Según el Informe de protección de aplicaciones de F2021 Labs 5, el ransomware es una de las principales amenazas para la seguridad de los datos. Aquí hay 10 consejos para empresas sobre qué medidas de seguridad actuales deben implementar. Por Roman Borovits, ingeniero sénior de sistemas DACH F5.
1. Autenticación multifactor
Las contraseñas tradicionales ya no son suficientes: debería exigirse la autenticación multifactor (MFA) para acceder a todos los sistemas con datos importantes. Si no se puede configurar MFA en todas partes, primero debe usarse para todas las cuentas administrativas. La siguiente prioridad es el acceso remoto. Luego, se debe implementar MFA para correo electrónico, y la mayoría de las principales plataformas admiten MFA. Muchas herramientas de inicio de sesión único ayudan a acceder a diferentes aplicaciones después de un solo inicio de sesión y, por lo tanto, también protegen los sistemas heredados.
2. Contraseñas seguras
Cuando MFA no sea posible, se deben aplicar políticas fáciles de usar para contraseñas seguras. Las empresas deben comparar regularmente las contraseñas elegidas por los usuarios con un diccionario, contraseñas predeterminadas, robadas y conocidas. Se requieren contraseñas largas con caracteres especiales. En caso de entradas incorrectas, no se deben dar pistas sobre cómo restablecer las contraseñas, lo que podría poner a los ciberdelincuentes en el camino correcto. Además, los datos de inicio de sesión caducados o no válidos deben bloquearse inmediatamente.
3. Restringir el acceso
El principio de privilegio mínimo se aplica a las cuentas de administrador en particular. Para departamentos de TI más grandes, los derechos se pueden dividir por región, zona horaria o área de responsabilidad. Los administradores también deben tener una cuenta sin privilegios para fines cotidianos, como leer el correo electrónico, navegar por Internet o usar las aplicaciones de Office. Si un administrador hace clic accidentalmente en un correo electrónico de phishing con ransomware, los efectos son limitados.
Sin embargo, los derechos también deben estar limitados para todos los usuarios y sistemas. Por ejemplo, los servidores web necesitan derechos sobre su propio servicio y directorios, pero no sobre toda la red. O se puede configurar un servidor de copia de seguridad para que tenga acceso de solo lectura al dominio principal para que pueda copiar archivos para la copia de seguridad. Además, las cuentas de usuario generales deben compararse con los datos personales para que solo las personas adecuadas tengan acceso a los datos relevantes.
4. Supervise los registros
Los atacantes intentarán cubrir sus huellas. Por lo tanto, el sistema de monitoreo debe dar una alarma si los registros se eliminan, manipulan o evitan. También es recomendable recibir una notificación cuando se crea una cuenta de administrador o cuando muchos inicios de sesión fallan en un corto período de tiempo.
5. Segmentación de la red
Los firewalls pueden restringir las infecciones de malware a segmentos de uso, sistemas o niveles de confianza específicos. Si no se pueden implementar firewalls internos, se pueden configurar LAN virtuales. Un sistema de administración remota debe tener acceso a Internet oa la red interna, pero no a ambos al mismo tiempo. Los derechos de acceso de las interfaces administrativas también deben estar restringidos por las reglas de la red.
6. Infraestructura y aplicaciones de parches
Los dispositivos de red y los cortafuegos que se utilizan para gestionar la segmentación de la red deben actualizarse periódicamente. Lo mismo se aplica a todos los sistemas y aplicaciones que se utilizan en la empresa. De lo contrario, los piratas informáticos aprovecharán las vulnerabilidades.
7. Proteger las copias de seguridad
En caso de un ataque de ransomware, las empresas deben borrar todos los datos activos y restaurarlos a partir de copias de seguridad. Los ciberdelincuentes también lo saben. Por lo tanto, dañan cada vez más los sistemas de respaldo antes de activar el ransomware real. La estrategia de respaldo 3-2-1 protege contra este método. Esto significa que las empresas realizan tres copias de seguridad, dos en diferentes soportes y una fuera del sitio. También se deben realizar copias de seguridad de las imágenes del sistema, el software de aplicación o las configuraciones.
8. Prueba el proceso de recuperación
Los procesos de copia de seguridad y recuperación deben probarse para comprobar su integridad y velocidad. La recuperación de algunos archivos es rápida, pero ¿cuánto tiempo lleva el proceso para cientos de terabytes? Cualquier persona que realice una copia de seguridad de los datos en línea también debe verificar el ancho de banda y los costos. Algunos proveedores de la nube cobran tarifas significativamente más altas por descargar datos que por cargarlos.
9. Copias de seguridad inmutables
Muchos sistemas de copia de seguridad ahora ofrecen opciones de almacenamiento inmutables. Un archivo de copia de seguridad creado ya no se puede sobrescribir, manipular o eliminar. El bloqueo puede ser temporal para cumplir con los requisitos legales de protección de datos y registros a prueba de manipulaciones.
10. Defensa en profundidad
Ninguna medida de seguridad puede ofrecer una protección del XNUMX % contra el ransomware. Por lo tanto, las empresas deben seguir una estrategia de defensa en profundidad. Para ello, conectan varias medidas de seguridad seguidas que funcionan de diferentes formas. Esto aumenta el costo del ataque ya que los ciberdelincuentes tienen que eludir varios métodos diferentes.
Qué medidas de protección se deben utilizar y en qué casos depende de la actividad empresarial, la infraestructura tecnológica, la cultura y los riesgos. En el primer paso, es importante analizar las posibles amenazas para la empresa. El segundo paso es identificar los sistemas y datos que son particularmente dignos de protección. A esto le sigue el establecimiento de controles superpuestos para eliminar tantos peligros como sea posible. E incluso si cada medida tiene solo un 80 por ciento de efectividad, tres seguidas evitan alrededor del 99 por ciento de los ataques.
Más en F5.com
Acerca de las redes F5 F5 (NASDAQ: FFIV) brinda a las empresas, proveedores de servicios, agencias gubernamentales y marcas de consumo más grandes del mundo la libertad de entregar cualquier aplicación de forma segura, en cualquier lugar y con confianza. F5 proporciona soluciones de nube y seguridad que permiten a las empresas aprovechar la infraestructura que elijan sin sacrificar la velocidad y el control. Visite f5.com para obtener más información. También puede visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.