Por Derek Manky, estratega global de Seguridad en Fortinet
Casi un año después de que WannaCry encabezara los titulares de las noticias mundiales, varias organizaciones de alto perfil siguieron siendo el objetivo de este ransomware, algunas recientemente. Es parte de una tendencia creciente que tiene el potencial de afectar a un gran número de personas y con consecuencias potencialmente devastadoras.
Tradicionalmente, un ataque de ransomware generalmente comienza cuando un usuario hace clic en un enlace o abre un archivo malicioso adjunto a un correo electrónico que es parte de una campaña de phishing (aleatorio) o spearphishing (dirigido). O bien, visitan un sitio web comprometido y captan un virus junto con lo que estaban viendo o descargando. Por ejemplo, los recientes ransomworm WannaCry y malware SamSam se cargaban en un dispositivo vulnerable que estaba conectado a una red abierta y desde allí se extendían localizando otros sistemas vulnerables y encriptando sus datos.
En los últimos meses, los ciberdelincuentes se han vuelto mucho más activos, dirigidos a una amplia gama de organizaciones desde instituciones de salud y educativas hasta gobiernos locales. También hemos visto ataques dirigidos con éxito a servicios de alojamiento web basados en la nube con el fin de inyectar código en múltiples dominios web de alto tráfico, en lugar de tratar de hacerlo uno a la vez.
Es probable que los ataques futuros aprovechen la inteligencia de enjambre para sacar por completo a los humanos del ciclo con el fin de acelerar los ataques a velocidades digitales. Las comunicaciones en tiempo real permiten que los agentes de ataques individuales, o swarmbots, se agrupen en enjambres coordinados que pueden evaluar y atacar de manera más eficiente a una amplia gama de potenciales vulnerabilidades. Para defender su red de estos ataques múltiples, necesita desarrollar un proceso metódico de base para reducir el número de posibles brechas a las que su organización está expuesta. Fortinet recomienda estas diez mejores prácticas:
1. Realice un inventario de todos los dispositivos: desarrolle y mantenga un inventario en vivo de los dispositivos que están en su red en todo momento. Por supuesto, esto es difícil de hacer si sus dispositivos de seguridad, puntos de acceso y dispositivos de red no pueden comunicarse entre sí. A medida que los recursos de TI continúan extendiéndose, una solución de NOC-SOC integrada es un enfoque valioso para garantizar que todos los dispositivos de la red sean identificados y monitoreados.
2. Automatice el parcheo: el reciente amenaza WannaCry deja en claro que los sistemas no parcheados continúan siendo un conducto principal para ataques y malware. Por eso, debe desarrollar una metodología que habilite a automatizar el proceso de parchado.
3. Segmente la red: ¿qué hará cuando su red sea víctima de una brecha? Esta es una pregunta que todo profesional de seguridad debe hacerse. Porque cuando lo sea, deseará limitar el impacto de ese evento tanto como sea posible. La mejor primera línea de defensa es segmentar la red. Sin una segmentación adecuada, los ransomworms pueden propagarse fácilmente a través de la red, incluso a los respaldos, haciendo que la recuperación dentro de su plan de respuesta a incidentes (IR, por sus siglas en inglés) sea mucho más difícil de implementar.
4. Monitoree las amenazas: suscríbase a feeds o fuentes de amenazas en tiempo real para que sus sistemas de seguridad puedan estar actualizados con los últimos ataques. Cuando se combina con la inteligencia de amenazas local a través de una herramienta de integración y correlación centralizada como un SIEM o un servicio de inteligencia de amenazas, las organizaciones pueden ver y responder mejor a los ataques tan pronto como comiencen a surgir, en lugar de una vez que ya han sido el objetivo, incluso podrían anticiparlas.
5. Esté atento a los Indicadores de Compromiso (IOC, por sus siglas en inglés): cuando puede vincular su inventario con la inteligencia de amenazas actuales, puede ver rápidamente cuáles de sus dispositivos están en mayor riesgo para priorizar políticas más duras, aplicarles parches, aislarlos o reemplazarlos.
6. Fortalezca los puntos de acceso: establezca como norma que los dispositivos que entren en su red cumplan con los requisitos de seguridad básicos e implementé métodos de búsqueda activa de dispositivos y tráfico no parcheados o infectados.
7. Implemente controles de seguridad: aplique soluciones de firmas y basadas en contexto en toda su red para detectar y frustrar ataques tanto en el perímetro como una vez que hayan penetrado sus defensas perimetrales.
8. Use la automatización de seguridad: aplique automatización a tantos procesos de seguridad básicos como le sea posible. Esto libera sus recursos de TI para centrarse en el análisis de amenazas de mayor orden y tareas de respuesta que puedan protegerlo de las amenazas más avanzadas dirigidas a su organización.
9. Haga una copia de seguridad de los sistemas críticos: lo más importante que puede hacer al tratar con ransomware es asegurarse de tener una copia de los datos y recursos críticos, almacenados fuera de la red para poder restaurar y reanudar las operaciones lo antes posible.
10. Cree un entorno de seguridad integrado: para asegurarse de que todas estas prácticas de seguridad se extiendan sin problemas a cada nuevo ecosistema de red que ponga en línea, debe implementar soluciones de seguridad que estén completamente integradas como una estructura de seguridad para permitir la orquestación y el análisis centralizados.
Un esfuerzo de equipo
A medida que las redes se vuelven más complejas, también lo será el trabajo de defenderlas. Ya no es un trabajo de una solución o incluso de un solo equipo. La automatización puede aliviar la carga del equipo de TI, así como las otras mejores prácticas de seguridad, y cerrar de esta forma las puertas al ransomware. Además, a medida que el malware evoluciona, la inteligencia compartida de amenazas lo ayudará a saber qué buscar y cómo abordarlo.
1 Comment
Muy buen aporte