El nuevo enfoque de protección de identidad evita vulnerabilidades críticas causadas por ransomware. Sin embargo, casi ninguna organización puede prevenir de manera proactiva la propagación automática de la carga útil del ransomware una vez que ha superado las defensas de entrega y ejecución. Un comentario de Martin Kulendik, Director Regional de Ventas DACH en Silverfort.
La extorsión cibernética de ransomware sigue siendo una de las principales amenazas de seguridad que enfrentan las empresas. La práctica común en ciberseguridad hoy en día es proteger contra las fases de entrega y ejecución de estos ataques. Sin embargo, casi ninguna organización puede prevenir de manera proactiva la propagación automática de la carga útil del ransomware una vez que ha superado las defensas de entrega y ejecución. Debido a que el ransomware marca una gran diferencia entre infectar un solo punto final y cifrar datos corporativos a granel, la falta de capacidad para prevenir esto es una vulnerabilidad de seguridad crítica. Por lo tanto, las medidas de protección se explican a continuación para cada fase de un ataque de ransomware, desde la entrega, pasando por la ejecución, hasta la distribución automatizada.
Medidas para protegerse contra la entrega de ransomware
En la etapa de entrega, los atacantes colocan la carga útil del ransomware en la computadora de la víctima. Los métodos más comunes utilizados por los ciberdelincuentes incluyen correos electrónicos de phishing, acceso RDP (Protocolo de escritorio remoto) comprometido y ataques de abrevadero, donde los ciberdelincuentes infectan sitios web visitados con frecuencia por los empleados.
La protección la brindan las puertas de enlace de seguridad del correo electrónico que escanean los correos electrónicos para detectar y eliminar el contenido de riesgo antes de la interacción del usuario, las plataformas de protección de punto final que evitan la descarga de malware potencial y la autenticación multifactor (MFA) para las conexiones RDP, lo que evita que los atacantes se conecten con credenciales comprometidas.
Medidas para protegerse contra la ejecución de ransomware
En la fase de ejecución, la carga útil del ransomware que se entregó con éxito a la estación de trabajo o servidor se ejecuta con la intención de cifrar los archivos de datos en la computadora.
Las empresas se protegen de esto mediante el uso de Endpoint Protection Platforms (EPP) en sus estaciones de trabajo y servidores. El EPP tiene como objetivo finalizar la ejecución de cualquier proceso detectado como ransomware, evitando por completo el cifrado malicioso.
Protección contra la distribución automatizada de ransomware
En la fase de propagación, la carga útil del ransomware se copia en muchas otras computadoras en el entorno corporativo a través de una autenticación maliciosa con credenciales comprometidas. Una de las superficies de ataque más vulnerables son las carpetas compartidas (shared). En un entorno corporativo, cada usuario tiene acceso al menos a algunas carpetas. Esto allana el camino para que el ransomware se propague.
Como se explicó anteriormente, esta es la etapa donde se hace el mayor daño. Sin embargo, esta fase es ahora un punto ciego en las defensas de seguridad empresarial. Actualmente, no existe una solución de seguridad que pueda evitar la propagación automática de ransomware en tiempo real. En la práctica, esto significa que una variante de ransomware que logra eludir las medidas de seguridad para la entrega y ejecución, y un cierto porcentaje de estas variantes siempre lo hacen, puede propagarse dentro del entorno corporativo y cifrar cada máquina a la que llega. E incluso a medida que los EPP se vuelven mejores en la protección contra nuevas cepas de malware, los actores de amenazas también están desarrollando mejores métodos de evasión y cargas útiles (cargas) más sigilosas, lo que hace que dicha evasión sea un escenario muy probable.
desafío de protección
Para comprender mejor la causa de esta vulnerabilidad, aquí se explica cómo funciona la proliferación automática de ransomware.
Hay un punto final llamado "paciente cero" donde se ejecutó originalmente la carga útil del ransomware. Para propagarse a otras computadoras en el área, el malware usa credenciales comprometidas y realiza una autenticación básica proporcionando a la otra computadora un nombre de usuario y credenciales válidos (pero comprometidos). Si bien esta actividad es 100 por ciento maliciosa en su contexto, es esencialmente idéntica a cualquier autenticación legítima en el entorno. No hay forma de que el proveedor de identidad, en este caso Active Directory, detecte este contexto malicioso. Por lo tanto, aprobará la conexión.
Así que aquí radica el punto ciego de la protección contra el ransomware: por un lado, ningún producto de seguridad puede bloquear las autenticaciones en tiempo real y, por otro lado, el único producto que podría hacerlo posible, el proveedor de identidad, es incapaz de distinguir entre autenticaciones legítimas y maliciosas.
Unified Identity Protection evita la propagación automática de ransomware
Unified Identity Protection es una tecnología sin agente que se integra de forma nativa con proveedores de identidad en el entorno empresarial para realizar un monitoreo continuo, análisis de riesgos y aplicación de políticas de acceso de cada intento de acceso a cualquier recurso local y en la nube. De esta manera, la solución de protección de identidad unificada extiende la autenticación basada en riesgos y la autenticación multifactor a recursos e interfaces de acceso que anteriormente no podían protegerse, incluidas las interfaces de acceso remoto de línea de comandos de Active Directory en las que se basa la propagación automática de ransomware.
Prevenir ataques de forma proactiva
Esto puede prevenir proactivamente los ataques que hacen un mal uso de las credenciales comprometidas para acceder a los recursos corporativos, incluida la distribución automatizada de ransomware. Esto se debe a que el malware utiliza la autenticación de credenciales comprometidas para propagarse en el entorno de destino, con especial predilección por las carpetas compartidas.
Para hacer cumplir la protección en tiempo real contra la distribución automatizada de ransomware, Unified Identity Protection realiza las siguientes acciones:
1. Monitoreo continuo
Unified Identity Protection analiza continuamente las autenticaciones de cuentas de usuario y los intentos de acceso, creando un perfil de comportamiento altamente preciso de la actividad normal del usuario y la máquina.
2. Análisis de riesgos
En el caso de la distribución automatizada de ransomware, hay múltiples intentos de inicio de sesión simultáneos que se originan desde una sola máquina y cuenta de usuario. El motor de riesgo de Unified Identity Protection Platform detecta inmediatamente este comportamiento anómalo y aumenta la puntuación de riesgo tanto de la cuenta de usuario como de la computadora.
3. Cumplimiento de la política de acceso
Unified Identity Protection permite a los usuarios crear políticas de acceso que utilizan la evaluación de riesgos en tiempo real para activar una medida de protección: como una autenticación reforzada con MFA o incluso bloquear el acceso por completo. La política contra la distribución automatizada de ransomware requiere MFA siempre que la calificación de riesgo de una cuenta de usuario sea "Alto" o "Crítico" y se aplica a todas las interfaces de acceso: Powershell, CMD y CIFS, el protocolo especial (dedicado) para el acceso compartido en la carpeta de red.
Si esta política está habilitada, cualquier intento del ransomware de propagarse a otra computadora no permitirá la conexión, a menos que se haya realizado una verificación de MFA en los usuarios reales cuyas credenciales se vieron comprometidas. Esto significa que se previene la propagación y el ataque se limita al "paciente cero" de punto final único inicialmente infectado.
Por lo tanto, este enfoque especial de protección de identidad puede prevenir el componente más fatal de los ataques de ransomware: la propagación automatizada. Con una solución de protección de identidad unificada, las empresas finalmente pueden cubrir este punto ciego crítico en defensa y, por lo tanto, aumentar significativamente su resistencia contra los intentos de ataques de ransomware.
Más en Silverfort.com
Sobre Silverfort Silverfort proporciona la primera plataforma de protección de identidad unificada que consolida los controles de seguridad de IAM en las redes empresariales y los entornos de nube para mitigar los ataques basados en la identidad. Utilizando tecnología innovadora sin agente y sin proxy, Silverfort se integra a la perfección con todas las soluciones de IAM, unificando su análisis de riesgo y controles de seguridad y extendiendo su cobertura a activos que anteriormente no podían protegerse, como aplicaciones propias y heredadas, infraestructura de TI, sistemas de archivos, línea de comando. herramientas, acceso de máquina a máquina y más.