Las estrategias anti-ransomware deberían ser tan fáciles como el ABC

El ransomware es uno de esos problemas que puede mantener despierto al personal superior por la noche, en particular a los responsables de mantener segura una empresa y su información de datos. Probablemente hayan hecho un buen trabajo, pero, sin embargo, las historias sobre infracciones importantes en grandes instituciones pueden causar una sensación de inquietud.

Las protecciones típicas pueden incluir el filtrado de todo el correo electrónico entrante y saliente en busca de archivos maliciosos y enlaces maliciosos, a menudo a través de un servicio comercial externo.

A menudo, estos servicios de escaneo se pueden ampliar para cubrir la exfiltración de datos por correo electrónico y el escaneo del tráfico web de una empresa, ambos recomendados.

En estos días, es probable que la empresa tenga algunos trabajadores a domicilio y posiblemente personal itinerante, y sus enlaces de regreso a la base deberían estar encriptados.

Debe existir un riguroso régimen de respaldo, ya sea diario, semanal, mensual o incluso trimestral o anual, junto con pruebas de integridad periódicas.

¿Qué más podría estar planeando implementar el profesional de seguridad de TI, o quizás debería haber implementado?

¡Aquí hay algunas sugerencias, aunque algunas de ellas entran en la categoría de Maternidad y Tarta de Manzana!

• Asegúrese de que los enlaces cifrados que utilizan los usuarios remotos y que viajan para volver a conectarse a la base se autentiquen mutuamente (esto requiere un certificado único para cada dispositivo remoto y un certificado específico de la empresa para los sitios centrales) e implemente la autenticación de usuario multifactor (MFA). No hace falta decir que las VPN deben crearse directamente desde la PC de un usuario, no desde un enrutador.
• Asegúrese de que las PC utilizadas por los usuarios remotos y el personal que viaja fuerzan cualquier acceso a Internet a través del sitio central de la empresa. Si la PC de un usuario puede obtener acceso a Internet, o acceso a una red doméstica o de terceros en momentos en que no están conectados a la base, la PC debe tratarse como potencialmente peligrosa y se deben implementar las medidas apropiadas para proteger a la empresa. Una VPN encriptada solo protege los datos en tránsito, no brinda otras protecciones a la infraestructura de una empresa, solo proporciona un conducto desde una PC infectada directamente a la infraestructura de una empresa.
• El dispositivo de un usuario remoto o viajero debe implementar seguridad de inicio además de las credenciales de autenticación del usuario de la red de la empresa.
• Las políticas, los procedimientos y los estándares de seguridad deben ser claros, actualizados y fácilmente disponibles a través de la intranet de la empresa. Una auditoría regular (anual o mejor) de la empresa debe garantizar que estos estén actualizados y en uso.
• Ejecute campañas regulares de carteles que destaquen las últimas estafas y brinden consejos sobre cómo identificar a los actores malintencionados. Ponga una cara amistosa al consejo y una o tres caricaturas no estarán mal. No olvide dar los datos de contacto para obtener asesoramiento y resaltar “sin culpa”. Un blog regular en la intranet de la empresa con correos electrónicos que destaquen un nuevo blog también funcionaría bien y cubriría perfectamente al personal doméstico, remoto y de viaje. Apunte esto para que un usuario pueda tomar y usar ese consejo en casa.
• Los usuarios no deben tener ni recibir acceso de administrador local a su propio dispositivo proporcionado por la empresa.
• Considere implementar controles de acceso de usuarios de “hora del día”, como restringir el acceso a partes específicas de la infraestructura y los servicios de la empresa durante horas reconocidas. Junto con estas restricciones de “hora del día”, los usuarios podrían estar restringidos según desde dónde accedan y qué dispositivo estén usando. Por ejemplo, un usuario que acceda desde Internet desde un dispositivo personal podría estar restringido solo al correo electrónico.
• Asegúrese de que los sistemas de autenticación, autorización y contabilidad (AAA) permitan el uso y se utilicen para garantizar que se apliquen restricciones de privilegios mínimos y necesidad de saber a todas las cuentas, sin excepción. Por ejemplo, un jefe de departamento, como regla general, no necesita acceso de escritura y/o lectura a todos los archivos, y alguien en ventas no necesita acceso a los archivos de recursos humanos, y así sucesivamente. Una persona que tiene un amplio acceso de escritura causaría estragos si su PC estuviera infectada.
• El sistema AAA debe actualizarse de manera oportuna cada vez que un miembro del personal o contratista se va, toma una licencia prolongada o se cambia a otra función o trabajo. Los grupos y roles de AAA deben revisarse y actualizarse periódicamente.
• Considere implementar MFA para todos los accesos.
• Para todas y cada una de las aplicaciones, cambie las credenciales predeterminadas o creadas (nombre de usuario y contraseña).
• Considere implementar la autenticación mutua entre aplicaciones en función del uso de certificados.
• Límite de entrada del formulario del sitio web y comprobación de caracteres prohibidos.
• Detección de intrusos y escaneo de la red interna en busca de actividad inusual.
• Infraestructuras de red segregadas con funciones de seguridad entre cada segmento. Un segmento para cada departamento de la empresa: finanzas, recursos humanos, ventas, desarrollo, etc.
• Datos clave y críticos o confidenciales retenidos en un segmento de red dedicado con acceso a través de una puerta de enlace de seguridad.
• Asegúrese de que las copias de seguridad en línea se respalden fuera de línea para protegerse contra el riesgo de una copia de seguridad en línea.
• Si ejecuta una política de traer su propio dispositivo (BYOD), el acceso remoto debe terminar en una red dedicada, implementando un acceso de servicio restringido por tiempo limitado a la red principal, y luego solo a través de dispositivos proxy.
• Implemente la detección de ransomware en servidores de archivos y servidores de bases de datos.