El panorama del ransomware está evolucionando, y el ransomware es ahora uno de los tipos de malware más populares (para los ciberdelincuentes) y dañinos. Los ataques a JBS, Colonial Pipeline y Kaseya son los ejemplos más recientes del impacto del ransomware y las monumentales consecuencias que puede tener: Cambios en el mercado, impacto en la infraestructura e incluso llevar a la acción a los más altos niveles del gobierno.
A raíz de estos ataques y de otros sucesos como el de SolarWinds, el poder ejecutivo ha tomado medidas en forma de orden ejecutiva (OE), que abarca varios conceptos de ciberseguridad. Esta orden anima a las empresas del sector privado a seguir el ejemplo del gobierno federal para ayudar a minimizar el impacto de futuros incidentes.
Hay varios conceptos diferentes que se describen en la OE, así que para ayudar a las organizaciones a empezar, he esbozado algunos de los conceptos clave a los que las organizaciones deberían prestar atención ahora y ofrezco algunos consejos sobre cómo puede empezar a aplicar estas estrategias hoy mismo.
1 – Adoptar una postura de «seguridad cero» frente al ransomware
Una de las órdenes que me llamó la atención es la de «Modernizar e implementar estándares de ciberseguridad más fuertes en el Gobierno Federal». Esto tiene como objetivo que el Gobierno Federal aumente y adopte mejores prácticas de seguridad con la seguridad de confianza cero, acelerando el movimiento a los servicios de nube seguros, y el despliegue de la autenticación multifactor y el cifrado.
En Veritas, aconsejamos a las empresas que adopten lo que llamamos una postura de «seguridad cero»; es la mentalidad de que incluso la seguridad más eficaz de los puntos finales será vulnerada. Es importante tener un plan para estar preparado para cuando esto ocurra.
2 – Sea activo, no pasivo
Las empresas deben contar con una sólida protección de los datos de los puntos finales y la seguridad del sistema. Esto incluye un software antivirus e incluso un software de listas blancas en el que sólo se pueda acceder a las aplicaciones aprobadas. Las empresas necesitan tanto un elemento activo de protección como un elemento reactivo de recuperación.
Las empresas afectadas por un ataque de ransomware pueden pasar cinco días o más recuperándose de un ataque, por lo que es imperativo que las empresas implementen activamente las estrategias de copia de seguridad y recuperación adecuadas antes de un ataque de ransomware.
3 – No ponga todos los huevos en la misma cesta
Los Black Hats que desarrollan el ransomware intentan impedir cualquier medio de salida de una empresa que tenga que pagar el rescate. Por ello, los ataques de ransomware se dirigen a los archivos y sistemas en uso, así como a los sistemas de copia de seguridad y a los datos basados en la nube.
Instamos a las organizaciones a que apliquen un enfoque de copia de seguridad y recuperación más completo basado en el Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST). Este incluye un conjunto de buenas prácticas: Utilizar un almacenamiento inmutable, que evita que el ransomware cifre o borre las copias de seguridad; implementar el cifrado en tránsito y en reposo para evitar que los malos actores comprometan la red o roben sus datos; y endurecer el entorno habilitando cortafuegos que restrinjan puertos y procesos.
4 – Crear playbooks para los ciberincidentes
El otro aspecto de la OE que quería tocar era el llamamiento a «crear un libro de jugadas estándar para responder a los incidentes cibernéticos». El gobierno federal planea crear un libro de jugadas para las agencias federales que también actuará como una plantilla para el sector privado, para ayudar a las empresas a tomar las medidas adecuadas para identificar y mitigar una amenaza.
El tiempo es esencial, así que antes de que veamos el libro de jugadas del gobierno federal, aquí hay algunos pasos importantes en los que las organizaciones deberían pensar a la hora de crear el suyo propio:
- Libro de ruta digital: Tener un plan en papel es un comienzo, pero contar con un plan digital que pueda visualizarse y ejecutarse fácilmente con un solo clic es esencial. Cuanto más complejo sea ejecutar un plan, más tiempo se tardará en recuperarse de un ataque.
- Prueba, prueba, prueba: Las pruebas garantizan que su plan funcionará cuando lo necesite. Las pruebas iniciales son importantes para asegurarse de que todos los aspectos del plan funcionan, pero los entornos de TI cambian constantemente, por lo que es fundamental realizar pruebas con regularidad.
- Elimine los puntos únicos de fallo: La práctica 3-2-1 es la idea de que debe tener tres o más copias de sus datos para que cualquier fallo único no descarrile su plan. Que tenga al menos dos medios distintos de almacenamiento para que una vulnerabilidad en uno de ellos no comprometa todas sus copias. Al menos uno de estos dos medios debería estar fuera de las instalaciones o ser una copia protegida por aire para que tenga opciones en caso de que un ataque destruya todo el centro de datos.
- Tenga opciones de recuperación rápida: Cuando un ataque derriba todo un centro de datos, la recuperación puede ser lenta al tener que hacer frente a los desafíos agravados en torno al hardware, la red, las cargas de trabajo y los propios datos. Disponer de una opción alternativa, como poner en marcha rápidamente un centro de datos en un proveedor de nube pública, puede acortar el tiempo de inactividad y ofrecer alternativas al pago de un rescate.
5 – Recuerde: El ransomware es una carrera de armamentos
Preparar a su empresa para un inevitable ataque de ransomware es cada vez más crítico. El ataque a Colonial Pipeline ha impulsado nuevos mandatos para la resiliencia cibernética, y como líderes de seguridad, tenemos un papel crítico en asegurar que estamos haciendo todo lo posible para proteger y asegurar los datos valiosos y sensibles.
El ransomware no se va a «resolver». Lo veo como una carrera armamentística en la que todos tenemos que estar constantemente vigilantes, especialmente en torno a elementos que están fuera de nuestro control. Ninguna solución o control de seguridad va a detener el ransomware, pero si se adopta un enfoque de seguridad en capas, se podrá mitigar el impacto y volver a funcionar muy rápidamente.
Fuente: threatpost