Hemos estado luchando contra una avalancha de ataques de ransomware durante mucho tiempo, pero todavía estamos lejos de una victoria. De hecho, parece que estamos perdiendo la batalla. Aunque nuestras defensas están mejorando, el ransomware reclama más víctimas hoy que en la mayoría de los años anteriores.
La mayoría de los delitos cibernéticos con fines de lucro se concentran en la cadena de suministro de ransomware y en componentes como ataques de phishing, datos de botnets y formas más efectivas de eludir las protecciones de la red. La competencia es feroz y estamos viendo a ciberdelincuentes reclutando a personas internas para sabotear las redes de sus empleadores. Los actores maliciosos también intentan corromper a los negociadores y utilizan otras técnicas de presión social para obtener el pago de rescate más alto posible.
Entonces, ¿cómo podemos protegernos? ¿Qué debemos hacer más allá de las copias de seguridad y la detección de intrusiones en la red? La mayoría de las veces, se produce una infracción debido a un error humano causado por un ataque de phishing o credenciales reveladas involuntariamente.
Si bien la educación del usuario sigue siendo un componente extremadamente importante de una buena defensa, el acceso comprometido también podría aparecer en los mercados de la web oscura en forma de credenciales o registros de botnets. No hay suficientes empresas que comprendan las complejidades de los mercados de la web oscura y, a menudo, confían en los informes de amenazas superficiales en lugar de profundizar en el panorama de amenazas de la web oscura.
En lo profundo de la web oscura, hay actores de amenazas que intercambian el acceso a las redes corporativas y tratan de aprovechar su acceso en un compromiso completo. Los consultores y la fuerza de trabajo remota corporativa a menudo usan dispositivos personales para el acceso remoto. La capacidad de detectar credenciales robadas y autenticación multifactor comprometida (MFA), según el comportamiento del usuario, haría que los delincuentes perdieran su acceso.
Incluso si los actores maliciosos se adentran más en su red, la escalada de privilegios o los movimientos laterales deberían activar alertas y los intentos de exfiltración de datos crearían una onda en el tráfico de red saliente.
¿Simple? ¡No tanto! Los mercados de la web oscura son más complejos de lo que la mayoría de la gente piensa y rara vez los datos identifican a su organización directamente. A los malos no les importan los objetivos siempre que sientan que el objetivo tiene dinero para pagar. Sus socios de inteligencia de amenazas deben saber cómo identificar sus datos en la web oscura de manera referencial y no solo usar términos de búsqueda enlatados. Además, la mayoría de los accesos vendidos no van a los mercados públicos, así que elija socios que también puedan monitorear canales exclusivos.
Enseñe a los empleados a protegerse y, lo que es más importante, alerte a los equipos de seguridad cibernética si algo sale mal. El miedo al castigo a veces hace que los empleados oculten el hecho de que se vieron comprometidos. Intentan cambiar las contraseñas, pero si su sistema ya está infectado, esto es ineficaz. Sus empleados son una gran parte de su defensa contra las intrusiones.
MFA no es perfecto, pero podría decirse que es el elemento disuasorio más importante contra las intrusiones. La mayoría de los malos no son lo suficientemente sofisticados como para eludir MFA, por lo que su inversión en una cobertura del 100 % para el acceso remoto y en la nube es fundamental.
Su solución de monitoreo y alerta de registros no es solo para mostrar. Pruébelo con frecuencia para ver si su equipo rojo o los evaluadores de penetración lo activan mientras actúan como actores de amenazas e intentan aumentar los privilegios y moverse lateralmente dentro de su infraestructura. Las alertas son fundamentales, porque son proactivas en lugar de recopilar registros posteriores a la infracción. También tenga en cuenta que las alertas deben ser significativas. Con demasiada frecuencia, el personal de seguridad y TI se ve abrumado por numerosas alertas e ignora las más importantes.
Por último, casi ningún ataque de ransomware en la actualidad se realiza sin un componente de exfiltración de datos. Por un lado, los malos no pueden filtrar los datos de su red de manera invisible a sus herramientas de monitoreo de red; por otro lado, es difícil identificar la exfiltración de datos entre el resto del tráfico que sale de su red.
Lo que es más importante, ¿puede actuar a tiempo para evitar que la mayoría de los datos se vayan? Esto debe probarse: se deben implementar soluciones de monitoreo junto con datos de señuelo que puedan volverse más atractivos que los datos realmente críticos en su red.
Hemos logrado muchas cosas en nuestra lucha contra el ransomware, pero los malos son cada vez más inteligentes y debemos mejorar continuamente nuestras defensas contra sus ganancias. Solo un ciclo de mejora continua, basado en el panorama actual de amenazas, puede mejorar en gran medida nuestras posibilidades de no convertirnos en la última víctima de una pandilla de ransomware.
Alex Holden es CISO en Hold Security y miembro del Grupo de Trabajo de Tendencias Emergentes de ISACA