El ransomware es el “regalo” que sigue dando, y no en el buen sentido.
informe de Sophos El estado del ransomware 2022 es una lectura bastante aleccionadora: el 66% de los 5600 encuestados dijeron que sus organizaciones habían sido atacadas con ransomware en 2021, casi el doble que el año anterior, y el 46% de las organizaciones que fueron afectadas por el cifrado de ransomware tuvieron que pagar un rescate para obtener su datos de vuelta.
Mientras se paguen los rescates, el atractivo del crimen permanece. Este es un ciclo difícil de romper. A pesar de la gran cantidad de atención y preocupación por el ransomware, una gran cantidad de organizaciones simplemente no están preparadas para cuando ataca. Del mismo modo, tampoco pueden y no permitirán que sus negocios fracasen. Ellos pagan, o su negocio muere. Puedes ver el dilema.
Entonces, ¿cómo rompemos este ciclo? Por las empresas haciendo todo lo posible para evitar que los atrape en primer lugar. Y si tienen la mala suerte de quedar atrapados, la clave es poder detectarlo rápidamente, limitar el radio de explosión y recuperarse rápidamente, sin tener que pagar el rescate para volver a la normalidad. En resumen, necesitan volverse más resistentes.
Hay muchas cosas a tener en cuenta al pensar en la resiliencia empresarial en el contexto del ransomware, pero aquí hay algunas áreas clave en las que centrarse.
Conocete a ti mismo
Es más fácil decirlo que hacerlo en esta era de todo híbrido. Su personal ya no está necesariamente encerrado en una oficina. Del mismo modo, tampoco lo son sus servidores ni sus datos: una combinación de nube y local ahora crea una superficie de ataque amorfa y complicada.
Y el mundo hiperconectado no se detiene ahí: ¿cuántos de sus proveedores también están conectados a su red? Todas estas interconexiones se suman a una fuerte superficie de ataque que debe enumerarse, evaluarse, patrullarse y mantenerse. Recuerda: los malos solo necesitan una forma de entrar.
¿Cuáles son sus joyas de la corona, sus activos de misión crítica? Si no se mantiene al tanto de sus inventarios de activos, sus catálogos de servicios y datos, ¿cómo diablos puede estar seguro de que tiene todo cubierto, especialmente si nadie le dice cuándo cambian? (Consejo práctico: Las copias de seguridad fuera de línea son algo difíciles de penetrar para el ransomware, mientras que ninguna copia de seguridad es la apuesta de un simple tonto. Copia de seguridad de las cosas importantes. ¡Adecuadamente!)
Conocer a tu enemigo
Lo que no estoy diciendo aquí es que se apresure y adquiera una capacidad de inteligencia de amenazas de última generación porque hay algo más que eso: una conversación para otro momento. Pero ciertamente es pragmático tener al menos un ojo en el mundo exterior.
Qué actividad está ocurriendo en este momento, qué sectores están recibiendo un interés particular, qué técnicas están empleando y qué vulnerabilidades están explotando son preguntas importantes si desea adoptar una postura proactiva. Incluso el intercambio de conocimientos entre pares de la industria es un buen lugar para comenzar.
Construye las paredes correctas
Su arquitectura es una consideración importante en la lucha contra el ransomware. Si el diseño de su red es representativo de un único almacén de planta abierta, todo lo que el actor de amenazas debe hacer es ingresar y luego acceder a todas las áreas. Inhibir el movimiento lateral de un actor de amenazas y limitar la escala del impacto en caso de que liberen una carga útil podría ser la diferencia entre un inconveniente menor y un evento de nivel de extinción.
Crear un entorno segregado que tenga en cuenta quién es usted como organización y qué es en términos de activos de datos no es un trabajo de la noche a la mañana, pero debe ser un principio fundamental de su arquitectura de seguridad.
Mantenga altos sus niveles de higiene cibernética
El lugar obvio para comenzar aquí es enfatizar la importancia de mantener todo bien mantenido. Configuraciones sólidas y seguras basadas en privilegios mínimos, junto con un régimen efectivo de parches, no hace falta decirlo, pero tampoco está exento de desafíos. Si necesita adoptar un enfoque prioritario para esto, mi consejo es comenzar con sus activos orientados a Internet y hacerse algunas preguntas obvias sobre ellos: ¿Este activo es propiedad, parcheado y mantenido correctamente? ¿Es necesario apuntar a Internet? ¿Deberían habilitarse los servicios de acceso remoto como RDP (probablemente no, con toda probabilidad)? ¿Por qué están activados los servicios Telnet, SSH, W3C si nadie los está usando realmente?
El escaneo de vulnerabilidades y las pruebas de penetración van de la mano con todo esto, brindándole una visión independiente de dónde se encuentran sus debilidades. Solo asegúrese de hacer algo útil con la salida. Las pruebas de penetración no son solo para marcar casillas en su certificación ISO, e ignorar los consejos y luego ser atrapado no es una buena apariencia.
La capacidad de filtrar correos electrónicos falsificados, correos electrónicos con contenido malicioso y correos electrónicos que provienen de orígenes maliciosos conocidos es importante porque este es un vector clave del ataque inicial de las pandillas de ransomware. Pero esto debe complementarse absolutamente con una cultura de seguridad efectiva, que eduque, apoye y aliente al personal a estar al tanto de las amenazas potenciales y denunciarlas a tiempo.
Asegúrese de contar con las protecciones de endpoint adecuadas y actualizadas. Su producto antivirus de 10 años simplemente no va a ser suficiente en la lucha contra el ransomware moderno. Comience por mirar el mercado de detección y respuesta de punto final (EDR): hay algunos productos increíbles por ahí. Y si no tiene un centro de operaciones de seguridad (SOC), le recomiendo una solución administrada (MDR) si su presupuesto se ajusta a ella.
Construir una respuesta un plan. Prueba el plan. Refinar el plan
A pesar de todas sus mejores intenciones, todavía hay una posibilidad de compromiso. Este es un hecho de la vida. Es peligroso hablar de ataque en el contexto de si; ahora siempre debe hablar en el contexto de cuando. Este sentimiento debe fluir a través de su negocio y estar respaldado por un esfuerzo concertado para construir, probar y mantener activamente planes sobre cómo respondería si le sucediera lo peor.
Una respuesta rápida y coordinada es fundamental para comprender el ataque, contenerlo, limitar el daño y recuperarse mientras se mantienen las líneas de comunicación estrechas, sucintas, oportunas y relevantes, tanto dentro como fuera de la organización. Un plan bien organizado y bien mantenido puede llevarlo allí, y un plan bien ensayado infunde confianza en que puede y se recuperará, pero nunca, nunca sea complaciente.
Una palabra final sobre el papel del seguro cibernético. El seguro por sí solo no puede protegerlo contra el ransomware, pero un buen producto de seguro complementará un grado de protección financiera con servicios que pueden ayudarlo en su preparación (y respuesta). Los servicios incluyen consultoría de respuesta a incidentes, asesoría legal y de comunicaciones especializada, soporte regulatorio y controles de salud cibernéticos.
Lamento decir, y vale la pena repetirlo, que el ransomware no desaparecerá pronto. Mientras haya dinero para ganar y las víctimas estén “dispuestas” a pagar, persistirá. Lo mejor que puede hacer por su organización es reconocer el peligro claro y presente, mantenerlo en la mente de las personas y alentar a todos en el negocio a tomarlo en serio y desempeñar su papel para mantener el negocio resistente y seguro.