15 octubre, 2021
La sola idea del ransomware es suficiente para mantener despiertos a los CISO y a los equipos de seguridad. Las víctimas se ven atrapadas en una terrible elección entre pagar un rescate a un delincuente que puede o no liberar su red y datos capturados, o gastar potencialmente millones de dólares para eliminar el ransomware por su cuenta. Según un informe reciente, el costo de un solo incidente de ransomware promedia alrededor los $713.000 dólares si se calculan los costos de pagar el rescate junto con las pérdidas relacionadas, como el tiempo de inactividad, el valor de cualquier dato o equipamiento perdido, el gasto de mejorar su infraestructura, y el tiempo y el dinero necesarios para reparar la imagen de su marca. Este número también puede aumentar exponencialmente cuanto más tiempo permanezcan fuera de línea los sistemas críticos.
Y es probable que esos costos aumenten. En un ataque reciente de este año, por ejemplo, los atacantes exigieron un pago de 13 Bitcoin (más de $75.000 dólares) por cada computadora afectada por el ataque para que los usuarios pudieran recuperar el acceso a sus archivos, muy por encima de la demanda de rescate normal que anteriormente era de poco menos de $13.000 dólares.
No puede proteger lo que no sabe que debe protegerse. Empiece por identificar todos los sistemas, dispositivos y servicios de su entorno en los que confía para realizar negocios y mantener un inventario activo. Este proceso no solo lo ayuda a identificar sus objetivos más vulnerables, sino que también debe ayudarlo a trazar la línea de base de su sistema para la recuperación.
Establecer y mantener un protocolo de actualización regular es solo una de las mejores prácticas básicas. Desafortunadamente, demasiadas organizaciones simplemente no lo hacen. Por supuesto, no todos los sistemas pueden desconectarse para parchear o actualizar. En ese caso, deben reemplazarse (cuando sea posible) o protegerse mediante estrictos controles de proximidad y algún tipo de aislamiento o estrategia de confianza cero.
Además de actualizar sus dispositivos en red, también debe asegurarse de que todas sus soluciones de seguridad estén ejecutando sus últimas actualizaciones. Esto es especialmente importante para su solución de gateway de correo electrónico seguro (SEG). La mayor parte del ransomware ingresa a una organización por correo electrónico, y una solución SEG debería poder identificar y eliminar archivos adjuntos y enlaces maliciosos antes de que se entreguen a su destinatario. Asimismo, una solución de filtrado web eficaz que aproveche el aprendizaje automático debería ser capaz de detener eficazmente los ataques de phishing. Además, su estrategia de seguridad debe incluir listas blancas de aplicaciones, la asignación y limitación de privilegios, la implementación de confianza cero entre sistemas críticos, la aplicación de políticas de contraseñas sólidas y el uso de autenticación multifactor.
La segmentación de la red garantiza que los sistemas comprometidos y el malware estén contenidos en un segmento específico de la red. Esto incluye aislar su propiedad intelectual y la información de identificación personal de empleados y clientes. Asimismo, mantenga los servicios críticos (como los servicios de emergencia o los recursos físicos como los sistemas HVAC) en una red separada y segregada.
Asegúrese de que las soluciones de seguridad implementadas en su red central se replican en su red extendida, incluidas las redes de tecnología operativa (OT), los entornos de nube y las sucursales, para evitar brechas de seguridad. También tómese el tiempo para revisar cualquier conexión de otras organizaciones (clientes, socios, proveedores) que toquen su red. Asegúrese de que esas conexiones estén reforzadas y que la seguridad y el filtrado adecuados estén en su lugar. A continuación, avise a esos socios sobre cualquier problema que pueda descubrir, especialmente en relación con la posibilidad de que se comparta o propague contenido malicioso a través de esas conexiones
Debe realizar copias de seguridad periódicas de los datos y del sistema y, lo que es igualmente crítico, almacenar esas copias de seguridad fuera de la red para que no se vean comprometidas en caso de una infracción. Las organizaciones también deben escanear esas copias de seguridad en busca de evidencia de malware. También debe asegurarse de que los sistemas, dispositivos y software necesarios para la recuperación completa del sistema estén aislados de la red para que estén completamente disponibles en caso de que necesite recuperarse de un ataque exitoso.
Los simulacros de recuperación regulares garantizan que los datos respaldados estén disponibles, todos los recursos necesarios se puedan restaurar y que todos los sistemas funcionen como se espera. También asegura que las cadenas de mando estén establecidas y que todas las personas y equipos comprendan sus responsabilidades. Cualquier problema que surja durante un simulacro debe abordarse y documentarse.
Establezca una lista de expertos y consultores de confianza con los que se pueda contactar en caso de un compromiso para ayudarlo a través del proceso de recuperación. Cuando sea posible, también debe involucrarlos en sus simulacros de recuperación.
Manténgase al tanto de las últimas noticias sobre ransomware suscribiéndose a servicios de inteligencia de amenazas y a las fuentes de noticias, convierta en un hábito para su equipo aprender cómo y por qué los sistemas se vieron comprometidos y luego aplique esas lecciones a su propio entorno.
En lugar de ser el eslabón más débil de su cadena de seguridad, sus empleados deben ser su primera línea de defensa cibernética. Debido a que el ransomware generalmente comienza con una campaña de phishing, es imperativo que los eduque sobre las últimas tácticas que están usando los ciberdelincuentes para engañarlos, ya sea que se dirijan a dispositivos corporativos, personales o móviles. Además del tipo de revisiones de seguridad anuales regulares en las que la mayoría de los empleados deben participar, considere una cadencia regular de campañas de concientización. Actualizaciones de video rápidas de 30 a 60 segundos, juegos de simulación de phishing, mensajes de correo electrónico del personal ejecutivo y carteles informativos ayudan a mantener la conciencia. Además, ejecutar sus propias campañas de phishing internas puede ayudar a identificar a los empleados que pueden necesitar capacitación adicional
Cuando se trata de ciberdelito, estamos todos juntos en esto. Asegúrese de tener reuniones periódicas con colegas de la industria, consultores y socios comerciales, especialmente aquellos esenciales para sus operaciones comerciales con los cuales compartir estas estrategias y fomentar su adopción. Esto no solo asegurará que no propaguen la infección de ransomware hacia arriba o hacia abajo, creando responsabilidad para ellos y para usted, sino que también ayudará a proteger su organización, ya que cualquier interrupción de su red probablemente tendrá un impacto en cascada en su negocio.