 |
|
|
Alrededor de 1,5 millón de nuevos sitios de phishing se crean cada mes, un dato duro que ilustra la amenaza que representa el ransomware para los profesionales de TI y todo tipo de organizaciones. Por esta razón, Mat Newfield, Director de Seguridad de la Información de Unisys, dio a conocer una pequeña guía para contraatacar en estos casos cada vez más habituales en el mundo de la empresa.
El ransomware es un tipo específico de malware diseñado para cifrar el contenido de la computadora hasta que su usuario pague para recibir la clave de cifrado o recuperación. Esto interrumpe la productividad y afecta los ingresos del negocio. Sin embargo, los profesionales de seguridad pueden tomar medidas importantes para minimizar el impacto de esta plaga cibernética.
La primera línea de defensa es siempre un buen ataque. Para evitar que un atacante gane posición en sus redes, las organizaciones deben implementar las siguientes medidas:
Mejores prácticas, como sólidas políticas de aplicación de parches, copias de seguridad periódicas del sistema, autenticación multifactorial, listas blancas para aplicaciones y restricciones de derechos y privilegios de administrador.
Asimismo deben tender a programas de concientización para educar a los usuarios sobre phishing y otras formas de ingeniería social. Adoptar herramientas de seguridad para filtrar spam y enlaces, bloquear o filtrar DNS, identificar virus, detectar y evitar intrusiones; fijar una estructura de confianza cero para identificar, autenticar y monitorear cada conexión, inicio de sesión y uso de recursos; y establecer políticas con menos privilegios para restringir los permisos para instalar y ejecutar aplicaciones.
El acto de minimizar el impacto del ransomware es más que solo defender los sistemas contra ataques. También implica asumir medidas para reducir el impacto de las violaciones cuando ocurren. Esto es crítico ya que cualquier sistema puede ser atacado por intrusos que tienen suficiente tiempo y recursos.
Se deben implementar programas estrictos de respuesta a incidentes. Planificar con anticipación genera confianza en esta capacidad de reacción. Para hacer esto, las empresas deben revisar sus políticas y realizar ejercicios de simulación. Deben usar puntos de referencia operativos para mejorar la capacidad de respuesta antes de que ocurra un incidente.
Los hackers continúan evolucionando y desarrollando ataques más sofisticados. Por lo tanto, es probable que cualquier compañía sea atacada en algún momento por ransomware. Cuando esto sucede, los siguientes cuatro pasos pueden minimizar los impactos y ayudar a recuperar los datos de la organización:
Lo primero es el aislamiento. Antes de hacer cualquier otra cosa, asegúrese de que los dispositivos infectados se hayan eliminado de la red. Si usan una conexión física, desconéctelos. Si están en una red inalámbrica, desligue el hub/enrutador inalámbrico. También desconecte los sistemas de almacenamiento conectados directamente para tratar de proteger los datos en esos dispositivos. El objetivo es evitar que la infección se propague.
En segundo lugar, la identificación. Este paso a menudo se pasa por alto. Con solo unos minutos para averiguar qué sucedió, las empresas pueden recopilar información importante, tal como qué variante de ransomware fue responsable de la infección, qué archivos este tipo de ransomware generalmente encripta y cuáles son las opciones de descifrado. Las empresas también pueden aprender a vencer al ransomware sin pagar o restaurar los sistemas desde cero.
Tercero, es necesario hacer un informe. Este es otro paso que muchos profesionales de seguridad pasan por alto debido a vergüenza o limitaciones de tiempo. Sin embargo, al informar el ataque de ransomware, las empresas pueden ayudar a otras organizaciones a evitar situaciones similares. Además, proporcionan a los organismos encargados una mejor comprensión del intruso. Hay varias formas de informar un ataque de ransomware. Una de ellas es comunicarse con una oficina del FBI en los Estados Unidos o presentar un informe en el sitio del Centro de FBI para Quejas sobre Delitos en Internet. Los sitios OnGuardOnline de la Federal Trade Commission y Scamwatch, un esfuerzo de la Comisión Australiana de Competencia y Consumidores, también recopilan dichos datos.
En cuarto orden viene la recuperación. Hay tres opciones: pagar el rescate, lo que no es recomendable porque no hay garantía de que la organización recupere los datos después del pago. Al revés: un atacante podría solicitar aún más dinero antes de descifrar los datos; eliminar el ransomware, eliminándolo sin requerir una reconstrucción completa. Sin embargo, este proceso puede llevar mucho tiempo y, por lo tanto, no es la opción preferida. La tercera opción es proceder con la limpieza y la reconstrucción: El método de recuperación más fácil y seguro es limpiar los sistemas infectados y reconstruirlos a partir de una copia de seguridad conocida. Una vez reconstruido, las organizaciones deben asegurarse de que no quede rastro del ransomware.
El trabajo, de hecho, comenzará una vez que el medio ambiente haya sido reconstruido. La organización debe llevar a cabo una revisión exhaustiva del ambiente para determinar exactamente cómo comenzó la infección y qué pasos se deben tomar para reducir otra posible invasión.
Por supuesto, no es posible evitar todos los ataques de ransomware. Sin embargo, se puede garantizar que, en caso de una invasión, el daño no se extenderá, no afectará los negocios ni se convertirá en un hecho noticioso.
Al evitar la mayoría de los ataques y lidiar rápidamente con los malos actores que entran por la puerta -con la ayuda del aislamiento dinámico, la micro-segmentación y otras tecnologías modernas de seguridad cibernética-, las organizaciones serán capaces de mantener sus negocios en marcha.
|
