access Brokers) y pueden utilizar insiders pagados.
Las mejores prácticas para implementar una mentalidad de incumplimiento asumida son:
Modelo de amenazas
Una organización debe tener un modelo de amenaza claro y ser consciente del panorama actual de amenazas para elegir la estrategia y los controles correctos para mitigar y reducir su exposición al riesgo. También es importante mantenerse al día con los desafíos planteados por las nuevas tecnologías y en formas de trabajo siempre cambiantes (como el trabajo remoto). Sin un modelo de amenazas, una organización no puede conocer sus puntos débiles y no puede hacer mejoras en las áreas donde se necesitan. Un problema común con el trabajo remoto es confiar en una autenticación fuerte utilizando 2FA, pero con deficientes «comprobaciones de madurez», lo que permite a los dispositivos no administrados acceder a los recursos de la empresa de forma remota (por ejemplo, a través de VPN) y acceder a servicios en línea como Microsoft 365 sin ninguna restricción.
Seguridad
La empresa debe aprovechar el marco de Personas-Procesos-Tecnología para aumentar su resiliencia: para mitigar la mayoría de las amenazas, se necesitan las tres dimensiones. Las medidas más efectivas que la mayoría de las organizaciones deben evaluar incluyen:
- Personas: Capacitación en concientización para empleados, enfocada en phishing/vishing y fatiga MFA. Contratación de un equipo azul interno y formación recurrente. Comprender la forma en que funciona el negocio en el contexto específico, centrándose en establecer una línea de base para detectar cualquier desviación.
- Procesos: Definiciones de planes para prevenir y responder a las diversas amenazas identificadas por el modelado de amenazas. Capacitar a las personas para que sigan las tareas y deberes reportados en esos procesos, reconociendo cualquier punto de falla de antemano.
- Tecnología: Adopte un conjunto mínimo de contramedidas tecnológicas que maximicen el retorno de la inversión (como EDR, CASB, MFA, …) y establézcalas para que se ajusten al contexto y las necesidades comerciales. Más tarde, evalúe salvaguardas adicionales (como MDM, IDS, …)
Pruebas
Una vez que las medidas de seguridad están en su lugar, deben ser probadas para evaluar su efectividad. Hay varias formas de probar las medidas de seguridad de una organización; Los métodos comunes incluyen:
- Personas
- ¿Los empleados son víctimas de correos electrónicos de phishing?
- ¿Los empleados autorizan notificaciones MFA no solicitadas? (https://tech.co/news/mfa-fatigue-hackers)
- Procesos
- ¿Están los sistemas actualizados con los últimos parches?
- ¿Cuánto tiempo se tarda en obtener el propietario de un activo por su dirección IP?
- Tecnología
- ¿Se recopilan eventos (por ejemplo, error de inicio de sesión) en la nube?
- Complejo
- ¿Qué sucede si el ransomware infecta una computadora portátil de la empresa?
- ¿Es posible que un atacante entre físicamente en las oficinas y se conecte a la red interna?
En nuestra experiencia con clientes en muchos sectores, las soluciones de seguridad a menudo se implementan sin las pruebas adecuadas. Uno de los problemas más comunes que encontramos es la falta de determinación de la IP de un usuario en la red interna cuando se conecta a través de VPN, un requisito clave para la respuesta a incidentes.
Simulación de ataques de ransomware
En los últimos años, Bip CyberSec se ha centrado constantemente en dar la mejor respuesta a la pregunta «¿Qué sucede si el ransomware infecta una computadora portátil de la empresa?».
Nuestra solución es un servicio de simulación de ransomware, un subconjunto de nuestro servicio de simulación de brechas y ataques que se centra en la simulación de una amenaza específica.
Solo con una simulación integral es posible evaluar todos los riesgos e impactos de un ataque en un entorno específico, debido tanto a la complejidad de dichos ataques como a la escalada constante de tácticas, técnicas y procedimientos de ataque, que se desarrollan a diario.
La simulación de ransomware permite a la organización evaluar la efectividad de sus controles de seguridad y medir el impacto del ransomware en un entorno controlado y seguro antes de que ocurra el ataque real.
Defensa contra el ransomware con Bip CyberSec
Defenderse contra el ransomware no es fácil. Las tácticas de los adversarios evolucionan continuamente: las superficies de ataque generalmente se expanden a medida que evolucionan los servicios y las tecnologías, y la ingeniería social siempre encuentra formas de eludir las medidas de seguridad (incluso MFA).
Nuestro enfoque, alineado con las mejores prácticas de la industria, se puede resumir como:
Obtenga más información sobre cómo trabajamos con él aquí y contáctenos para obtener una simulación con nuestros expertos.
