Las organizaciones, necesitan desarrollar defensas para abordar los diversos métodos que utilizan los actores de amenazas para ejercer presión. Si bien no se puede afirmar estar 100% seguro contra ransomware, existen múltiples medidas que le permitirán reducir significativamente las posibilidades de una infracción y dejarlo mejor preparado para actuar y recuperarse en caso de un ataque de este tipo.
Consejos para su prevención
Mantener a su organización a salvo de un ataque de ransomware requiere un cambio fundamental: pasar de la detección y la corrección a la prevención. Esto significa reducir la superficie de ataque, prevenir amenazas conocidas e identificar y prevenir amenazas desconocidas, entre otros.
Si bien existen diferentes guías con controles detallados como el Blueprint for Ransomware Defense desarrollado por The Ransomware Task Force y que se basa en mejores prácticas de CIS, la Guía para #StopRansomware de CISA, o el Ransomware Risk Management de NIST, a continuación traemos un listado de algunas medidas clave que le ayudaran a disminuir el riesgo:
1. Arquitectura Zero Trust
Implemente un modelo de seguridad de confianza cero que asuma que nadie, ni siquiera aquellos dentro de su red, pueden ser confiables sin verificación. En la era moderna, donde las campañas de phishing y smishing se vuelven más innovadoras, es lógico suponer que los actores de amenazas tendrán éxito en su entrada inicial. Sin embargo, es importante contener mejor el movimiento lateral después de la entrada inicial.
2. Segmente su red
La segmentación de la red es una forma de minimizar el acceso y, por tanto, minimizar el alcance de los actores de amenazas. Esto se hace separando la red en segmentos más pequeños mediante firewalls, VLAN y límites de seguridad. La segmentación hace que los usuarios solo tengan acceso a los datos y aplicaciones necesarios para realizar sus tareas.
3. Gestione las identidades
Las cuentas de usuarios pueden tener tipos de acceso muy variados, que van desde el acceso a funciones básicas, como correo electrónico, hasta cuentas con mayores privilegios desde las cuales se puede tener acceso a casi todo lo que haya en la empresa. Establezca un proceso para otorgar y revocar permisos para tener acceso a sistemas de la empresa. También es crucial que la empresa siga el principio del mínimo privilegio, de acuerdo con el cual se otorga a los usuarios solo los privilegios que necesiten para realizar una tarea, incluso cuando cambian las funciones de un empleado, cuando se necesitan permisos nuevos (o temporarios) para un proyecto y cuando un empleado se incorpora a la empresa o se va.
No olvide hacer énfasis en la gestión de las identidades privilegiadas pues los atacantes buscaran priorizar el compromiso de los activos clave de la organización, pues son estos los que les permitirán ejercer mayor presión.
4. Mejore la higiene de las contraseñas
Las contraseñas comprometidas son una de las principales vías a través de las cuales los ciberdelincuentes roban datos o ingresan a los sistemas. Establecer requisitos de contraseña estrictos y una buena higiene de las contraseñas reduce en gran medida las posibilidades de una infracción a través de este vector. Para empezar, solicite a todos los usuarios que utilicen contraseñas únicas con símbolos, números y letras mayúsculas/minúsculas. También recomendamos habilitar la autenticación multifactor siempre que sea posible, especialmente para el acceso a la red desde dispositivos personales y no seguros, aplicaciones expuestas a internet y accesos de los administradores.
5. Gestione las vulnerabilidades y configuraciones erroneas
Planifique la actualización de todo el software y los sistemas de forma rutinaria. Priorice las vulnerabilidades basado en riesgo e implemente los parches y cambios en configuraciones erróneas requeridas para cerrar los hallazgos.
6. Realice evaluaciones rutinarias de seguridad
Diferentes estándares especifican con qué frecuencia se deben realizar pruebas de penetración y análisis de vulnerabilidades. Es recomendable realizar un análisis de vulnerabilidades una vez por trimestre y una prueba de penetración una vez al año. Sin embargo, cuanto más frecuentemente realice estas pruebas, mayores serán sus posibilidades de mejorar su postura de ciberseguridad.
7. Revise los puertos, protocolos y servicios disponibles
El ransomware puede llegar fácilmente a su red a través de un servicio inseguro o vulnerable. La mejor manera de mitigar esto es implementar auditorías de puertos, protocolos y servicios necesarios para respaldar las operaciones. Las tecnologías de External Attack Surface Manegement (EASM) pueden ser una gran ayuda en este sentido.
8. Mejore la seguridad de los puntos finales
En entornos de trabajo remotos, el panorama de amenazas se ha vuelto cada vez más extenso. En el pasado, los firewalls y protecciones similares mantenían la red corporativa a salvo del exterior. Pero ahora, los empleados necesitan acceder periódicamente a esa red de forma remota, lo que genera vulnerabilidades. Mejore las capacidades de seguridad de los endpoints con tecnologías que permitan detectar comportamientos maliciosos y responder frente a posibles incidentes.
9. Protéjase frente al phishing
Teniendo en cuenta que es el vector de entrada más frecuente, es recomendado fortalecer las capacidades de protección frente a phishing en el correo electrónico. De igual forma, es clave implementar DMARC para evitar la suplantación de los dominios de correo.
10. Limite el uso del RDP y otros servicios de escritorio remoto
Esta es otra de las entradas favoritas de los criminales, por lo que es requerido que audite la red en busca de sistemas que utilicen un RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuentas tras un número determinado de intentos, aplique una autenticación multifactor (MFA) y registre los intentos de inicio de sesión con el RDP.
11. Programe capacitaciones periódicas para los empleados
El eslabón más débil de la ciberseguridad suele seguir siendo el humano. Incluso con los mejores filtros de spam del mundo, algunos mensajes de correo electrónico nefastos seguramente llegarán, y todo lo que se necesita es que un empleado haga clic en una estafa de phishing para que su red quede comprometida. Los empleados también pueden, sin saberlo, participar en prácticas que crean otras vulnerabilidades, como compartir su contraseña con alguien o acceder a materiales que no deberían.
Haga que la concientización sea una parte regular de su cultura laboral. Todos los nuevos empleados deben recibir instrucción básica al comienzo del empleo, pero todo el equipo debe recibir capacitación adicional anualmente o de forma regular para mantenerse actualizado.
12. Garantice una visibilidad completa
Cuando se trata de proteger su organización de amenazas, debe poder verlas. Una de las mejores formas de proteger su organización es aumentar la visibilidad de la actividad en sus entornos.
13. Fortalezca la inteligencia de amenazas
La información sobre amenazas otorga a las organizaciones inteligencia profunda sobre posibles riesgos y amenazas, proporcionándoles información y datos prácticos para prevenir ataques cibernéticos. Descubrir de forma proactiva amenazas activas y emergentes antes de que una organización las enfrente aumenta significativamente la resiliencia cibernética.
14. Gestione el riesgo de terceros
El ransomware ahora puede abrirse camino no solo a través del objetivo principal, sino que también afecta a terceros con los que una empresa puede estar trabajando. Las organizaciones requieren ampliar la visibilidad sobre sus proveedores y socios de negocios, fortaleciendo sus programas de gestión de riesgo de terceros.
Respuesta ante Ransomware
Lamentablemente, en la práctica, los mejores mecanismos de protección a veces no pueden parar a un adversario laborioso que esté dispuesto a dedicar el tiempo y esfuerzo necesarios para causar perturbaciones en una empresa
Para mitigar el impacto y la probabilidad del ransomware en su negocio, además de buscar continuamente nuevas formas de proteger su red y mantener un monitoreo continuo de la ciberseguridad, también es vital contar con capacidades en caso de que ocurra un evento. La lista de comprobación de la respuesta al ransomware y la extorsión de datos de la Guía para #StopRansomware de CISA presenta un listado detallado de acciones clave. A continuación algunas a tener en cuenta:
1. Plan de respuesta a incidentes
La preparación es fundamental para responder a incidentes. Al tener un plan antes de que se produzca un incidente, la empresa sabe qué hacer si sufre un ataque. Revise y actualice su plan de respuesta a incidentes, asegurándose de que tenga en cuenta las APT y los atacantes sofisticados. Pruébelo periódicamente para garantizar su eficacia en los equipos de operaciones de TI y seguridad para resolver la fricción y reducir el MTTR.
Los planes de respuesta a incidentes deben incluir no sólo consideraciones técnicas sino también salvaguardas para la reputación de una organización y consideraciones sobre cómo proteger a los empleados o clientes que pueden convertirse en objetivos de algunas de las tácticas más agresivas de los extorsionadores.
2. Prepare los recursos para responder
Si no cuenta con capacidades al interior de la organización para responder frente a un incidente evalúe contratar servicios de terceros expertos que lo acompañen de forma adecuada.
3. Realice copias de seguridad
Hacer una copia de seguridad de todos los archivos y datos con regularidad significa que no perderá los activos existentes en caso de un ataque de ransomware y podrá restaurar sus sistemas. Lo ideal es que los archivos respaldados estén aislados o almacenados en un lugar al que no se pueda acceder desde Internet o el resto de la red. Las credenciales utilizadas para las copias de seguridad deben ser diferentes de las utilizadas para los datos de producción, ya que en muchos casos los actores de amenazas pueden comprometer las credenciales. Esto mantiene los archivos seguros incluso si se destruye todo lo demás. Es igualmente importante que compruebe regularmente la disponibilidad e integridad de las copias de seguridad en un escenario de recuperación de desastres.
4. Prepárese para recuperarse rápidamente
Mantenga y actualice regularmente "golden images" de sistemas cruciales. Esto incluye mantener "plantillas" de imágenes que tengan un sistema operativo (OS) preconfigurado y aplicaciones de software asociadas que puedan desplegarse rápidamente para reconstruir un sistema, como una máquina virtual o un servidor.
5. Determine qué sistemas se han visto afectados y aíslelos inmediatamente
Si varios sistemas o subredes parecen afectados, desconecte la red a nivel de switch. Puede que no sea factible desconectar sistemas individuales durante un incidente. Apague los dispositivos si no puede desconectarlos de la red a fin de evitar una mayor propagación de la infección del ransomware.
6. Análisis inicial e investigación
Documente una comprensión inicial de lo ocurrido con base en el análisis inicial e inicie actividades de caza de amenazas para establecer con detalle comportamientos anómalos como cuentas AD recién creadas o con privilegios escalados, posibles indicios de exfiltración de datos de la red, entre otros.
7. Revise herramientas de descifrado
Organizaciones como No More Ransom en algunas ocasiones pueden ayudar a los usuarios infectados a recuperar sus archivos cifrados, o desbloquear sus dispositivos sin tener que pagar. Allí puede encontrar un repositorio de claves y aplicaciones que pueden descifrar los datos cifrados por distintos tipos de ransomware.
8. Lecciones aprendidas
Documente las lecciones aprendidas del incidente y de las actividades de respuesta asociadas para actualizar y perfeccionar las políticas, planes y procedimientos de la organización y orientar futuros ejercicios de los mismos.
Recursos:
https://securityandtechnology.org/ransomwaretaskforce/report/
https://www.paloaltonetworks.com/resources/info-insights/what-is-ransomware
https://securityscorecard.com/blog/sans-institute-survey-takeaways/
https://securityscorecard.com/blog/ransomware-motives-remain-consistent-as-tactics-change/
https://securityscorecard.com/blog/ransomware-as-a-service-can-make-anyone-a-hacker/
https://securityscorecard.com/blog/steps-to-mitigate-ransomware-attacks/
https://www.zerofox.com/blog/avoid-ransomware-attacks-dont-let-attackers-dwell-in-your-network/
https://www.cisa.gov/sites/default/files/2023-06/stopransomware_guide_508c_1.pdf