 |
|
| Por Douglas Wallace Gerente General, América Latina y El Caribe en Pure Storage (Excepto Brasil y México). |
Durante el fin de semana de vacaciones de Semana Santa de 2015, un grupo criminal de entre 60 y 70 años obtuvo un estimado de 25 millones de libras esterlinas en oro, joyas y dinero en efectivo cuando robaron en Hatton Garden Safe Deposit Company en Londres. Los delincuentes eligieron el fin de semana de Pascua, porque los días festivos les dieron una ventana para acceder, perforar paredes y abrir cajas de seguridad.
En un ataque de ransomware, este período se conoce como “tiempo de permanencia” y comprenderlo es clave para poder recuperarse de un incidente de este tipo. El tiempo de permanencia se extiende desde el momento en que el atacante viola por primera vez el firewall hasta que se revela y exige un rescate de la víctima.
Los ataques de ransomware siguen un conocido patrón
Inicialmente hay una fase de preparación: los empleados son atacados con correos electrónicos de phishing que contienen enlaces a malware o se buscan vulnerabilidades en los sistemas conectados a Internet.
Aquí, la intrusión es el objetivo. Para los ciberdelincuentes, entrar en el firewall es lo que desbloquea el resto del proceso y es cuando comienza el tiempo de permanencia. Una vez dentro de este, los atacantes recopilan credenciales para un acceso más profundo y comienzan a moverse paralelamente por los sistemas de la víctima, a menudo utilizando herramientas que se basan en protocolos legítimos como RDP (protocolo de escritorio remoto) para trabajar de forma remota y establecer funciones de comando y control.
En esta etapa, identifican los datos confidenciales y comienzan a implementar cargas útiles de software para llevar a cabo la fase de ejecución en la que se lleva a cabo el cifrado y la exfiltración de datos.
Si asumimos que es casi imposible mantener alejados a determinados atacantes, la clave para resistir un ataque de ransomware es la capacidad de restaurar antes de que comenzara el tiempo de permanencia y poder hacerlo rápidamente.
Concretamente, esto significa el uso de:
• Instantáneas: proporcionan un registro del estado del sistema y los datos tomados a inter-valos frecuentes durante la jornada laboral, lo que permite a la víctima restaurar una con-figuración anterior con un alto grado de granularidad. Están diseñadas para tomarse con un impacto mínimo en los sistemas de producción, por lo que a menudo se guardan en el almacenamiento principal o cerca de él.
• Copias de seguridad: generalmente se conservan durante períodos mucho más largos y se realizan con menos frecuencia, generalmente durante las ventanas regulares de copia de seguridad fuera del horario laboral. Casi siempre se colocan en un almacenamiento secundario y puede llevar más tiempo restaurarlos.
Las instantáneas deben ser inmutables
Como se implementa tradicionalmente, las instantáneas son de solo lectura, por lo que siempre son inmutables en un sentido. Sin embargo, los grupos delictivos de ransomware saben esto, por lo tanto, los clientes deben buscar proveedores con instantáneas que no se puedan eliminar y que un intruso no pueda evitar que se muevan a otro lugar.
Otras garantías que pueden especificar es que usen autenticación basada en PIN de múltiples factores por parte de varios miembros de un equipo de TI, así como la capacidad de establecer una política de retención de instantáneas y destinos permitidos.
Sin embargo, en caso que los atacantes de ransomware pasen varios meses dentro del firewall husmeando, instalando malware y corrompiendo archivos, es probable que necesite restaurar desde copias de seguridad.
Independiente del método, la clave aquí radica en el almacenamiento que utilizas para conservar tus copias de protección de datos. Los clientes deben buscar aquellos de estado sólido y que pue-den manejar datos no estructurados (archivos y objetos).
Las generaciones más recientes de flash NAND han impulsado la aparición de matrices de almacenamiento que brindan una capacidad y velocidad de acceso extremadamente altas. Eso significa arreglos de almacenamiento con flash TLC o QLC que ofrecen alta capacidad a un costo por terabyte que se acerca al de los discos duros giratorios.
En segundo lugar, los clientes deben verificar el rendimiento. Las matrices de almacenamiento de estado sólido de mayor rendimiento actualmente disponibles proporcionarán un rendimiento de más de 270 TB por hora. Lo cual es suficiente para que la mayoría de las organizaciones vuelvan a estar en línea muy rápidamente.
La mejor defensa contra el ransomware se centra en hacer retroceder el reloj antes de que comenzara el tiempo de permanencia. Y la mejor manera de hacerlo es con un almacenamiento de muy alta capacidad que ofrece un rendimiento de procesamiento rápido del que puedas restaurar rápidamente.
|
