Diez claves fundamentales para que las empresas combatan los ataques de ‘ransomware’
1.- Mantenerse al día sobre la evolución del panorama de las amenazas. En primer lugar, es importante reconocer que el panorama de las amenazas de ransomware seguirá evolucionando, a medida que los actores apliquen nuevas técnicas para sofocar las operaciones empresariales. Mantener a los equipos de seguridad y a los principales ejecutivos interesados mejor informados sobre el estado actual de las amenazas de ransomware, su potencial impacto en el negocio y las medidas que se pueden tomar para prevenir los ataques en una empresa es esencial.
2.- Analizar el impacto empresarial de la pérdida de datos críticos. Para comprender el impacto de un ataque de ransomware, primero se debe obtener una visibilidad completa de los activos y entender dónde viven los datos críticos, cómo se accede a ellos y cómo se utilizan en una empresa. Realizar un ejercicio de mapeo de datos, asegurándose de que el acceso a la información confidencial se realiza en función de la necesidad de conocerla. A continuación, es importante realizar un análisis del impacto empresarial de los riesgos como si no se tuviese acceso a esos datos.
3.- Evaluar la preparación interna y externa. Existe un mayor riesgo de sufrir un ataque grave de ransomware cuando no se ha realizado una evaluación coherente de la seguridad. Por lo tanto, es primordial evaluar los riesgos más importantes que tiene por delante en función de la combinación de personas, procesos, tecnología y capacidades; sin olvidar de identificar los riesgos de terceros. A partir de esto, puede establecer una hoja de ruta de mitigación priorizada que detalle los requisitos para alcanzar los objetivos de seguridad de la organización alineados con los objetivos empresariales estratégicos.
4.- Revisar y probar el plan de respuesta ante incidentes. Probar y actualizar un plan de respuesta a incidentes con regularidad, utilizando la última información sobre amenazas de ransomware para realizar ejercicios teóricos y simulaciones de prueba. Las pruebas miden lo bien que podría responder a un ataque de ransomware, evalúan las defensas, identifican las lagunas y evalúan su capacidad para contrarrestar las tácticas, técnicas y procedimientos utilizados por los grupos de ransomware más comunes. Involucre a sus principales interesados en las pruebas para que las acepten. Mantener conversaciones tensas de antemano ahorrará un tiempo valioso y garantizará que las organizaciones se centren en lo que más importa en un ataque de ransomware: mantener las operaciones críticas y recuperarse a un estado de normalidad.
5.- Implementar Zero Trust. Implementar correctamente un enfoque estratégico de ciberseguridad de Zero Trust simplifica y unifica la gestión de riesgos al hacer de la seguridad un caso de uso en todos los usuarios, dispositivos, fuentes de conexión o métodos de acceso. Los riesgos de ransomware se abordan por la forma en que Zero Trust elimina la confianza implícita y valida continuamente cada etapa de la interacción digital.
6.- Identificar activos expuestos y bloquear los ataques comunes de ransomware. Adoptar un sistema de registro para rastrear cada activo, sistema y servicio que posea y que esté en un Internet público. Esto incluye el seguimiento de todos los principales proveedores de servicios en la nube y el espacio de los proveedores de servicios de Internet (ISP) alquilados dinámicamente, utilizando una indexación exhaustiva y abarcando puertos y protocolos comunes, y a menudo, mal configurados. Por ejemplo, el Protocolo de Escritorio Remoto (RDP) representa la mayoría de las infecciones de ransomware, ya que los atacantes pueden descubrir fácilmente el RDP gracias a que el trabajo desde casa es ahora más común.
7.- Prevenir las amenazas conocidas y desconocidas. Intentar convertir lo desconocido en conocido y ofrecer nuevas protecciones a un ritmo más rápido que el de los atacantes. Para prevenir las amenazas conocidas, debe impedirse que entren en la red los exploits conocidos, el malware y el tráfico de comando y control. Bloquearlos aumenta el coste de ejecución de un ataque de ransomware lo suficiente como para ayudar a disuadir a los atacantes. Además, es importante concentrarse en identificar y bloquear las amenazas desconocidas, ya que los atacantes más sofisticados siguen desplegando nuevos exploits de Zero Day y desarrollando nuevas variantes de ransomware.
8.- Automatizar cuando sea posible. Cuando se alerta de un ataque de ransomware, se emplean muchas horas de trabajo manual para intentar reunir fuentes de información dispares procedentes de múltiples herramientas. Estas deben apoyar la remediación automatizada del ransomware utilizando libros de maniobras prefabricadas para la respuesta y la recuperación. Los productos de orquestación, automatización y respuesta de la seguridad (SOAR) automatizan todo el proceso para que los equipos de respuesta puedan cerrar rápidamente el ransomware, minimizar las pérdidas de datos y limitar el impacto financiero.
9.- Proteger las cargas de trabajo en la nube. Para asegurar las cargas de trabajo en la nube contra el ransomware, es importante asegurarse de que toda la infraestructura de la nube, Kubernetes y las imágenes de contenedores están configuradas de forma segura y se han tomado medidas para minimizar las vulnerabilidades, incluyendo cualquier característica de seguridad desactivada por defecto. Compruebe los paquetes y las bibliotecas de código abierto en busca de vulnerabilidades que puedan ser parcheadas. Identifique y elimine los derechos de IAM excesivamente permisivos o no utilizados.
10.- Reducir el tiempo de respuesta con retenedores para el apoyo de expertos externos. Y, por último, es fundamental tomar medidas rápidas una vez que se ha identificado una posible infracción. Con un retenedor de IR, los expertos en respuesta a incidentes son una extensión de su equipo, listos para intervenir cuando necesite ayuda.