En este podcast, analizamos el ransomware y el almacenamiento de datos con Chris McKean, especialista en soluciones de NetApp.
McKean habla sobre lo que los proveedores de almacenamiento pueden incorporar en los productos de almacenamiento que pueden ayudar a proteger y remediar los efectos de los ataques de ransomware. Estos incluyen la detección, la protección de datos y el bloqueo de datos contra intentos no autorizados de cambiarlos.
McKean también habla sobre cómo la funcionalidad anti-ransomware del almacenamiento encaja en el panorama más amplio de la estrategia anti-ransomware en el centro de datos.
¿Qué hace el ransomware? En sus diversas formas; cifrado, exfiltración, etc., ¿eso afecta el almacenamiento de datos?
McKean: El ransomware puede paralizar casi por completo el almacenamiento, porque ese es el objetivo de los ataques de ransomware.
Ya has dicho que hay cifrado y exfiltración. Por lo general, un atacante obtendrá acceso a la red de una empresa u organización, y una de las primeras cosas una vez que haya encontrado la manera de evitarlo es que buscará exfiltrar los datos.
Copiarán tantos datos importantes como puedan, porque en ese momento ya tienen una moneda de cambio para decirle a una empresa: “Si no nos paga el rescate, liberaremos estos registros en la web oscura para su uso”. venta o en el dominio público”, como sea que vayan a hacerlo.
Generalmente hay un ataque doble y, además de tener acceso a los datos, intentarán cifrar todos los datos en el almacenamiento de datos. En ese punto, a menos que su organización pueda hacer frente a la falta de capacidad digital para funcionar, estará en mal estado.
Probablemente no pueda operar los servicios que ofrece su empresa porque todo necesita datos. Ya sabes, un usuario o una aplicación, incluso si a lo que accede directamente no tiene muchos datos, probablemente dependerá de algo más adelante, una base de datos o un lago de datos. En algún momento, necesitará acceder a esos datos.
Si esos datos están cifrados y el atacante, el grupo de ransomware, tiene la clave de cifrado y solo ellos la tienen, no estás en un buen lugar.
¿Qué funciones pueden incorporar los proveedores de almacenamiento para combatir el ransomware?
McKean: Yo diría que hay algunos tipos de características clave. El primero es la detección: detectar algo que sucede en la capa de almacenamiento.
Como ya hemos dicho, si los datos se cifran, ¿se puede detectar? ¿Puede decir: “Bien, puedo ver que los niveles de cifrado en esta área de almacenamiento han comenzado a aumentar”? ¿O estamos viendo aparecer nuevos tipos de archivos que nunca antes habíamos visto con, ya sabes, extensiones de archivo extrañas? Puedes hacerlo en la capa de datos. Es una forma brillante de decir: “Creo que se está produciendo un ransomware. Podemos ver que, de repente, este volumen de datos ha pasado del 2 % de cifrado al 14 % de cifrado”.
Ahora, yendo un paso más allá, lo ideal es que en la capa de almacenamiento desees fijar ese cifrado o ese ataque en un área. Por ejemplo, si tienes un volumen y el cifrado comienza a aumentar, esa es realmente una buena información. Y una empresa puede actuar en consecuencia y tratar de implementar medidas para restaurar los datos, etc.
Pero ya sabes, ¿de dónde vino ese ataque? Y ahí es donde el análisis del comportamiento de usuarios y entidades, o UEBA [comes in]. Creo que ese es otro paso que los proveedores de almacenamiento pueden incluir.
Si tengo acceso a un pequeño porcentaje de la [total] almacenamiento, digamos 100 terabytes de datos, y en realidad solo tengo acceso al 1% o menos, puedo ir y cifrar [what would be] muchos datos para mi. Pero el almacenamiento en su conjunto, esos 100 terabytes, sólo verá un aumento muy, muy pequeño en el cifrado.
Sin embargo, si algo está monitoreando mi comportamiento, entonces, aunque en proporción, [of] El almacenamiento total es un porcentaje muy pequeño; para mí, es un aumento enorme. Y esa es una señal potencial para decir: “¿Qué está haciendo Chris McKean? ¿Su cuenta ha sido comprometida? Podemos ver que de repente se copian muchos datos y se cifran muchos datos”.
Esa es la parte de UEBA, además de analizar el cifrado general y los tipos de archivos y cosas así. Hay algunas cosas que los proveedores de almacenamiento pueden hacer para detectar ataques. Ahora, eso es genial, pero también necesitas hacer cosas en la función de protección. Es incluso mejor si puedes evitar que esto suceda en primer lugar. Ahí es donde cosas estándar como RBAC [role-based access control] y entra en juego un enfoque de confianza cero: dar a las personas acceso sólo a lo que necesitan.
No son sólo las computadoras portátiles y los dispositivos de los usuarios los que realizarán el cifrado o serán los dispositivos infectados. Podría ser una cuenta de usuario comprometida. Se ve todo el tiempo que las cuentas de muchos usuarios se ven comprometidas.
Podría introducir una función, tal vez como la verificación de múltiples administradores, donde no se pueden ejecutar ciertos comandos destructivos en el almacenamiento sin que alguien más lo apruebe.
¿Cuáles son las limitaciones de lo que pueden hacer los proveedores de almacenamiento? ¿Qué parte de la estrategia general cumple el almacenamiento?
McKean: La limitación, obviamente, es que se trata sólo de la capa de almacenamiento. Ahora bien, esa capa es tan vital como cualquier otra capa. Tener protección y detección en la capa de almacenamiento es tan importante como tenerlas en la computadora portátil de alguien o en algo que se ejecute en el borde de la red.
Pero esa es sólo una capa. La capa de almacenamiento no puede evitar que el dispositivo de alguien sea infectado por malware porque hizo clic en un enlace de phishing. Pero eso no quiere decir que no se puedan hacer muchísimos en la capa de almacenamiento para, con suerte, ser la última línea de defensa en caso de que alguien haya atravesado la red y luego tenga acceso al almacenamiento.
Si su almacenamiento puede detener o detectar ataques, eso es vital, pero también siempre debe tener una manera de bloquear ciertas cantidades de datos. Se trata de esa parte de “asumir una infracción” de la arquitectura de confianza cero.
Debería haber una manera en el almacenamiento de decir: “Está bien, vamos a tomar una copia de estos datos y la vamos a guardar bajo llave durante dos meses, cinco años, por mucho tiempo que sea”.
Y de esa manera, incluso si se infringen todos esos otros pasos y las medidas de protección que ha implementado, tendrá una copia de los datos válida de hace cinco semanas, cinco meses, un año, etc. Entonces, creo que hay limitaciones, y básicamente es que se trata solo de la capa de almacenamiento.
Sin embargo, todavía hay muchas cosas que puedes hacer en esa capa de almacenamiento que podrían ser una verdadera salvación para una empresa cuya red ha sido infectada por malware.
Lo que deduzco de esto es que el almacenamiento, en cierto sentido, es como un respaldo. ¿Estarías de acuerdo con eso?
McKean: Siempre lo considero el portero de un equipo de fútbol. Si superas a los atacantes y regateas por el medio campo, e incluso si superas a la defensa, tienes esa última línea de defensa.
Tienes a ese portero que impide que el atacante tenga acceso a aquello a lo que realmente quiere acceder, porque es con los datos que un atacante puede monetizar mejor un ataque.