Muchas empresas creen que sus copias de seguridad las protegen contra el ransomware. La lógica tentadoramente simple detrás de esto: si puede recuperar todos sus datos, no puede ser chantajeado. Por Ali Carl Gulerman, CEO y Gerente General, Radar Cyber Security.
Pero eso no es suficiente: incluso con una recuperación exitosa después de un ataque, la información confidencial, como los datos del cliente o la propiedad intelectual, aún puede haber sido robada. Además, el riesgo de ataque permanece: los piratas informáticos pueden permanecer en la red o volver a acceder instalando una puerta trasera. En algunos casos, los ciberdelincuentes utilizan el ransomware como una táctica pura de distracción, por ejemplo, para inyectar spyware en la red corporativa. El daño de un ataque de ransomware puede ser considerable o incluso existencial, incluso si los datos se han restaurado casi sin tiempo de inactividad.
Por lo tanto, la pregunta no es solo qué malware colocan los atacantes en una empresa, sino cómo se infiltraron en la empresa. Debido a que el ransomware pudo penetrar en la red, obviamente existen brechas en la defensa. Y esto debe cerrarse permanentemente.
Estrategia integral contra ciberataques
Productos, procesos y expertos
Las organizaciones que desean evitar la infiltración de atacantes necesitan los productos, procesos y expertos en seguridad adecuados. A continuación, por lo tanto, en primer lugar, las mejores prácticas básicas para tomar precauciones:
1. Identificar los datos y activos más importantes de la empresa
Ya sea propiedad intelectual, secretos comerciales, credenciales de inicio de sesión o datos de clientes: esto es lo que buscan los atacantes. Por lo tanto, las empresas deben identificar sus datos más sensibles y saber exactamente dónde se encuentran. Una vez clasificados los datos, se deben etiquetar y restringir el acceso. Si los responsables saben exactamente cuáles de sus datos son particularmente valiosos, pueden protegerlos contra ataques.
2. Capacitar a los empleados contra la ingeniería social
Educar y concienciar a los empleados es una de las medidas más importantes para la seguridad corporativa. El phishing por correo electrónico sigue siendo la forma más común de propagar ransomware. Por lo tanto, es importante que los empleados sepan reconocer los intentos de phishing. Las empresas deben definir procesos sencillos que los empleados puedan utilizar para informar de ello a los responsables de seguridad de la empresa.
3. Tecnologías de seguridad
Los filtros de seguridad de correo electrónico, el software antivirus y los cortafuegos ayudan a bloquear las cepas de malware predominantes y conocidas. Las organizaciones también deben implementar soluciones de detección y respuesta de punto final (EDR) y protección avanzada contra amenazas (ATP) para optimizar la detección y el bloqueo de ransomware.
4. Mantén actualizados los sistemas operativos y las aplicaciones
Los sistemas operativos y las aplicaciones sin parches son presa fácil para los atacantes y una cabeza de puente para futuros ataques. Por lo tanto, las empresas deben asegurarse de que sus sistemas operativos y software estén siempre parcheados con las últimas actualizaciones.
5. Deshabilitar macros
Varias cepas de ransomware se envían como archivos adjuntos de Microsoft Office. Cuando un usuario abre el archivo adjunto, se le solicita que habilite las macros para ver el contenido del documento. Una vez que el usuario habilita las macros, la carga real del ransomware se descarga y ejecuta. Por lo tanto, las macros deben estar deshabilitadas de forma predeterminada, y los empleados informaron que pedirles que habiliten macros es una señal de alerta.
6. Administrar los derechos de acceso
Los usuarios solo deben tener tantos derechos de acceso como necesiten para realizar sus tareas. Los derechos administrativos deben restringirse tanto como sea posible. También se debe garantizar que los usuarios administrativos tengan que confirmar todas las acciones que requieren derechos elevados.
7. Redes de segmentos
La segmentación de la red proporciona limitación de daños en caso de una infección de ransomware. Esto evita que el malware se propague por toda la red de la empresa.
8. Pruebas de penetración
Las pruebas de penetración ofrecen a las empresas la oportunidad de encontrar vulnerabilidades en el sistema y corregirlas antes de que puedan ser aprovechadas por los atacantes. Las pruebas de penetración deben realizarse al menos una vez al año. Una prueba de penetración también puede ser útil cuando se realiza un cambio importante en la red corporativa, como cambiar el sistema operativo o agregar un nuevo servidor.
9. Copia de seguridad como último recurso
Las copias de seguridad que se realizan periódicamente y cuya funcionalidad se prueba son una parte necesaria de la arquitectura de seguridad. También ayudan a mantener los procesos comerciales disponibles. Se recomienda la conocida estrategia 3-2-1 para las copias de seguridad: esta recomienda tres copias de los datos a proteger en dos tipos diferentes de medios de almacenamiento. Una de las copias está fuera del sitio o fuera de línea. Sin embargo, las copias de seguridad son solo la última red de seguridad cuando todo lo demás ya salió mal y de ninguna manera son una estrategia de seguridad satisfactoria por sí mismas.
10. Practica lo real
Las empresas deben ejecutar un incidente de ransomware simulado y practicar los procesos de recuperación. Por último, pero no menos importante, el objetivo es determinar cuánto tiempo necesita la organización antes de que vuelva a estar completamente operativa. Estos ejercicios muestran a los gerentes en qué enfocarse para mejorar sus procesos de recuperación. A menudo olvidado: prepararse para una emergencia también requiere el desarrollo de una estrategia de comunicación interna y externa. Cualquiera que se comunique claramente en una emergencia es percibido como un socio y proveedor confiable.
Los guardias de seguridad 24/7 fortalecen la resiliencia cibernética
Cuando se trata de protegerse contra los ataques cibernéticos, la mayoría de las organizaciones hoy en día carecen principalmente de personal y experiencia. Para una prevención integral contra tales ataques, incluido el ransomware, y una respuesta rápida, las empresas deberían considerar su propio Centro de defensa cibernética o CDC como servicio, ya que esto puede fortalecer enormemente su resiliencia cibernética. Cada minuto se crean miles de ciberamenazas. La tecnología puede filtrar muchas de las amenazas conocidas. Pero solo un Centro de Ciberdefensa 24/7 puede ayudar a las organizaciones a analizar la gran cantidad de alertas, nuevas amenazas y anomalías que identifica la infraestructura técnica de seguridad.
Centro de Ciberdefensa o SOC
Un Centro de Defensa Cibernética, también conocido como Centro de Operaciones de Seguridad (SOC), conecta a expertos, procesos y tecnologías de seguridad de TI. En el CDC, expertos capacitados examinan continuamente el tráfico de Internet, las redes, los escritorios, los servidores, los dispositivos finales, las bases de datos, las aplicaciones y otros sistemas de TI en busca de signos de un incidente de seguridad. Como centro de comando de seguridad de una empresa, el CDC es responsable del monitoreo, análisis y optimización continuos de la situación de seguridad para detectar ataques rápidamente e iniciar las contramedidas apropiadas en caso de una brecha de seguridad.
El ransomware seguirá siendo uno de los mayores riesgos de seguridad para las empresas. Una medida por sí sola no es suficiente para protegerse. Pero con un enfoque de varios niveles de capacitación continua de los empleados, procesos sólidos para garantizar la continuidad del negocio, tecnologías modernas y ayuda profesional de expertos en seguridad, los riesgos y las posibles consecuencias de los ataques de extorsión pueden reducirse significativamente.
Más en RadarCS.com
Sobre Radar Ciberseguridad
Radar Cyber Security opera uno de los centros de ciberdefensa más grandes de Europa en el corazón de Viena basado en la tecnología patentada Cyber Detection Platform. Impulsada por la sólida combinación de conocimientos y experiencia humana, junto con los últimos avances tecnológicos de diez años de trabajo de investigación y desarrollo, la empresa combina soluciones integrales para los desafíos relacionados con la seguridad de TI y OT en sus productos RADAR Services y RADAR Solutions. El núcleo es la mejor plataforma de detección cibernética de su clase, la plataforma RADAR, que utiliza orquestación, automatización y respuesta para monitorear la infraestructura de los líderes del mercado en todas las industrias y en el sector público a diario. Se busca un enfoque holístico que cubra tanto el panorama de TI como el de OT de empresas y autoridades. Esto convierte a Radar Cyber Security en un centro de conocimientos de ciberseguridad único en el centro de Europa.