El ransomware continúa afectando a empresas, organizaciones sin fines de lucro y agencias gubernamentales en todo el mundo. Las historias sobre nuevos ataques de ransomware aparecen regularmente en los titulares de las noticias tecnológicas, y hay muchos otros incidentes que no aparecen en las noticias, pero que escuchamos de manera anecdótica.
Ser explotado por perpetradores de ransomware tiene un estigma negativo que se ve exacerbado por la percepción común de que la víctima debe haber hecho algo mal o no haber tomado suficientes precauciones. Esto da como resultado una cultura del secreto en el mundo de los negocios.
Una mayor transparencia con respecto a los ataques de ransomware, incluidos los detalles sobre los métodos de ataque utilizados y qué tipos de activos se vieron comprometidos, probablemente ayudaría a la comunidad a prevenir futuros ataques.
El ransomware suele llegar a través de correos electrónicos de phishing o mediante acceso directo a la red. En el caso de un correo electrónico de phishing, el destinatario recibe un correo electrónico que contiene archivos maliciosos o enlaces que instalan el ransomware, lo que genera un compromiso. En el caso del acceso directo a la red, los operadores de ransomware obtienen credenciales válidas e información de configuración de la web oscura, lo que les permite inspeccionar, filtrar datos y detonar cargas útiles de ransomware en los activos de la víctima.
Independientemente de los vectores utilizados, los ataques de ransomware tienen algunas cosas en común: código malicioso, acceso a la red y uso de credenciales válidas, por ejemplo. Los perpetradores atraviesan las redes de las víctimas, los sistemas o servicios de correo electrónico, las puertas de enlace web y los puntos finales. Una falla o incluso una debilidad en cualquier punto de la infraestructura de TI aumenta el riesgo de compromiso por ransomware.
¿Qué se necesita para aumentar la resistencia al ransomware?
Las medidas defensivas adecuadas deben estar implementadas en cada parte relevante de la arquitectura de una organización, pero estas son las cinco tecnologías de seguridad principales que deben abordarse primero:
- Las herramientas de detección y respuesta de protección de punto final (EPDR) brindan muchas funciones para detectar malware antes de que se ejecute y evitar que se ejecute, así como para buscar signos de compromiso en caso de que se pasen por alto las señales de advertencia.
- Gestión de vulnerabilidades y parches: muchas formas de malware, incluidas las principales familias de ransomware, aprovechan las vulnerabilidades conocidas en el sistema operativo o en el código de la aplicación. Saber qué vulnerabilidades están presentes en su entorno y poder parchearlas de manera oportuna es un elemento fundamental del fortalecimiento proactivo en las arquitecturas de seguridad.
- Puertas de enlace y servicios de correo electrónico, mensajería y seguridad web: el correo electrónico y otros contenidos de la plataforma de mensajería deben analizarse y eliminarse el contenido malicioso antes de llegar a las bandejas de entrada o las aplicaciones de los usuarios. Deben bloquearse las conexiones hacia y desde direcciones IP y dominios maliciosos o sospechosos conocidos.
- Acceso a la red de confianza cero: Autentique y autorice correctamente cada solicitud de recursos en su entorno, incluidas todas las permutaciones de usuario, dispositivo, red, sistema, aplicación y objeto de datos. Quitarle al hacker la capacidad de pivotar a través de redes locales planas puede reducir enormemente el impacto potencial de un ataque de ransomware.
- Copias de seguridad fuera de línea: las copias de seguridad en línea y las copias de seguridad en la nube se han convertido en estándar en muchas organizaciones debido a la facilidad de uso y los menores costos y mantenimiento. Sin embargo, los operadores de ransomware aprovechan los privilegios de administrador comprometidos para eliminar las copias de seguridad en línea y en la nube. Tener copias de seguridad fuera de línea disponibles es el método más seguro para garantizar recuperaciones exitosas en caso de un ataque de ransomware.
Otras herramientas de seguridad que deben implementarse incluyen la gestión de acceso e identidad (IAM)/gobierno y administración de identidad (IGA): los usuarios deben tener el nivel adecuado de derechos para realizar su trabajo; se deben administrar los ciclos de vida de la identidad, eliminando a aquellos que han dejado su organización; y se deben implementar la autenticación multifactor (MFA), la autenticación adaptable al riesgo y los controles de acceso detallados.
Gestión de acceso privilegiado (PAM): los ataques de ransomware más devastadores aprovechan las credenciales de los administradores o las cuentas de servicio para recopilar, filtrar y cifrar datos en múltiples y dispares sistemas y aplicaciones en la organización de la víctima. Los sistemas PAM ayudan a hacer cumplir el principio de privilegio mínimo.
Seguridad de datos: prevención de fuga de datos (DLP)/intermediarios de seguridad de acceso a la nube (CASB). Las herramientas DLP y CASB pueden extender el control de acceso granular al nivel de objeto de datos para aplicaciones locales y alojadas en la nube.
Detección y respuesta de red (NDR): si los atacantes sofisticados encuentran formas de eludir otros controles de seguridad o eliminar archivos de registro en puntos finales y servidores, a menudo el último lugar donde se pueden detectar sus actividades es en la propia capa de red. Las herramientas NDR pueden encontrar los rastros que dejan los atacantes durante el reconocimiento, el movimiento lateral y los intentos de exfiltración de datos. Las herramientas NDR se están alineando cada vez más con las herramientas EPDR en conjuntos de detección y respuesta extendida (XDR).
Durante años, muchas organizaciones han estado entrenando a los usuarios para identificar o al menos sospechar de correos electrónicos y archivos maliciosos. Aunque la formación de los usuarios sigue siendo una necesidad, la realidad es que los atacantes innovan constantemente en sus insidiosas técnicas para disfrazar sus operaciones. Los atacantes de ransomware pueden crear correos electrónicos y documentos muy realistas que pueden engañar incluso a los profesionales de seguridad capacitados.
Es mejor invertir en herramientas de seguridad que puedan actualizarse a medida que surgen nuevas amenazas que confiar en la capacitación de seguridad anual o trimestral para los usuarios. Culpar al usuario cuando ocurren fallas no es una estrategia de seguridad efectiva.
Tener todos los elementos correctos de una arquitectura de seguridad en su lugar mejora sus posibilidades de prevenir ataques de ransomware y/o minimizar el daño. Aunque la tasa de incidentes de seguridad en los proveedores de soluciones de seguridad cibernética e IAM es comparativamente baja, ha aumentado un poco en los últimos años. Los atacantes se han dirigido a miembros de la cadena de suministro de software y es probable que continúen haciéndolo. Se necesitan defensas integrales para impulsar la resiliencia en toda la industria de TI.